網絡環境下數據監測系統的研究

摘要:該文在明確網絡安全重要性的基礎上，引出了數據監測系統的研究意義，并對系統中的網絡數據控制以及網絡數據捕獲的設計與實現作了詳細的研究，為網絡的安全提供了一定的保障。該文希望能為其它數據監測方面的研究提供一定的參考及借鑒作用。

關鍵詞:數據監測;數據控制;數據捕獲

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)33-9159-02

The Research of Data Monitoring System based on Network Environment

CHENG Yi-yun

(Nanjing Institute of Politics，Shanghai Branch， Shanghai 200433， China)

Abstract: At first，the paper has specifically introduced the importance of network security.Then the paper has leaded the research significance of data monitoring system.Secondly，the paper has studied the design and implementation of network data's control and capture in order to offers a certain protection for network security.The paper hopes to offers some reference and a similar approach for other research of the data monitor.

Key words: data monitoring; data control; data capture

在開放的網絡環境中，相對于過去的主機環境、單機環境，基于網絡連接的安全問題變得越來越復雜和突出。同時，隨著人們對網絡依賴程度的日漸加深，網絡安全也表現得越來越重要。由于網絡的互聯共享，來自網絡內部和外部的攻擊不可避免[1]。因此，網絡安全問題日益成為一個關注焦點。

數據監測是保障網絡安全的一個重要措施，通過有效的數據監測系統，可以限制流量、控制網絡數據、并通過捕獲的數據包檢測網絡的安全狀態，有效保證安全數據的正常傳輸，在一定程序上阻止了攻擊探測數據包的傳輸。本文就是針對網絡環境，研究數據監測系統的設計與實現。

1 數據監測系統的設計

1.1 網絡數據控制的設計

數據監測系統的數據控制模塊主要目的是阻止攻擊者利用網絡系統的管理主機作為跳板去攻擊別的機器，但是只是盡量的減少，而不是杜絕這種行為。當然，針對網絡任何的掃描、探測和連接管理主機是允許的，但是對從主機出去的掃描、探測、連接，網絡安全系統卻必須有條件的放行，如果發現出去的數據包有異常，網絡安全系統或者系統管理員必須加以制止。本文研究的數據監測系統的數據控制設計原理如圖1所示。

數據控制模塊使用兩層來進行數據控制:防火墻和信息檢測系統(IDS)。防火墻為了防止內部網絡安全系統的管理主機被作為跳板攻擊其它正常系統，我們必須對管理主機的外部連接數進行控制，如只允許在一定的時一間內發送一定數量的數據包。防火墻的主要功能是:設定單向地址攔截或雙向地址攔截，在單向地址攔截時，一方到另一方的資料訪問被禁止，但反向的數據訪問依然能正常進行，不會受到影響;采用先進的狀態監測數據包過濾技術，不僅僅是依靠單個的IP包來過濾，而是對每一個對話和連接進行分析和監控，在系統中自動維護其當前狀態，根據連接的狀態來對IP包進行高效快速安全過濾;對管理主機的外出連接進行控制。當外出連接達到一定數量時，阻斷以后的連接，防止管理主機被攻擊者攻破后用來作為發起攻擊的“跳板”;對所有出入系統的連接進行日志記錄。

而網絡流量由IP信息包組成。這些信息包前面所附帶的一些數據位，它們包含有關信息包的源、目的地和協議類型的信息，稱之為包頭[2]。防火墻根據一組規則檢查這些頭，以確定接受哪個信息包以及拒絕哪個信息包。假如有一些信息包偽造了數據頭，通過數據本身來攻擊，那我們的防火墻就無能為力了。所以，必須利用某種手段，對通過的數據包的內容進行檢測，如果發現是異常的數據包時，就丟棄或者修改這個數據包。

1.2 網絡數據捕獲的設計

本文設計了實現三層數據捕獲的安全系統，即防火墻日志、嗅探器捕獲的網絡數據包、管理主機系統日志。捕獲到數據后，就可以研究攻擊者的技術、工具和動機。

1) 防火墻

所有進出系統的網絡數據包必需通過防火墻，所以防火墻捕獲到的數據將是最全面的，但是防火墻并不記錄具體的數據包內容，而只是記錄各個數據包的通過情況。如果攻擊者利用半開連接掃描管理主機，則在管理主機上將看不到任何情況，但是在防火墻上卻可以看到這些SYN數據。防火墻記錄四種不同類型的數據包:TCP、UDP、ICMP、OTHER[3]。防火墻記錄的日志非常的有價值，因為它在快速標識那些未知的攻擊時非常的關鍵。

2) 嗅探器

嗅探器記錄各種進出內部網絡管理網的數據包內容，嗅探器可以用各種工具，如Ethereal等，我們使用了Tcpdump。記錄的數據以Tcpdump日志的格式進行存儲，這些數據不僅以后可用通過Tcpreplay進行回放，也可以在無法分析數據時，發送給別的研究人員進行分析。

