石 瑩 ，李太浩

SHI Ying, LI Tai-hao

（吉林農(nóng)業(yè)大學(xué) 信息化教學(xué)與管理中心，吉林 130118）

0 引言

互聯(lián)網(wǎng)以其前所未有的迅猛速度，發(fā)展成為最重要的信息基礎(chǔ)設(shè)施，深刻影響和改變著經(jīng)濟(jì)社會的方方面面。高等院校校園網(wǎng)絡(luò)建設(shè)已逐步成為學(xué)校的基礎(chǔ)建設(shè)項目，更成為衡量一個學(xué)校教育信息化、現(xiàn)代化的重要標(biāo)志。高校是研究開發(fā)新技術(shù)，拓展新科學(xué)的機(jī)構(gòu)；同時也是教育教學(xué)的重要場所，因此在高校的網(wǎng)絡(luò)中集中了大量的學(xué)術(shù)資料和教學(xué)資源，使之成為備受矚目的攻擊對象。校園網(wǎng)既是大量攻擊的發(fā)源地，也是攻擊者最容易攻破的目標(biāo)”，解決校園網(wǎng)絡(luò)安全問題迫在眉睫。

目前，高校校園網(wǎng)上種類繁多的安全問題此起彼伏，網(wǎng)絡(luò)管理者人員數(shù)量有限，一方面要隨時排除安全隱患；另一方面要及時分析處理已經(jīng)出現(xiàn)的網(wǎng)絡(luò)安全故障。是否有效的對網(wǎng)絡(luò)現(xiàn)狀進(jìn)行監(jiān)視并根據(jù)異常情況進(jìn)行及時反饋處理是網(wǎng)絡(luò)安全中舉足輕重的關(guān)鍵問題。本文研究的安全綜合告警系統(tǒng)的優(yōu)勢在于可以便捷的輔助計算機(jī)網(wǎng)絡(luò)管理人員實現(xiàn)對網(wǎng)絡(luò)中的計算機(jī)進(jìn)行有效的監(jiān)控，同時又可以輔助網(wǎng)絡(luò)管理人員對鏈路中的不安全因素進(jìn)行分析預(yù)測，它簡化網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)的管理操作，在現(xiàn)實應(yīng)用中具有廣闊的應(yīng)用前景以及深遠(yuǎn)的意義。

1 網(wǎng)絡(luò)安全綜合告警系統(tǒng)的設(shè)計思想與模型

1.1 設(shè)計思想

信息安全綜合告警系統(tǒng)應(yīng)用局部分散結(jié)合重點集中的混合體系結(jié)構(gòu)，采用以C/S（Client/Server）為主結(jié)合B/S（Browser/ Server）的開發(fā)模式。組成系統(tǒng)的計算機(jī)系統(tǒng)按其功能分為被監(jiān)視客戶機(jī)、中心服務(wù)器、中心數(shù)據(jù)服務(wù)器以及Web管理客戶機(jī)。不同于以往開發(fā)的其他類型的監(jiān)測告警系統(tǒng)，信息安全綜合告警系統(tǒng)沒有將系統(tǒng)的主體功能都集中在中心服務(wù)器上，而是將功能分解后分散到網(wǎng)絡(luò)中被監(jiān)視客戶機(jī)上以及中心數(shù)據(jù)服務(wù)器上，這也就是所謂的局部分布結(jié)合重點集中的體系結(jié)構(gòu)；在系統(tǒng)的四類計算機(jī)，被監(jiān)視客戶機(jī)與中心服務(wù)器是典型C/S機(jī)構(gòu)，Web管理客戶機(jī)與中心服務(wù)器又組成了典型的B/S結(jié)構(gòu)，這就是所謂以C/S為主結(jié)合B/S的開發(fā)模式。組成系統(tǒng)的計算機(jī)及網(wǎng)絡(luò)接入方式如圖1所示。

圖1 計算機(jī)及網(wǎng)絡(luò)接入方式

上述構(gòu)成信息安全綜合告警系統(tǒng)的計算機(jī)在運(yùn)行環(huán)境上均要求安裝有Windows家族的操作系統(tǒng)（通常為Windows Server 2000、Windows Server 2003 或 Windows Server 2008），同時還要求安裝或集成有.NET Framework （2.0版本及以上），以便用來安裝部署對應(yīng)的子系統(tǒng)。

