楊　晉

摘要：文章所描述的邊界不良信息屏蔽系統(tǒng)是校園網(wǎng)絡(luò)信息安全的重要部分，主要功能是屏蔽網(wǎng)上不良信息，跟蹤用戶的上網(wǎng)行為。系統(tǒng)共分三部分：防火墻不良信息屏蔽部分主要根據(jù)過(guò)濾規(guī)則庫(kù)對(duì)內(nèi)、外網(wǎng)數(shù)據(jù)，基于已知的網(wǎng)址(IP)、端口、協(xié)議和關(guān)鍵字等進(jìn)行屏蔽；檢測(cè)和封堵部分主要針對(duì)路由器和核心交換機(jī)對(duì)內(nèi)、外網(wǎng)數(shù)據(jù)，基于內(nèi)容進(jìn)行深度旁路檢測(cè)，發(fā)現(xiàn)不良信息進(jìn)行封堵；數(shù)據(jù)處理中心部分主要是維護(hù)特征關(guān)鍵詞信息表，為防火墻規(guī)則庫(kù)的升級(jí)服務(wù)。文章對(duì)系統(tǒng)中所涉及的關(guān)鍵技術(shù)，如數(shù)據(jù)獲取、內(nèi)容識(shí)別、內(nèi)容過(guò)濾、匹配技術(shù)、動(dòng)態(tài)跟蹤技術(shù)等進(jìn)行了詳細(xì)分析。

關(guān)鍵詞：防火墻；不良信息；內(nèi)容過(guò)濾；數(shù)據(jù)獲取；匹配技術(shù)

0引言

校園網(wǎng)絡(luò)的建設(shè)為教學(xué)、科研和學(xué)術(shù)交流提供了一個(gè)廣闊的平臺(tái)，網(wǎng)上豐富的資源極大地方便了廣大教師和學(xué)生，促進(jìn)了教學(xué)的改革和教學(xué)質(zhì)量的提高。但由于網(wǎng)絡(luò)的開(kāi)放性以及相關(guān)法律不健全、監(jiān)管不得力等多種原因，網(wǎng)絡(luò)在提供豐富、有用的信息的同時(shí)，也充斥著各種不健康、甚至是有害的信息，因此如何防范這些信息已成為網(wǎng)絡(luò)工作者需要研究的重要問(wèn)題。本文主要針對(duì)校園網(wǎng)邊界不良信息的防御，采用防火墻和信息檢測(cè)封堵技術(shù)，設(shè)計(jì)了校園網(wǎng)邊界不良信息屏蔽系統(tǒng)，以實(shí)現(xiàn)對(duì)基于邊界的不良信息屏蔽目的。

1系統(tǒng)結(jié)構(gòu)及功能

網(wǎng)絡(luò)不良信息是指互聯(lián)網(wǎng)上出現(xiàn)的違背社會(huì)主義精神文明建設(shè)要求，違背中華民族優(yōu)良文化傳統(tǒng)與習(xí)慣，以及其他違背社會(huì)公德等的各類信息。系統(tǒng)根據(jù)用戶定義的過(guò)濾和分析策略對(duì)網(wǎng)絡(luò)數(shù)據(jù)流按不同的協(xié)議、不同的源地址和目標(biāo)地址、用戶定義的文字內(nèi)容進(jìn)行分析，并將不良信息屏蔽。

1.1系統(tǒng)結(jié)構(gòu)

出于對(duì)網(wǎng)絡(luò)邊界出入帶寬和信息處理速度的考慮，系統(tǒng)分為三部分：防火墻不良信息屏蔽、基于核心交換機(jī)不良信息的檢測(cè)和封堵、不良信息數(shù)據(jù)處理中心，系統(tǒng)結(jié)構(gòu)如圖1所示。

1.2系統(tǒng)功能

系統(tǒng)的主要功能是屏蔽不良或不當(dāng)網(wǎng)站，屏蔽進(jìn)出校園網(wǎng)的有害信息，跟蹤記錄用戶上網(wǎng)行為。各部分功能如下：

防火墻不良信息屏蔽部分主要根據(jù)過(guò)濾規(guī)則庫(kù)對(duì)外網(wǎng)數(shù)據(jù)，基于已知的網(wǎng)址(IP)、端口、協(xié)議和關(guān)鍵字等進(jìn)行屏蔽。

不良信息的檢測(cè)和封堵部分主要針對(duì)路由器和核心交換機(jī)對(duì)內(nèi)、外網(wǎng)數(shù)據(jù)，基于內(nèi)容進(jìn)行深度旁路檢測(cè)，發(fā)現(xiàn)不良信息進(jìn)行封堵。

