付沙

（湖南財政經(jīng)濟學院，湖南長沙 410205）

網(wǎng)絡信息內(nèi)容審計系統(tǒng)的研究與實現(xiàn)

付沙

（湖南財政經(jīng)濟學院，湖南長沙 410205）

網(wǎng)絡信息內(nèi)容審計是一種對網(wǎng)絡中傳輸?shù)男畔?nèi)容進行分析與審計的技術，是網(wǎng)絡安全技術中非常重要的組成部分，通過內(nèi)容審計可實現(xiàn)網(wǎng)絡信息內(nèi)容的可控性。本文闡述了網(wǎng)絡信息內(nèi)容審計技術，研究并構建了一種網(wǎng)絡信息內(nèi)容審計系統(tǒng)，且對其主要功能模塊的工作流程及其實現(xiàn)進行了詳細說明。

內(nèi)容審計；數(shù)據(jù)采集；特征匹配；負載均衡

一、引言

隨著我國信息化建設的不斷推進和計算機網(wǎng)絡的飛速發(fā)展，信息的發(fā)布與共享更為簡捷方便，網(wǎng)絡信息日益豐富；與此同時，許多非法和不健康的信息也出現(xiàn)在互聯(lián)網(wǎng)上，嚴重影響廣大網(wǎng)絡用戶的日常生活與工作，給整個社會的和諧穩(wěn)定造成惡劣影響。如何保證網(wǎng)絡行為、信息內(nèi)容的合法性、合規(guī)性及健康性已成為網(wǎng)絡與信息安全領域研究中的熱點問題，在此背景下網(wǎng)絡信息內(nèi)容審計技術得到快速發(fā)展，網(wǎng)絡信息內(nèi)容審計系統(tǒng)逐漸成為整個安全系統(tǒng)中不可或缺的重要組成部分。

網(wǎng)絡信息審計系統(tǒng)包括對網(wǎng)絡信息報文格式的完整性、合法性進行形式化審查和對報文的類型、內(nèi)容進行審查兩大部分。目前，對審計系統(tǒng)的研究絕大部分都集中在報文完整性和合法性判別研究方面，基于內(nèi)容的審計系統(tǒng)研究不多。因此，研究和構建網(wǎng)絡信息內(nèi)容審計系統(tǒng)對于網(wǎng)絡信息的安全、網(wǎng)絡的有效使用和對國家的安全具有重要意義。[1]

二、網(wǎng)絡信息內(nèi)容審計技術的思想

網(wǎng)絡信息內(nèi)容安全的主要技術包括基于內(nèi)容的防火墻和網(wǎng)絡信息內(nèi)容審計。[2]基于內(nèi)容的防火墻雖能最大限度地保障網(wǎng)絡信息內(nèi)容的安全，但在網(wǎng)絡犯罪取證和網(wǎng)絡行為監(jiān)控方面卻無能為力，還只能依賴于網(wǎng)絡信息內(nèi)容審計技術。該技術針對網(wǎng)絡流量中不良信息傳播的問題，綜合運用網(wǎng)絡數(shù)據(jù)包獲取、協(xié)議分析、信息處理、不良流量阻斷等方式實現(xiàn)對網(wǎng)絡信息內(nèi)容傳播的有效監(jiān)管。能夠幫助用戶對網(wǎng)絡進行實時監(jiān)控，記錄網(wǎng)絡上發(fā)生的一切，尋找非法和違規(guī)行為并為用戶提供事后取證。

文獻[3]中指出網(wǎng)絡信息內(nèi)容審計技術是采用一些智能化的處理技術及網(wǎng)絡信息報文采集、組合、判別等方面的技術，對通過網(wǎng)絡的報文內(nèi)容進行實時處理和識別，凡是發(fā)現(xiàn)包含有害、非法、敏感信息的報文就記錄其源/目的IP地址、源/目的端口號、服務類型等相關信息，形成系統(tǒng)訪問日志并提供給系統(tǒng)管理人員和其他有關用戶進行事后審計和分析，進而采取相應的安全管理措施，包括對非法及不健康信息進行追查等處理。

