论文部分内容阅读
[摘 要]本文提出了一种基于网络关键点捕获的网络监控系统解决方案,并加以实现。该系统能够在不影响主流业务开展的情况下,对高速超高速骨干网络上的网络内容进行监控。论文首先分析了網络面临的主要威胁,然后对网络监控系统的总体结构、系统数据控制流程以及应用管理子系统进行了设计。
[关键词]网络监控,网络关键点,数据流
中图分类号:TP277 文献标识码:A 文章编号:1009-914X(2015)41-0241-01
1.概述
当今世界信息技术迅猛发展,人类社会正进入一个信息社会,社会经济的发展对信息资源、信息技术和信息产业的依赖程度越来越大。在信息社会中,信息已成为人类宝贵的资源。近年来互联网正以惊人的速度在全球发展,互联网技术已经广泛渗透到政治、经济、文化和军事等社会各领域[1]。然而,由互联网的高速发展而带来的网络系统的安全问题,正变得日益突出,受到越来越多的关注。因此网络安全已成为关系社会稳定和国家安全的重大战略问题。
本文提出一种基于高速网络关键节点捕获,对网络数据进行分类监控、预警和备案的高速网络监控系统。该系统能够按照各种应用协议,根据网络安全管理员设定的特征信息,对具有特征信息的数据包进行分类解析、还原和预警,同时具有海量特征数据的储存、检索能力,有效地解决了目前网络监控系统所存在的一些问题。
2.网络面临的主要威胁分析
一是黑客的攻击。黑客对于大家来说,不再是一个高深莫测的人物,黑客技术逐渐被越来越多的人掌握和发展。目前,世界上有 20 多万个黑客网站,这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞,因而系统、站点遭受攻击的可能性就变大了。
二是网络的缺陷。因特网的共享性和开放性使网上信息安全存在先天不足,因为其赖以生存的 TCP/IP 协议族,缺乏相应的安全机制,而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输,基本没有考虑安全问题,因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性[2]。
三是软件的漏洞或“后门”。随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存在,比如我们常用的操作系统,无论是 Windows 还是 UNIX几乎都存在或多或少的安全漏洞,众多的各类服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。
当前,高等院校的信息化程度越来越高,信息化所依赖的基础网络也显得越来越重要。对于大中专院校的机房,里面运行着学院最重要的网络设备、服务器以及服务器上运行着学校重要的业务系统、数据库等。为了保障机房内网络设备和服务器不间断的稳定运行,与之配套的机房动力系统、环境系统、消防系统、保安系统必须时时刻刻稳定协调工作。
3.网络监控系统总体结构
网络监控系统采用多业务并行处理机制实现的。从某专用网络流分类设备下来的数据可按照不同的应用协议分类,分别输送到不同的特征信息监控子系统进行相应的处理,将符合匹配特征的信息存储到海量数据库中。然后,应用监控管理子系统可根据相应的索引规则对海量数据库中被还原的特征信息进行检索取证,或进行长期的跟踪和不良档案的备份等。
特征信息监控子系统可以根据网络安全管理员预先设置的特征信息监控和过滤其所辖系统的 TELNET、HTTP/HTTPS、EMAIL、FTP/TFTP 等协议的内容,并将其通过中心控制子系统统一建立相应规则索引存储在海量数据库中备份。同时,通过中心控制子系统按照网络安全管理员事先设定的预警动作、内容和方式向应用监控管理子系统进行预警等[3]。
中心控制子系统是整个网络监控系统的控制枢纽,实现对过滤规则、数据、报警审阅、进程及内存的统一管理,对系统的整体稳定性具有重要影响。网络监控系统体系结构如图1所示。
4.系统数据控制流程
网络监控系统的数据包捕获方式通常采用串联模式、并联模式和网内监听模式。其中串联模式是将网络监控系统部署在用户和网络之间的节点来实施网络监控,用户通过上网设备的数据包直接进入网络监控系统,这样网络监控系统就能完全监视和控制用户所有的上网行为,可以对用户所有的上网数据包进行侦听、丢弃和篡改。
这样的串联模式对网络监控系统有严格要求,希望系统运行要稳定、处理速度快,尽量让用户感觉不到网络监控系统的存在。 并联模式是将网络监控系统部署在同用户并级的网络节点来实施网络监控,用户通过上网设备连接网络时,通过网络监控系统的前端专用网络设备将链路上的用户报文拷贝一份到网络监控系统。网络监控系统根据预定策略过滤相关数据包并发送给特征信息监控子系统进行处理。这种连接方式多用于对公网系统的侦听监测,对于用户是透明的、不可见的。
