?

基于探針技術(shù)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)*

0引言

【研究意義】隨著網(wǎng)絡(luò)和信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)信息系統(tǒng)基礎(chǔ)性作用日益加強(qiáng)。人們?cè)谙硎芫W(wǎng)絡(luò)帶來便捷的同時(shí)，也受到各種威脅，如病毒、黑客、信息泄露等,而且網(wǎng)絡(luò)攻擊手段日益復(fù)雜。為更有效地保護(hù)網(wǎng)絡(luò)安全，必需有一套網(wǎng)絡(luò)安全整體解決方案，通常在網(wǎng)絡(luò)入口增設(shè)硬件防火墻、信息捕獲系統(tǒng)、入侵檢測(cè)系統(tǒng)(IDS)、安全審計(jì)系統(tǒng)等。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是網(wǎng)絡(luò)安全體系中的一個(gè)重要環(huán)節(jié)，一般處在入侵檢測(cè)系統(tǒng)之后，作為對(duì)防火墻系統(tǒng)和入侵檢測(cè)系統(tǒng)的一個(gè)補(bǔ)充。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的研究對(duì)增強(qiáng)網(wǎng)絡(luò)安全防范能力，促進(jìn)網(wǎng)絡(luò)系統(tǒng)的健康發(fā)展有著重要的意義?！厩叭搜芯窟M(jìn)展】目前，北美市場(chǎng)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)技術(shù)發(fā)展比較成熟，最著名的產(chǎn)品是SurfControl。國(guó)內(nèi)產(chǎn)品開發(fā)起步較晚，良莠不齊，主要有綠盟、啟明星辰、網(wǎng)絡(luò)督察、任子行等。由于以前的網(wǎng)絡(luò)帶寬較小，國(guó)內(nèi)廠商的審計(jì)系統(tǒng)一般都是在單臺(tái)設(shè)備上完成所有的任務(wù)?！颈狙芯壳腥朦c(diǎn)】隨著網(wǎng)絡(luò)帶寬的增大，單臺(tái)設(shè)備很難處理較大網(wǎng)絡(luò)帶寬的數(shù)據(jù)，審計(jì)系統(tǒng)開始暴露出設(shè)計(jì)上的問題，比如傳統(tǒng)的libpcap捕包機(jī)制效率太低，審計(jì)系統(tǒng)不支持分布式和多級(jí)部署等等?！緮M解決的關(guān)鍵問題】針對(duì)傳統(tǒng)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)存在的問題，本系統(tǒng)通過探針(sniffer)專門負(fù)責(zé)數(shù)據(jù)的采集和實(shí)時(shí)業(yè)務(wù)的處理，用零copy技術(shù)提高捕包效率，綜合C/S和B/S系統(tǒng)架構(gòu)的優(yōu)點(diǎn)實(shí)現(xiàn)安全審計(jì)系統(tǒng)分布式和多級(jí)部署管理，從而提高安全審計(jì)系統(tǒng)的審計(jì)效率和系統(tǒng)開發(fā)效率。

1網(wǎng)絡(luò)安全審計(jì)系統(tǒng)分析

網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是一種基于網(wǎng)絡(luò)資源審計(jì)、封鎖和網(wǎng)絡(luò)信息流的數(shù)據(jù)采集、分析、識(shí)別的系統(tǒng)軟件[1]。根據(jù)用戶設(shè)定的安全策略，通過實(shí)時(shí)審計(jì)訪問記錄和網(wǎng)絡(luò)數(shù)據(jù)流，確保網(wǎng)絡(luò)數(shù)據(jù)的完整性、可用性和保密性，防止無意或蓄意的網(wǎng)絡(luò)行為，及時(shí)發(fā)現(xiàn)和防范互聯(lián)網(wǎng)犯罪活動(dòng)。

