網絡信息監控系統的設計與實現

　　 摘要:本文針對網絡信息監控的問題，分析了基于SNIFFER技術的信息監控技術。它能夠在高速網絡的邊界路由器上進行網絡信息監測，能及時對網絡上的安全事件進行處理。
　　 關鍵詞:信息監控 網絡安全
　　
　　 由于網絡上不良信息的傳播給社會政治、經濟等方面帶來了許多負面影響，且我國傳統的各種網絡安全工具無法滿足人們對網絡信息內容的監測需要，因此，我們急需擁有自主版權，又能夠適應高速網絡環境的網絡信息監測系統軟件。
　　 一、網絡信息監控系統的實現手段
　　 網絡信息監控軟件分為三種類型：
　　 1．基于網絡服務或者網絡服務日志的信息監控
　　 網絡服務通常是通過各種服務器提供的。它通過修改各種服務器軟件，在其中嵌入信息過濾代碼，使服務器軟件自身具備信息監測和過濾的功能。
　　 2．基于代理服務器技術的信息監控
　　 多個代理服務器組成服務器集群，提供信息的監控和過濾服務。信息流進入proxy后，必須經過過濾器的過濾后才能進行轉發。過濾器依據規則集合庫中的規則，對信息進行過濾。過濾后的合法信息通過代理服務器轉發到用戶，而非法信息則被拋棄。
　　 3．基于SNIFFER技術的信息監控技術
　　 在邊界路由器上設置監聽端口，就能捕獲到通過邊界路由器的所有數據包。很多網絡設備都是通過端口映射的方式，獲取通過交換機的所有數據報文。
　　 二、網絡信息監控系統的設計
　　 1．系統設計思想的提出
　　 首先，基于鏈路層采用Sniffer技術或者網絡探針技術，捕獲經過邊界路由器上的所有數據包；其次，是采用TCP/IP協議軟件的實現方式，處理數據包。具體處理方式為：①對有分片的數據包進行IP層的重組，使之成為完整的IP數據包；②在TCP層進行數據包的還原，使之還原為原始傳輸內容的數據；③根據其具體的應用層協議對數據進行還原分析；最后，對已經過應用層協議還原的數據進行特征關鍵字匹配，從而完成對信息內容的監測。
　　 2．網絡信息監控系統的數據采集結構
　　 網絡信息監控系統的數據采集有兩種實現結構：一種是在邊界路由器和內網之間設置類似防火墻的監控主機，對出入的所有數據包進行檢查、攔截和阻斷；另一種方案是監聽方式，即Sniffer方式，它采用支持探針技術的交換機的端口映射技術，使用監聽方式，對原有網絡設置不做任何改動。若監控主機發生故障，無法正常工作時，它也不會影響網絡的正?；顒?。
　　 三、系統的實現
　　 1．系統功能的實現
　　 網絡信息監控本質上就是對網絡中的數據進行監查、對比，以實現監控目的。通過對截獲的數據進行分離，應用還原技術對數據進行對比，采用信息監控策略和模式匹配算法就能夠實現信息監控。
　　 網絡底層信息監聽可以通過兩種方法實現：一種是利用以太網絡的廣播特性，另一種是通過設置路由器的監聽端口實現。
　　 （1）利用以太網絡的廣播特性進行監聽
　　 以太網數據傳輸是通過廣播實現的。但是在系統正常工作時，應用程序只能接收到以本主機為目標主機的數據包，其他數據包將被丟棄，不作任何處理。
　　 要監聽到流經網卡的、不屬于自己主機的數據，必須繞過系統正常工作的處理機制，直接訪問網絡底層。首先，將網卡工作模式置于混雜模式，使之可以接收目標MAC地址的數據包；然后，直接訪問數據鏈路層，截獲相關數據，由應用程序如IP層、TCP層協議對數據進行過濾處理。這樣一來，就可以監聽到流經網卡的所有數據。
　　 （2）基于路由器的網絡底層信息監聽技術
　　 在實際應用中，存在許多非以太網接入的情況。因此，必須在路由器中設置監聽端口，將流經路由器的所有信息流量通過一個特定的監聽端口輸出，從而實現信息的監聽。所有的網絡信息數據包除按照正常情況轉發外，將同時轉發到監聽端口，從而使得Sniffer可以監聽到所有的網絡流量。
　　 2．TCP還原的實現
　　 TCP還原的實現方法和IP重組是類似的，如果接收到的數據包是屬于同一個TCP連接的，就要用一個排序樹，按照數據包的Sequence排序起來，然后只需要對這個排序樹進行遍歷，就能夠實現TCP的還原。對TCP的還原就是對iptree進行遍歷的過程，按照sequence從小到大，把相應的、屬于同一個TCP的IP數據包的內容進行還原。
　　
　　參考文獻：
　　［1］王軍華，秦本濤.一個基于簡單實驗條件下郵件傳輸服務實驗的設計［J］.計算機與現代化，2006，（8）.
　?。?］