论文部分内容阅读
摘要:本文针对网络信息监控的问题,分析了基于SNIFFER技术的信息监控技术。它能够在高速网络的边界路由器上进行网络信息监测,能及时对网络上的安全事件进行处理。
关键词:信息监控 网络安全
由于网络上不良信息的传播给社会政治、经济等方面带来了许多负面影响,且我国传统的各种网络安全工具无法满足人们对网络信息内容的监测需要,因此,我们急需拥有自主版权,又能够适应高速网络环境的网络信息监测系统软件。
一、网络信息监控系统的实现手段
网络信息监控软件分为三种类型:
1.基于网络服务或者网络服务日志的信息监控
网络服务通常是通过各种服务器提供的。它通过修改各种服务器软件,在其中嵌入信息过滤代码,使服务器软件自身具备信息监测和过滤的功能。
2.基于代理服务器技术的信息监控
多个代理服务器组成服务器集群,提供信息的监控和过滤服务。信息流进入proxy后,必须经过过滤器的过滤后才能进行转发。过滤器依据规则集合库中的规则,对信息进行过滤。过滤后的合法信息通过代理服务器转发到用户,而非法信息则被抛弃。
3.基于SNIFFER技术的信息监控技术
在边界路由器上设置监听端口,就能捕获到通过边界路由器的所有数据包。很多网络设备都是通过端口映射的方式,获取通过交换机的所有数据报文。
二、网络信息监控系统的设计
1.系统设计思想的提出
首先,基于链路层采用Sniffer技术或者网络探针技术,捕获经过边界路由器上的所有数据包;其次,是采用TCP/IP协议软件的实现方式,处理数据包。具体处理方式为:①对有分片的数据包进行IP层的重组,使之成为完整的IP数据包;②在TCP层进行数据包的还原,使之还原为原始传输内容的数据;③根据其具体的应用层协议对数据进行还原分析;最后,对已经过应用层协议还原的数据进行特征关键字匹配,从而完成对信息内容的监测。
2.网络信息监控系统的数据采集结构
网络信息监控系统的数据采集有两种实现结构:一种是在边界路由器和内网之间设置类似防火墙的监控主机,对出入的所有数据包进行检查、拦截和阻断;另一种方案是监听方式,即Sniffer方式,它采用支持探针技术的交换机的端口映射技术,使用监听方式,对原有网络设置不做任何改动。若监控主机发生故障,无法正常工作时,它也不会影响网络的正常活动。
三、系统的实现
1.系统功能的实现
网络信息监控本质上就是对网络中的数据进行监查、对比,以实现监控目的。通过对截获的数据进行分离,应用还原技术对数据进行对比,采用信息监控策略和模式匹配算法就能够实现信息监控。
网络底层信息监听可以通过两种方法实现:一种是利用以太网络的广播特性,另一种是通过设置路由器的监听端口实现。
(1)利用以太网络的广播特性进行监听
以太网数据传输是通过广播实现的。但是在系统正常工作时,应用程序只能接收到以本主机为目标主机的数据包,其他数据包将被丢弃,不作任何处理。
要监听到流经网卡的、不属于自己主机的数据,必须绕过系统正常工作的处理机制,直接访问网络底层。首先,将网卡工作模式置于混杂模式,使之可以接收目标MAC地址的数据包;然后,直接访问数据链路层,截获相关数据,由应用程序如IP层、TCP层协议对数据进行过滤处理。这样一来,就可以监听到流经网卡的所有数据。
(2)基于路由器的网络底层信息监听技术
在实际应用中,存在许多非以太网接入的情况。因此,必须在路由器中设置监听端口,将流经路由器的所有信息流量通过一个特定的监听端口输出,从而实现信息的监听。所有的网络信息数据包除按照正常情况转发外,将同时转发到监听端口,从而使得Sniffer可以监听到所有的网络流量。
2.TCP还原的实现
TCP还原的实现方法和IP重组是类似的,如果接收到的数据包是属于同一个TCP连接的,就要用一个排序树,按照数据包的Sequence排序起来,然后只需要对这个排序树进行遍历,就能够实现TCP的还原。对TCP的还原就是对iptree进行遍历的过程,按照sequence从小到大,把相应的、属于同一个TCP的IP数据包的内容进行还原。
参考文献:
[1]王军华,秦本涛.一个基于简单实验条件下邮件传输服务实验的设计[J].计算机与现代化,2006,(8).
[2]蒋少华,姚娟,胡华平.分布式IDS的报警关联定义[J].计算机与现代化,2006,(6).
