網(wǎng)絡(luò)安全審計(jì)系統(tǒng)中FTP解析策略研究

閆 露 鄧浩江 陳 曉 葉曉舟

1(中國科學(xué)院聲學(xué)研究所國家網(wǎng)絡(luò)新媒體工程技術(shù)研究中心 北京 100190)2(中國科學(xué)院大學(xué) 北京 100039)

網(wǎng)絡(luò)安全審計(jì)系統(tǒng)中FTP解析策略研究

閆 露1,2鄧浩江1陳 曉1葉曉舟1

1(中國科學(xué)院聲學(xué)研究所國家網(wǎng)絡(luò)新媒體工程技術(shù)研究中心 北京 100190)2(中國科學(xué)院大學(xué) 北京 100039)

常見的防火墻、防病毒、入侵檢測等系統(tǒng)，對于防止外部非法入侵都有一定的作用，但對于防范內(nèi)部人員對企業(yè)網(wǎng)等網(wǎng)絡(luò)的破壞卻效果甚微。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)針對內(nèi)部網(wǎng)絡(luò)進(jìn)行監(jiān)控,受到越來越廣泛的重視。FTP由于其簡單性與易用性，廣泛運(yùn)用于企業(yè)網(wǎng)中。針對FTP協(xié)議控制流和實(shí)時數(shù)據(jù)流分離的特點(diǎn)，提出了基于數(shù)據(jù)流信息封裝傳遞的解析策略。該策略可實(shí)現(xiàn)FTP命令、響應(yīng)的正確解析，獲取實(shí)時建立的數(shù)據(jù)流端口，關(guān)聯(lián)數(shù)據(jù)流信息，并實(shí)時產(chǎn)生審計(jì)日志。基于網(wǎng)絡(luò)處理器平臺實(shí)現(xiàn)了該策略，平穩(wěn)階段系統(tǒng)每秒事務(wù)處理量大于3萬，吞吐率達(dá)到1 300 Mbps。

網(wǎng)絡(luò)安全審計(jì)系統(tǒng) FTP解析 控制流 數(shù)據(jù)流

0 引 言

信息安全審計(jì)[1]主要是對與安全有關(guān)的活動的相關(guān)信息進(jìn)行識別、記錄、存儲和分析；審計(jì)的記錄用于檢查網(wǎng)絡(luò)上發(fā)生了那些與安全活動有關(guān)的活動，誰(用戶)對這個活動負(fù)責(zé)，主要功能包括：安全審計(jì)自動響應(yīng)、安全審計(jì)數(shù)據(jù)生成、安全審計(jì)分析、安全審計(jì)瀏覽、安全審計(jì)事件存儲、安全審計(jì)事件選擇等。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)主要針對內(nèi)部網(wǎng)絡(luò)進(jìn)行監(jiān)控，實(shí)現(xiàn)信息安全審計(jì)功能[2]。在網(wǎng)絡(luò)安全審計(jì)系統(tǒng)中，協(xié)議解析用于識別用戶、行為、生成審計(jì)數(shù)據(jù)等，對信息安全審計(jì)功能的實(shí)現(xiàn)起著至關(guān)重要的作用。網(wǎng)絡(luò)上的協(xié)議成千上萬，對于不同的協(xié)議，解析策略也不盡相同[3]。

