劉瀟瀟

（山西大學(xué)商務(wù)學(xué)院，山西 太原 030031）

基于協(xié)議解析的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

劉瀟瀟

（山西大學(xué)商務(wù)學(xué)院，山西 太原 030031）

隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，計(jì)算機(jī)的應(yīng)用領(lǐng)域日益擴(kuò)張，隨之也產(chǎn)生了不少網(wǎng)絡(luò)安全問題。在很多企事業(yè)單位，計(jì)算機(jī)的網(wǎng)絡(luò)安全問題所引發(fā)的事故不在少數(shù)。許多計(jì)算機(jī)雖然在防火墻等安全措施的保護(hù)下免遭外界風(fēng)險(xiǎn)的干擾，但是往往無法控制內(nèi)部安全隱患的出現(xiàn)。本文設(shè)計(jì)出一套全新的基于協(xié)議解析的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，能夠?qū)?nèi)網(wǎng)安全提供有力技術(shù)服務(wù)。

協(xié)議解析；網(wǎng)絡(luò)安全審計(jì)；安全防護(hù)

1 引言

隨著互聯(lián)網(wǎng)技術(shù)的不斷突破發(fā)展，國(guó)家各行業(yè)的建設(shè)已經(jīng)離不開計(jì)算網(wǎng)絡(luò)的使用。網(wǎng)絡(luò)安全問題愈加成為人們更為關(guān)心的話題。雖然現(xiàn)階段，已經(jīng)出現(xiàn)了大量的防火墻、抗病毒木馬入侵等軟件或技術(shù)措施，為計(jì)算機(jī)的穩(wěn)定運(yùn)行帶來了一定的安全保護(hù)。但是這些技術(shù)的應(yīng)用往往無法對(duì)內(nèi)部網(wǎng)絡(luò)的監(jiān)控或者特殊用戶群體的使用發(fā)揮更有效的作用，從而導(dǎo)致大量的計(jì)算機(jī)網(wǎng)絡(luò)容易受網(wǎng)絡(luò)內(nèi)網(wǎng)攻擊，安全問題亟待解決。因此，十分有必要針對(duì)這樣的網(wǎng)絡(luò)風(fēng)險(xiǎn)，設(shè)計(jì)出一種可以防范內(nèi)部攻擊的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。

2 主要研究?jī)?nèi)容

本文緊密結(jié)合網(wǎng)絡(luò)數(shù)據(jù)源理論，將采用協(xié)議解析的分析手段來設(shè)計(jì)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，在客觀分析設(shè)計(jì)需求后，對(duì)系統(tǒng)的體系結(jié)構(gòu)進(jìn)行設(shè)計(jì)，并完成相應(yīng)的功能模塊的設(shè)計(jì)，實(shí)現(xiàn)在協(xié)議層對(duì)網(wǎng)絡(luò)內(nèi)部資源和人員行為的監(jiān)控。

3 系統(tǒng)總體設(shè)計(jì)

3.1 系統(tǒng)項(xiàng)目概述

本次設(shè)計(jì)的主要目的在于能夠?qū)W(wǎng)絡(luò)內(nèi)部的協(xié)議進(jìn)行必要的解析，然后通過監(jiān)控具體的內(nèi)部網(wǎng)絡(luò)中的資源分配，加強(qiáng)對(duì)服務(wù)器數(shù)據(jù)的防護(hù)，防止非法入侵和信息泄露。同時(shí)，網(wǎng)絡(luò)安全審計(jì)系統(tǒng)還能夠記錄不同的用戶在計(jì)算機(jī)上的操作痕跡，對(duì)于具體的操作步驟、不同的數(shù)據(jù)處理歷史記錄等實(shí)行監(jiān)控，從而限制操作人員的行動(dòng)，規(guī)避內(nèi)網(wǎng)受攻擊的風(fēng)險(xiǎn)。本文主要從網(wǎng)絡(luò)協(xié)議部分展開技術(shù)設(shè)計(jì)，在實(shí)現(xiàn)階段也會(huì)對(duì)不同網(wǎng)絡(luò)協(xié)議進(jìn)行操作處理，方便掌握用戶操作信息。

