【摘要】本文主要探討了分布式網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)的設(shè)計(jì)問(wèn)題，針對(duì)分布式網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)設(shè)計(jì)的要點(diǎn)進(jìn)行了探討。同時(shí)，本文還論述了分布式網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)應(yīng)該如何來(lái)實(shí)現(xiàn)，以期能夠?yàn)榉植际骄W(wǎng)絡(luò)行為監(jiān)控系統(tǒng)的應(yīng)用提供參考。

【關(guān)鍵詞】網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)；設(shè)計(jì)；實(shí)現(xiàn)

一、前言

在分布式網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)的構(gòu)建和應(yīng)用過(guò)程中，需要重點(diǎn)解決設(shè)計(jì)和應(yīng)用的相關(guān)問(wèn)題，針對(duì)設(shè)計(jì)問(wèn)題，提出一些有效的設(shè)計(jì)的有效對(duì)策，在實(shí)現(xiàn)的過(guò)程中，要更加明確分布式網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)實(shí)現(xiàn)的途徑。

二、原型系統(tǒng)的研究與實(shí)現(xiàn)

1.系統(tǒng)框架設(shè)計(jì)

系統(tǒng)的框架模型按照IvIDA（ModelDriven-Architec-ture，簡(jiǎn)稱MDA）的相關(guān)方法進(jìn)行設(shè)計(jì)，從系統(tǒng)和平臺(tái)相關(guān)視圖兩個(gè)角度給出了系統(tǒng)的模型描述。系統(tǒng)的工作流程就是一個(gè)依據(jù)各層協(xié)議對(duì)網(wǎng)絡(luò)報(bào)文進(jìn)行分析處理并從中提取有用信息的、自底向上的處理過(guò)程。

系統(tǒng)在Windows平臺(tái)的實(shí)現(xiàn)采用了基于c/s模型的分布式軟件架構(gòu)，主要包括監(jiān)控代理（MonitorAgent）和中心控制臺(tái)（Monitor-Console）兩部分。監(jiān)控代理實(shí)現(xiàn)了報(bào)文捕獲引擎和報(bào)文協(xié)議分析引擎，并向控制臺(tái)報(bào)告XML描述的行為事件，監(jiān)控代理部署于監(jiān)控目標(biāo)的網(wǎng)段內(nèi)；控制臺(tái)主要通過(guò)協(xié)議有限狀態(tài)機(jī)完成網(wǎng)絡(luò)行為的分析和顯示、主機(jī)和網(wǎng)絡(luò)信息的提取，以及各種報(bào)表的顯示、分析和生成等。

將系統(tǒng)分為這兩個(gè)部分主要有兩個(gè)原因：一是便于實(shí)現(xiàn)分布式的網(wǎng)絡(luò)監(jiān)控，將多個(gè)Agent部署在相應(yīng)的監(jiān)控目標(biāo)網(wǎng)段內(nèi)，可以捕獲到Console收不到的報(bào)文，使得系統(tǒng)可以適應(yīng)復(fù)雜的網(wǎng)絡(luò)拓?fù)洵h(huán)境；二是可利用多個(gè)Agent實(shí)現(xiàn)報(bào)文分析的負(fù)載平衡，提高報(bào)文協(xié)議分析的效率，以便監(jiān)控更大規(guī)模和更高帶寬的網(wǎng)絡(luò)。

2.系統(tǒng)功能簡(jiǎn)介

通過(guò)報(bào)文捕獲、解析與網(wǎng)絡(luò)行為分析，原型系統(tǒng)主要實(shí)現(xiàn)了以下功能：

（1）網(wǎng)絡(luò)報(bào)文捕獲。

（2）報(bào)文協(xié)議分析。

（3）網(wǎng)絡(luò)行為分析。

（4）此外，系統(tǒng)還實(shí)現(xiàn)了網(wǎng)絡(luò)和主機(jī)信息的分析、TCP會(huì)話重放、報(bào)表統(tǒng)計(jì)與策略管理等功能。

三、關(guān)鍵技術(shù)

1.監(jiān)聽與識(shí)別數(shù)據(jù)包

網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控系統(tǒng)是通過(guò)對(duì)網(wǎng)卡編程實(shí)現(xiàn)網(wǎng)絡(luò)通訊，對(duì)網(wǎng)卡的編程是使用套接字方式來(lái)進(jìn)行。但是，通常的套接字程序只能響應(yīng)與自己硬件地址相匹配的或是以廣播形式發(fā)出的數(shù)據(jù)幀，對(duì)于其他形式的數(shù)據(jù)幀，網(wǎng)絡(luò)接口在驗(yàn)證投遞地址并非自身地址之后將不引起響應(yīng)，也就是說(shuō)應(yīng)用程序無(wú)法收取到達(dá)的數(shù)據(jù)包。網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控系統(tǒng)的首要任務(wù)恰恰是從網(wǎng)卡接收所有經(jīng)過(guò)它的數(shù)據(jù)包，這些數(shù)據(jù)包既可以是發(fā)給它的也可以發(fā)往別處。顯然，要達(dá)到此目的，網(wǎng)卡不能按正常的模式工作，而必須將其設(shè)置為混雜模式。