目前，網(wǎng)絡(luò)上大多數(shù)協(xié)議均在同一條TCP上連接傳輸命令與數(shù)據(jù)，F(xiàn)TP協(xié)議則不同，在不同的TCP連接上分開處理命令與數(shù)據(jù)[4]。 FTP[5-6]是File Transfer Protocol的英文簡稱，為客戶機(jī)/服務(wù)器系統(tǒng)，在網(wǎng)絡(luò)上通過FTP協(xié)議傳輸，F(xiàn)TP客戶端可以訪問FTP服務(wù)器的資源。FTP支持兩種工作模式[7]：standard(PORT模式，主動模式)，passive(PASV模式，被動模式)。在standard模式下，F(xiàn)TP客戶端首先和服務(wù)器的TCP 21端口建立連接，用以傳輸命令、響應(yīng)，客戶端在需要進(jìn)行數(shù)據(jù)傳輸時，發(fā)送PORT命令，該命令包含客戶端使用的數(shù)據(jù)連接端口。在傳輸數(shù)據(jù)時，服務(wù)器通過TCP 20端口與客戶端的數(shù)據(jù)端口連接；在passive模式下，建立控制連接與standard模式類似，但在需要進(jìn)行數(shù)據(jù)傳輸時發(fā)送PASV命令，服務(wù)器收到該命令后，打開一個臨時端口(大于1 023小于65 535)偵聽，并且將該端口通知客戶端等待連接。客戶端收到通知后，連接FTP服務(wù)器此端口，以進(jìn)行數(shù)據(jù)傳輸，具體采取哪種方式由客戶端決定。FTP的這兩種模式均是針對IPV4環(huán)境，當(dāng)IPV6出現(xiàn)后，協(xié)議對模式進(jìn)行了擴(kuò)展，出現(xiàn)了EPRT、EPSV模式以支持更長的網(wǎng)絡(luò)地址，擴(kuò)展后的與原模式類似，本文不做詳細(xì)討論。雖然FTP存在明文信息傳輸?shù)热秉c(diǎn)，但由于其簡單性和實(shí)用性，在網(wǎng)絡(luò)應(yīng)用中還會長期應(yīng)用[8]。

由于FTP將控制信息與數(shù)據(jù)分開處理的特性，網(wǎng)絡(luò)安全審計(jì)系統(tǒng)中FTP解析需在正確解析控制流命令、響應(yīng)的基礎(chǔ)上，針對數(shù)據(jù)流需再解決兩個問題：(1) FTP數(shù)據(jù)流的端口不固定，如何判斷所經(jīng)過的數(shù)據(jù)包哪些為FTP數(shù)據(jù)流；(2) FTP數(shù)據(jù)連接上只傳輸數(shù)據(jù)，如文件內(nèi)容、目錄列表內(nèi)容等，而不包含文件名等信息，如何獲得文件名等信息以生成完整的審計(jì)數(shù)據(jù)。現(xiàn)有的FTP安全審計(jì)，通過引入代理來實(shí)現(xiàn)[9]，F(xiàn)TP代理模塊分別與客戶端、服務(wù)端建立兩條連接，完成FTP會話維護(hù)、分析審計(jì)等功能。該方法只針對FTP審計(jì)任務(wù)，但若當(dāng)系統(tǒng)中需要審計(jì)其他協(xié)議時，需增加其他協(xié)議代理模塊，而不同代理工作方式、支持功能都可能不同，擴(kuò)展性不好,并且不是所有的應(yīng)用軟件都可以使用代理，例如outlook軟件本身并不支持代理。其他常規(guī)FTP解析方法[10-11]僅分析控制流，并未將數(shù)據(jù)流端所傳送的文件名等信息與相應(yīng)數(shù)據(jù)流相關(guān)聯(lián)，那么在解析數(shù)據(jù)流時，并不知道文件名、哪個用戶進(jìn)行的操作等信息，審計(jì)文件日志不完整。

本文針對FTP協(xié)議的特性與網(wǎng)絡(luò)安全審計(jì)的需求，提出網(wǎng)絡(luò)安全審計(jì)系統(tǒng)中FTP協(xié)議的解析策略，該策略可以正確解析FTP協(xié)議，獲取并傳遞數(shù)據(jù)流傳輸端口與數(shù)據(jù)流信息，快速生成審計(jì)數(shù)據(jù)等。

1 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)

為實(shí)現(xiàn)信息安全審計(jì)的功能，我們設(shè)計(jì)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)HL-Audit包括數(shù)據(jù)采集、配置管理、審計(jì)日志數(shù)據(jù)中心等子系統(tǒng)，其中數(shù)據(jù)采集子系統(tǒng)的框架如圖1所示。

圖1 HL-Audit數(shù)據(jù)采集子系統(tǒng)

