張 娟，張 杰，郎 瑜

（1.河北省機電一體化中試基地，河北 石家莊 050081；2.天津市公安局西青分局，天津 300380）

目前，隨著計算機網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和互聯(lián)網(wǎng)的普及，各政府部門和企事業(yè)單位，都大量通過網(wǎng)絡(luò)進(jìn)行信息查詢、郵件收發(fā)、數(shù)據(jù)共享等各種辦公操作。因此，所面臨的安全問題日趨嚴(yán)峻，網(wǎng)絡(luò)入侵事件頻繁發(fā)生。根據(jù)實際工作經(jīng)驗，木馬已經(jīng)取代病毒，成為網(wǎng)絡(luò)安全威脅之首，特別是境內(nèi)外惡意的組織和機構(gòu)為盜取我國各種情報而專門開發(fā)網(wǎng)絡(luò)木馬，進(jìn)行網(wǎng)絡(luò)攻擊和入侵，對重點部門和單位進(jìn)行有計劃有組織的網(wǎng)絡(luò)滲透，一旦這些單位或個人被控制，其帶來的危害難以估量。因此需要研究開發(fā)網(wǎng)絡(luò)異常行為監(jiān)測分析系統(tǒng)，及時發(fā)現(xiàn)網(wǎng)絡(luò)木馬及異?？梢尚袨椋l(fā)現(xiàn)網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，打擊非法網(wǎng)絡(luò)活動，維護(hù)保護(hù)國家和社會的穩(wěn)定。

1 研究思路與技術(shù)優(yōu)勢

本次研究的“網(wǎng)絡(luò)異常行為監(jiān)測分析系統(tǒng)”，是通過專家分析模型和可視化分析技術(shù)，將分析過程盡可能的做到自動化，并通過關(guān)聯(lián)展示與分析模型，以圖形化方式直觀的展示網(wǎng)絡(luò)數(shù)據(jù)及異常行為之間的關(guān)系。研發(fā)本系統(tǒng)，可以極大的提高網(wǎng)絡(luò)數(shù)據(jù)分析工作的工作效率與準(zhǔn)確度，解放大量的人力操作，高效的發(fā)現(xiàn)可疑流量及數(shù)據(jù)、定位可疑計算機，發(fā)現(xiàn)已知和未知木馬，監(jiān)測網(wǎng)絡(luò)可疑行為。

該系統(tǒng)基于網(wǎng)絡(luò)嗅探技術(shù)，對交換以太網(wǎng)采用數(shù)據(jù)流鏡像或旁路接入的方式工作。監(jiān)測主機網(wǎng)卡采用混雜模式，通過嗅探技術(shù)捕獲網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)包，并將這些數(shù)據(jù)包傳遞到系統(tǒng)內(nèi)部進(jìn)行協(xié)議解析分析，然后輸出給相應(yīng)的安全分析引擎。數(shù)據(jù)分析時需要加載主機OS和應(yīng)用的指紋數(shù)據(jù)、安監(jiān)關(guān)鍵字、蠕蟲病毒／木馬特征庫等信息，為保證監(jiān)測的準(zhǔn)確度，降低誤報率，這些數(shù)據(jù)要能夠?qū)崟r更新。分析后的數(shù)據(jù)進(jìn)行各種功能的輸出，并以多種表現(xiàn)形式呈現(xiàn)給使用者。

本系統(tǒng)開發(fā)基于業(yè)界先進(jìn)的微軟.Net技術(shù)平臺，使用成熟的.Net開發(fā)技術(shù)，充分保證了系統(tǒng)的穩(wěn)定性、可靠性，降低了技術(shù)風(fēng)險。此系統(tǒng)的技術(shù)優(yōu)勢主要體現(xiàn)在以下幾個方面：

（1）數(shù)據(jù)捕獲技術(shù)支持多種成熟的數(shù)據(jù)捕獲方式，如 WinPcap、Socket、MicroOLAP、AirP－cap等。

（2）數(shù)據(jù)庫采用MS SQL、MySQL、Oracle等主流的數(shù)據(jù)庫產(chǎn)品，數(shù)據(jù)訪問采用LINQ技術(shù)，保證了數(shù)據(jù)訪問的穩(wěn)定性、安全性。