1.1功能需求

網(wǎng)絡(luò)安全審計(jì)系統(tǒng)在不影響網(wǎng)絡(luò)自身的前提下，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行全面分析和審計(jì)，幫助用戶了解網(wǎng)絡(luò)使用狀況，發(fā)現(xiàn)違規(guī)網(wǎng)絡(luò)行為并備案。這就要求系統(tǒng)具備以下主要功能：(1)細(xì)粒度的網(wǎng)絡(luò)內(nèi)容審計(jì)。系統(tǒng)能夠?qū)W(wǎng)站訪問、數(shù)據(jù)庫訪問、遠(yuǎn)程訪問、郵件收發(fā)等關(guān)鍵信息進(jìn)行監(jiān)測(cè)和還原。(2)全面的網(wǎng)絡(luò)行為審計(jì)。系統(tǒng)要記錄局域網(wǎng)內(nèi)每臺(tái)電腦的上網(wǎng)行為，形成詳細(xì)并加密的網(wǎng)絡(luò)日志，以便事后進(jìn)行審計(jì)和分析。(3)強(qiáng)大的日志查詢與分析。系統(tǒng)要對(duì)各種協(xié)議網(wǎng)絡(luò)日志的組合進(jìn)行模糊查詢，可打印輸出PDF、EXCEL格式的文件。(4)能夠控制常用的影響工作效率或者占用帶寬較多的網(wǎng)絡(luò)應(yīng)用，如網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)聊天、股票軟件等。(5)靈活直觀的網(wǎng)絡(luò)訪問控制策略。管理員可以根據(jù)實(shí)際需要采用多種分組方式，設(shè)置有針對(duì)性的網(wǎng)絡(luò)控制策略，如對(duì)個(gè)別機(jī)器、個(gè)別組、全局的網(wǎng)絡(luò)控制策略設(shè)置，可以很好地滿足用戶對(duì)網(wǎng)絡(luò)使用的特殊控制需要。(6)支持集中管理、分級(jí)部署，滿足不同規(guī)模網(wǎng)絡(luò)的管理和應(yīng)用要求。

1.2關(guān)鍵技術(shù)

通過對(duì)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)和探針技術(shù)的分析可知，網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的主要功能包括捕獲、分析及封堵網(wǎng)絡(luò)數(shù)據(jù)包3個(gè)方面，實(shí)現(xiàn)這些功能的關(guān)鍵技術(shù)主要如下。

(1)數(shù)據(jù)包捕獲技術(shù)

目前比較高效、成熟的數(shù)據(jù)捕獲技術(shù)是零copy技術(shù)，該技術(shù)可使數(shù)據(jù)包在從網(wǎng)絡(luò)設(shè)備到用戶程序空間傳遞的過程中，減少系統(tǒng)調(diào)用和數(shù)據(jù)拷貝次數(shù)，降低CPU的負(fù)載。實(shí)現(xiàn)零copy的主要技術(shù)有DMA數(shù)據(jù)傳輸、緩沖區(qū)訪問同步以及內(nèi)存區(qū)域映射等[2]。

(2)協(xié)議分析技術(shù)

協(xié)議分析就是對(duì)探針采集到的數(shù)據(jù)依據(jù)TCP/IP協(xié)議規(guī)則從原始的數(shù)據(jù)包中解析出應(yīng)用層的數(shù)據(jù)，然后按照應(yīng)用層協(xié)議規(guī)則還原出真實(shí)的應(yīng)用層數(shù)據(jù)。而協(xié)議又分為常規(guī)和非常規(guī)協(xié)議，常規(guī)協(xié)議為標(biāo)準(zhǔn)化協(xié)議，一般遵循相關(guān)RFC文檔，非常規(guī)協(xié)議是非標(biāo)準(zhǔn)化的，一般由用戶自定義協(xié)議規(guī)則，如QQ使用的協(xié)議[3]。

(3)封堵技術(shù)

封堵是指把應(yīng)用軟件的正常通信打斷，阻止其正常通信。常用的封堵技術(shù)有基于IP 數(shù)據(jù)包偽裝的封堵、利用應(yīng)用層協(xié)議本身的規(guī)則來封堵、利用丟包來實(shí)現(xiàn)封堵等[4]。