由于通用服務(wù)器采用中斷方式處理網(wǎng)絡(luò)流量，性能受限，因此HL-Audit數(shù)據(jù)采集子系統(tǒng)采用網(wǎng)絡(luò)處理器完成數(shù)據(jù)采集功能，具有功耗低、延遲小、采集性能高等優(yōu)勢。其工作流程如下：當(dāng)系統(tǒng)捕獲到數(shù)據(jù)包后，首先進(jìn)行對數(shù)據(jù)包進(jìn)行IP重組、隧道檢測、TCP重組，保證提交到上層的數(shù)據(jù)包嚴(yán)格有序；區(qū)分不同協(xié)議后，提交相應(yīng)高層協(xié)議解析模塊；高層協(xié)議解析模塊，解析高層協(xié)議，識別用戶登錄、命令、響應(yīng)等消息，調(diào)用命令黑名單模塊判斷是否允許命令執(zhí)行，并生成審計(jì)數(shù)據(jù)發(fā)送至數(shù)據(jù)中心保存。

2 FTP解析策略

FTP解析屬于HL-Audit網(wǎng)絡(luò)安全審計(jì)系統(tǒng)數(shù)據(jù)采集子系統(tǒng)高層協(xié)議解析模塊，分為控制流解析和數(shù)據(jù)流解析兩部分。控制流解析在正確識別用戶命令、響應(yīng)的基礎(chǔ)上，將解析到的數(shù)據(jù)流端口、文件名等數(shù)據(jù)流信息進(jìn)行封裝傳遞，封裝的信息用于底層進(jìn)行FTP數(shù)據(jù)流的識別以及FTP數(shù)據(jù)流解析，以達(dá)到對數(shù)據(jù)流傳輸?shù)谋O(jiān)控審計(jì)。如圖2所示。

圖2 FTP解析策略

2.1 FTP控制流解析

控制流解析實(shí)現(xiàn)FTP控制連接上數(shù)據(jù)解析，識別用戶登錄、命令、響應(yīng)等消息，當(dāng)產(chǎn)生新的數(shù)據(jù)連接時，將解析到的數(shù)據(jù)流信息傳遞；調(diào)用命令黑名單模塊，判斷是否需要阻斷命令或會話，實(shí)現(xiàn)審計(jì)自動響應(yīng)；實(shí)時產(chǎn)生審計(jì)數(shù)據(jù)，以日志的形式通過網(wǎng)絡(luò)會話模塊發(fā)送至數(shù)據(jù)中心，日志內(nèi)容包括會話四元組信息、源mac、目的mac、登錄用戶名稱、登錄時間、登出時間；操作日志的內(nèi)容包括操作命令、返回?cái)?shù)據(jù)、操作開始時間、操作結(jié)束時間等。

2.1.1 FTP數(shù)據(jù)包處理

由于底層經(jīng)過TCP重組后提交的數(shù)據(jù)包僅保證有序，根據(jù)TCP/IP協(xié)議的特性[12-13]，TCP數(shù)據(jù)包不作為應(yīng)用層消息的邊界，一個完備的解析方案不能假設(shè)一個TCP數(shù)據(jù)包即是一個完整的應(yīng)用層FTP消息，因此需要先經(jīng)過數(shù)據(jù)包處理，提取出完整的單條FTP消息后，再進(jìn)行接下來的解析。

數(shù)據(jù)包處理算法如下：

Algorithm1 FTP Packet Process

1: start ← packet

2: uproLen ← len(packet)

3: while uproLen > 0 do

4: msgend ← find(msgendMark; start)

5: if msgend is true then

6: msg ← cache + (msgend - start)

7: process msg

8: clear cache

9: uprolen ← uprolen - len(msgend - start)

