?

探析局域網(wǎng)安全行為監(jiān)控系統(tǒng)的設計

黃一茗

（中國人民銀行九江中心支行，江西九江，332000）

0　引言

中國互聯(lián)網(wǎng)信息中心（CINICC）在2012年1月發(fā)布了第29次互聯(lián)網(wǎng)發(fā)展報告，在報告中我們可以清晰看到，在2011年底，中國網(wǎng)民已經(jīng)突破5億，在2015年發(fā)布了第32次互聯(lián)網(wǎng)發(fā)展報告，截止到2014年底，網(wǎng)民的數(shù)量突破到8億人，網(wǎng)站規(guī)模大大增多，高達553.2萬，同期增長了15%。

伴隨信息化的飛速發(fā)展，電腦技術(shù)的不斷普及，地球悄然之間成為了地球村，連接距離的紐帶就是計算機網(wǎng)絡。隨著計算機技術(shù)的不斷提高，單位往往會組建屬于單位自身內(nèi)部的局域網(wǎng)，防止信息泄露，同時復雜的網(wǎng)絡給予我們廣大網(wǎng)民各種各種的便利，首先可以娛樂休閑；其次可以幫助人們學習和工作；第三方便人們進行交流以及滿足各種日常需求，權(quán)威部門調(diào)研發(fā)現(xiàn)中國人在網(wǎng)絡上花費的時間比其他國家的人每周多出7.6個小時，這樣往往容易導致病毒的攻擊，因此只有不斷網(wǎng)絡的發(fā)展和安全行為監(jiān)控的不斷創(chuàng)新才能保證信息的不泄露和局域網(wǎng)的高速發(fā)展。

圖1　活動主機發(fā)現(xiàn)

1　局域網(wǎng)相關理論技術(shù)研究分析

1.1監(jiān)控系統(tǒng)實現(xiàn)前提

對于如何對局域網(wǎng)進行有效的行為監(jiān)控主要在于對主機的監(jiān)控，一般利用適配器以及主機信息列表來監(jiān)控，借助于網(wǎng)絡數(shù)據(jù)包的捕獲對數(shù)據(jù)進行系統(tǒng)有效的分析，依據(jù)分析結(jié)果來進行不同模塊的處理。

1.1.1獲取網(wǎng)絡適配器信息

Winpcap是在Win32平臺上建立起來用來捕獲數(shù)據(jù)包并系統(tǒng)分析和檢測的數(shù)據(jù)庫，Winpcap具有捕獲、過濾、發(fā)出和回收四個部分組成，這些功能能夠?qū)崿F(xiàn)的基礎就是Win32內(nèi)核中的驅(qū)動程序通過DLL來實現(xiàn)，從而方便及時地獲得適配器上面的信息，Winpcap提供了實現(xiàn)函數(shù)的功能，形成一個鏈表。

1.1.2獲取活動主機列表

如圖1所示，主要展示了活動主題的具體發(fā)現(xiàn)操作流程，通過ARP響應包來評判攻擊者是否發(fā)現(xiàn)主機與否。

1.1.3局域網(wǎng)監(jiān)控原理

網(wǎng)絡行為監(jiān)控能幫助我們捕獲數(shù)據(jù)包信息，通過對數(shù)據(jù)的系統(tǒng)詳細分析，對數(shù)據(jù)進行進一步的過濾并轉(zhuǎn)發(fā)。以此來進行及時的數(shù)據(jù)傳輸，本文主要通過網(wǎng)絡監(jiān)聽方式對ARP的欺騙模式進行網(wǎng)絡監(jiān)控。

所謂的ARP 欺騙原理：，就是運用TCP/IP 協(xié)議的主機來實現(xiàn)IP和MAC之間的一一對應的映射關系，當不能實現(xiàn)映射關系時，偽裝的數(shù)據(jù)包就會對主機進行攻擊，最終幫助攻擊者獲取傳輸中的所有數(shù)據(jù)。

1.1.4網(wǎng)絡協(xié)議分析

TCP/IP 有很多形式，一般的網(wǎng)絡協(xié)議按照層次來進行一定程度的開發(fā)，并且每一次其所具有的完全不同的通訊功能，因此一般把TCP/IP 分為鏈路、網(wǎng)絡、運輸和應用四個層次，其所負責的功能各不相同，鏈路主要負責物理接口方面；網(wǎng)絡主要負責分組活動；運輸主要負責端到端的通信；應用主要負責特定程序的應用。