客戶機(jī)是指網(wǎng)絡(luò)中需要監(jiān)視的服務(wù)器，在該組計算機(jī)上安裝部署客戶機(jī)監(jiān)視子系統(tǒng)?？蛻魴C(jī)監(jiān)視子系統(tǒng)以系統(tǒng)服務(wù)的形式安裝在被監(jiān)視客戶機(jī)中，能夠在后臺持續(xù)運(yùn)行。該子系統(tǒng)接受由中心服務(wù)器分發(fā)下來的監(jiān)視端信息安全策略，根據(jù)策略的描述狀況負(fù)責(zé)收集被監(jiān)視客戶機(jī)的系統(tǒng)運(yùn)行狀態(tài)和網(wǎng)絡(luò)狀態(tài)，同時能根據(jù)策略的要求將特征數(shù)據(jù)以及告警信息傳輸給中心服務(wù)器，并完成本地運(yùn)行日志的記錄工作。

中心服務(wù)器上安裝有信息安全綜合告警系統(tǒng)的中心服務(wù)端子系統(tǒng)。中心服務(wù)端子系統(tǒng)負(fù)責(zé)接收被監(jiān)視客戶機(jī)發(fā)送來的監(jiān)視信息、分發(fā)信息安全策略給被監(jiān)視客戶機(jī)、接收來自Web管理機(jī)的系統(tǒng)管理信息、發(fā)送告警信息給Web管理機(jī)，以及對中心數(shù)據(jù)服務(wù)器進(jìn)行管理。

Web管理機(jī)對軟件運(yùn)行環(huán)境沒有限制。用戶在使用上可以通過Web管理機(jī)的瀏覽器訪問中心服務(wù)器的Web界面，通過Web界面實現(xiàn)系統(tǒng)用戶管理、系統(tǒng)策略管理、告警管理、被監(jiān)視客戶機(jī)管理、系統(tǒng)日志管理等操作

中心數(shù)據(jù)服務(wù)器部署有信息安全綜合告警系統(tǒng)的數(shù)據(jù)服務(wù)子系統(tǒng)。中心數(shù)據(jù)服務(wù)器安裝有Microsoft SQL Server 2005數(shù)據(jù)服務(wù)軟件，同時加載SQL Server的Analysis Services服務(wù)和Integration Services服務(wù)從而實現(xiàn)數(shù)據(jù)分析服務(wù)。中心數(shù)據(jù)服務(wù)器負(fù)責(zé)記錄來自中心服務(wù)器的客戶狀態(tài)數(shù)據(jù)、系統(tǒng)運(yùn)行日志、被監(jiān)視客戶機(jī)的網(wǎng)絡(luò)數(shù)據(jù)監(jiān)視結(jié)果、系統(tǒng)告警數(shù)據(jù)等數(shù)據(jù)。

1.2 設(shè)計模型

該系統(tǒng)由一系列組件構(gòu)成，它們是狀態(tài)監(jiān)視器、狀態(tài)分析器、告警響應(yīng)單元、綜合數(shù)據(jù)庫。其中狀態(tài)監(jiān)視器的目的是通過內(nèi)置于各個被監(jiān)視客戶機(jī)的傳感器（這里的傳感器通過不同的技術(shù)手段在客戶機(jī)中獲取大量的信息）獲取計算機(jī)系統(tǒng)運(yùn)行狀態(tài)，并向系統(tǒng)的其他組件提供狀態(tài)信息。狀態(tài)分析器根據(jù)來自于綜合數(shù)據(jù)庫的狀態(tài)分析規(guī)則對狀態(tài)信息進(jìn)行分析產(chǎn)生分析結(jié)果。告警響應(yīng)單元實現(xiàn)對分析結(jié)果做出反應(yīng)，該單元反應(yīng)的結(jié)果是實現(xiàn)告警結(jié)果的產(chǎn)生，告警數(shù)據(jù)的記錄。綜合數(shù)據(jù)庫用于存放各種中間以及最終的數(shù)據(jù)，還有系統(tǒng)運(yùn)行設(shè)置信息。

在信息安全綜合告警系統(tǒng)模型中，狀態(tài)分析器的狀態(tài)分析結(jié)果直接影響到系統(tǒng)告警的產(chǎn)生，是系統(tǒng)的核心組件。狀態(tài)分析器在對計算機(jī)狀態(tài)信息進(jìn)行分析的過程中采取了異常檢測和誤用檢測兩種分析技術(shù)來實現(xiàn)告警信息的產(chǎn)生。

1）異常檢測：檢測與可接受行為之間的偏差。如果可以定義每項可接受的行為，那么每項不可接受的行為就應(yīng)該是非正常狀態(tài)。首先總結(jié)正常操作應(yīng)該具有的特征（如合法進(jìn)程、應(yīng)開放的端口），當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是非正常狀態(tài)，進(jìn)而產(chǎn)生相應(yīng)的告警。

