基于內容審查過濾的網絡安全研究

摘 要：提出了一種對在網上傳送的信息內容進行檢查的方案，符合要求的內容才可以在我國的網上傳播，不符合的就予以堵塞，以實現對網絡內容的管理。 關鍵詞：分布式網絡內容監控； 內容監控審計； 信息安全 中圖法分類號：TP393 文獻標識碼：A 文章編號：1001-3695(2006)10-0130-03 Network Security Study Based on Content A"，"Introduction":1，"Columns":"信息安全"，"Volume":1，"Content":"

摘 要：提出了一種對在網上傳送的信息內容進行檢查的方案，符合要求的內容才可以在我國的網上傳播，不符合的就予以堵塞，以實現對網絡內容的管理。

關鍵詞：分布式網絡內容監控； 內容監控審計； 信息安全

中圖法分類號：TP393 文獻標識碼：A 文章編號：1001-3695(2006)10-0130-03

Network Security Study Based on Content Audit and Filter

ZHU Yehang，DAI Guanzhong，MU Dejun，LI Yanling

(College of Automation， Northwestern Polytechnical University， Xi’an Shanxi 710072， China)

Abstract:This paper puts forward a kind of project for proceeding the check to the information contents delivered on Internet. Only the contents can spread on domestic logical boundary， the others will be filtered， to manage the network contents.

Key words:Distributed Network Content Monitor; Information Monitor and Audit; Information Security

國際互聯網的發展使得人與人之間的信息交流變得更為方便，與此同時，互聯網也成了色情、暴力、反動信息傳播的場所。對網上信息的內容進行監管和控制，有效阻止不良信息在我國的非法傳播，確保網上信息內容的安全成為十分重要的課題，這關系到國家安全與社會穩定。

目前國內外在網絡內容過濾方面均已開展了研究，并取得了一定的研究成果，有些成果已成為產品投入市場。網站內容安全監管系統應實現的主要目標如下：

（1）對于本地電子郵件進行基于內容的檢查，并為不良信息的控制提供電子舉證功能。

（2）對不良信息源所發出的數據信息進行濾除，同時對于信息來源以及內容進行記錄，即建立完善的內容安全日志。

（3）建立可靠的資料儲存系統和權威的舉證機制，建立有效的審計分析系統。

（4）建立自動內容檢測系統。在現有技術條件下，可采用信息檢索和人工檢查相結合的辦法來完成信息內容監控。今后可針對網上的各種信息形式，結合智能技術開發出相應的產品，以加強和完善此項功能。

（5）健全網站信息內容安全監管系統的管理制度以及完善相應的互聯網法規。

1 方案框架結構

本方案的框架結構如圖1所示。

（1）集中監控與分布式監控相結合。以陜西省為例說明，在省內各城市如西安、寶雞市入網的必經路上串設監控點，不相關數據包直接轉發，相關數據包進行分析處理，這些監控點受省監控中心控制完成一定的監控任務，并把一些相關內容上傳給省監控中心進行處理。

在每個城市內部，如西安市內的各有關單位的入網處同樣串設監控點，無關數據包直接轉發，相關數據包進行分析處理。這些監控點受西安市監控中心控制，并把一些相關內容上傳給西安市監控中心。

（2）通過對BBS記錄原始數據的處理，將網上的虛擬社團找出來，對流進流出的有問題的虛擬社團信息都進行監控。

（3）各行政單位內部存儲原始數據。由于大多數行政單位均使用代理服務器，對外呈現同樣的IP地址，當發現某單位內部有問題時無法追查下去，無法確定屬于哪臺機子。因此在各單位內部有必要保存一定時期的原始數據，如保存最近10天的數據。內部存儲原始數據如圖2所示。

每臺PC機都通過其所在的基層單位的網絡進入互聯網，可在網絡通路上設一個關口，其作用是記錄往來的數據。關于要屏蔽的內容可以從上級監控中心處下載。網絡內容監控系統的基本工作原理是根據設置的安全策略，采用關鍵字匹配或者語義分析等技術手段，對經過被監控點的數據報文進行檢查，如果滿足安全性要求就進行正常的路由轉發，否則根據安全策略的規定進行處理。網絡內容監控系統由報文捕獲、內容過濾、智能響應和安全策略模塊組成。其基本結構如圖3所示。

報文捕獲模塊獲取網絡報文并提交給后續模塊以進一步處理。安全策略是內容過濾和智能響應的依據，安全策略庫完成安全策略的動態維護功能，包括策略條目的增加、刪除和修改。內容過濾模塊是系統的主體部分，它采用關鍵字匹配或語義分析等技術，檢查報文是否含有可疑信息。智能響應模塊的功能是在內容過濾模塊檢測到含有可疑數據的報文時，根據安全策略的規定對數據包進行處理。