3.2 系統(tǒng)設(shè)計(jì)需求

3.2.1 設(shè)計(jì)原則

本文中提到的網(wǎng)絡(luò)安全設(shè)計(jì)系統(tǒng)的設(shè)計(jì)基本原則主要有兩方面要遵循：

首先，系統(tǒng)的設(shè)計(jì)要體現(xiàn)模塊化。安全審計(jì)系統(tǒng)的設(shè)計(jì)必然需要龐大的數(shù)據(jù)庫(kù)信息，同樣應(yīng)該體現(xiàn)必要的層次。一旦不區(qū)分層次，不分割模塊，當(dāng)系統(tǒng)出現(xiàn)細(xì)小的問題依然需要工作人員對(duì)所有的環(huán)節(jié)和部位都進(jìn)行檢查，影響系統(tǒng)的運(yùn)行效果，同時(shí)發(fā)現(xiàn)問題后進(jìn)行修改也同樣存在巨大的麻煩。系統(tǒng)劃分模塊，便于工作人員在對(duì)應(yīng)的位置查找問題和維修養(yǎng)護(hù)，提高工作效率。當(dāng)然，模塊化的設(shè)計(jì)，還有利于企事業(yè)單位的技術(shù)人員變動(dòng)后不會(huì)對(duì)網(wǎng)絡(luò)安全造成影響。

其次，系統(tǒng)的設(shè)計(jì)要便于擴(kuò)展。系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)一般都會(huì)體現(xiàn)出動(dòng)態(tài)化的更新狀態(tài)。因此在系統(tǒng)實(shí)現(xiàn)后，不會(huì)將所有的網(wǎng)絡(luò)應(yīng)用層協(xié)議都完全解析，應(yīng)該將設(shè)計(jì)中的部分端口設(shè)計(jì)成方便擴(kuò)展的結(jié)構(gòu)形式，以便在更改內(nèi)容后能夠調(diào)整

協(xié)議的解析內(nèi)容。

3.2.2 系統(tǒng)需求分析

本文設(shè)計(jì)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)按照需求而言，主要體現(xiàn)兩方面的功能，對(duì)應(yīng)于設(shè)計(jì)完成兩大功能模塊。

第一，審計(jì)控制界面。對(duì)這一功能的具體需求分析包括：

（1）具備套接字socket的處理功能，實(shí)現(xiàn)控制界面與其他功能模塊之間的通信聯(lián)接。

（2）控制界面還能與數(shù)據(jù)庫(kù)實(shí)現(xiàn)聯(lián)接，從而存放安全審計(jì)數(shù)據(jù)。

（3）具備對(duì)審計(jì)事件的記錄、顯示、查詢等服務(wù)功能。

（4）界面能夠配置不同的審計(jì)策略，并對(duì)策略展開有效管理。

第二，審計(jì)引擎。對(duì)這一功能的具體需求分析包括：（1）具備套接字socket的處理功能，實(shí)現(xiàn)審計(jì)引擎與控制界面模塊之間的通信聯(lián)接。

（2）對(duì)網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)審計(jì)后能夠獲得數(shù)據(jù)包。

（3）系統(tǒng)的協(xié)議解析功能主要體現(xiàn)引擎對(duì)OSI結(jié)構(gòu)的傳輸層、IP層、以太網(wǎng)層等協(xié)議解析。

（4）向控制界面反饋處理結(jié)果。

3.3 結(jié)構(gòu)設(shè)計(jì)

由上文可知網(wǎng)絡(luò)安全審計(jì)系統(tǒng)由兩部分構(gòu)成。在實(shí)際運(yùn)用中，兩大部分的功能可以在同一個(gè)主機(jī)上完成，也可以分立于兩個(gè)主機(jī)單獨(dú)體現(xiàn)。如圖1所示為系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)圖。

當(dāng)然，圖1所示的功能運(yùn)作流程可簡(jiǎn)述如下：

第一，在審計(jì)工作之前，技術(shù)人員將審計(jì)策略以數(shù)據(jù)形式存于數(shù)據(jù)庫(kù)中。一旦需要審計(jì)，則會(huì)將審計(jì)策略按一定配置規(guī)則重組后，通過兩功能模塊的socket鏈接傳遞到審計(jì)引擎中。

