計算機網絡安全監控技術分析

中原工學院廣播影視學院 李興華 范小麗

計算機網絡安全監控技術分析

中原工學院廣播影視學院 李興華 范小麗

隨著互聯網技術的飛速發展，計算機網絡正在極大地改變著人們的生產、生活和工作的方式。借助于計算機網絡，人們可以進行新聞瀏覽、信息查詢、電子郵件、網上辦公、即時通信、網上購物、網絡教育、遠程醫療、視頻會議等多種應用。

但是，網絡自身也是一把雙刃劍，它在帶給我們巨大便利的同時，也給網絡管理者帶來許多的問題，蠕蟲病毒、網絡泄密、網絡詐騙、應用瓶頸、各種安全隱患和人為攻擊等網絡故障時常發生。由于網絡設備節點眾多和各種應用的復雜性，網絡管理人員面對這些網絡故障時，往往無從入手。對各種問題的排查和追蹤，每次都要耗費大量的人力和物力，并且提高了維護管理成本，因此，這種維護方式顯得非常被動。

為了改善這種被動的局面，網絡監測和控制技術便應運而生，市場上出現了各種各樣的監控軟件或專用的監控硬件，根據功能的不同，我們可以大致把他們分為兩大類：即同時具有監測和控制能力的網絡監控系統和只具備監測能力的網絡監聽監測系統。

一、網絡監測與控制系統

網絡監測與控制系統簡稱為網絡監控系統，它不僅具有網絡數據的監測功能，而且具備一定的控制能力，如截斷有害數據包的傳遞等，相對來說更加實用，所以在實際應用中比較普遍。

1.網絡防火墻。網絡防火墻是最為人們所熟知的網絡安全產品，它的產品線也最為豐富，常見的防火墻大致可以分為以下幾類：硬件防火墻、軟件防火墻和個人防火墻等。防火墻通常被布置在計算機和它所連接的存在不安全因素的網絡之間，起到隔離和安全保護的作用。被保護的計算機的所有網絡通信均要經過此防火墻，防火墻對數據進行監測，一旦發現符合事先設定規則的攻擊或不良信息，防火墻就可以把它們過濾掉，避免其在目標計算機上被執行。防火墻可以關閉不使用的端口，能禁止特定端口的流出通信，可以禁止來自特殊站點的訪問等等。不同的防火墻在監測能力和控制功能上相差也比較大，下面我們來了解一些常見的防火墻產品。

硬件防火墻的特點是軟件和硬件高度融合，不允許用戶去改動硬件或軟件，升級能力比較差。常見的國外品牌有Cisco、SonicWall、Fortinet等，國內品牌有華為、聯想、方正、天融信等，可以說品牌繁多、產品豐富?？v觀這些產品，他們的功能都大同小異，只是在防控能力上有所區別。

相對于硬件防火墻，軟件防火墻顯得更加靈活，它實際上是一套軟件，允許用戶選擇硬件進行安裝，安裝和配置比較靈活，升級也非常方便。比較著名的如微軟開發的Windows系統下的安全產品ISA，它的全稱是Internet Security and Acceleration，是集成的邊緣安全網關，人們更習慣于稱它為防火墻，它的最新版本是ISA Server 2006，是微軟全新的安全產品線Forefront安全家族的一員。此外，著名的軟件防火墻還有工作于Linux系統下的 MikroTik RouterOS、netfilter/iptables、SmoothWall和 基 于FreeBSD系統的產品等。

個人防火墻是指安裝在個人電腦上，保護PC安全的單機版網絡防火墻軟件，相對于上述兩種防火墻來說功能就簡單得多。常見的品牌有天網防火墻、瑞星網絡防火墻等。

2.IDS與IPS。IDS的全稱是Intrusion Detected System，即入侵檢測系統，它是防火墻的合理補充，是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時告警。它通過從計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。與其他安全產品不同的是，入侵檢測系統需要更多的智能，它必須可以將得到的數據進行分析，并得出有用的結果。一個合格的入侵檢測系統能大大簡化管理員的工作，保證網絡安全的運行。入侵檢測技術是動態安全技術的最核心技術之一，但它最大的問題是它無法對有害的信息進行處理，往往需要和防火墻進行聯動才能達到清除有害信息的目的，正是因為這個原因，才促成了IPS的誕生。