編程實(shí)現(xiàn)時(shí)，這種對(duì)網(wǎng)卡混雜模式的設(shè)置是通過(guò)原始套接字實(shí)現(xiàn)，這也有別于通常使用的數(shù)據(jù)流套接字和數(shù)據(jù)報(bào)套接字。在創(chuàng)建原始套接字后，需要通過(guò)setsockopt（）函數(shù)來(lái)設(shè)置IP頭操作選項(xiàng)，然后再通過(guò)bind（）函數(shù)將原始套接字綁定到本地網(wǎng)卡。為了讓原始套接字能接受所有的數(shù)據(jù)，還需要通過(guò)ioctlsocket（）來(lái)進(jìn)行設(shè)置，而且還可以指定是否親自處理1P頭。至此，在完成了網(wǎng)卡模式的初始化設(shè)置后，就可以開始對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行實(shí)時(shí)監(jiān)聽。對(duì)數(shù)據(jù)包的獲取仍像流式套接字或數(shù)據(jù)報(bào)套接字那樣通過(guò)recv（）函數(shù)來(lái)完成，但是與這兩種套接字不同的是，原始套接字此時(shí)捕獲到的數(shù)據(jù)包并不僅僅是單純的數(shù)據(jù)信息，而是包含有IP頭、TCP頭等信息頭的最原始的數(shù)據(jù)信息，這些信息保留了它在網(wǎng)絡(luò)傳輸時(shí)的原貌。通過(guò)對(duì)這些在低層傳輸?shù)脑夹畔⒌姆治鼍涂梢缘玫接嘘P(guān)網(wǎng)絡(luò)的一些信息。由于這些數(shù)據(jù)經(jīng)過(guò)網(wǎng)絡(luò)層和傳輸層的打包，因此需要根據(jù)其附加的幀頭對(duì)數(shù)據(jù)包進(jìn)行分析。根據(jù)系統(tǒng)的設(shè)計(jì)思路，就可以寫出網(wǎng)絡(luò)實(shí)時(shí)監(jiān)聽和識(shí)別數(shù)據(jù)包功能的實(shí)現(xiàn)代碼。在編程時(shí)，將原始套接字設(shè)置完畢后，就可以通過(guò)recv（）函數(shù)從網(wǎng)卡接收數(shù)據(jù)。接收到的原始數(shù)據(jù)包存放在緩存區(qū)中，然后就可以根據(jù)前面對(duì)IP數(shù)據(jù)包、TCP數(shù)據(jù)包、UDP數(shù)據(jù)包等數(shù)據(jù)包的段頭結(jié)構(gòu)描述而對(duì)捕獲的數(shù)據(jù)包進(jìn)行分析。

2.分析數(shù)據(jù)包

監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包是網(wǎng)絡(luò)行為實(shí)時(shí)監(jiān)控系統(tǒng)的基礎(chǔ)，分析監(jiān)聽到的數(shù)據(jù)包則是系統(tǒng)的關(guān)鍵環(huán)節(jié)。發(fā)現(xiàn)任何網(wǎng)絡(luò)異常行為，采取相應(yīng)的處理措施，都要依據(jù)數(shù)據(jù)包的分析結(jié)果進(jìn)行。

分析數(shù)據(jù)包的工作包括跟蹤用戶、鎖定用戶正在使用的1P、記錄登錄網(wǎng)頁(yè)網(wǎng)址和網(wǎng)頁(yè)內(nèi)容還原。跟蹤用戶是隨時(shí)從數(shù)據(jù)包中查詢用戶是否上網(wǎng)的信息。如果從數(shù)據(jù)包搜索到有關(guān)用戶名和用戶密碼的信息，則將用戶添加到列表。在搜索數(shù)據(jù)包的數(shù)據(jù)段，查找用戶名時(shí)，我們采用掃描效率較高的Boyer—Moore串匹配算法。該算法以自右至左的方式掃描模式和正文，一旦發(fā)現(xiàn)正文中出現(xiàn)模式中沒(méi)有的字符，就將模式、正文大幅度的“滑過(guò)”一段距離，使字符串的查找極大提高了效率。

獲得了用戶信息意味著同時(shí)也獲得了分配給用戶的IP，于是就鎖定了用戶當(dāng)前的IP地址。根據(jù)IP數(shù)據(jù)包的源地址或目的地址，將可以將數(shù)據(jù)包與用戶接收和發(fā)送的數(shù)據(jù)對(duì)應(yīng)上。如果只想對(duì)IP進(jìn)行跟蹤，不想了解用戶名，可以省略查找用戶名的工作，只記錄IP的情況。IP地址與用戶對(duì)應(yīng)上后，對(duì)用該IP登錄的任何網(wǎng)站的網(wǎng)址都能記錄下來(lái)，這些網(wǎng)址就是用戶登錄網(wǎng)站的記錄。系統(tǒng)查找網(wǎng)址時(shí)，也采用Boyer—Moore串匹配算法，具體實(shí)現(xiàn)類似于查找用戶名。