网内监听模式是将网络监控系统与上网用户同处在一个局域网上,对用户收发的数据包进行侦听[4]。这种连接方式使用于单位或小团体的网络内容管理。针对系统中各个软件子系统的功能描述和软件子系统的具体使用模式,单个软件子系统往往无法满足大量数据包的庞大的处理要求,尤其是当把我们使用专用网络流分类设备后,进入特征信息监控子系统的数据量将会海量的增加,这就要求软件子系统具有分布式处理的功能,以均衡系统的处理负担。考虑到分布式处理,为了扩展整个系统的处理能力,各个子系统之间应该建立一种比较灵活的连接关系。
5.应用监控管理子系统
应用监控管理子系统的主要功能是给网络安全管理员提供一个对本监控系统总体管理交互的平台[5]。和一般的处理方式不同的是,此处采用 B/S 模式进行开发,网络安全管理员不需要在监控点安装任何额外的客户端软件,而只需要通过WEB浏览器即可对整个监控系统进行配置管理。在设计中借鉴了J2EE的分层结构思想,支持并发用户的同时登录管理。如果网络安全管理员按照各自所监控的协议类型进行任务划分,该应用监控管理子系统将能满足多个管理员同时对各自监控的模块进行管理监控,极大地提高了管理员的工作效率。
应用监控管理子系统采用客户端层、中间层和存储层三层结构设计。客户端层通过统一的接口向业务层发送请求,业务层按照自己的逻辑规则对请求进行处理,然后再对数据库进行相关操作。最后,将数据库返回的数据封装成类的形式返回给客户端层。这样的好处是客户端层可以不知道数据库的结构,只要维护于业务层之间的接口即可,也增加了数据库的安全性。
6.结论
本文提出了一种基于网络关键点捕获的网络监控系统解决方案,并加以实现。该系统能够在不影响主流业务开展的情况下,对高速超高速骨干网络上的网络内容进行监控。论文首先分析了网络面临的主要威胁,然后对网络监控系统的总体结构、系统数据控制流程以及应用管理子系统进行了设计。
参考文献
[1] 孙静, 曾红卫. 网络安全检测与预警.计算机工程, 2001, 27(7): 109~110
[2] 刘海宝, 蔡皖东,许俊杰等.分布式网络行为监控系统设计与实现.微电子学与计算机, 2006, 23(3): 76~79
[3] 张卫东,王伟, 韩维恒.网络流量测量与监控系统的设计与实现.计算机工程与应用, 2005, 32: 160~163
[4] 方娟,张书杰,邸瑞华等.网格资源监控关键技术的研究.计算机应用与软件, 2005, 22(12): 85~87
[5] 吕秋云,张公礼.网络视频监控系统中报警子系统的设计与开发.计算机应用与软件, 2005, 22(3): 143~144
[关键词]网络监控,网络关键点,数据流
中图分类号:TP277 文献标识码:A 文章编号:1009-914X(2015)41-0241-01
1.概述
当今世界信息技术迅猛发展,人类社会正进入一个信息社会,社会经济的发展对信息资源、信息技术和信息产业的依赖程度越来越大。在信息社会中,信息已成为人类宝贵的资源。近年来互联网正以惊人的速度在全球发展,互联网技术已经广泛渗透到政治、经济、文化和军事等社会各领域[1]。然而,由互联网的高速发展而带来的网络系统的安全问题,正变得日益突出,受到越来越多的关注。因此网络安全已成为关系社会稳定和国家安全的重大战略问题。
本文提出一种基于高速网络关键节点捕获,对网络数据进行分类监控、预警和备案的高速网络监控系统。该系统能够按照各种应用协议,根据网络安全管理员设定的特征信息,对具有特征信息的数据包进行分类解析、还原和预警,同时具有海量特征数据的储存、检索能力,有效地解决了目前网络监控系统所存在的一些问题。
2.网络面临的主要威胁分析
一是黑客的攻击。黑客对于大家来说,不再是一个高深莫测的人物,黑客技术逐渐被越来越多的人掌握和发展。目前,世界上有 20 多万个黑客网站,这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞,因而系统、站点遭受攻击的可能性就变大了。
二是网络的缺陷。因特网的共享性和开放性使网上信息安全存在先天不足,因为其赖以生存的 TCP/IP 协议族,缺乏相应的安全机制,而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输,基本没有考虑安全问题,因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性[2]。
三是软件的漏洞或“后门”。随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存在,比如我们常用的操作系统,无论是 Windows 还是 UNIX几乎都存在或多或少的安全漏洞,众多的各类服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。