1.3體系結(jié)構(gòu)的選擇

目前比較成熟的體系結(jié)構(gòu)有C/S結(jié)構(gòu)和B/S結(jié)構(gòu)。

C/S即客戶機(jī)/服務(wù)器(client/server)結(jié)構(gòu)通過將任務(wù)合理分配到client端和server端，充分利用兩端硬件環(huán)境的優(yōu)勢(shì)降低系統(tǒng)的通信開銷(圖1)。

圖1典型C/S模式系統(tǒng)結(jié)構(gòu)

Fig.1The model of a typical C/S system structure

B/S即瀏覽器/服務(wù)器(browser/server)結(jié)構(gòu)，是隨著Internet技術(shù)的興起，對(duì)C/S改進(jìn)的結(jié)構(gòu)。在此結(jié)構(gòu)下，用戶界面通過WWW瀏覽器實(shí)現(xiàn)，部分事務(wù)邏輯在前端實(shí)現(xiàn)，主要事務(wù)邏輯在服務(wù)器端實(shí)現(xiàn)。主要利用不斷成熟的WWW技術(shù)，結(jié)合瀏覽器的多種Script語言和AcitveX技術(shù)，實(shí)現(xiàn)原來需要復(fù)雜專用軟件才能實(shí)現(xiàn)的強(qiáng)大功能，是一種節(jié)約開發(fā)成本的全新的軟件系統(tǒng)構(gòu)造技術(shù)(圖2)。

圖2典型的B/S模式系統(tǒng)結(jié)構(gòu)

Fig.2The model of a typical B/S system structure

網(wǎng)絡(luò)安全審計(jì)系統(tǒng)通過探針實(shí)時(shí)數(shù)據(jù)采集，需具備處理大量網(wǎng)絡(luò)數(shù)據(jù)包的高性能和支持分布式部署，所以探針和服務(wù)器端應(yīng)采用C/S架構(gòu)。為了支持Internet的級(jí)聯(lián)部署并方便維護(hù)，應(yīng)采用B/S架構(gòu)。本系統(tǒng)充分考慮各應(yīng)用場(chǎng)合的最大效能，采用C/S和B/S相混合進(jìn)行體系架構(gòu)，通過兩種結(jié)構(gòu)的結(jié)合，充分發(fā)揮C/S和B/S結(jié)構(gòu)的優(yōu)勢(shì)，既充分考慮客戶的利益，也使系統(tǒng)更易維護(hù)，開發(fā)效率更高[5]。

2總體設(shè)計(jì)與實(shí)現(xiàn)

系統(tǒng)在邏輯上包括探針、服務(wù)器端兩部分，探針完成數(shù)據(jù)的采集工作，服務(wù)器端主要完成數(shù)據(jù)的處理和存儲(chǔ)。系統(tǒng)通過B/S架構(gòu)來滿足用戶需求，服務(wù)器端的邏輯處理采用目前流行的web service。從圖3可知，系統(tǒng)由用戶界面、服務(wù)器端和探針3部分構(gòu)成，而用戶界面是用戶應(yīng)用層需求，不同用戶有不同的行為需求，同一用戶在不同時(shí)間也有不同的行為需求，沒有固定的模式，不作詳細(xì)說明。下面只詳細(xì)描述探針和服務(wù)器的設(shè)計(jì)與實(shí)現(xiàn)。

2.1探針

探針是整個(gè)審計(jì)系統(tǒng)的數(shù)據(jù)來源，在系統(tǒng)中的作用至關(guān)重要，設(shè)計(jì)上要遵循穩(wěn)定、高效原則，并保證數(shù)據(jù)的完整性和還原的正確性。主要包括協(xié)議分析、命令處理、系統(tǒng)監(jiān)控、告警、數(shù)據(jù)傳輸、升級(jí)等進(jìn)程，主要進(jìn)程的功能設(shè)計(jì)和實(shí)現(xiàn)如下。