IPS的全稱是Intrusion Prevention System，即入侵防御系統，它的檢測功能類似于IDS，但IPS檢測到攻擊后會采取行動阻止攻擊，而不像IDS僅是發出警報。IPS傾向于提供主動防護，其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發出警報。IPS是通過直接嵌入到網絡流量中實現這一功能的，即通過一個網絡端口接收來自外部系統的流量，經過檢查確認其中不包含異?；顒踊蚩梢蓛热莺螅偻ㄟ^另外一個端口將它傳送到內部系統中。這樣一來，有問題的數據包，以及所有來自同一數據流的后續數據包，都能在IPS設備中被清除掉。由于在實際中人們對IDS和IPS的功能和效果認識還比較有限，所以它們的應用遠不如防火墻廣泛。

3.上網監控軟件。隨著計算機網絡的迅速普及，各類企事業單位的日常辦公已經越來越離不開互聯網，一方面，互聯網使得企業具有更強的競爭力、溝通力和適應力；而另一方面，工作人員在上班時間利用網絡從事與工作無關的事情，如進行私人聊天、瀏覽無關網站、炒股或下載電影等，造成工作效率下降、管理混亂，這令很多管理人員頭疼不已。此外企業的商業機密、核心研發成果一旦泄漏，后果更是不堪設想。如何對互聯網行為進行有效的管理和利用，使互聯網真正為企事業的生產和經營活動服務，是很多管理者越來越重視的問題。

針對這種情況，上網監控軟件就應運而生，如深圳德爾的網路崗、上海百絡的百絡網警、廈門誠創的LaneCat等網絡管理軟件。雖然開發這些軟件的公司各不相同，界面有很大的差異，但他們的功能都大同小異，其主要功能有：

（1）網頁瀏覽監控。網頁瀏覽日志記錄、網站黑白名單管理、網站URL過濾等。（2）郵件監控。監控通過各種方式收發的電子郵件的主題、正文、附件等。（3）聊天軟件監控。各種聊天軟件行為監控、聊天內容監控、聊天軟件封堵等。（4）流量控制。可對網絡內計算機進行流量監視和限制，防止網絡帶寬被大量占用。（5）外發資料監控。監控上傳或下載資料、監控論壇活動、監控發帖子內容。（6）禁止P2P下載?？蓪χ髁鱌2P下載工具進行控制，有效利用企業網絡資源，徹底解決單位網絡資源濫用的問題。（7）端口封堵、股票及網絡游戲監控等。

二、網絡監聽監測系統

網絡監聽監測軟件僅僅具備監聽和監測網絡信息和分析網絡故障的功能，而不具備控制能力，而要想實現控制就需要人工的介入或其他控制軟件來實現。雖然從表面上看，他們只具備監測功能，不具備控制能力，自動化程度比較低，使用的場合比較少，但實際上，他們的監測功能往往非常強大，可以適用于所有的網絡故障分析的場合。下面我們介紹網絡故障分析中常用的2種網絡分析軟件。

1.Sniffer與Sniffer Por Sniffer。中文可以翻譯為嗅探器，是一種基于被動偵聽原理的網絡分析方式，也可以看作是網絡偵聽工具的總稱。使用這種技術方式，可以監視網絡的狀態、數據流動情況以及網絡上傳輸的信息。將網絡接口設置在監聽模式，便可以將網上傳輸的源源不斷的信息截獲，Sniffer技術常常被黑客們用來截獲用戶的口令。但實際上Sniffer技術被廣泛地應用于網絡故障診斷、協議分析、應用性能分析和網絡安全保障等各個領域，所有的網絡監測軟件也都是基于這個原理來進行工作的。