為了實現對傳輸明文的檢查，必須在解析數據包頭的基礎上進一步重組還原完整數據。數據包重組還原模塊如圖4所示。根據TCP/IP原理中IP數據封裝、數據包分片及分片的重組等技術對數據進行還原。數據包重組還原模塊將采集的IP 數據包重組為TCP數據包，再進一步重組為應用層協議信息。特征匹配模塊將信息過濾，若發現敏感信息將其相關信息記入數據庫中。在客戶端可以實現對信息的顯示、查詢、統計、重組還原和特征匹配。

將捕獲的數據包一步一步重組為應用層數據。根據IP包頭中的信息（源地址、目的地址和標志號等）可以識別出哪些IP包屬于同一個TCP或UDP包，并且將它們重組為TCP或UDP包;再根據TCP或UDP包頭中的信息(源端口號、目的端口號、序號等)可以恢復原始會話的內容，經過進一步處理可以完成應用層協議的重現，并對內容還原分析。

2 方案的內容

2．1 方案的具體內容

傳統的包過濾防火墻的控制粒度是單個的數據包，而IP應用代理技術的控制粒度則是具體的應用協議的協議數據。

根據此模型，一個網絡內容安全系統由應用代理模塊、訪問控制模塊、內容過濾模塊和主控模塊組成。網絡內容安全系統運行在與Internet無直接路由連接的子網網關上，所有內部子網上的節點要想訪問Internet上的資源，都必須通過與Internet連接的網關上的代理服務才能實現。基于這樣的原因，網關上的代理服務能夠對所有進出子網的數據通信的具體內容進行分析和過濾。針對不同的應用協議實現相應的代理服務模塊，并將其集成到本框架中，以提供對該協議的內容安全保障。根據安全策略，可能只允許來自內部子網的某些節點或者特定用戶通過網關的代理服務訪問Internet，更靈活的訪問控制策略甚至可以根據用戶的訪問時間作出是否允許訪問的決定。對于具體協議的通信內容的安全性則由內容過濾模塊來分析判定。如果實際傳輸的內容違反內容安全策略，那么有關的連接將被阻斷或者某些傳輸內容會被刪除。內容過濾模塊的主要功能就是為應用代理模塊傳輸內容提供內容安全性判定，根據應用協議的不同，采取不同的內容過濾算法。內容過濾模塊根據內容過濾規則數據庫中的配置信息過濾傳輸內容。主控模塊最重要的功能是控制應用代理模塊的啟動或關閉、配置訪問控制規則數據庫、配置內容過濾規則數據庫。網絡內容安全系統模型如圖5所示。

對于圖文可從一幅圖中找到文字描述部分，并把相應的漢字識別出來，與我們要禁止傳播的內容進行匹配，如果相符就對其攔截，并把傳播這一信息的網址記錄在案，直至全面封堵。進一步還可以做到對視頻中正在播放的畫面抓屏，如每5s抓一幀畫面，進行類似的處理；還可以對視頻中伴隨的伴音進行語音處理，看是否有匹配要查禁的內容；當然純文本中出現的關鍵字也可以用相應的內碼查出來。另外，為了便于管理，還要在各檢查點與相應的網絡監控中心之間傳遞信息，我們采用網上定期自動下載更新內容的辦法，也可由監控中心從網絡上直接下傳信息更新其所轄的各監控點的內容。我們不能一個個地去改各監控點的程序和特征碼，那樣很麻煩，最方便的就是從高層的監控中心把程序和特征碼直接從網上下傳到低一級的監控中心，再由低一級的監控中心下傳到更低一級的監控中心，這樣層層下傳，直到最底層的監控點。

2．2 采取的研究方法

考慮采取計算機自動處理和人工分析相結合的方案，對于所獲得的多媒體采樣信息，由系統對其信息類型作出自動判別，并以相應的文件格式分類保存在系統數據庫中。審查工作人員可定期從數據庫中提取這些文件進行人工處理，并對檢查結果作記錄。