10: start ← msgend + 1

11: else

12: cache ← cache + start

13: uproLen ← 0

14: end if

15: end while

我們以圖3為例來說明算法的執(zhí)行過程。首先客戶端至服務(wù)端方向cache中無緩存數(shù)據(jù)，收到客戶端發(fā)向服務(wù)端的第一個數(shù)據(jù)包后，在數(shù)據(jù)包中查找到命令結(jié)束標(biāo)志“ ”,提取第一條完整消息“AA bbbb ”進(jìn)行解析；繼續(xù)查找命令結(jié)束標(biāo)志“ ”，提取第二條消息“CC dddd ”進(jìn)行解析；繼續(xù)無命令結(jié)束標(biāo)志，則將不完整消息“EE ff”復(fù)制到客戶端至服務(wù)端方向cache中緩存，該數(shù)據(jù)包處理完畢；經(jīng)過一段時間間隔后，收到客戶端發(fā)向服務(wù)端的第二個數(shù)據(jù)包“ff ”,在數(shù)據(jù)包中查找到命令結(jié)束標(biāo)志“ ”,此時將cache中數(shù)據(jù)與第二個數(shù)據(jù)包中數(shù)據(jù)合成完整的第三條消息“EE ffff ”,并將客戶端至服務(wù)端發(fā)向cache中數(shù)據(jù)清空，至此第二個數(shù)據(jù)包處理完畢。

圖3 數(shù)據(jù)包處理算法執(zhí)行實(shí)例

該數(shù)據(jù)包處理算法，直接在新到數(shù)據(jù)包中查找結(jié)束標(biāo)志，若相應(yīng)方向存在緩存數(shù)據(jù)，與緩存數(shù)據(jù)進(jìn)行拼接組成完整消息，不存在緩存數(shù)據(jù)，則直接提取完整消息，并將最后不完整的消息進(jìn)行緩存以等待后續(xù)數(shù)據(jù)到來，而不需要將新到數(shù)據(jù)包全部進(jìn)行緩存再進(jìn)行提取完整消息，有效節(jié)約緩存空間，簡單高效。

2.1.2 FTP命令/響應(yīng)解析

在數(shù)據(jù)包處理算法提取出完整消息后，首先根據(jù)系統(tǒng)需求，調(diào)用命令黑名單模塊，必要時阻斷命令或會話。該操作可實(shí)時監(jiān)控用戶不合理行為，及時阻止，而不至于產(chǎn)生不可逆后果后再追查審計(jì)日志追究責(zé)任。對于允許執(zhí)行的命令，進(jìn)行接下來的解析工作。

FTP命令解析算法如下：

Algorithm2 FTP Comamnd Parse

1: command ← getcommand(msg)

2: if command is USER then

3: get the user name

4: else if command is PASS then

5: get the password

6: else if command is PORT then

7: get the standard mode client IP and port for data flow

8: else if command is LIST or NIST or RETR or STOR or STOU or APPE then

9: process the infomation of data flow

10: end if

11: generate audit logs

FTP響應(yīng)解析算法如下：

Algorithm3 FTP Response Parse

1: code ← getcode(msg)

2: count ← total number of incorrect login

3: if code is 230 then

4: set the login successful state

5: else if code is 530 then

6: set the login incorrect state

7: count ←count + 1

8: else if code is 227 then

9: get the passive mode server IP and port for data flow

10: end if

11: generate audit logs

FTP命令眾多，解析過程中可選擇性地關(guān)注特定命令，如USER，通過該命令獲取登錄用戶名。對于暫不關(guān)注的命令，只需將命令響應(yīng)生成審計(jì)日志，傳送至數(shù)據(jù)中心即可。

2.1.3 FTP數(shù)據(jù)流信息處理

FTP控制流解析，在正確解析命令、響應(yīng)時獲得數(shù)據(jù)流信息，為解決底層FTP數(shù)據(jù)流識別問題以及數(shù)據(jù)流生成完整文件審計(jì)數(shù)據(jù)問題，還需將數(shù)據(jù)流信息傳遞。數(shù)據(jù)流信息以七元組(control_infoP,data_mode,s_ip,s_port,c_ip,c_port,file_name)來表示，稱為DFI(Date Flow Information)，其中control_infoP為指向控制流信息指針，data_mode為數(shù)據(jù)流傳輸模式，s_ip為數(shù)據(jù)流服務(wù)端ip，s_port為數(shù)據(jù)流服務(wù)端端口，c_ip為數(shù)據(jù)流客戶端ip，c_port為數(shù)據(jù)流客戶端端口， file_name為傳輸?shù)奈募蛭募夸浢瑫r定義DFIP為指向DFI的指針。