(1)協(xié)議分析進(jìn)程

從零copy驅(qū)動(dòng)獲取數(shù)據(jù)，調(diào)用協(xié)議分析模塊進(jìn)行分析。協(xié)議分析進(jìn)程的核心就是協(xié)議分析模塊，里面包含對(duì)業(yè)務(wù)數(shù)據(jù)的處理部分，是整個(gè)系統(tǒng)數(shù)據(jù)的來源。具體實(shí)現(xiàn)主要為采用C/C++語言開發(fā)，直接調(diào)用零copy模塊方法來解決進(jìn)程需要處理大量網(wǎng)絡(luò)數(shù)據(jù)包而要求很高穩(wěn)定性的問題；采用將每個(gè)協(xié)議分析模塊配置在一個(gè)配置文件中(pro_module.cfg)，根據(jù)配置文件進(jìn)行動(dòng)態(tài)加載協(xié)議分析模塊，解決不同應(yīng)用場(chǎng)景下需要的功能不同的問題。

(2)命令處理進(jìn)程

定時(shí)向服務(wù)器端web server 發(fā)請(qǐng)求，獲取待處理的命令，并進(jìn)行處理，返回處理結(jié)果。實(shí)現(xiàn)過程：采用現(xiàn)成的java開發(fā)包，使用HTTP協(xié)議的方式訪問web service，把探針的ID作為參數(shù)，獲取此探針待處理的命令。

(3)系統(tǒng)監(jiān)控進(jìn)程

負(fù)責(zé)監(jiān)控各個(gè)進(jìn)程的運(yùn)行和操作系統(tǒng)的資源情況等，并把異常記入日志，然后通過告警進(jìn)程將信息上報(bào)到服務(wù)器端。此進(jìn)程的功能相對(duì)簡(jiǎn)單，采用C/C++語言開發(fā)實(shí)現(xiàn)。

(4)告警進(jìn)程

將協(xié)議分析、系統(tǒng)監(jiān)控等進(jìn)程產(chǎn)生的告警數(shù)據(jù)上傳到數(shù)據(jù)庫中。采用直接和web server通信的方式，通過HTTP協(xié)議的POST 命令把數(shù)據(jù)發(fā)送給服務(wù)器端。

(5)數(shù)據(jù)傳輸進(jìn)程

數(shù)據(jù)傳輸進(jìn)程主要功能是從日志文件中讀取日志信息，然后封裝成約定的xml格式，再調(diào)用HTTP協(xié)議的POST方法把數(shù)據(jù)發(fā)送給服務(wù)器端。采用java開發(fā)和使用開源的HTTP協(xié)議通信包來實(shí)現(xiàn)。

圖3系統(tǒng)的總體設(shè)計(jì)

Fig.3The overall design of the system

2.2服務(wù)器端

服務(wù)器端包括多個(gè)web service，主要處理客戶端提交的數(shù)據(jù)并存儲(chǔ)，把數(shù)據(jù)信息展現(xiàn)給用戶[6]。每個(gè)web service 完成一項(xiàng)對(duì)應(yīng)功能，主要包括探針數(shù)據(jù)處理、探針命令處理、級(jí)聯(lián)業(yè)務(wù)處理等。

為實(shí)現(xiàn)級(jí)聯(lián)業(yè)務(wù)，采用B/S結(jié)構(gòu)來實(shí)現(xiàn)服務(wù)器端的架構(gòu)。服務(wù)器端使用HTTP協(xié)議進(jìn)行通信，對(duì)效率要求不是很高，為減小開發(fā)難度，提高開發(fā)效率，采用java開發(fā)實(shí)現(xiàn)。

2.2.1數(shù)據(jù)處理模塊

主要配合探針上的數(shù)據(jù)傳輸進(jìn)程，把探針提交的數(shù)據(jù)保存在本地，對(duì)于探針提交的日志信息，則解析后直接寫入數(shù)據(jù)庫中；對(duì)于探針提交的二進(jìn)制文件，則從HTTP協(xié)議的Boundary塊中解析出相關(guān)信息、內(nèi)容審計(jì)結(jié)果和二進(jìn)制文件，把相關(guān)信息、內(nèi)容審計(jì)結(jié)果記入數(shù)據(jù)庫，把二進(jìn)制文件解壓后寫入本地磁盤。