2）誤用檢測：檢測與已知的不可接受行為之間的匹配程度。如果可以定義所有的不可接受行為（如CPU使用率、內(nèi)存極限使用率等），那么每種能夠與之匹配的行為都會引起告警。收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是非正常狀態(tài)。

2 網(wǎng)絡(luò)安全綜合告警系統(tǒng)的實現(xiàn)

信息安全綜合告警系統(tǒng)的設(shè)計采用模塊化設(shè)計思想。完整的信息安全綜合告警系統(tǒng)被分為7個模塊，即監(jiān)視模塊、日志模塊、自我保護(hù)模塊、網(wǎng)絡(luò)傳輸模塊、信息管理模塊、Web管理模塊、數(shù)據(jù)庫模塊。7個模塊分布于被監(jiān)視客戶機(jī)、中心服務(wù)器和中心數(shù)據(jù)服務(wù)器上形成了客戶機(jī)監(jiān)視子系統(tǒng)、中心服務(wù)端子系統(tǒng)和數(shù)據(jù)服務(wù)子系統(tǒng)三部分構(gòu)成。三個子系統(tǒng)的關(guān)系如圖2所示。

圖2 系統(tǒng)結(jié)構(gòu)圖

客戶機(jī)監(jiān)視子系統(tǒng)的主要功能是完成對被監(jiān)視計算機(jī)的狀態(tài)的獲取以及按照信息安全策略產(chǎn)生告警信息。客戶機(jī)監(jiān)視子系統(tǒng)由監(jiān)視模塊、客戶端數(shù)據(jù)傳輸模塊、日志模塊和自我保護(hù)模塊組成。

中心服務(wù)子系統(tǒng)的主要功能是通過數(shù)據(jù)傳輸模塊接收來自客戶監(jiān)視子系統(tǒng)的告警數(shù)據(jù)以及特征數(shù)據(jù)，訪問數(shù)據(jù)服務(wù)子系統(tǒng)進(jìn)行告警及特征數(shù)據(jù)存儲，訪問數(shù)據(jù)服務(wù)子系統(tǒng)實現(xiàn)與Web管理機(jī)數(shù)據(jù)同步，對數(shù)據(jù)進(jìn)行分析匯總生成分組報表。中心服務(wù)子系統(tǒng)由數(shù)據(jù)傳輸模塊、信息管理模塊和Web管理模塊組成。

數(shù)據(jù)服務(wù)子系統(tǒng)主要負(fù)責(zé)存儲和管理系統(tǒng)產(chǎn)生的告警數(shù)據(jù)、特征數(shù)據(jù)、系統(tǒng)日志數(shù)據(jù)和系統(tǒng)運(yùn)行配置數(shù)據(jù)，并針對上述數(shù)據(jù)執(zhí)行相關(guān)分析操作。

2.1 監(jiān)視模塊

監(jiān)視模塊是客戶機(jī)監(jiān)視子系統(tǒng)的一部分，也是最重要的部分，它具有監(jiān)視計算機(jī)系統(tǒng)的CPU使用狀態(tài)信息、內(nèi)存使用狀態(tài)信息、系統(tǒng)進(jìn)程信息、磁盤使用信息、特殊目錄訪問信息、Windows日志信息、開放網(wǎng)絡(luò)端口信息、數(shù)據(jù)包分發(fā)信息的功能，并具備按照信息安全告警策略生成相應(yīng)告警信息和狀態(tài)特征信息的功能。

2.2 數(shù)據(jù)庫模塊

數(shù)據(jù)庫模塊的作用是存儲由監(jiān)視模塊產(chǎn)生的告警信息、客戶機(jī)的監(jiān)視狀態(tài)數(shù)據(jù)、系統(tǒng)管理用戶信息、系統(tǒng)設(shè)定的信息安全策略以及存儲系統(tǒng)日志等，這些數(shù)據(jù)將提供給Web管理模塊以頁面的形式交給系統(tǒng)管理和使用者進(jìn)行查詢與分析。

本系統(tǒng)的數(shù)據(jù)庫模塊采用Microsoft SQL Server 2005數(shù)據(jù)庫。原因在于SQL Server 2005可面向Web服務(wù)和Microsoft .NET Framework提供高水平支持，SQL Server與其它Microsoft軟件產(chǎn)品（從Microsoft Windows Server?操作系統(tǒng)到Microsoft Visual Studio?開發(fā)軟件包）高度集成。商務(wù)智能方面SQL Server 2005集成有Analysis Services服務(wù)和Integration Services服務(wù)，可以很容易的實施聯(lián)機(jī)分析處理（OLAP），數(shù)據(jù)挖掘，提取、轉(zhuǎn)換與加載（ETL）。它是一個技術(shù)成熟、功能強(qiáng)大的關(guān)系型數(shù)據(jù)庫系統(tǒng)，支持完備的SQL數(shù)據(jù)庫查詢語言，可以與.NET技術(shù)實現(xiàn)無縫對接。