數(shù)據(jù)處理中心部分主要從因特網(wǎng)獲取不良信息升級(jí)資料，建立維護(hù)特征關(guān)鍵詞信息表，為內(nèi)容分析提供特征數(shù)據(jù)。同時(shí)接受封堵的不良信息數(shù)據(jù)并進(jìn)行分析和處理，形成不良信息升級(jí)信息表，為防火墻規(guī)則庫(kù)的升級(jí)服務(wù)。

2系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

根據(jù)人們獲取特定信息的過(guò)程，大致上可以將信息處理分為這樣幾個(gè)步驟：信息獲取階段、信息處理階段、模式匹配階段、信息表示階段、規(guī)則構(gòu)造階段，以及用戶對(duì)于敏感信息的評(píng)價(jià)與反饋階段。本文從這幾個(gè)方面對(duì)校園網(wǎng)不良信息邊界屏蔽系統(tǒng)進(jìn)行研究和開(kāi)發(fā)。

2.1防火墻不良信息屏蔽實(shí)現(xiàn)

由于Internet上存在大量不良信息，這些信息的流入和流出，都將會(huì)給系統(tǒng)的安全造成重大危害。本部分采用雙防火墻結(jié)構(gòu)，根據(jù)過(guò)濾規(guī)則對(duì)內(nèi)、外網(wǎng)不良信息實(shí)施過(guò)濾。它適用于各種網(wǎng)絡(luò)通信協(xié)議，例如電子郵件、文件傳輸、WWW、Telnet、News等，可以為提供統(tǒng)一的信息監(jiān)測(cè)和過(guò)濾服務(wù)，能記錄校園網(wǎng)內(nèi)所有機(jī)器的活動(dòng)，具有較高應(yīng)用價(jià)值。各模塊之間的關(guān)系如圖2所示。

防火墻不良信息屏蔽系統(tǒng)由4個(gè)模塊組成：網(wǎng)絡(luò)數(shù)據(jù)包捕獲偵聽(tīng)模塊，信息處理模塊，決策支持模塊以及人機(jī)界面及行動(dòng)反應(yīng)模塊。

網(wǎng)絡(luò)數(shù)據(jù)包捕獲偵聽(tīng)模塊主要負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)包的捕獲工作，所要考慮的主要是捕獲速度問(wèn)題；

信息預(yù)處理模塊主要是根據(jù)系統(tǒng)的需要對(duì)捕獲到的信息進(jìn)行預(yù)處理，如協(xié)議解釋、關(guān)鍵詞提取等；

決策支持模塊是整個(gè)系統(tǒng)的核心，負(fù)責(zé)對(duì)處理后的信息的不良與否作出決策判斷；

人機(jī)界面及行動(dòng)反應(yīng)模塊根據(jù)決策的結(jié)果做出相應(yīng)的處理并做好相關(guān)記錄，它可實(shí)時(shí)更新一個(gè)過(guò)濾規(guī)則庫(kù)，該庫(kù)存放各種過(guò)濾規(guī)則，如不良網(wǎng)址數(shù)據(jù)庫(kù)、關(guān)鍵詞、動(dòng)態(tài)分析模板、分級(jí)標(biāo)準(zhǔn)、黑白名單等。模塊根據(jù)規(guī)則庫(kù)中設(shè)定的安全策略規(guī)則，動(dòng)態(tài)地檢查進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，按照匹配的規(guī)則處理數(shù)據(jù)包。安全策略規(guī)則表中的每一條規(guī)則由一個(gè)六元組進(jìn)行描述：AP＝＜Sa，Sp，Da，Dp，If，Action＞，其中，Sa:Sp為源地址和端口號(hào)；Da:Dp為目的地址和端口號(hào)；If為流入接口號(hào)；Action為處理動(dòng)作。當(dāng)一個(gè)數(shù)據(jù)包進(jìn)入防火墻后，系統(tǒng)根據(jù)數(shù)據(jù)包屬性(源地址、源端口號(hào)、目的地址、目的端口號(hào))以及(流入接口號(hào))，匹配安全策略。一旦匹配成功，系統(tǒng)則根據(jù)匹配的“處理動(dòng)作”對(duì)該數(shù)據(jù)包進(jìn)行相應(yīng)的處理，如允許通過(guò)、丟棄、網(wǎng)絡(luò)地址轉(zhuǎn)換、流向控制轉(zhuǎn)發(fā)等。

2.2基于核心交換機(jī)不良信息的檢測(cè)和封堵實(shí)現(xiàn)