2.2.2命令處理模塊

主要配合探針端的命令處理進(jìn)程，來完成命令的下發(fā)和響應(yīng)。具體流程：根據(jù)請(qǐng)求探針的ID，到命令表中查詢對(duì)應(yīng)命令字ID，把命令內(nèi)容取出，封裝成約定好的xml格式，返回給探針；根據(jù)探針I(yè)D和命令字ID匹配及響應(yīng)的返回值，修改命令字表中對(duì)應(yīng)的字段。

2.3協(xié)議分析和封堵TCP鏈接技術(shù)

協(xié)議分析前要先了解相應(yīng)協(xié)議及原理，然后根據(jù)協(xié)議原理進(jìn)行解析。根據(jù)相關(guān)協(xié)議原理對(duì)數(shù)據(jù)包分析后，根據(jù)分析結(jié)果采取相應(yīng)的封堵技術(shù)來處理數(shù)據(jù)包。

基于IP 數(shù)據(jù)包偽裝的封堵技術(shù)的實(shí)現(xiàn)要點(diǎn)如下：

(1)封堵原則是從哪里來的數(shù)據(jù)包就把封堵包發(fā)向哪里。即捕獲的是客戶端發(fā)送到服務(wù)器端的數(shù)據(jù)包，則應(yīng)該向客戶端發(fā)送封堵包，反之亦然。

(2)封堵包中TCP頭部中的序號(hào)和確認(rèn)序號(hào)一定要計(jì)算正確。封堵包中的序號(hào)為原始包中的確認(rèn)序號(hào)，封堵包中的確認(rèn)序號(hào)為原始包中的序號(hào)加TCP數(shù)據(jù)體的長(zhǎng)度。

3實(shí)例驗(yàn)證

下面以SMTP的郵件發(fā)送為例，對(duì)系統(tǒng)進(jìn)行分析驗(yàn)證。SMTP協(xié)議對(duì)應(yīng)RFC821文檔[7]，應(yīng)根據(jù)這個(gè)文檔來實(shí)現(xiàn)SMTP分析過程。發(fā)送之前準(zhǔn)備好捕包的工具，本實(shí)例使用探針(sniffer)作為捕包工具。

首先在受控網(wǎng)絡(luò)中發(fā)送內(nèi)容為“收件人：wanghao00113715；主題：中秋快樂；郵件內(nèi)容：祝闔家歡樂?。话l(fā)送人：wanghao488；發(fā)送時(shí)間：2015-09-14?！钡泥]件。

SMTP郵件發(fā)送的服務(wù)器端和客戶端的交互過程及捕獲的數(shù)據(jù)包如圖4所示。

圖4SMTP服務(wù)器端和客戶端的交互過程

Fig.4SMTP server side and client interactions

在發(fā)送過程中，數(shù)據(jù)是經(jīng)過編碼的，常用的編碼方式為Base64和QP，本實(shí)例使用的編碼方式是Base64。從服務(wù)器回來的數(shù)據(jù)包前面的數(shù)字為返回碼，從RFC文檔中可知各個(gè)返回碼代表的含義，從而知道數(shù)據(jù)包返回的具體信息。本郵件的頭部為

Date:Mon,14 sep 2015 16:38:45 +0800

From:"wanghao488"

To:"wanghao00113715"

Subject:=?gb2312?B?1tDH77/swNY=?=

Message-ID:<201509151638417348041@sohu.com>

X-mailer:Foxmail6,10,201,20[cn]

Mime-Version:1.0

Content-Type:multipart/altermative;

.boundary="=====003_Dragon588281240662_====="

根據(jù)這些信息分析可知：

Date 表示發(fā)送的日期，值為2015/9/14

16:38:45 GMT+8時(shí)區(qū)，星期一 。

From 表示發(fā)件人，值為"wanghao488" wanghao488@sohu.com。

To 表示收件人，值為 "wanghao00113715" wanghao00113715@huawei.com。

Subject 表示郵件的標(biāo)題，“?gb2312?B?”則表示后面的數(shù)據(jù)為base64編碼，解碼后的漢字為gb2312標(biāo)準(zhǔn),通過解碼函數(shù)解碼后為“中秋快樂”。