三、網(wǎng)絡信息內(nèi)容審計系統(tǒng)的必要性

網(wǎng)絡信息內(nèi)容審計系統(tǒng)是指從計算機網(wǎng)絡系統(tǒng)中的若干個關鍵點收集數(shù)據(jù)包，對其傳送的內(nèi)容進行審計分析，檢查其中是否含有違反信息安全策略的行為跡象，實現(xiàn)對網(wǎng)絡信息內(nèi)容的監(jiān)控，防止機密文件或敏感信息的非法泄漏及傳送，對可疑行為或內(nèi)容采取措施并為查證提供有力證據(jù)。[4]網(wǎng)絡信息內(nèi)容審計系統(tǒng)作為保障網(wǎng)絡信息安全的實時審計工具，可以高速有效地對進出內(nèi)部網(wǎng)絡的電子郵件、網(wǎng)頁（BBS）、P2P軟件、上傳下載文件和遠程登錄等各類傳輸信息進行數(shù)據(jù)截取和還原，并可根據(jù)用戶需求對通信內(nèi)容進行審計，提供高速的敏感特征關鍵詞檢索和標記功能，從而防止內(nèi)部網(wǎng)絡敏感信息的泄漏以及非法信息的傳播。

四、網(wǎng)絡信息內(nèi)容審計系統(tǒng)的結構

在網(wǎng)絡信息內(nèi)容審計系統(tǒng)中，網(wǎng)絡內(nèi)容采集模塊從互聯(lián)網(wǎng)上取回內(nèi)容之后，內(nèi)容分析模塊對內(nèi)容進行分析處理。在擁有足夠的網(wǎng)絡帶寬情況下，內(nèi)容分析模塊對大流量網(wǎng)絡數(shù)據(jù)的處理速度將成為系統(tǒng)性能的瓶頸。而內(nèi)容分析模塊的處理速度和對敏感信息的識別準確率又是一對矛盾，難以兼顧。如果采用簡單高速的分析算法則會降低識別準確率；而采用復雜準確的分析算法又難以保證處理速度。[5]

基于該因素，除了在系統(tǒng)中運用高性能的計算設備之外，在系統(tǒng)結構方面可以采用兩層分析結構：第一層采用簡單高速的分析技術進行數(shù)據(jù)包獲取和內(nèi)容過濾，著重系統(tǒng)的效率，對采用的算法時間復雜度有嚴格要求；第二層采用復雜準確的分析技術對第一層過濾的結果進行精確處理，著重系統(tǒng)的準確率和功能的全面性。通過將兩層分析結構分步實現(xiàn)，從而增強對敏感信息的識別準確率，提高整個系統(tǒng)的性能。[6]

五、系統(tǒng)主要功能模塊及其實現(xiàn)

網(wǎng)絡信息內(nèi)容審計系統(tǒng)主要由四個功能模塊組成：數(shù)據(jù)采集模塊、數(shù)據(jù)包還原重組模塊、特征匹配模塊和集群及負載均衡控制模塊。整個系統(tǒng)采用網(wǎng)絡探針技術進行數(shù)據(jù)采集和分布式集群技術實現(xiàn)數(shù)據(jù)包還原重組，能較好地解決傳統(tǒng)網(wǎng)絡信息內(nèi)容審計系統(tǒng)在高速網(wǎng)絡環(huán)境下丟包率高、性能低下、無法支持多種協(xié)議的問題。系統(tǒng)的主要功能模塊如圖所示。

1.數(shù)據(jù)采集模塊

數(shù)據(jù)采集模塊是網(wǎng)絡信息內(nèi)容審計系統(tǒng)的基礎組件。該模塊通過截獲整個網(wǎng)絡所有的信息流量，根據(jù)信息源主機、目標主機和服務協(xié)議端口等信息簡單過濾掉不需要關心的數(shù)據(jù)，再將用戶感興趣的數(shù)據(jù)發(fā)送給更高層的應用程序進行分析。在不同的操作系統(tǒng)平臺需要使用不同的數(shù)據(jù)包獲取技術，目前常用的是網(wǎng)絡數(shù)據(jù)包捕獲函數(shù)庫Libpcap（Packet Capture Library）和信息包捕獲與網(wǎng)絡分析模型包WinPcap（Windows Packet Capture）。

在Unix或Linux操作系統(tǒng)平臺下進行網(wǎng)絡數(shù)據(jù)包采集時可采用Libpcap，它是一個由與實現(xiàn)無關的訪問操作系統(tǒng)所提供的分組捕獲機制的分組捕獲函數(shù)庫。該函數(shù)庫提供的接口函數(shù)主要實現(xiàn)和封裝與數(shù)據(jù)包截獲有關的過程，同時所提供的C函數(shù)接口可用于需要捕獲經(jīng)過網(wǎng)絡接口數(shù)據(jù)包的系統(tǒng)開發(fā)中。目前有許多流行的工具都使用了Libpcap來進行數(shù)據(jù)采集，如tcpdump、snort等。而WinPcap是Windows操作系統(tǒng)平臺下一個免費、公共的網(wǎng)絡底層訪問系統(tǒng)，可用于進行捕獲、發(fā)送原始數(shù)據(jù)包，它是Unix系統(tǒng)平臺下廣泛使用的Libpcap的Windows版本。