[3]闵联营,赵婷婷.模式匹配算法的研究与改进[J].计算机与现代化,2006,(8).
(作者单位:江西旅游商贸职业学院)
关键词:信息监控 网络安全
由于网络上不良信息的传播给社会政治、经济等方面带来了许多负面影响,且我国传统的各种网络安全工具无法满足人们对网络信息内容的监测需要,因此,我们急需拥有自主版权,又能够适应高速网络环境的网络信息监测系统软件。
一、网络信息监控系统的实现手段
网络信息监控软件分为三种类型:
1.基于网络服务或者网络服务日志的信息监控
网络服务通常是通过各种服务器提供的。它通过修改各种服务器软件,在其中嵌入信息过滤代码,使服务器软件自身具备信息监测和过滤的功能。
2.基于代理服务器技术的信息监控
多个代理服务器组成服务器集群,提供信息的监控和过滤服务。信息流进入proxy后,必须经过过滤器的过滤后才能进行转发。过滤器依据规则集合库中的规则,对信息进行过滤。过滤后的合法信息通过代理服务器转发到用户,而非法信息则被抛弃。
3.基于SNIFFER技术的信息监控技术
在边界路由器上设置监听端口,就能捕获到通过边界路由器的所有数据包。很多网络设备都是通过端口映射的方式,获取通过交换机的所有数据报文。
二、网络信息监控系统的设计
1.系统设计思想的提出
首先,基于链路层采用Sniffer技术或者网络探针技术,捕获经过边界路由器上的所有数据包;其次,是采用TCP/IP协议软件的实现方式,处理数据包。具体处理方式为:①对有分片的数据包进行IP层的重组,使之成为完整的IP数据包;②在TCP层进行数据包的还原,使之还原为原始传输内容的数据;③根据其具体的应用层协议对数据进行还原分析;最后,对已经过应用层协议还原的数据进行特征关键字匹配,从而完成对信息内容的监测。
2.网络信息监控系统的数据采集结构
网络信息监控系统的数据采集有两种实现结构:一种是在边界路由器和内网之间设置类似防火墙的监控主机,对出入的所有数据包进行检查、拦截和阻断;另一种方案是监听方式,即Sniffer方式,它采用支持探针技术的交换机的端口映射技术,使用监听方式,对原有网络设置不做任何改动。若监控主机发生故障,无法正常工作时,它也不会影响网络的正常活动。
三、系统的实现
1.系统功能的实现
网络信息监控本质上就是对网络中的数据进行监查、对比,以实现监控目的。通过对截获的数据进行分离,应用还原技术对数据进行对比,采用信息监控策略和模式匹配算法就能够实现信息监控。
网络底层信息监听可以通过两种方法实现:一种是利用以太网络的广播特性,另一种是通过设置路由器的监听端口实现。
(1)利用以太网络的广播特性进行监听
以太网数据传输是通过广播实现的。但是在系统正常工作时,应用程序只能接收到以本主机为目标主机的数据包,其他数据包将被丢弃,不作任何处理。
要监听到流经网卡的、不属于自己主机的数据,必须绕过系统正常工作的处理机制,直接访问网络底层。首先,将网卡工作模式置于混杂模式,使之可以接收目标MAC地址的数据包;然后,直接访问数据链路层,截获相关数据,由应用程序如IP层、TCP层协议对数据进行过滤处理。这样一来,就可以监听到流经网卡的所有数据。
(2)基于路由器的网络底层信息监听技术
在实际应用中,存在许多非以太网接入的情况。因此,必须在路由器中设置监听端口,将流经路由器的所有信息流量通过一个特定的监听端口输出,从而实现信息的监听。所有的网络信息数据包除按照正常情况转发外,将同时转发到监听端口,从而使得Sniffer可以监听到所有的网络流量。
2.TCP还原的实现
TCP还原的实现方法和IP重组是类似的,如果接收到的数据包是属于同一个TCP连接的,就要用一个排序树,按照数据包的Sequence排序起来,然后只需要对这个排序树进行遍历,就能够实现TCP的还原。对TCP的还原就是对iptree进行遍历的过程,按照sequence从小到大,把相应的、属于同一个TCP的IP数据包的内容进行还原。
参考文献:
[1]王军华,秦本涛.一个基于简单实验条件下邮件传输服务实验的设计[J].计算机与现代化,2006,(8).
[2]蒋少华,姚娟,胡华平.分布式IDS的报警关联定义[J].计算机与现代化,2006,(6).
[3]闵联营,赵婷婷.模式匹配算法的研究与改进[J].计算机与现代化,2006,(8).
(作者单位:江西旅游商贸职业学院)