關于計算機網絡監控技術的幾點思考

高磊

摘要：網絡安全是每個單位關注的主要問題，因此，網絡監控已成為計算機安全防范攻擊的重要組成部分。Wireshark和Snort等網絡監控工具在入侵檢測中起著重要的作用。Wireshark 和 Snort 能夠以圖形方式監控網絡過程或運動，以檢測侵入的電子信息。通過 IDS 和 IPS 進行網絡監控，提高了網絡基礎設施的性能和安全性。本文主要從理論上分析基于Wireshark和Snort工具如何進行網絡監控，以保護通信網絡系統。

Abstract： Network security is the main concern of every organization. Therefore， network monitoring has become an important part of computer security against attacks. Network monitoring tools such as Wireshark and Snort play an important role in intrusion detection. Wireshark and Snort can graphically monitor network processes or movements to detect intruding electronic information. Network monitoring through IDS and IPS improves the performance and security of network infrastructure. This article mainly theoretically analyzes how to monitor the network based on Wireshark and Snort tools to protect the communication network system.

關鍵詞：網絡監控;監控工具;信息技術

Key words： network monitoring;monitoring tools;information technology

中圖分類號：TP277 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文章編號：1006-4311（2020）01-0259-02

0 ?引言

技術正在改變新的攻擊方式，很多安全參數被這些新穎的攻擊所繞過。因此，網絡監控在入侵檢測中起著重要的作用。網絡監控是指當其他系統正在執行其重要功能時，需要留出至少一臺計算機或一組計算機來監視網絡活動，即對網絡流量進行監管。網絡監控是查找入侵者的最好方法，根據研究，有一些有用的網絡監控軟件工具。主要包括：AirWave，思科WC，MRTG，RRDTOOL，Kiwi syslog，RANCID，SNORT，NetDisco，ZABBIX，除了這些入侵檢測工具還有SURICATA，KISMET，OSSEC。Wireshark和Snort 等工具可以提供網絡進程的圖形視圖，以便通過分析這些網絡進程或流量干擾，可以簡單地檢測出這些網絡進程或干擾流量。網絡監控系統對于保護通信網絡或網絡系統免受外部攻擊，以及預防相關人員執行惡意操作至關重要。

1 ?網絡監控的重要性

早在20世紀90年代，黑客或攻擊者，開始侵入網絡和計算機系統，當時IDS只能檢測惡意流量和發送警報消息或信號，但沒有預防攻擊的機制，也不能檢測所有的惡意程序。入侵是旨在損害基本網絡安全的機密性、完整性、計算和網絡資源可用性的操作的組合。IPS是IDS的先進版本，能夠防止入侵和檢測。IDS和IPS主要是為缺乏防火墻等設備的要求而開發的。IDS主要用于檢測網絡中的入侵或威脅。選擇IDS主要有兩種類型，一種是基于主機的，另一種是基于網絡的。IDS的選擇還取決于成本效益及其如何確保網絡組織的安全。雖然通過實施IDS，不能說一個組織是完全安全的，但它是組織安全的特定的組成部分。結合IDS和強大的組織策略和程序，在特定時間間隔進行漏洞評估，安全配置路由器和防火墻可產生有效的結果。

在目前的組織環境中，安全性是所有網絡的一大問題。已經開發出不同的方法來保護互聯網上的通信和通信，它們之間使用防火墻、加密和VPN（虛擬專用網絡）。入侵檢測是針對所有這些技術相對較新的。IDS可以保護系統免受攻擊、誤用和破壞，還可以監控網絡活動。網絡過程監測日益被視為一個重要的功能，了解和改進網絡的流程和安全結構。IDS查找入侵者，并且實用、經濟、具有商業潛力。

預防勝于治療，牢記IDS和IPS的組合可以為網絡或系統提供深度防御，如果IPS無法阻止入侵，則可以進行檢測，從而緩解網絡風險。IDS技術提供可見性和許多其他優勢作用于網絡監控，其中包括網絡中正在發生的事情的實時可見性，以及存儲相關信息在以后的時間點以進行分析和報告的能力。可見性是決策的首要，通過可見性，可以基于量化的現實世界數據而創建安全策略。

2 ?基于Snort的計算機網絡監控方法

2.1 Snort的主要功能

Snort是Sourcefire開發的開源網絡入侵預防和檢測系統（IDS/IPS）。Snort結合了簽名、協議和基于異常的規范的優點，是全球部署最廣泛的IDS/IPS技術。Snort是一種IDPS（入侵檢測和預防系統）。主要研究基于簽名的檢測原理和基于異常的檢測，它們有其自身的局限性。在基于簽名的檢測中，Snort將網絡流量簽名與預定義簽名匹配，該簽名存在于可以不斷更新的snort的庫或數據庫中。當基于簽名的檢測與模式匹配時，它提供更好的性能，但它無法檢測在snort數據庫中不存在的新的攻擊類型。

Snort是一個現代安全應用程序，具有三個主要功能：它可以用作數據包嗅探器、數據包記錄器或基于網絡的入侵診斷系統（NIDS）。Snort還有許多附加程序，用于提供記錄和管理Snort日志文件、獲取和維護當前Snort規則集的不同方式，并發出警報，以便讓管理員知道何時看到潛在的惡意流量。雖然這些附加組件不是核心Snort套件的一部分，但為安全管理員提供了豐富的各種功能。