先建單個的檢查點，再實現監控中心與檢查點之間從網上傳遞信息，由監控中心管理控制它下轄的各個檢查點，同時監控中心又受控于它上一層的監控中心，層層監控，直到最低層的監控點。內容檢查是實現網站內容監管系統的關鍵部分，它包括提取、搜索、濾除、審計。內容提取主要是實現不同信息的分類，目前可以分為文字信息、圖像信息、視頻信息或音頻信息。根據不同信息采取不同的處理方式，現階段對于網絡信息的內容安全監管主要針對文字信息數據。最常見并已投入使用的文本信息處理技術就是利用關鍵詞和短語的匹配檢索來進行安全檢查。圖像檢查系統主要由圖像捕獲模塊、檢索引擎、參照庫、輔助知識庫和結果庫組成，如圖6所示。其中圖像捕獲模塊主要完成網絡數據截取和協議分析。針對文件傳輸協議(FTP)、超文本傳輸協議(HTTP)和簡單郵件傳輸協議(SMTP)的數據截取和協議分析，提取上述協議傳輸數據中的圖像并提交給檢索引擎。檢索引擎是本系統的核心，主要是采用基于輪廓特征抽取與多智能體技術的圖像內容檢索算法，對所要檢索的圖像計算特征值，并在輔助知識庫的輔助下在參照庫中檢索，將檢索的結果提交給結果庫。審計與分析主要對所記錄的違規行為和違規用戶進行分析，根據分析結果采取相應措施。審計與分析是進一步完善改進內容檢查資料庫，提高內容檢測的準確性和效率所必須的一種手段。另外，對于審計日志的審計分析還能為不良信息的使用提供舉證。

多媒體信息的智能識別技術已取得了一定的成果，可以為一些多媒體信息的內容分析提供解決方案。我們通過功能強大的連續語音識別系統，可以把語音信號轉換成計算機信號進行識別處理；我們同樣可以利用這項技術對網上傳輸的聲音數據進行處理，把其中的語音信息轉換為文字信息，以便由計算機對此實行內容安全處理。基于內容的圖像檢索是另一項可以應用在信息內容(CBIR)分析上的智能技術。通過對圖像的視覺特征，如顏色、紋理、形狀、臉部等進行特征表達和特征提取，并實行多維度的索引，可以對圖像的內容作出識別。

3 結束語

總之，本項目相當復雜，要過濾的內容由用戶來決定，然后由指定人員在他負責的監控中心處輸入系統，并下傳到下級各地區、各部門的監控中心，最終到各監控點，實現網絡內容的監控，使因特網上內容可控。

參考文獻：

［1］許強，江早，趙宏.基于圖像內容過濾的智能防火墻系統研究[J].計算機研究與發展，2000，37(4)：458-464.

［2］劉海波.基于多Agent的Internet信息涉密檢查系統[J].計算機工程與應用，2004，40(9)：150151.［3］Neil Desail.Increasing Performance in High Speed NIDS[EB/OL]. http：//www.linuxsecurity.com/resource.files/instrusiondetecttion/increasingperformanceinhighspeedNIDS.pdf，2003-01.

［4］Boyer RS， Moore JS. A Fast String Searching Algorithm[J]. Communications of the ACM， 1977，20：762-772.

［5］Aho AV， Corasick MJ. Efficient String Matching： An Aid to Bibliographic Search[J]. Communications of the ACM，1975，18：333-340.

［6］CommentzWalter B.A String Matching Algorithm Fast on the Average[C]. Proc. of the 6th International Colloquium on Automata Languages， and Programming， 1979.118132.

［7］Wu S， Manber U. A Fast Algorithm for Multipattern Searching[R]. Technical Report TR 9417， University of Arizona， 1994.

［8］Ranum MJ. Thinking about Firewalls v2.0 Veyond Perimeter Security[R]. Information Security Technical Report， 1997.33-45.

［9］劉琦，李建華.網絡內容安全監管系統的框架及其關鍵技術[J].計算機工程，2003，29(2)： 287-288.

［10］費宗蓮.內容過濾新概念[N].計算機世界報，39(D23). http://ww2.ccw.com.cn/02/0239/d/0239d08_2.asp.

［11］張兵.利用WinSock2 SPI進行網絡內容訪問控制[J].網絡世界， 2002，(7).

［12］林陽，祝智庭.國外因特網內容標記與過濾研究概況[EB/OL].http://202.120.94.248，www.celtsc.edu.cn/download，linzhu202.pdf，2004-06-02.

［13］Christiansen C A. Content Security， Policybased Information Protection and Data Integrity[R]. IDC White Paper.

［14］Marchionini G. A Conceptual Framework for Text Filtering[R].University of Maryland， 1996.

作者簡介：

朱燁行(1969-)，男，博士研究生，主要研究方向為網絡信息安全;戴冠中(1937-)，教授，博導，主要研究方向為自動控制、網絡信息安全；慕德俊，教授，博導，主要研究方向為自動控制、網絡信息安全；李艷玲，副教授，主要研究方向為信息安全。

注:本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文