Sniffer Por是美國Network Associates公司出品的一款非常著名的網絡分析和應用故障診斷軟件，不管是在有線網絡還是在無線網絡中，它都能夠給予網絡管理人員實時的網絡監視、數據包捕獲以及故障診斷分析能力。Sniffer Por最大的特點是使用容易，功能多樣，它具備優秀的網絡和應用故障診斷功能。智能化的專家分析系統協助用戶在數據包捕獲、實時解碼的同時快速識別各種異常事件；數據包解碼模塊支持廣泛的網絡和應用協議，不僅局限于Oracle、還包括VoIP類協議，以及金融行業專用協議和移動網絡類協議等等。Sniffer Pro提供直觀易用的儀表板和各種統計數據、邏輯拓撲視圖，并且提供能夠深入到數據包的點擊關聯分析能力。在同一平臺上支持10/100/1000M以太網絡以及802.11a/b/g/n網絡分析，因此不管是有線網絡還是無線網絡，它都具備相同的操作方式和分析功能，可有效減少因為管理人員的桌面工具過多而帶來的額外工作量，極大地加快了故障診斷的速度。

2.科來網絡分析系統。科來網絡分析系統是成都科來軟件有限公司自主開發的、全球第一款支持中文解碼的協議分析軟件?？苼砭W絡分析系統整合了行業領先的專家分析技術，能對當前復雜的網絡提供精確分析和網絡故障的快速定位，在網絡安全、網絡性能、網絡故障方面提供全面和深入的數據依據，是各級各類網絡管理和網絡故障分析的必備工具之一。

隨著計算機網絡的發展，網絡攻擊行為也日趨復雜，各種方法相互融合，使網絡安全防御更加困難，防火墻、入侵監測系統等網絡安全設備已不足以完全阻擋網絡安全攻擊。黑客攻擊行為組織性更強，攻擊目標從單純地追求“榮耀感”向獲取多方面實際利益的方向轉移，網上木馬、蠕蟲病毒、間諜軟件、惡意網站、網絡仿冒等的出現并日趨泛濫，是這一趨勢的實證。

科來網絡分析系統正是為了應對各種各樣的網絡問題，讓網絡管理者能夠針對網絡故障對癥下藥的網絡管理方案。它的主要功能包括：

（1）全局到節點的網絡流量統計分析，監測網絡帶寬利用率，發現網絡瓶頸提升網絡性能。

（2）捕獲網絡數據包、監測網絡傳輸的所有數據。

（3）提供數據過濾與篩選，來調節監測分析范圍。

（4）數據包中英文雙語解碼分析、深入的數據分析。

（5）監測各個節點web訪問、電子郵件收發、FTP文件傳輸等情況。

（6）監測各種網絡錯誤，進行網絡錯誤統計和定位。

（7）網絡故障自動診斷，快速定位網絡故障，找到病毒感染主機或攻擊源。

（8）詳細的報表和日志記錄，提供各種統計分析圖表。

（9）檢測潛在安全漏洞、為安全防御提供決策依據。

它可以對網絡中所有傳輸的數據進行檢測、分析、診斷，幫助用戶排除網絡故障，規避安全風險，提高網絡性能。與其他故障管理產品相比，科來網絡分析系統不僅可以獲得成倍的數據統計，而且通過專家庫的分析，自動診斷網絡出現的問題，對問題進行詳細解釋，提供問題可能產生原因，并向管理人員提供相應的解決建議。這將大大加強網絡故障管理的歸納總結能力，極大降低網絡管理的維護成本。

基于以上分析，我們知道網絡監控系統雖然具備監測和控制功能，但這些系統對數據的檢測分析能力一般比較有限，對于千差萬別的數據包來說，它們只能分析出已知的或符合設定規則的數據包，對于新型的網絡攻擊或經過偽裝的數據包造成的網絡故障，往往就顯得無能為力了，這時就要借助于更加專業的網絡監聽監測系統來進行具體的故障分析。

因此，對于普通的網絡用戶來說，平常的網絡安全可以通過防火墻和殺毒軟件來進行保障。而一旦發生了這些傳統防御手段無法解決的故障時，比如出現網絡變得時斷時續或網速莫名其妙變得很慢等現象，就需要借助專業的網絡監測軟件通過具體的網絡協議分析來查找故障原因，確定故障部位，從而保障網絡的持續可靠運行。