當(dāng)FTP會話下只有一個數(shù)據(jù)流時，控制流收到引起數(shù)據(jù)流傳輸?shù)闹噶詈螅瑒?chuàng)建DFI，當(dāng)未知TCP流到達(dá)時,底層模塊通過與該DFI進(jìn)行匹配來識別FTP數(shù)據(jù)流，分為兩種情況：(1) 若DFI中數(shù)據(jù)流傳輸模式為standard模式，則底層模塊需將數(shù)據(jù)流的客戶端IP、客戶端端口、服務(wù)端IP、服務(wù)端端口完整的四元組信息與已有DFI鏈表中每一項(xiàng)進(jìn)行匹配；(2) 若DFI中數(shù)據(jù)流傳輸模式為passive模式，該模式下，我們并不能在控制流解析到數(shù)據(jù)流客戶端IP與端口，F(xiàn)TP協(xié)議并不要求客戶端數(shù)據(jù)流IP與控制流IP一致，這會帶來安全隱患[14]，在網(wǎng)絡(luò)安全審計(jì)系統(tǒng)中，我們不支持?jǐn)?shù)據(jù)流IP與控制流客戶端IP不一致的情況，因此需將客戶端IP、服務(wù)端IP、服務(wù)端端口與已有DFI進(jìn)行匹配。若匹配，則該TCP流為FTP數(shù)據(jù)流，將DFIP傳遞給FTP數(shù)據(jù)流解析，若不匹配，則該TCP流不為FTP數(shù)據(jù)流，進(jìn)行其他處理。

當(dāng)FTP會話下出現(xiàn)多個數(shù)據(jù)流時[15]，單個DFI顯然不能對所有數(shù)據(jù)流進(jìn)行區(qū)分，因此需要為每個數(shù)據(jù)流建立相應(yīng)DFI，所有的DFI以鏈表形式保存。當(dāng)未知TCP流到達(dá)時，底層模塊首先需判斷該連接可能為FTP數(shù)據(jù)流的哪種數(shù)據(jù)連接模式，若發(fā)起TCP連接的端口為20，則此時為FTP服務(wù)端主動發(fā)起連接，為standard模式，若發(fā)起TCP連接的端口不為20，則此時可能為FTP客戶端發(fā)起連接，為passive模式。判斷出模式后，將該TCP流信息與所有DFI項(xiàng)進(jìn)行匹配，匹配方法與單數(shù)據(jù)流匹配方法一致。若發(fā)現(xiàn)匹配項(xiàng)，則該數(shù)據(jù)流為FTP數(shù)據(jù)流，并將相應(yīng)DFIP傳遞給FTP數(shù)據(jù)流解析，若未發(fā)現(xiàn)匹配項(xiàng)，則該數(shù)據(jù)流不為FTP數(shù)據(jù)流，進(jìn)行其他處理。DFI數(shù)據(jù)結(jié)構(gòu)及DFIP傳遞,如圖4所示。

圖4 DFI數(shù)據(jù)結(jié)構(gòu)及DFIP傳遞

2.2 FTP數(shù)據(jù)流解析

FTP數(shù)據(jù)流解析模塊通過底層傳遞的DFIP，可直接獲得FTP控制流、文件名等信息。正常情況下，F(xiàn)TP控制連接會存在于會話整個生命周期，但存在控制連接先于數(shù)據(jù)連接關(guān)閉的異常情況。當(dāng)控制連接先關(guān)閉DFI被釋放時，若數(shù)據(jù)流還未來得及關(guān)閉TCP連接，此時FTP數(shù)據(jù)流解析試圖通過DFI獲取信息則會發(fā)生錯誤，且無法保證生成DFI加入鏈表后，相應(yīng)數(shù)據(jù)連接一定會建立成功。因此為保證DFI內(nèi)存管理的正確性，在FTP數(shù)據(jù)流初始化時，通過底層傳遞的DFIP讀取出DFI數(shù)據(jù)流信息并保存，而不在整個數(shù)據(jù)流傳輸過程中都依賴底層傳遞的DFIP。所有DFI占用的內(nèi)存空間，在控制流斷開連接時統(tǒng)一釋放。