（3）數(shù)據(jù)協(xié)議解析引擎支持流行的各種網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)，特別是IEEE、IETF的各種標(biāo)準(zhǔn)。

（4）特征監(jiān)測采用業(yè)界流行的匹配算法，保證了監(jiān)測的性能和精度。

（5）各個子系統(tǒng)通過事件委托機制集成，支持Web服務(wù)，對復(fù)雜網(wǎng)絡(luò)環(huán)境下的集成提供了可靠技術(shù)保證。

2 系統(tǒng)設(shè)計

系統(tǒng)通過自由的網(wǎng)絡(luò)數(shù)據(jù)捕獲引擎，將采集到的數(shù)據(jù)包送入基本分析模塊，通過HTTP分析模塊、Email分析模塊、DNS分析模塊、FTP分析模塊等多個分析模塊，實現(xiàn)流量分析、協(xié)議分析、安全分析、性能管理、故障診斷等功能，最后將數(shù)據(jù)以報表、圖表、等方式輸出。

2.1 數(shù)據(jù)采集

數(shù)據(jù)采集工作在鏈路層進(jìn)行，通過此操作能夠獲得網(wǎng)絡(luò)中底層的以太網(wǎng)數(shù)據(jù)包。數(shù)據(jù)包采集的關(guān)鍵是效率，網(wǎng)絡(luò)可疑行為分析系統(tǒng)在內(nèi)核層就對數(shù)據(jù)包進(jìn)行過濾，并將不匹配過濾條件的數(shù)據(jù)包丟棄，以避免內(nèi)核層到用戶層的數(shù)據(jù)傳送造成的資源浪費，以提高數(shù)據(jù)采集的效率。

2.2 數(shù)據(jù)分析

系統(tǒng)采集到符合過濾條件的數(shù)據(jù)包后，立即將這些數(shù)據(jù)包傳送到系統(tǒng)內(nèi)部進(jìn)行分析。數(shù)據(jù)分析包括對數(shù)據(jù)包的統(tǒng)計、檢測、解碼、TCP重組、協(xié)議分析等，然后輸出給相應(yīng)的安全分析引擎。

（1）流量分析

主要分析網(wǎng)絡(luò)的總共流量，網(wǎng)絡(luò)的廣播流量，網(wǎng)絡(luò)的組播流量，網(wǎng)絡(luò)中的內(nèi)部流量，網(wǎng)絡(luò)中一個IP端點（IP主機）的流量，網(wǎng)絡(luò)中一個MAC端點的流量等等。

（2）故障診斷

主要包括自動識別ARP掃描，ARP中間人攻擊，ARP斷網(wǎng)攻擊，TCP掃描攻擊，BT下載，基于IP地址沖突的攻擊，分析網(wǎng)絡(luò)中的偽造IP和 MAC地址攻擊，分析網(wǎng)絡(luò)中的碎片和溢出攻擊，分析網(wǎng)絡(luò)中的郵件收發(fā)是否正常，分析網(wǎng)絡(luò)中的DNS通訊是否正常，分析網(wǎng)絡(luò)中的HTTP網(wǎng)頁訪問是否正常，分析網(wǎng)絡(luò)中的 MSN通訊是否正常，，分析查找網(wǎng)絡(luò)中感染病毒的機器，分析查找網(wǎng)絡(luò)速度慢故障，分析查找網(wǎng)絡(luò)時斷時續(xù)故障，分析查找內(nèi)部用戶無法上網(wǎng)故障，分析網(wǎng)絡(luò)中潛在的安全隱患，分析查找網(wǎng)絡(luò)中暴力破解用戶名與密碼攻擊，分析查找網(wǎng)絡(luò)中的蠕蟲病毒攻擊，分析查找網(wǎng)絡(luò)中是否存在使用HTTP代理的程序，如QQ、MSN等等。

（3）協(xié)議分析

對協(xié)議的分析包括自動識別網(wǎng)絡(luò)應(yīng)用，分析網(wǎng)絡(luò)應(yīng)用，分析網(wǎng)絡(luò)應(yīng)用的帶寬占用情況，確定網(wǎng)絡(luò)應(yīng)用的數(shù)據(jù)包數(shù)，確定特定網(wǎng)絡(luò)應(yīng)用的主機，自動對協(xié)議進(jìn)行字段解碼、16進(jìn)制解碼、ASCII解碼、EBCDIC解碼，識別非正常的協(xié)議應(yīng)用，識別偽造的數(shù)據(jù)包等等。