Content-Type 為郵件體的類型，multipart為復(fù)合類型，altermative為其一個(gè)子類型。

正文被Contype-Type 中的boundary 分為幾個(gè)部分。每個(gè)部分又細(xì)分為頭和體部分。頭部分描述類型或者字符集等信息，根據(jù)這些信息解析體部分。每次分析的時(shí)候?qū)γ總€(gè)部分單獨(dú)分析。比如對(duì)下面部分進(jìn)行分析：

=====003_Dragon588281240662_=====

Content-Type:text/plain;

.charset="gb2312"

Contern-Transfer-Encoding:base64

DQrXo+PYvNK7tsDWo6ENCg0KDQoNCg0Kd2FuZ2Q40A0KMjAw0C0w0S0xNQ0K

=====003_Dragon588281240662_=====

Content-Type:text/plain;表示內(nèi)容為文本，charset="gb2312" 表示字符集為 gb2312，Content-Transfer-Encoding:base64 表示為base64編碼。把中間的內(nèi)容取出后進(jìn)行base64解碼，然后進(jìn)行字符集gb2312的轉(zhuǎn)換，得到內(nèi)容:

祝闔家歡樂！

Wanghao488

2015-09-14

通過SMTP郵件發(fā)送實(shí)例驗(yàn)證表明，基于探針技術(shù)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)能通過探針來實(shí)時(shí)采集通過本網(wǎng)絡(luò)的數(shù)據(jù)包，并對(duì)數(shù)據(jù)包按照約定的協(xié)議進(jìn)行分析，得出所采集的數(shù)據(jù)包的各項(xiàng)內(nèi)容，給網(wǎng)絡(luò)管理者提供具體的信息，對(duì)互聯(lián)網(wǎng)的各種行為提供有效的安全審計(jì)，對(duì)網(wǎng)絡(luò)安全的保障是有效的。

4結(jié)束語

針對(duì)傳統(tǒng)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)難以滿足人們?nèi)找嬖黾拥木W(wǎng)絡(luò)應(yīng)用需要的問題，本文提出一種新的基于探針技術(shù)的C/S和B/S混合架構(gòu)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，實(shí)例驗(yàn)證表明，該系統(tǒng)具有較強(qiáng)的安全防范性和可移植性，符合大規(guī)模網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)快速發(fā)展的需求。

由于網(wǎng)絡(luò)的應(yīng)用越來越普及，網(wǎng)絡(luò)活動(dòng)越來越復(fù)雜，網(wǎng)絡(luò)安全審計(jì)系統(tǒng)要不斷地研究與探索，本系統(tǒng)也要不停地進(jìn)行改進(jìn)，以滿足不斷變化的網(wǎng)絡(luò)安全審計(jì)需要。

參考文獻(xiàn)：

[1]段娟,辛陽,馬宇威. 基于Web應(yīng)用的安全日志審計(jì)系統(tǒng)研究與設(shè)計(jì)[J].信息網(wǎng)絡(luò)安全,2014,10:70-76.

DUAN J,XIN Y,MA Y W.Research and design of security audit log system based on web application[J]. Netinfo Security,2014,10:70-76.

[2]張素娟,馬軍. 零拷貝技術(shù)在網(wǎng)絡(luò)流量控制系統(tǒng)中的應(yīng)用[J]. 河北聯(lián)合大學(xué)學(xué)報(bào)：自然科學(xué)版,2013,35(3):81-84.

ZHANG S J,MA J.Application of zero-copy technology in network flow control system[J].Journal of Hebei United University：Natural Science Edition,2013,35(3):81-84.

[3]董日展. 基于協(xié)議分析的攻擊檢測(cè)技術(shù)的研究與實(shí)現(xiàn)[D].廣州:廣東工業(yè)大學(xué),2015.