通過DFIP的傳遞，數(shù)據(jù)流得到控制流、文件名等信息，加之?dāng)?shù)據(jù)流所傳輸數(shù)據(jù)生成完整文件審計(jì)數(shù)據(jù)，以文件日志形式發(fā)送至數(shù)據(jù)中心。

3 實(shí)驗(yàn)測試及分析

基于Caviun OCTEON CN6645多核網(wǎng)絡(luò)處理器[16]，我們實(shí)現(xiàn)了網(wǎng)絡(luò)安全審計(jì)系統(tǒng)HL-Audit，并在一個處理器核心上運(yùn)行FTP解析策略。本文利用IXIA測試儀模擬FTP客戶端與服務(wù)端，在上述嵌入式平臺下針對系統(tǒng)每秒事物處理量與吞吐率進(jìn)行了測試。圖5為系統(tǒng)測試框圖。

圖5 系統(tǒng)測試框圖

3.1 每秒事務(wù)處理量測試

每秒系統(tǒng)能夠處理的事務(wù)量，是衡量系統(tǒng)處理能力的重要指標(biāo)，實(shí)驗(yàn)針對客戶端下載64 KB文件時，系統(tǒng)的每秒事務(wù)處理量進(jìn)行了測試，測試結(jié)果顯示，平穩(wěn)階段系統(tǒng)每秒事務(wù)處理量大于3萬，測試結(jié)果如圖6所示。

圖6 系統(tǒng)每秒事務(wù)處理量測試結(jié)果

3.2 吞吐率測試

在存在文件傳輸?shù)那闆r下，系統(tǒng)吞吐率是很重要的一個指標(biāo)，實(shí)驗(yàn)針對常規(guī)方法只解析FTP控制流與本文策略通過DFIP傳遞解析控制流與數(shù)據(jù)流兩種情況進(jìn)行了系統(tǒng)吞吐率測試，測試過程中客戶端下載服務(wù)端1 GB的文件，測試結(jié)果如圖7所示。

圖7 系統(tǒng)吞吐率測試結(jié)果

在常規(guī)方法只解析數(shù)據(jù)流沒有DFIP傳遞的情況下，底層模塊無法識別FTP數(shù)據(jù)流，故FTP數(shù)據(jù)流直接通過系統(tǒng)，系統(tǒng)也無法生成實(shí)時審計(jì)日志；而通過本文策略，當(dāng)經(jīng)過DFIP的傳遞后，F(xiàn)TP數(shù)據(jù)流會經(jīng)過底層模塊識別匹配，并提交FTP協(xié)議解析模塊進(jìn)行解析，由FTP解析模塊實(shí)時產(chǎn)生文件日志，而此時系統(tǒng)的吞吐率只是略低于直接通過的情況，F(xiàn)TP解析策略工作效果較好，DFIP的傳遞并沒有給系統(tǒng)造成過大負(fù)擔(dān)。

4 結(jié) 語

本文提出了網(wǎng)絡(luò)安全審計(jì)系統(tǒng)中FTP協(xié)議解析策略。該策略可以正確解析FTP協(xié)議，識別用戶名、密碼；在控制流端獲取FTP數(shù)據(jù)流信息，解決了底層模塊FTP數(shù)據(jù)流的識別問題；在控制流端獲取FTP數(shù)據(jù)流文件名等信息，通過DFIP的傳遞，實(shí)時關(guān)聯(lián)數(shù)據(jù)流信息；快速生成審計(jì)日志。通過分析日志，可確定哪個用戶在什么時間進(jìn)行了哪些操作，實(shí)現(xiàn)安全審計(jì)。下一步的目標(biāo)是利用多核平臺的特性，實(shí)現(xiàn)性能的優(yōu)化。

本文在解決網(wǎng)絡(luò)安全審計(jì)系統(tǒng)中FTP協(xié)議解析問題的同時，也為其他多TCP連接的協(xié)議解析提供參考。

[1] 通用準(zhǔn)則發(fā)起組織.ISO/IEC 15408 信息技術(shù)安全性評估通用準(zhǔn)則2.0版[S].1998.

[2] 張濤,余煬,李弋.Linux服務(wù)器安全審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件,2014,31(5):17-22,75.