2.3 網(wǎng)絡(luò)傳輸模塊

網(wǎng)絡(luò)傳輸模塊是構(gòu)架于客戶監(jiān)視子系統(tǒng)和中心服務(wù)端子系統(tǒng)之間信息傳輸橋梁，在兩者之間傳輸?shù)男畔⒘饔锌刂菩盘?、告警信息、特征?shù)據(jù)以及策略文件。控制信息用于實現(xiàn)服務(wù)器與客戶機(jī)之間的功能協(xié)調(diào)。主要有客戶機(jī)向服務(wù)器發(fā)出的握手信息、服務(wù)器向客戶機(jī)發(fā)出的監(jiān)視軟件重啟、客戶機(jī)向服務(wù)器發(fā)出的更新策略請求等信息。告警信息是由客戶機(jī)按照告警類別不同而生成的一組字節(jié)流，用于描述告警情況。特征數(shù)據(jù)是當(dāng)網(wǎng)絡(luò)監(jiān)視模塊被設(shè)置為數(shù)據(jù)監(jiān)視狀態(tài)時，由網(wǎng)絡(luò)監(jiān)視模塊產(chǎn)生的監(jiān)視數(shù)據(jù)流。策略文件是在客戶端請求下或在Web管理機(jī)操作下由服務(wù)端向客戶端傳輸?shù)陌踩呗耘渲梦募?/p>

網(wǎng)絡(luò)傳輸模塊由服務(wù)端數(shù)據(jù)傳輸子模塊、客戶端數(shù)據(jù)傳輸子模塊和數(shù)據(jù)加解密子模塊三部分組成。

2.4 信息管理模塊

信息管理模塊駐留在中心服務(wù)器上，主要負(fù)責(zé)協(xié)調(diào)Web管理模塊、數(shù)據(jù)傳輸模塊以及數(shù)據(jù)庫模塊三者的關(guān)系。完成的主要功能有與Web管理模塊的交互、策略生成與分發(fā)、數(shù)據(jù)庫操作、客戶端管理、GSM告警接口管理等。

2.5 Web管理模塊

Web管理模塊部署在中心服務(wù)器上，用戶通過Web管理機(jī)上的瀏覽器訪問有其提供的Web界面，可以方便快捷的訪問信息安全綜合告警系統(tǒng)，完成對系統(tǒng)的管理操作。該模塊的運(yùn)行依托與微軟公司的.net Frameworks框架，Web界面的編寫是基于ASP.NET技術(shù)以及其擴(kuò)展集ASP.NET AJAX技術(shù)，數(shù)據(jù)庫的訪問采用.net框架集的ADO.NET。Web管理模塊按照操作功能上進(jìn)行劃分，分為7個子模塊，分別是用戶管理、客戶機(jī)管理、告警管理、策略管理、圖表分析、日志管理、數(shù)據(jù)查詢和系統(tǒng)配置。

3 網(wǎng)絡(luò)安全綜合告警系統(tǒng)的不足之處

計算機(jī)網(wǎng)絡(luò)安全涵蓋的內(nèi)容十分廣泛，受到時間和技術(shù)條件等因素所限，本系統(tǒng)實現(xiàn)的功能還不完善，還有待于進(jìn)一步的研究和改善。

1）本系統(tǒng)僅對客戶端數(shù)據(jù)包內(nèi)容的檢測監(jiān)視僅僅基于IPV4的基礎(chǔ)之上，沒有對新型的IPV6技術(shù)進(jìn)行優(yōu)化。

2）系統(tǒng)對獲取的信息綜合處理能力還有待提高。

3）該系統(tǒng)僅針對Windows操作系統(tǒng)的服務(wù)器進(jìn)行監(jiān)視，未來拓展其監(jiān)視服務(wù)器的類型實現(xiàn)跨平臺的監(jiān)視能力。

[1] 沙桂蘭.淺談校園網(wǎng)絡(luò)安全控制策略[M].電腦知識與技術(shù).2007,3.

[2] 劉占全.網(wǎng)絡(luò)管理與防火墻技術(shù)[M].人民郵電出版社：1999,7.

[3] 李新生.信息安全與國家安全[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2002,(06).

[4] 袁培根,楊東燕,李道彬.磁盤空間配額管理的設(shè)計與實現(xiàn)[J].實驗室研究與探索,2005,24(6).

[5] 宋昕,盛晨,王新華.基于WMI的計算機(jī)管理技術(shù)的研究與實現(xiàn)[J].浙江科技學(xué)院學(xué)報,2007,(01).