DONG R Z.Research and Implementation of Attack Detection Technology Based on Protocol Analysis[D].Guangzhou:Guangdong University of Technology,2015.

[4]徐緩.網(wǎng)絡(luò)信息監(jiān)測(cè)與封堵技術(shù)的研究[D].南昌：南昌大學(xué),2007.

XU H.Research on Technology of Network Information Monitoring and Blockading[D].Nanchang：Nanchang University,2007.

[5]倪麗菊.基于B/S結(jié)構(gòu)與C/S結(jié)構(gòu)的混合體系結(jié)構(gòu)的研究[J].福建電腦,2010(9):124-125.

NI L J.Research on the hybrid architecture based on B/S structure and C/S structure mixed[J].Fujian Computer,2010(9):124-125.

[6]尹兆冰,王加陽. Web Service及其關(guān)鍵技術(shù)研究綜述[J].軟件導(dǎo)刊,2010(2):121-123.

YIN Z B,WANG J Y.Survey on Web service and its key technologies[J].Software Guide,2010(2):121-123.

[7]KLENSIN J. Simple Mail Transfer Protocol：

RFC2821：April 2001[S/OL].[2015-08-10].http://www.faqs.org/rfcs/rfc2821.html.

(責(zé)任編輯：陸雁)

Network Security Audit System Based on Sniffer Technology

李賢陽，陽建中

LI Xianyang，YANG Jianzhong

(欽州學(xué)院電子與信息工程學(xué)院，廣西欽州535000)

(College of Electronic and Information Engineering，Qinzhou University，Qinzhou，Guangxi，535000，China)

摘要：【目的】為適應(yīng)大規(guī)模網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)快速發(fā)展的需求,對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面深層次的審計(jì)分析，掌握網(wǎng)絡(luò)系統(tǒng)的安全狀況，增強(qiáng)安全防范能力?！痉椒ā坷锰结?sniffer)技術(shù)實(shí)時(shí)采集網(wǎng)絡(luò)數(shù)據(jù)包并進(jìn)行關(guān)聯(lián)分析，結(jié)合C/S和B/S模式架構(gòu)的優(yōu)點(diǎn)來實(shí)現(xiàn)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的設(shè)計(jì)?！窘Y(jié)果】基于探針技術(shù)的C/S和B/S混合架構(gòu)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)能對(duì)互聯(lián)網(wǎng)的各種行為提供有效的安全審計(jì)?！窘Y(jié)論】該系統(tǒng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的安全審計(jì)效果良好，有一定的實(shí)用價(jià)值。

關(guān)鍵詞：安全審計(jì)探針技術(shù)協(xié)議分析封堵

Abstract:【Objective】To meet the needs of large-scale network environment and the rapid development of the network,establish a comprehensive and in-depth audit analysis to the network system,monitor the security situation of the network system,and enhance security capabilities.【Methods】The network security audit system was designed by using the related analysis of network data package through sniffer technology and the advantages of C/S and B/S architecture pattern.【Results】The results show that the system through the analysis of real-time network packets obtained by sniffer technology,and the C/S and B/S mixed architecture pattern,can provide effective security audit to the Internet actions.【Conclusion】The effect of network security audit system based on C/S and B/S mixed architecture pattern and sniffer technology on the audit security of the network packets is effective with practical value.

Key words:security audit,sniffer technology，protocol analysis，blockading

中圖分類號(hào)：TP393

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1002-7378(2016)01-0049-05

作者簡(jiǎn)介：李賢陽(1977-)，男，副教授，主要從事計(jì)算機(jī)網(wǎng)絡(luò)和數(shù)據(jù)挖掘方面的研究。

收稿日期：2015-10-14

網(wǎng)絡(luò)優(yōu)先數(shù)字出版時(shí)間:2016-01-27

網(wǎng)絡(luò)優(yōu)先數(shù)字出版地址:http://www.cnki.net/kcms/detail/45.1075.N.20160127.1616.014.html

*廣西高?？蒲许?xiàng)目(KY2015YB314)和廣西區(qū)教改項(xiàng)目(2015JGA363)資助。