1.2垃圾郵件識別與過濾

1.2.1基于 IP 地址的過濾算法

在網(wǎng)絡中常用于過濾IP地址的處理方法主要是依據(jù)郵件發(fā)送者的服務器地址來確定是否是屬于垃圾郵件，并提醒使用者進行數(shù)據(jù)清理，如果發(fā)現(xiàn)大量的郵件來自同一個IP地址，那么則需要過濾掉這個IP地址，從而達到防御的目的。

圖2　TCP/IP 協(xié)議族中不同層次的協(xié)議

1.2.2基于郵件特定項過濾算法

運用特定項進行過濾在當前是一種比較科學和成熟的技術(shù)，數(shù)據(jù)庫并不是單純從郵件的發(fā)布IP來封殺過濾，而是有一套程序，一般首先要采用的就是確定郵箱中的郵件是否合法，合法的確定為白名單，不合法的確定為黑名單，從而對于不匹配的網(wǎng)絡郵件則堅決過濾，但是事先需要做好兩份數(shù)據(jù)表，并且在運行過程中要不斷更新和完善。

1.2.3基于貝葉斯算法的內(nèi)容過濾技術(shù)

通過貝葉斯算法來進行郵件內(nèi)容的過濾，首先需要進行大量的數(shù)據(jù)推理作為其基礎，因此這種方法得到大家的一致認可，并且廣泛得到應用，這種算法只有在計算機時代才能真正得到足夠的重視。通常情況下，人們發(fā)現(xiàn)，很多統(tǒng)計量是事先不能進行有效的判定，此時運用貝葉斯算法能很大程度上處理大量不需要的數(shù)據(jù)信息，得出對自己有效的數(shù)據(jù)信息。

貝葉斯算法的過濾有其獨特之處，主要運用概率方法來對垃圾郵箱進行后驗概率，這項功能需呀的前提就是需要大量的正常和非正常兩者之間的一次對決。尤其是貝葉斯算法對于條件概率更有優(yōu)勢，優(yōu)點更加凸顯。

3　系統(tǒng)總體框架設計

3.1系統(tǒng)總體設計

3.1.1系統(tǒng)目標

系統(tǒng)目標包括五個方面，分別是功能全面性、易用性、安全性、可靠和穩(wěn)定性、可擴展性。

（1）功能全面性

系統(tǒng)初步實現(xiàn)了對網(wǎng)頁訪問、垃圾郵箱、異常流量三個方面的控制，包含的功能十分齊全，運用價值更高，基本上解決了局域網(wǎng)安全和管理的絕大部分問題。

表1　垃圾郵件集名單

表2　正常郵件集名單

（2）易用性

系統(tǒng)本身所面對的客戶群是普通用戶，這是完全為普通用戶開發(fā)的，在計算機應用能力上有所欠缺，雖然操作簡單，功能簡便易懂，不需要再多安裝多余的，使用價值不高的客戶端和服務端。

（3）安全性

系統(tǒng)要求監(jiān)控過程不能影響局域網(wǎng)正常運轉(zhuǎn)，能運用防火墻和殺毒軟件兩種方法來抵御病毒入侵。本系統(tǒng)的管理局域網(wǎng)對于安全性的要求特別高，保持高安全性，是在最初的開發(fā)設計過程中所必須面臨的重大課題。

（4）可靠性和健壯性

局域網(wǎng)可以長期不間斷的安全工作，并且對于局域網(wǎng)本身具有很強的存儲能力，能應對今后不斷增加的數(shù)據(jù)流。

（5）可擴展性

每一個系統(tǒng)本身是一個獨立的整體。局域網(wǎng)要求接口必須是獨立的，只有維持好的銜接性，才能最終在后期擴展中充分利用其所具有的功能，方便我們今后的工作。