2.2 Snort的網絡監控方法

為了配置Snort首先需要訪問，而后將下載Snort，并獲得規則，下載它。當要在視窗機中安裝snort時，需要Winpcap軟件來捕獲數據包。通過C：＼Snort_etc，得到"snort.conf"文件，打開這個文件wordPad，應該采取以下步驟創建自己的自定義配置。①設置網絡變量。②配置解碼器。③配置基本檢測引擎。④配置動態加載庫。⑤配置預處理器。⑥配置輸出插件。⑦自定義規則集。⑧將預處理器和解碼器規則集集中化。⑨自定義共享對象規則集。

3 ?基于Wireshark的計算機網絡監控方法

3.1 Wireshark的主要功能

Wireshark是世界上最權威的network協議分析儀。它允許在微觀層面上查看網絡上發生的情況。它是許多行業和機構事實上的標準。雖然Wireshark不是IDS或IPS，但它可視為入侵檢測。每個專家信息將包含以下內容，chat（灰色）：有關常見工作流的信息，例如帶有SYN標志集的TCP數據包;注意（青色）：值得注意的事情，例如應用程序返回了"常規"錯誤代碼，如HTTP 404;警告（黃色）：警告例如，應用程序返回了"異常"錯誤代碼，如連接問題;錯誤（紅色）：嚴重問題，例如"格式錯誤數據包"。在TCP連接應包含SYN、SYN_ACK和ACK消息序列的Wireshark的chat部分中，可以進行入侵檢測。通過chat部分的分析，可以識別DDOS攻擊及其來源IP。通過使用防火墻ACL規則存在于Wireshark防火墻可以應用于任何IP地址，希望拒絕/允許來自該特定IP地址的數據包，也通過使用Wireshark顯示兩個或多個不同IP之間的通信。如果TCP流圖中只有SYN消息使用各種端口號從客戶端傳輸到服務器，并且在兩個IP之間沒有傳輸任何其他消息均值（SYN_ACK和ACK），在此基礎上，可以說未建立連接和攻擊。另一個是通過分析會話部分入侵進行識別。網絡會話是兩個特定終結點之間的流量。IP會話是兩個IP地址之間的所有流量。Wireshark是一種開放且非常常用的網絡數據包分析器工具，用于捕獲流經網絡的數據包，并以用易于理解的形式呈現它們。

3.2 Wireshark的網絡監控方法

Wireshark有一個相關規則，可以根據用戶指令進行配置或編輯。默認規則告訴有關錯誤數據包、校驗和錯誤以及網絡中分類可能發生的其他常見數據包錯誤。Wireshark具有一些功能，可以幫助入侵檢測。除此之外，還有一個專家信息在Wireshark，它告訴格式錯誤的數據包和數據包的嚴重性與數據包號碼。檢測可以通過其他方式完成，例如圖形分析，可以在其中找到與哪個IP通信。這也可以通過會話來檢測在兩個系統之間傳輸的數據包和字節的數量。

Wireshark是一種非常多用的網絡數據包分析器工具，用于捕獲流經在線網絡的數據包，并以易于理解的形式呈現它們。Wireshark可以在不同情況下使用，例如安全操作和學習網絡協議。

4 結論

IDS和IPS的主要作用是保護網絡安全參數。不可能建立完全安全的系統，但是，通過部署IDS和IPS，可以保護系統或網絡達到一定或最大的限制。提高網絡和系統的安全性。同樣，IDS和IPS與其他網絡設備（如路由器、防火墻、蜜罐、SIEM）的集成也可以提高效率。IDS和IPS對于保護SCADA（監控和數據采集）系統非常有用。在基于行為的檢測中存在一些主要問題，即基于行為的檢測和檢測攻擊，盡管在網絡外圍部署IDS和IPS可以緩解這種攻擊。另外社會工程攻擊也是一個主要問題，也可以通過提供其它適當的方法來緩解。

這是一個技術時代，技術在人類生活中扮演著主要角色，對技術的依賴與日增。技術是雙刃劍，一方面人們享受著遠程通信、家庭商店、網上銀行、電子教育、電子票務等服務，而另一方面則有人正在使用技術進行錯誤或未經授權的訪問。所以保護技術以及網絡通信系統的技術是非常重要的。

Wireshark和Snort是網絡監控的有效工具。網絡監控通過Wireshark對入侵檢測非常有用，防火墻ACL規則可用于入侵防護，相關規則和專家信息在入侵檢測中可以發揮重要作用。其中Snort工具也是一種強大的入侵檢測和防御系統，可以根據要求調整安全策略。

參考文獻：

[1]莫建國.基于TCP/IP的遠程電源監控系統設計[J].電源技術，2017（1）：157-158.

[2]王新雷，王玥.網絡監控法之現代化與中國進路[J].西安交通大學學報（社會科學版），2017（2）.

[3]陳亞.計算機智能監控系統在現代煤礦生產中的應用[J].價值工程，2019，38（28）：289-290.