（4）連接分析

主要包括分析網(wǎng)絡(luò)中物理端點間的通訊連接，分析網(wǎng)絡(luò)中IP端點間的通訊連接，分析網(wǎng)絡(luò)中TCP通訊連接，重組并還原TCP通訊，確定TCP數(shù)據(jù)傳輸是否亂序，分析網(wǎng)絡(luò)中UDP通訊數(shù)據(jù)，分析網(wǎng)絡(luò)中的BT下載，分析網(wǎng)絡(luò)中的TCP掃描，分析網(wǎng)絡(luò)中的DOS／DDOS／DRDOS攻擊，分析網(wǎng)絡(luò)中特定應(yīng)用的數(shù)據(jù)通訊，分析網(wǎng)絡(luò)中特定主機的數(shù)據(jù)通訊，分析網(wǎng)絡(luò)中的異常數(shù)據(jù)通訊等等。

（5）安全分析

網(wǎng)絡(luò)可疑行為分析管理系統(tǒng)對網(wǎng)絡(luò)攻擊及安全性進(jìn)行評估，主要包括，快速定位網(wǎng)絡(luò)攻擊源，分析網(wǎng)絡(luò)異常行為，評估網(wǎng)絡(luò)中的網(wǎng)頁訪問是否存在網(wǎng)絡(luò)傳輸風(fēng)險，評估網(wǎng)絡(luò)中的郵件收發(fā)是否存在網(wǎng)絡(luò)傳輸風(fēng)險，評估網(wǎng)絡(luò)中的FTP文件傳輸是否存在網(wǎng)絡(luò)傳輸風(fēng)險，評估網(wǎng)絡(luò)中的終端訪問是否存在網(wǎng)絡(luò)傳輸風(fēng)險，幫助網(wǎng)絡(luò)管理人員設(shè)定網(wǎng)絡(luò)安全基準(zhǔn)等等。

（6）性能管理

網(wǎng)絡(luò)可疑行為分析管理系統(tǒng)詳細(xì)的分析網(wǎng)絡(luò)的性能情況，幫助管理者找到網(wǎng)絡(luò)性能瓶頸?？梢源_定網(wǎng)絡(luò)出口帶寬的最大值，網(wǎng)絡(luò)出口帶寬的利用率，網(wǎng)絡(luò)內(nèi)部帶寬使用情況，網(wǎng)絡(luò)中關(guān)鍵設(shè)備的負(fù)載情況，評估網(wǎng)絡(luò)中關(guān)鍵設(shè)備的吞吐率，網(wǎng)絡(luò)傳輸性能的高低，幫助網(wǎng)絡(luò)管理人員設(shè)定網(wǎng)絡(luò)性能基準(zhǔn)等等。

2.3 安全分析和報表輸出

系統(tǒng)內(nèi)部完成對數(shù)據(jù)包的分類解析后，立即傳遞給對應(yīng)的數(shù)據(jù)分析引擎。數(shù)據(jù)分析引擎根據(jù)系統(tǒng)安監(jiān)數(shù)據(jù)庫中的病毒／蠕蟲特征碼、安監(jiān)關(guān)鍵字等進(jìn)行數(shù)據(jù)分析，并將分析結(jié)果通過系統(tǒng)界面反饋給用戶，反饋的途徑主要有視圖、圖表、日志、工程文件、數(shù)據(jù)包文件。

2.4 數(shù)據(jù)庫更新

網(wǎng)絡(luò)行為監(jiān)測系統(tǒng)在進(jìn)行安全分析時，需要加載主機OS和應(yīng)用的指紋數(shù)據(jù)、蠕蟲病毒／木馬特征庫等信息，為保證監(jiān)測的準(zhǔn)確度，降低誤報率，這些數(shù)據(jù)要能夠?qū)崟r更新。

3 結(jié)束語

［1］ 楊曉麗，王俊淑.互聯(lián)網(wǎng)用戶異常行為檢測［J］.江蘇通信，2013，（04）.

［2］ 黃超.網(wǎng)絡(luò)異常行為檢測與分析方法研究［D］.西安電子科技大學(xué)，2010.