3) 系統行為捕獲

防火墻和嗅探器捕獲的是網絡數據，還需要捕獲發生有管理主機上的所有系統和用戶活動。對于windows系統，可以借助第三方應用程序來記錄系統日志信息。現在大多數的攻擊者都會使用加密來與被黑系統進行通信。要捕獲擊鍵行為，需要從管理主機中獲得，如可以通過修改系統庫或者開發內核模塊來修改內核從而記錄下攻擊者的行為。

2 數據監測系統的實現

2.1 網絡數據控制的實現

網絡的數據控制主要完成對流經系統的數據的控制。首先對流入的數據，由于系統設計的最初目的就是讓攻擊者順利進入并攻擊，所以對于流入的數據不進行任何限制，而且由于系統本身不提供真正的服務，任何進入的流量都被認為是有攻擊企圖的;另一方面，對外出的連接要做限制，并且還要分析數據包抑制攻擊數據包的傳播，防止攻擊者將系統作為跳板對其他正常系統進行攻擊。數據控制的用例分析，如圖2所示。

網絡管理員可定制數據控制規則，并反映到防火墻上;入侵檢測系統通過捕獲數據，對外出的數據包的內容進行檢測，如果發現是異常的數據包時，采取預先定義的策略，然后再將數據包傳回給防火墻進行處理。

本文通過IPTables實現外出連接數限制。通過IPTables擴展選項limit可實現內網外出連接數限制。利用limit在FORWARD鏈配置規則，限制對外發起的連接數上限，這個限制可以是每秒(或者分、小時、天)多少個連接。根據要求，本文添加了IPTables規則來限制對外連接數，下面以限制TCP包為例加以說明，UDP、ICMP和其它數據包作同樣處理。本文使用Snort_inline利用特征檢測來發現有惡意的數據包。Snort_inline是入侵檢測系統Snort的修改版，它可以經由libipq接收來自IPTables的數據包。并根據Snort的規則集對數據包進行檢查，一旦發現惡意代碼就對該數據包采取預先定義的策略，然后再將數據包傳回給IPTables。數據控制機制如圖3所示。

2.2 網絡數據捕獲的實現

本文的網絡數據捕獲功能主要從防火墻、嗅探器以及管理主機三個方面入手。防火墻、管理主機、嗅探器捕獲的日志經過處理存放在數據庫和文件中，已備分析和查詢使用。經過防火墻的數據，可以通過防火墻日志直接獲得，而網絡上的數據包，可以用Tcpdump來進行捕獲。Tcpdump支持相當多的參數。我們在網橋下運行如下命令進行捕獲:

TCPDUMP -c 10 –i eth1 -s 0 –w /log

為了不讓攻擊者知道我們在監視他在主機上的活動，我們采用Sebek來實現我們的目標。Sebek是個隱藏的記錄攻擊者行為的內核補丁。一旦在主機上安裝了Sebek的客戶端，它就在系統的內核級別運行，記錄的數據并不是記錄在本地硬盤上，而是通過UDP數據包發送到遠程服務器上，入侵者很難發現它的存在。

本文研究的數據捕獲是由內核模塊來完成捕獲所有read()的數據。Sebek替換系統調用表的read()函數來實現這個功能，這個替換的新函數只是簡單的調用老read()函數，并且把內容拷貝到一個數據包緩存，然后加上一個頭，再把這個數據包發送到服務端。替換原來的函數就是改變系統調用表的函數指針。本文通過配置參數決定了Sebek收集什么樣的信息，發送信息的目的地。以下就是一個linux配置文件的實例:

INTERFACE = \"eth0\" //設定接口

DESTINATION_IP = \"172.17.1.2\" // 設定遠程服務器IP

DESTINATION_MAC = \"00:0C:29:I5:96:6E\" // 設定遠程服務器MAC

SOURCE_PORT = 1101 // 設定源地址UDP端口

DESTINATION_PORT = 1101 // 設定目標地址UDP端口

MAGIC_VALUE = XXXXX // 如果同一網段有多個客戶端，則設定相同的數值

KEYSTOKE_ONLY = 1 // 是否只記錄鍵擊記錄

本文研究數據捕獲機制如圖4所示。

3 小結

該文研究的數據監測系統能有效地控制網絡數據、捕獲網絡數據，在一定程度上保障了網絡的安全。但是網絡安全技術及攻擊技術是在不斷發展和變化中，要進一步提高網絡安全的環境，必須在數據監測的基礎上，不斷完善網絡安全方案，如加入網絡的入侵檢測技術、流量控制、邊界路由的安全設置及客戶終端等安全防范措施，這樣才能確保網絡數據的安全。

參考文獻:

[1] 周照峰.高速網絡數據包捕獲技術方法研究[J].科技經濟市場，2009，(2):21-23.

[2] 張昊.計算機網絡數據包捕獲技術淺析[J].合肥學院學報(自然科學版)，2009，(2):45-48.

[3] 蔣波，李方軍，郝軍.數據包的截獲與網絡協議分析[J].重慶三峽學院學報，2006，(3):152-154.