3.2系統(tǒng)總體框圖

圖3　系統(tǒng)總體框架圖

安全行為監(jiān)控系統(tǒng)總體分為七大部分：主機網(wǎng)絡適配器信息獲取，數(shù)據(jù)包捕獲，數(shù)據(jù)包協(xié)議分析，ARP 欺騙，網(wǎng)絡活動主機發(fā)現(xiàn)，數(shù)據(jù)庫訪問以及安全行為監(jiān)控模塊。

但是七個部分之間的關系存在一定的銜接性，并且具有不同的層次上，具有良好的互補性。因為控制主機就可實現(xiàn)對被控主機數(shù)據(jù)包的提取和分析。

3.3數(shù)據(jù)庫表設計

3.3.1垃圾郵件過濾特征項表（表1）

3.3.2正常郵件特征項表（表2）

3.3.3網(wǎng)卡信息表（表3）

參考文獻

[1] Thomas M.Chen and Victoria Wang.Web Filtering and Censoring.IEEE Computer Society,0018-9162, 2010.

[2] Chunying Kang.DOM-based Web Pages to Determine theStructure of the Similarity Algorithm.Third International Symposium on Intelligent Information Technology Application,2009.

[3] Masahiro Uemura,Toshihiro Tabata.Design and Evaluation of a Bayesian-filter-based Image Spam Filtering Method.International Conferece on Information Security and Assurance.ISA 2008.

[4] 周鴻.基于WEB的校園網(wǎng)運行監(jiān)控平臺設計與實現(xiàn):[D].西南交通大學, 2007.

[5] 田李.面向網(wǎng)絡安全監(jiān)控的數(shù)據(jù)流關鍵技術(shù)研究:[D].國防科技大學, 2008.

[6] 張衛(wèi)華.網(wǎng)絡行為監(jiān)控系統(tǒng)的設計與實現(xiàn):[D].電子科技大學, 2010.

[7] 鄒雄杰.基于Winpcap的局域網(wǎng)監(jiān)控系統(tǒng)的設計與實現(xiàn): [D].西安理工大學, 2010.

[8] 李中原.基于向量空間模型的網(wǎng)頁過濾研究: [D].北京化工大學,2010.

[9] 劉娟、呂建敏、杜海燕.基于DSP和局域網(wǎng)的醫(yī)療護理監(jiān)控系統(tǒng)的設計：[J].電子測試，2014（10）

[10] 李士召、張麗、吳明.供電企業(yè)局域網(wǎng)安全管理與優(yōu)化分析：[J].通訊世界，2015（2）

黃一茗（1989—），女，漢族，江西省撫州市人，學士，研究方向：計算機科學與技術(shù)。

表3　網(wǎng)卡信息表

摘要：信息化建設已經(jīng)成為當前社會發(fā)展的重中之重，同時也是日常工作中不可或缺的一部分。伴隨信息化的快速發(fā)展，局域網(wǎng)成為其重要的組成部分，給予廣大人們提供便利的同時，信息化安全問題和管理問題成為人們關心的焦點，因此需要我們對局域網(wǎng)中的各種風險進行實時監(jiān)控，并及時進行調(diào)整，保證局域網(wǎng)健康有序運行。本文主要從局域網(wǎng)的安全和管理兩個方面來進行探討，尋找問題的根源，以便能找出并設計出局域網(wǎng)安全行為的監(jiān)控系統(tǒng)，提出自己的建議和意見，希望對于后續(xù)研究相關問題的專家學者有所幫助。

關鍵詞：局域網(wǎng)；安全行為；監(jiān)控系統(tǒng)；設計；行為監(jiān)控

The design of monitor system for LAN security behavior

Huang Yiming

（The people's Bank of Jiujiang Center branch Jiangxi Jiujiang Chinese，332000)

Abstract：Information construction has become a priority among priorities of the social development,at the same time,and it is also an integral part of daily work.With the rapid development of information technology,network has become an important part of it,to provide convenience to the majority of people, information security and management issues become the focus of concern,so we need to conduct real-time monitoring of the various risks in the LAN,and adjust in time,to ensure the healthy and orderly operation of lan. This article mainly from the two aspects of LAN security and management were discussed,find the source of the problem,in order to find out and design a monitoring system for LAN security behavior,put forward their suggestions and opinions,hope that the experts for the issues related to the follow-up study help.

Keywords：LAN security behavior monitoring and control system design

作者簡介