Internet中傳遞數(shù)據(jù)使用的應(yīng)用層協(xié)議基本上都是基于面向連接的TCP協(xié)議，如HTTP、FTP、SMTP協(xié)議等。基于這些應(yīng)用協(xié)議傳遞的數(shù)據(jù)信息，通常分布在不同的數(shù)據(jù)報(bào)中，并且伴有一定的控制信息。不良信息檢測(cè)和封堵部分的作用是對(duì)防火墻過(guò)濾后的數(shù)據(jù)和各子網(wǎng)數(shù)據(jù)(基于核心交換機(jī))基于不同協(xié)議數(shù)據(jù)包內(nèi)容進(jìn)行深度旁路檢測(cè)。主要由捕包還原機(jī)和分析封包機(jī)組成。物理拓?fù)浣Y(jié)構(gòu)如圖3所示。

圖3中的核心交換機(jī)應(yīng)具有廣播功能，其目的是讓捕包還原機(jī)能夠?qū)⒕W(wǎng)卡工作模式設(shè)為雜亂模式，而獲得所有數(shù)據(jù)包，捕包還原機(jī)和分析封堵機(jī)均應(yīng)安裝兩塊網(wǎng)卡，其中一塊用于二者互連，傳遞數(shù)據(jù)包信息。系統(tǒng)劃分為3個(gè)功能模塊：捕包還原模塊、內(nèi)容分析模塊和封堵模塊。

捕包還原程序運(yùn)行于捕包還原機(jī)上，將出入邊界路由器的數(shù)據(jù)包捕獲，并且還原出正文長(zhǎng)度、源地址、目的地址、源端口和正文等信息，發(fā)送給內(nèi)容分析程序模塊。

內(nèi)容分析程序讀取數(shù)據(jù)處理機(jī)的特征關(guān)鍵詞信息表的內(nèi)容，生成敏感特征搜索樹(shù)和非敏感連接搜索樹(shù)，接收捕包還原模塊發(fā)送來(lái)的數(shù)據(jù)包還原信息，進(jìn)行消息碎片聚合，將數(shù)據(jù)包信息以消息流形式傳遞給特征匹配模塊，進(jìn)行敏感特征搜索樹(shù)匹配和非敏感連接搜索樹(shù)匹配。如果非敏感連接搜索樹(shù)匹配成功，則丟棄該數(shù)據(jù)包信息；如果敏感特征搜索樹(shù)匹配成功，即發(fā)現(xiàn)攜帶有敏感信息的數(shù)據(jù)包，立刻通知封堵模塊進(jìn)行封堵。

封堵程序運(yùn)行于分析封堵機(jī)上，接收內(nèi)容分析模塊發(fā)送的待封堵信息，按照源地址和目的地址發(fā)出一個(gè)RST數(shù)據(jù)包，使目的端收到錯(cuò)誤信息，從而達(dá)到切斷連接的目的。

2.3不良信息數(shù)據(jù)處理中心

各模塊功能如圖5所示。數(shù)據(jù)處理中心可運(yùn)行在任意PC上，其主要功能一是從因特網(wǎng)獲取不良信息資料，建立維護(hù)特征關(guān)鍵詞信息表，為內(nèi)容分析提供特征數(shù)據(jù)。特征關(guān)鍵詞信息表的內(nèi)容主要包括敏感內(nèi)容特征關(guān)鍵詞、敏感URL連接特征碼和非敏感URL連接特征碼等存儲(chǔ)在位于數(shù)據(jù)處理機(jī)中的信息

表內(nèi)。二是接受封堵的不良信息數(shù)據(jù)并進(jìn)行分析和處理，形成不良信息升級(jí)信息表，為防火墻規(guī)則庫(kù)提供升級(jí)。

3關(guān)鍵技術(shù)

不良信息屏蔽技術(shù)實(shí)質(zhì)是利用互聯(lián)網(wǎng)內(nèi)容管理技術(shù)，禁止或限制用戶訪問(wèn)不良的互聯(lián)網(wǎng)信息，從而為廣大師生提供健康、安全、文明的網(wǎng)絡(luò)環(huán)境和內(nèi)容。

目前，由于音頻、視頻識(shí)別、過(guò)濾技術(shù)還不是十分成熟，不良信息屏蔽技術(shù)產(chǎn)品一般主要采取網(wǎng)址過(guò)濾、關(guān)鍵詞過(guò)濾、語(yǔ)義分析過(guò)濾和圖像過(guò)濾等技術(shù)手段。涉及到的關(guān)鍵技術(shù)主要包括數(shù)據(jù)獲取、內(nèi)容識(shí)別、內(nèi)容過(guò)濾、匹配技術(shù)、動(dòng)態(tài)跟蹤技術(shù)等技術(shù)。

(1)數(shù)據(jù)獲取技術(shù)