本文所構建的系統(tǒng)在Windows系統(tǒng)平臺下運行，選用WinPcap來完成數(shù)據(jù)采集。WinPcap采集相關數(shù)據(jù)后提交數(shù)據(jù)幀給數(shù)據(jù)采集模塊，該模塊接收并分析記錄數(shù)據(jù)幀的源和目的MAC地址，分析數(shù)據(jù)幀的上層協(xié)議類型。WinPcap不僅提供了一套與Libpcap兼容的標準報文捕獲接口，以便于將程序移植到Unix系統(tǒng)平臺下，還考慮了各種性能和效率的優(yōu)化，收集網(wǎng)絡通信過程中的統(tǒng)計信息并提供了內(nèi)核態(tài)的統(tǒng)計模式。在數(shù)據(jù)采集模塊中，首先可通過以太網(wǎng)的廣播特性對網(wǎng)絡底層信息進行監(jiān)聽并獲取網(wǎng)絡上傳輸?shù)臄?shù)據(jù)流，包括協(xié)議端口、子網(wǎng)主機的所有交互數(shù)據(jù)等。在這些交互數(shù)據(jù)中存在著大量用戶不需要關心的非敏感信息（正常信息），對非敏感信息的監(jiān)聽工作嚴重影響到系統(tǒng)的工作效率，因此，建立高效的信息過濾機制是提高信息監(jiān)聽工作效率的重要環(huán)節(jié)，它使用戶可指定特定的協(xié)議端口及子網(wǎng)主機，如對電子郵件、網(wǎng)頁（BBS）、遠程登錄等各類傳輸信息進行過濾，只將用戶關心的敏感信息向更高層提交，從而提高系統(tǒng)工作效率。

2.數(shù)據(jù)包還原重組模塊

數(shù)據(jù)采集的目的是為了分析網(wǎng)絡數(shù)據(jù)包內(nèi)容，對于網(wǎng)絡信息內(nèi)容審計系統(tǒng)來說，僅分析零碎數(shù)據(jù)包的價值非常小，必須將一個會話中雙向傳輸?shù)乃袛?shù)據(jù)包進行拼接，并排除協(xié)商、應答、重傳、包頭等網(wǎng)絡附加信息以實現(xiàn)還原與重組，只有這樣才能實現(xiàn)網(wǎng)絡內(nèi)容的監(jiān)控與審查。按照TCP/IP協(xié)議以及應用層協(xié)議的規(guī)范，此模塊對采集的IP數(shù)據(jù)包在進行預處理之后逐層還原并將數(shù)據(jù)包進一步重組為應用層數(shù)據(jù)。根據(jù)數(shù)據(jù)物理幀的幀頭，模塊可以識別出所有的IP數(shù)據(jù)包；根據(jù)IP數(shù)據(jù)包頭中的信息（信源端IP地址、信宿端IP地址、協(xié)議類型號等）則可以識別出哪些IP數(shù)據(jù)包屬于同一個TCP或者是UDP的數(shù)據(jù)分段，并將它們重組為數(shù)據(jù)分段；再根據(jù)TCP或者是UDP段頭中的信息（源端口號、目的端口號、序列號、確認號等）可以恢復原始會話的內(nèi)容，經(jīng)過進一步處理可以完成應用層協(xié)議的重現(xiàn)并對內(nèi)容還原分析。

以電子郵件為例，電子郵件通常是以編碼的方式在網(wǎng)絡上進行傳輸，RFC1341-MIME（多媒體因特網(wǎng)郵件擴展）中有詳細的說明，郵件的內(nèi)容編碼標志域指出了相應的編碼方式，主要分為五種：7bit、8bit、Binary、Quotedprintable和BASE64編碼。7bit、8bit和Binary編碼方式的數(shù)據(jù)在郵件發(fā)送和接收過程中都是以明文方式進行傳輸?shù)?；而Quoted-printable和BASE64編碼則以非明文方式傳輸，這是當前電子郵件中最常用的編碼方式，根據(jù)其相應的編碼規(guī)則可以對郵件進行相應的解碼并對郵件報文信息進行翻譯。[7]