第二，審計(jì)引擎在獲得審計(jì)策略后，根據(jù)策略的規(guī)則開始對(duì)網(wǎng)絡(luò)內(nèi)部的各種數(shù)據(jù)進(jìn)行解析。解析完成的數(shù)據(jù)又會(huì)經(jīng)過socket端口重新到審計(jì)控制界面中，完成上報(bào)。

第三，審計(jì)控制界面在收到信息數(shù)據(jù)后，就將一一顯示數(shù)據(jù)分析結(jié)果，相應(yīng)地內(nèi)容還會(huì)存入到ACCESS數(shù)據(jù)庫(kù)中。提取必要的數(shù)據(jù)包進(jìn)行分析后，以不斷解析的方式來判斷用戶是否出現(xiàn)內(nèi)部入侵的違規(guī)行為。

圖1 系統(tǒng)的體系結(jié)構(gòu)設(shè)計(jì)圖

3.3.1 系統(tǒng)審計(jì)控制界面的結(jié)構(gòu)分析

本文設(shè)計(jì)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)所具備的審計(jì)控制界面可以由前文的模塊功能設(shè)計(jì)需求分析而得知。通過微軟基礎(chǔ)類庫(kù)MFC的單文檔視圖理論可以得到具體的界面結(jié)構(gòu)層次圖如圖2所示：

圖2 系統(tǒng)審計(jì)控制界面模塊結(jié)構(gòu)視圖

綜合分析后，本文將系統(tǒng)的控制界面設(shè)計(jì)成7個(gè)功能化的模塊，分別具有不同的功能，采用ACCESS數(shù)據(jù)庫(kù)作為介質(zhì)對(duì)模塊之間進(jìn)行連接。圖2中，我們將7個(gè)模塊分別標(biāo)記為①-⑦，則對(duì)應(yīng)標(biāo)號(hào)的模塊功能具體介紹如下:

(1)初始化模塊。確保系統(tǒng)識(shí)別邏輯定義后開始運(yùn)行前要進(jìn)行初始化，從而積極優(yōu)化數(shù)據(jù)庫(kù)信息，確保運(yùn)行環(huán)境的狀態(tài)正常。

(2)視圖切換模塊。此功能中，界面有時(shí)會(huì)用到多窗口信息查看，這時(shí)就必然需要對(duì)窗口進(jìn)行管理，方便最小化和最大化，方便不同窗口的前置切換。

(3)新建策略模塊。當(dāng)計(jì)算機(jī)用戶在完成對(duì)不同的審計(jì)狀況配置不同策略后，需要借助此功能來完成對(duì)審計(jì)策略的操作，積極建立與數(shù)據(jù)庫(kù)的實(shí)時(shí)鏈接，下發(fā)策略到ACCESS數(shù)據(jù)庫(kù)中。

(4)已建策略操作模塊。對(duì)于機(jī)已經(jīng)配置完成且存儲(chǔ)于數(shù)據(jù)庫(kù)中的審計(jì)策略，控制界面中的策略處理功能可以按照

用戶的指令對(duì)策略進(jìn)行修改或刪除，同時(shí)也可以實(shí)現(xiàn)對(duì)采用新建模塊未完成的策略進(jìn)行刪除。

(5)事件顯示模塊。此模塊能夠?qū)徲?jì)引擎功能模塊中產(chǎn)生的數(shù)據(jù)流實(shí)時(shí)記錄后傳遞到控制界面上，從而完成同步化的操作。

(6)事件查詢模塊。對(duì)于來自審計(jì)引擎的事件，用戶有時(shí)需要進(jìn)行回放或復(fù)查，在對(duì)數(shù)據(jù)進(jìn)行配置修改中方面查詢操作。

(7)套接字通訊模塊。在此模塊中，通過控制套接字socket，能夠?qū)崿F(xiàn)對(duì)控制界面與審計(jì)引擎之間的審計(jì)策略的產(chǎn)生與傳遞、輸入與輸出過程管理。

3.3.2 審計(jì)引擎結(jié)構(gòu)