四、主機(jī)監(jiān)控端實(shí)現(xiàn)關(guān)鍵技術(shù)

DNBM按照三層過(guò)濾的規(guī)劃.劃分為內(nèi)容過(guò)濾、應(yīng)用過(guò)濾、數(shù)據(jù)包過(guò)濾。數(shù)據(jù)包要經(jīng)過(guò)層層的過(guò)濾最終才能完成傳輸。三層過(guò)濾之間的關(guān)系如圖2所示。

1.內(nèi)容過(guò)濾

該層的策略只給出了用戶可以訪問(wèn)的Web站點(diǎn)，沒(méi)有給出的站點(diǎn)，都是不允許用戶訪問(wèn)的站點(diǎn)。

將服務(wù)提供者接口的幾個(gè)關(guān)鍵函數(shù)替換為自己的函數(shù)，其中包括：WSASOCKET、WSASEND、WSASENDT0、WSARECV、WSARECVFR0M、WSAC0N.NECT等。只要是通過(guò)套接字方式進(jìn)行網(wǎng)絡(luò)通信的數(shù)據(jù)都能被攔截到，但是對(duì)于直接通過(guò)tcp.sys，udp.sys進(jìn)行通信的數(shù)據(jù)該層是攔截不到的。在WSACONNECT函數(shù)中.可以通過(guò)遠(yuǎn)程端口號(hào)對(duì)套接字的協(xié)議類型進(jìn)行設(shè)置，協(xié)議類型包括H，丌、POP3、SMTP等。這樣根據(jù)協(xié)議類型。在WSASEND、WSASENDTO、WSARECV、WSARECVFR0M函數(shù)就可以解析該協(xié)議數(shù)據(jù)，提取關(guān)鍵字。在提取完關(guān)鍵字之后.需要按照策略對(duì)關(guān)鍵字進(jìn)行過(guò)濾.并且記錄下來(lái)作為日志。

關(guān)于關(guān)鍵字的提取.以上各個(gè)協(xié)議都是明文協(xié)議。例如。通過(guò)在HTTR數(shù)據(jù)包查找“HOST”字符串。就能得到網(wǎng)站名稱。通過(guò)在SMTP數(shù)據(jù)包中查找“Subject：”字符串，就可以得到郵件主題。查找“From：”字符串，可以得到發(fā)信人地址。查找“To”字符串。可以得到收信人地址。對(duì)于POP3協(xié)議也同樣適用。

2.應(yīng)用過(guò)濾

在本層只有策略中給出的進(jìn)程才是允許訪問(wèn)網(wǎng)絡(luò)的進(jìn)程，沒(méi)有允許的就是禁止的。同時(shí)為了防止嵌入在系統(tǒng)進(jìn)程中的嵌入式木馬，將系統(tǒng)進(jìn)程與端口綁定。比如windows2000中的services系統(tǒng)進(jìn)程.該進(jìn)程完成DNS地址解析等功能，通過(guò)53號(hào)端I=l訪問(wèn)DNS服務(wù)器.那么只有通過(guò)53號(hào)端口發(fā)送出去的數(shù)據(jù)是合法的數(shù)據(jù)。

在TDI驅(qū)動(dòng)層中，一個(gè)進(jìn)程要訪問(wèn)網(wǎng)絡(luò)，必須首先發(fā)送MajorFunction為IRPMJ_CREATE的IRP創(chuàng)建一個(gè)代表傳輸?shù)刂返奈募?duì)象。如果一個(gè)進(jìn)程無(wú)法創(chuàng)建代表傳輸?shù)刂返奈募?duì)象，就無(wú)法訪問(wèn)網(wǎng)絡(luò)的任何后續(xù)操作。因此，拒絕一個(gè)進(jìn)程創(chuàng)建傳輸?shù)刂肺募?duì)象的請(qǐng)求就可以達(dá)到拒絕該進(jìn)程所有網(wǎng)絡(luò)請(qǐng)求的目的。創(chuàng)建傳輸?shù)刂肺募?duì)象的請(qǐng)求中提供了要求創(chuàng)建的地址信息，些信息包括進(jìn)程要求使用的本地端口號(hào)。是否應(yīng)該拒絕某進(jìn)程創(chuàng)建傳輸?shù)刂肺募?duì)象的請(qǐng)求是通過(guò)調(diào)用訪問(wèn)控制模塊函數(shù)確定的。

五、結(jié)束語(yǔ)

總而言之，分布式網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)的設(shè)計(jì)和應(yīng)用過(guò)程中，需要清楚的知道分布式網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)的特點(diǎn)和各個(gè)要素的主要流程，不斷提升分布式網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)的性能。

參考文獻(xiàn)

[1]溫研，王懷民，胡華平.分布式網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與科學(xué)，2011，10：13-16.

[2]程文芳，王世倫，任繼念.基于CORBA的分布式網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)的研究與設(shè)計(jì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012，04：49-51.

[3]張信杰，王旭仁，吳剛.分布式網(wǎng)絡(luò)監(jiān)控系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2010，17：37.