当前,高等院校的信息化程度越来越高,信息化所依赖的基础网络也显得越来越重要。对于大中专院校的机房,里面运行着学院最重要的网络设备、服务器以及服务器上运行着学校重要的业务系统、数据库等。为了保障机房内网络设备和服务器不间断的稳定运行,与之配套的机房动力系统、环境系统、消防系统、保安系统必须时时刻刻稳定协调工作。
3.网络监控系统总体结构
网络监控系统采用多业务并行处理机制实现的。从某专用网络流分类设备下来的数据可按照不同的应用协议分类,分别输送到不同的特征信息监控子系统进行相应的处理,将符合匹配特征的信息存储到海量数据库中。然后,应用监控管理子系统可根据相应的索引规则对海量数据库中被还原的特征信息进行检索取证,或进行长期的跟踪和不良档案的备份等。
特征信息监控子系统可以根据网络安全管理员预先设置的特征信息监控和过滤其所辖系统的 TELNET、HTTP/HTTPS、EMAIL、FTP/TFTP 等协议的内容,并将其通过中心控制子系统统一建立相应规则索引存储在海量数据库中备份。同时,通过中心控制子系统按照网络安全管理员事先设定的预警动作、内容和方式向应用监控管理子系统进行预警等[3]。
中心控制子系统是整个网络监控系统的控制枢纽,实现对过滤规则、数据、报警审阅、进程及内存的统一管理,对系统的整体稳定性具有重要影响。网络监控系统体系结构如图1所示。
4.系统数据控制流程
网络监控系统的数据包捕获方式通常采用串联模式、并联模式和网内监听模式。其中串联模式是将网络监控系统部署在用户和网络之间的节点来实施网络监控,用户通过上网设备的数据包直接进入网络监控系统,这样网络监控系统就能完全监视和控制用户所有的上网行为,可以对用户所有的上网数据包进行侦听、丢弃和篡改。
这样的串联模式对网络监控系统有严格要求,希望系统运行要稳定、处理速度快,尽量让用户感觉不到网络监控系统的存在。 并联模式是将网络监控系统部署在同用户并级的网络节点来实施网络监控,用户通过上网设备连接网络时,通过网络监控系统的前端专用网络设备将链路上的用户报文拷贝一份到网络监控系统。网络监控系统根据预定策略过滤相关数据包并发送给特征信息监控子系统进行处理。这种连接方式多用于对公网系统的侦听监测,对于用户是透明的、不可见的。
网内监听模式是将网络监控系统与上网用户同处在一个局域网上,对用户收发的数据包进行侦听[4]。这种连接方式使用于单位或小团体的网络内容管理。针对系统中各个软件子系统的功能描述和软件子系统的具体使用模式,单个软件子系统往往无法满足大量数据包的庞大的处理要求,尤其是当把我们使用专用网络流分类设备后,进入特征信息监控子系统的数据量将会海量的增加,这就要求软件子系统具有分布式处理的功能,以均衡系统的处理负担。考虑到分布式处理,为了扩展整个系统的处理能力,各个子系统之间应该建立一种比较灵活的连接关系。
5.应用监控管理子系统
应用监控管理子系统的主要功能是给网络安全管理员提供一个对本监控系统总体管理交互的平台[5]。和一般的处理方式不同的是,此处采用 B/S 模式进行开发,网络安全管理员不需要在监控点安装任何额外的客户端软件,而只需要通过WEB浏览器即可对整个监控系统进行配置管理。在设计中借鉴了J2EE的分层结构思想,支持并发用户的同时登录管理。如果网络安全管理员按照各自所监控的协议类型进行任务划分,该应用监控管理子系统将能满足多个管理员同时对各自监控的模块进行管理监控,极大地提高了管理员的工作效率。
应用监控管理子系统采用客户端层、中间层和存储层三层结构设计。客户端层通过统一的接口向业务层发送请求,业务层按照自己的逻辑规则对请求进行处理,然后再对数据库进行相关操作。最后,将数据库返回的数据封装成类的形式返回给客户端层。这样的好处是客户端层可以不知道数据库的结构,只要维护于业务层之间的接口即可,也增加了数据库的安全性。
6.结论
本文提出了一种基于网络关键点捕获的网络监控系统解决方案,并加以实现。该系统能够在不影响主流业务开展的情况下,对高速超高速骨干网络上的网络内容进行监控。论文首先分析了网络面临的主要威胁,然后对网络监控系统的总体结构、系统数据控制流程以及应用管理子系统进行了设计。
参考文献
[1] 孙静, 曾红卫. 网络安全检测与预警.计算机工程, 2001, 27(7): 109~110
[2] 刘海宝, 蔡皖东,许俊杰等.分布式网络行为监控系统设计与实现.微电子学与计算机, 2006, 23(3): 76~79
[3] 张卫东,王伟, 韩维恒.网络流量测量与监控系统的设计与实现.计算机工程与应用, 2005, 32: 160~163
[4] 方娟,张书杰,邸瑞华等.网格资源监控关键技术的研究.计算机应用与软件, 2005, 22(12): 85~87
[5] 吕秋云,张公礼.网络视频监控系统中报警子系统的设计与开发.计算机应用与软件, 2005, 22(3): 143~144