通過前文的系統(tǒng)設(shè)計(jì)需求分析，我們明確了審計(jì)引擎的結(jié)構(gòu)設(shè)計(jì)應(yīng)采用層次化的思想，建立具有明確功能的模塊，通過分析和對(duì)比，本文將采用VC++語言來實(shí)現(xiàn)模塊的對(duì)應(yīng)功能。針對(duì)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的審計(jì)引擎功能模塊而言，其重點(diǎn)任務(wù)首當(dāng)其沖的就是抓取在互聯(lián)網(wǎng)中的數(shù)據(jù)信息。在互聯(lián)網(wǎng)中，數(shù)據(jù)信息的傳輸基本都采用TCP/IP協(xié)議的信道爭(zhēng)用技術(shù)來完成。因此，將已經(jīng)連入互聯(lián)網(wǎng)的主機(jī)作為實(shí)驗(yàn)對(duì)象來處理，修改其網(wǎng)卡的工作模式，按照監(jiān)聽模式運(yùn)行后，就可以獲取此刻處于相同地址沖突的數(shù)據(jù)包。通過分析，本文選擇使用WinPcap手段來實(shí)現(xiàn)對(duì)審計(jì)引擎功能的數(shù)據(jù)抓包。一旦數(shù)據(jù)抓包成功，審計(jì)引擎就會(huì)在OSI七層網(wǎng)絡(luò)模型中從以太網(wǎng)層開始向著應(yīng)用層等不同的公共網(wǎng)絡(luò)層展開解析。在解析的過程中，還同時(shí)進(jìn)行其它操作，這些操作都需要具體的模塊來實(shí)現(xiàn)快速跟蹤處理。一旦完成從以太網(wǎng)層到應(yīng)用層的層次解析后，審計(jì)引擎就會(huì)將結(jié)果上傳到控制界面，通過其它的功能模塊來完成對(duì)審計(jì)結(jié)果的組織包裝，這些組織包裝的過程中同樣需要按不同網(wǎng)絡(luò)協(xié)議來設(shè)置形式。

根據(jù)上文提到的具體需求，審計(jì)引擎的功能一般按9部分來劃分模塊。其不同模塊的不同功能介紹如下：

(1)模塊一就是實(shí)現(xiàn)數(shù)據(jù)抓包的模塊，通過這樣模塊的設(shè)計(jì)，內(nèi)部互聯(lián)網(wǎng)中的數(shù)據(jù)流通過使用WinPcap手段被提取。

(2)模塊二就是在獲得足夠多的數(shù)據(jù)包后，及時(shí)在網(wǎng)絡(luò)結(jié)構(gòu)層的不同層次之間進(jìn)行數(shù)據(jù)解析。這些抓取數(shù)據(jù)屬于原始數(shù)據(jù)，需要在必要的函數(shù)處理中，以相應(yīng)的分量來解析協(xié)議變量，從而實(shí)現(xiàn)解析函數(shù)的不同應(yīng)用層之間的調(diào)動(dòng)。

(3)在IP地址的解析模塊中，模塊需要分析IP地址是否需要重組，也需要使用必要的函數(shù)處理完成解析操作。以相應(yīng)的分量來解析協(xié)議變量，從而實(shí)現(xiàn)解析函數(shù)的對(duì)應(yīng)應(yīng)用層之間的調(diào)動(dòng)。

(4)此模塊是用戶數(shù)據(jù)報(bào)協(xié)議的解析模塊。當(dāng)完成IP地址的數(shù)據(jù)包解析后就需要開始對(duì)用戶數(shù)據(jù)報(bào)協(xié)議(UDP)的數(shù)據(jù)包進(jìn)行解析操作，需要在必要的函數(shù)處理中，以相應(yīng)的分量來解析協(xié)議變量，從而實(shí)現(xiàn)解析函數(shù)的對(duì)應(yīng)應(yīng)用層之間的調(diào)動(dòng)。

(5)這一模塊是傳輸控制協(xié)議解析模塊。當(dāng)完成用戶數(shù)據(jù)報(bào)協(xié)議的數(shù)據(jù)包解析后，數(shù)據(jù)將輸出到傳輸控制協(xié)議(TCP)部分，TCP解析模塊需要阻擋傳輸控制協(xié)議的不完全連接，同時(shí)積極重組。對(duì)網(wǎng)絡(luò)協(xié)議上一層解析模塊傳入的數(shù)據(jù)進(jìn)行解析，以相應(yīng)的分量來解析協(xié)議變量，從而實(shí)現(xiàn)解析函數(shù)的不同應(yīng)用層之間的調(diào)動(dòng)。解析完成后，數(shù)據(jù)傳輸給應(yīng)用層。