[3] 陳泉清.基于協(xié)議解析的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].成都:電子科技大學(xué),2014.

[4] 江浩,朱巧明,錢培德.一種高效的FTP流量統(tǒng)計(jì)方法及應(yīng)用[J].計(jì)算機(jī)工程與科學(xué),2007,29(1):30-32,69.

[5] 蔡勇.FTP服務(wù)器技術(shù)研究及實(shí)現(xiàn)[D].成都:電子科技大學(xué),2005.

[6] Rani L,Narula P,Panchal N.Ftp-the file transfer protocol[J].International Journal of Research,2014,1(9):1029-1031.

[7] 孟欣.基于FTP的文件高效上傳方法的研究與實(shí)現(xiàn)[D].廣州:華南理工大學(xué),2014.

[8] 梁秀花.淺談FTP協(xié)議在網(wǎng)絡(luò)傳輸中的應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2014,17(14):137-138.

[9] Li W,Hu X,Jia Y,et al.Proxy-based FTP secure audit technology[C]//Software Engineering and Service Science (ICSESS),2014 5th IEEE International Conference on.IEEE,2014:667-670.

[10] 史軼.基于應(yīng)用協(xié)議分析的網(wǎng)絡(luò)信息監(jiān)控系統(tǒng)[D].哈爾濱:哈爾濱工程大學(xué),2008.

[11] 李軍,倪宏,陳君,等.一種應(yīng)用層協(xié)議解析加速算法[J].四川大學(xué)學(xué)報(bào)(工程科學(xué)版),2014,46(4):87-93.

[12] 劉靜菠,劉嘉勇,唐龍.基于應(yīng)用層特征的TCP數(shù)據(jù)流重組方法研究[J].信息安全與通信保密,2014(5):111-113.

[13] 呂冠橋,柳寒冰,鄧曉紅.基于TCP協(xié)議的網(wǎng)絡(luò)擁塞控制算法設(shè)計(jì)[J].軟件導(dǎo)刊,2014,13(1):56-59.

[14] 黃世權(quán).FTP協(xié)議分析和安全研究[J].微計(jì)算機(jī)信息,2008,24(2-3):93-94,264.

[15] 蔡艷麗.基于FTP協(xié)議網(wǎng)絡(luò)流量模擬的設(shè)計(jì)與實(shí)現(xiàn)[J].海軍航空工程學(xué)院學(xué)報(bào),2014,29(3):221-224.

[16] Cavium Inc.OCTEON II CN66XX Multi-Core MIP S64 Processors[OL].(2015-11-17).[2016-03-28].http://www.cavium.com/OCTEON-II_CN66XX.html.

RESEARCH ON FTP PARSING STRATEGY IN NETWORK SECURITY AUDIT SYSTEM

Yan Lu1,2Deng Haojiang1Chen Xiao1Ye Xiaozhou1

1(NationalNetworkNewMediaEngineeringResearchCenter,InstituteofAcoustics,ChineseAcademyofSciences,Beijing100190,China)2(UniversityofChineseAcademyofSciences,Beijing100039,China)

Common firewall, anti-virus, intrusion detection and other systems, for the prevention of external illegal invasion have a certain role, but for the prevention of internal staff on the enterprise network and other network damage has little effect. Network security audit system for internal network monitoring, has been more and more attention. Because of its simplicity and ease of use, FTP is widely used in enterprise networks. Aiming at the characteristics of FTP protocol control flow and real-time data flow separation, a parsing strategy based on packaging and transmitting the data flow information is proposed, which can realize the correct parsing of FTP command and response, obtain real-time data flow port, associate data flow information, and generate audit log in real time. The strategy is implemented based on the network processor platform. In the steady phase, the system transaction per second is more than 30 000, and the throughput reaches 1 300 Mbps.

Network security audit system FTP parsing Control flow Data flow

2016-04-06。中國科學(xué)院戰(zhàn)略性先導(dǎo)科技專項(xiàng)課題(XDA06010302)。閆露，博士生，主研領(lǐng)域：寬帶通信和信息安全。鄧浩江，研究員。陳曉，研究員。葉曉舟，研究員。

TP3

A

10.3969/j.issn.1000-386x.2017.05.053