3.特征匹配模塊

敏感特征關鍵詞的匹配速度是決定系統(tǒng)性能的關鍵，解決不好將嚴重影響系統(tǒng)的性能，甚至導致失敗。字符串的匹配算法直接影響系統(tǒng)的檢測效率，當對網(wǎng)絡數(shù)據(jù)包匹配特定字符串的特征時就需要一個有效的字符串搜索算法。

特征匹配模塊可以利用自動機技術對敏感特征關鍵詞進行字符串匹配，若發(fā)現(xiàn)敏感信息則將其相關信息記入數(shù)據(jù)庫中，在客戶端可以實現(xiàn)對信息的顯示、查詢及統(tǒng)計。將所有的關鍵字分解成不同的狀態(tài)構成自動機，該自動機以文件內(nèi)容作為輸入對象，輸出結果為匹配到的關鍵字，從而完成特征匹配的功能。

4.集群及負載均衡控制模塊

集群是指相互獨立的一些系統(tǒng)在一臺負載監(jiān)視器的控制下作為一個系統(tǒng)共同工作，構造集群的目的是為了提高系統(tǒng)的可靠性和規(guī)模的可擴展性。集群的核心技術就是構造負載監(jiān)視器和實現(xiàn)任務分配策略的算法，負載監(jiān)視器負責監(jiān)視集群系統(tǒng)中的各臺機器的當前負載，任務分配策略根據(jù)各臺機器的當前負載進行任務分配并在各臺機器之間進行負載均衡。

集群及負載均衡控制模塊采用在集群的各個主機上安裝監(jiān)視本機CPU負載的Agent的方式，Agent可獲得當前系統(tǒng)的CPU負載。這些Agent和數(shù)據(jù)接收機上的負載監(jiān)控程序采用CORBA進行通信，負載監(jiān)控程序可實時監(jiān)控到各臺機器的當前負載。集群的負載均衡策略可采用加權最小負載法，即有新的任務提交的情況下選用加權最小負載（=當前負載/處理能力）的處理機為新數(shù)據(jù)包的處理者。同時，由于網(wǎng)絡流量的增長速度已遠遠高于處理器處理能力的增長速度，使用負載均衡算法來應付大流量內(nèi)容審計是必須的，但現(xiàn)有的分流技術仍存在不足，尚不能實現(xiàn)真正的負載均衡，仍需進一步完善數(shù)據(jù)負載均衡算法。

六、結束語

本文針對網(wǎng)絡環(huán)境下的信息內(nèi)容安全性問題和當前網(wǎng)絡信息內(nèi)容審計產(chǎn)品的不足，結合網(wǎng)絡信息內(nèi)容審計技術的發(fā)展趨勢，研究并構建了一種可對網(wǎng)絡信息流進行全面有效檢測與審計的網(wǎng)絡信息內(nèi)容審計系統(tǒng)，以確保網(wǎng)絡信息安全可靠的傳輸。☉

[1]陳國龍,陳火旺,康仲生.基于內(nèi)容的網(wǎng)絡信息安全審計中的匹配算法研究[J].小型微型計算機系統(tǒng),2004,25(9):1676-1679.

[2]趙曉明,張新霞.基于網(wǎng)絡信息安全內(nèi)容審計系統(tǒng)及相關技術研究[J].航空計算技術,2006,36(5):127-130.

[3]萬國根,秦志光,劉錦德.高速網(wǎng)絡環(huán)境下內(nèi)容審計系統(tǒng)的研究與實現(xiàn)[J].計算機科學,2003,30(12):59-61.

[4]孫欽東,管曉宏,周亞東.網(wǎng)絡信息內(nèi)容審計研究的現(xiàn)狀及趨勢[J].計算機研究與發(fā)展,2009,46(8):1241-1250.

[5]朱瑞,趙亮.基于內(nèi)容的網(wǎng)絡安全信息審計系統(tǒng)研究[J].電力信息化,2008,6(11):36-39.

[6]張曉彤,張德運,高鵬.基于內(nèi)容的實時網(wǎng)絡信息審計系統(tǒng)[J].計算機應用研究,2004(10):215-216.

[7]李慧君,李建民,徐鷹.分布式網(wǎng)絡內(nèi)容監(jiān)控審計系統(tǒng)的設計與實現(xiàn)[J].華中科技大學學報（自然科學版）,2003,10(31)增刊:196-198.

（編輯：隗爽）

TP393.08

A

1673-8454（2011）01-0043-03