(6)用戶數(shù)據(jù)報(bào)協(xié)議的解析模塊和傳輸控制協(xié)議解析模塊中所需的配置策略，需要由特定的模塊來提供驗(yàn)證服務(wù)等匹配動(dòng)作，這些匹配動(dòng)作的實(shí)現(xiàn)由本模塊完成。

(7)在完成傳輸控制協(xié)議解析模塊的數(shù)據(jù)解析后，需要對(duì)應(yīng)用層進(jìn)行解析。本模塊將借助前面幾層的解析數(shù)據(jù)展開復(fù)雜函數(shù)的調(diào)用，從而實(shí)現(xiàn)應(yīng)用層的協(xié)議解析。

(8)當(dāng)應(yīng)用層完全完成數(shù)據(jù)解析后，產(chǎn)生的各個(gè)分量應(yīng)該以特定的格式組合后，形成完整的審計(jì)事項(xiàng)。

(9)套接字Socket處理模塊的應(yīng)用，能夠接收到由審計(jì)引擎完成的審計(jì)策略并傳送到控制界面。當(dāng)然，套接字Socket還應(yīng)該對(duì)各種策略數(shù)據(jù)進(jìn)行組合包裝，將組合形成的完整審計(jì)事項(xiàng)以Socket方式發(fā)給控制界面。

4 結(jié)束語

網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的設(shè)計(jì)，基于協(xié)議解析的數(shù)據(jù)分析手段具有重要的意義。它是對(duì)常規(guī)的網(wǎng)絡(luò)安全手段的一種擴(kuò)展和補(bǔ)充，能夠有效緩解當(dāng)前所面臨的網(wǎng)絡(luò)安全危機(jī)，從內(nèi)部網(wǎng)絡(luò)資源和內(nèi)部人員的操作活動(dòng)監(jiān)控入手實(shí)現(xiàn)對(duì)內(nèi)部風(fēng)險(xiǎn)的防范和控制。本文設(shè)計(jì)審計(jì)系統(tǒng)后，描述了系統(tǒng)的重點(diǎn)結(jié)構(gòu)和建造過程，闡述了不同模塊的基本作用與實(shí)現(xiàn)方法。監(jiān)控內(nèi)網(wǎng)安全操作問題可以有效降低網(wǎng)絡(luò)中的數(shù)據(jù)信息泄密的概率。相信在不久的將來，會(huì)有更加強(qiáng)大和完善的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)問世，為網(wǎng)絡(luò)安全提供更多的幫助。

[1]陳泉清．基于協(xié)議解析的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]．電子科技大學(xué)，2014．

[2]陳敬森．運(yùn)用協(xié)議解析的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的研究[J]．信息與電腦(理論版)，2016(7)．

[3]張運(yùn)明．協(xié)議行為審計(jì)關(guān)鍵技術(shù)研究與實(shí)現(xiàn)[D]．國(guó)防科學(xué)技術(shù)大學(xué)，2010．

Design and Implementation of Network Security Audit System Based on Protocol Analysis

Liu Xiaoxiao
(Business College of Shanxi University,Taiyuan 030031,Shanxi)

With the rapid development of network technology,the application of computer is increasingly expanding,and it also produces a lot of network security issues.There are not a few accidents caused by computer network security problems.Although many computers can escape from the external risk of interference under the protection of firewall and other security measures,they can’t control the emergence of internal security risks.This paper designs a new network security audit system based on protocol analysis,which can provide powerful technical services to network security.

protocol analysis;network security audit;security protection

TP393.08；TP311.52

A

1008-6609(2016)07-0018-04

劉瀟瀟，女，河南永城人，碩士，講師，研究方向：網(wǎng)絡(luò)與信息安全。

山西省軟科學(xué)研究項(xiàng)目：＂山西政府行業(yè)信息安全風(fēng)險(xiǎn)評(píng)估及對(duì)策研究＂，項(xiàng)目編號(hào)：2015041002-1。