數(shù)據(jù)獲取指采用旁路或串聯(lián)方式捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包，并對(duì)這些數(shù)據(jù)包按照TCP/IP的標(biāo)準(zhǔn)進(jìn)行重組和剖析。旁路式指通過(guò)鏡像或旁路偵聽(tīng)方式獲取數(shù)據(jù)，其特點(diǎn)是獲取的內(nèi)容僅限于進(jìn)出本地網(wǎng)絡(luò)的數(shù)據(jù)流，不會(huì)對(duì)網(wǎng)絡(luò)造成額外流量，對(duì)網(wǎng)絡(luò)運(yùn)行不存在影響和風(fēng)險(xiǎn)。串聯(lián)式指以代理的方式串聯(lián)在網(wǎng)絡(luò)出入口，分析網(wǎng)絡(luò)數(shù)據(jù)流中包含的數(shù)據(jù)包，對(duì)數(shù)據(jù)包頭中的IP地址、URL、文件名等進(jìn)行分析判斷。

(2)內(nèi)容識(shí)別技術(shù)

內(nèi)容識(shí)別是指對(duì)獲取的網(wǎng)絡(luò)信息內(nèi)容進(jìn)行識(shí)別、判斷、分類，確定其是否為所需要的目標(biāo)內(nèi)容，識(shí)別的準(zhǔn)確度和速度是其中的重要指標(biāo)。內(nèi)容識(shí)別的對(duì)象主要有文本、圖像、音頻、視頻等。

(3)內(nèi)容過(guò)濾技術(shù)

內(nèi)容過(guò)濾主要是針對(duì)TCP、UDP的上層協(xié)議的信息內(nèi)容進(jìn)行處理，且內(nèi)容主要是明文或偽明文，如base64編碼、壓縮等。目前對(duì)加密后的信息進(jìn)行內(nèi)容過(guò)濾還有相當(dāng)?shù)碾y度。內(nèi)容過(guò)濾的實(shí)現(xiàn)方式主要包括網(wǎng)址過(guò)濾、關(guān)鍵詞過(guò)濾、語(yǔ)義分析過(guò)濾等。

(4)匹配技術(shù)

當(dāng)用戶要訪問(wèn)網(wǎng)絡(luò)信息文檔時(shí)，過(guò)濾系統(tǒng)會(huì)運(yùn)用相應(yīng)的匹配算法比較需求模板與信息文檔。一般采用關(guān)鍵詞、規(guī)則或分類的方法描述用戶的信息需求，描述方法不同，匹配算法也不同。例如采用關(guān)鍵詞描述的系統(tǒng)，適合用布爾模型、向量空間模型或概率模型進(jìn)行匹配。采用分類描述的系統(tǒng)，可以用自動(dòng)分類的方法如TFIDF分類器和Bayes分類器等進(jìn)行匹配。

(5)動(dòng)態(tài)跟蹤技術(shù)

動(dòng)態(tài)跟蹤技術(shù)利用服務(wù)器日志或者專門的程序記錄下用戶訪問(wèn)網(wǎng)絡(luò)的情況，包括訪問(wèn)時(shí)間、網(wǎng)頁(yè)流量、出錯(cuò)情況、屏幕快照、過(guò)濾原因、網(wǎng)頁(yè)所屬類目、關(guān)鍵詞等內(nèi)容，它可以作為系統(tǒng)和管理員監(jiān)測(cè)用戶行為、記錄網(wǎng)絡(luò)使用情況和改進(jìn)過(guò)濾方法的依據(jù)。

(6)不同的協(xié)議信息服務(wù)過(guò)濾方法

網(wǎng)絡(luò)使用不同傳輸協(xié)議實(shí)現(xiàn)多種信息服務(wù)，對(duì)于不同的協(xié)議要結(jié)合不同的信息過(guò)濾方法，如表1所示。

4結(jié)束語(yǔ)

不良信息屏蔽技術(shù)是網(wǎng)絡(luò)研究的重要課題。沒(méi)有很好的安全機(jī)制及措施，網(wǎng)絡(luò)很難抵御有害信息的侵蝕，同時(shí)帶來(lái)無(wú)窮的后患。本文所設(shè)計(jì)的系統(tǒng)是實(shí)時(shí)校園網(wǎng)邊界不良信息屏蔽工具，通過(guò)兩層屏蔽防護(hù)機(jī)制，為管理人員提供了一種校園網(wǎng)入口不良信息入侵和向外擴(kuò)散的有效屏蔽手段，能有效地保證網(wǎng)絡(luò)上傳播內(nèi)容的安全性。同時(shí)該系統(tǒng)能記錄校園網(wǎng)內(nèi)所有機(jī)器的活動(dòng)，因此可以控制校園網(wǎng)的網(wǎng)絡(luò)信息安全，保證該網(wǎng)絡(luò)中沒(méi)有人員危害網(wǎng)絡(luò)的行為和重要信息失控，并對(duì)防止保密信息的泄漏和不良信息的取證也能起到一定的作用。