分布式網絡安全審計系統設計與實現

◆李超軍

分布式網絡安全審計系統設計與實現

◆李超軍

（中國人民大學信息學院 北京 100000）

隨著近年來互聯網應用的高速發展，信息安全已經成為電子商務、金融系統、或企業內部不可或缺的一部分。網絡安全審計系統作為保障內部網絡信息安全的重要工具，對網絡違規行為、網絡擁堵、信息泄露、數據竊取和篡改、不良信息傳播等問題進行嚴密審計和監控，記錄現場數據并發出警告。但近幾年來，SSL（安全套接層）協議等安全傳輸和加密技術逐漸普及，原有的審計監控系統無法審計加密后的信息。并且隨著海量存儲和高帶寬傳輸技術的快速發展，以及規模分布式網絡的興起和廣泛應用，傳統的集中式網絡安全審計方式由于其結構簡單、系統安全性差、擴展性有限等原因，導致審計時大幅增加CPU和I/O負擔，無法承擔數據量越來越大的審計任務。為此，研發分布式網絡安全審計系統具有非常重要的意義。

網絡安全審計；審計和監控；分布式

1 引言

該文的研究目標主要是針對分布式網絡的實際需求，設計實現分布式網絡安全審計系統，能夠發現入侵行為、監控內部網絡使用人員的網絡行為等，對潛在非法入侵者起到威懾和警示、能夠測試系統的控制情況，及時調整相關政策、能夠協助管理員發現非法入侵和潛在的安全漏洞，進而保障網絡安全和信息安全。基于此，分布式網絡安全審計系統要求在不改變網絡配置、不影響網絡運行效率的前提下，對內部網絡使用人員的網絡行為和訪問用戶進行合理有效的審計[1]。

1.1 系統需求分析

表1 系統需求分析

分布式網絡安全審計系統要求在使用中不改變網絡配置，不嚴重影響網絡運行效率。

資源消耗：不能影響正常用戶的日常操作，對CPU 的占用率小于 1%；對內存占用小于 50M；對磁盤占用小于 100M。

時間效率要求：響應時間小于5秒，數據的轉換和傳送時間小于2秒。

靈活性的要求：運行環境適應主流Linux操作系統，包括Ubuntu、Fedora、CentOS、RedHat等。

后續改進：系統的自我保護功能能夠進一步完善，并且提高程序魯棒性，能夠對多種異常操作進行響應，改進程序 BUG，提高系統穩定性。

1.2 系統可行性分析

分布式網絡安全審計系統屬于商業系統，為了使軟件能夠正常運行并且具有較高的可靠性、易用性、高安全性等特性，主要特性如下所示：

（1）界面簡潔，配置簡單，不改變網絡配置和運行效率。

（2）能夠適應當前的主流Linux操作系統，包括Ubuntu、Fedora、CentOS、RedHat等。

（3）軟件經過多次調試，可靠性大大提高。

（4）經過RSA和AES混合加密，保證了通信的安全性、可靠性和不可改變性。

分布式網絡安全審計系統在設計、實現以及測試過程中，只需要有效的網絡環境、開發機器、學校機房測試環境等，不需要其他昂貴的軟件和硬件設備，能夠順利實現并進行有效的測試。

2 系統設計與關鍵技術研究

分布式網絡安全審計系統采用C/S架構，包括控制中心和Agent主機，采用集中式監管，分布式控制的框架。控制中心負責監控網絡拓撲、審計查詢、異常監控、系統設置等功能。Agent主機負責數據采集、數據審計等功能。審計策略庫由控制中心分發，由Agent主機執行，Agent主機對于各種違規行為進行記錄，控制中心從代理主機處獲取審計信息，根據審計信息進行審計以及策略的調整。

首先，Agent主機向控制中心發送初始化信息，包括主機的IP和子網掩碼。控制中心收到該信息后，采用啟發式拓撲算法生成網絡拓撲。并且不斷重復這個過程，監控網絡拓撲圖的實時動態變化。

當控制中心完成網絡拓撲構建之后，就可以對整個系統進行管理和控制，并且啟動分布式網絡審計功能。審計開始時，Agent主機初始化任務列表，任務列表描述了Agent主機的數據采集任務和數據審計任務。初始化完成后，Agent主機之間使用分布式協作算法，快速均衡采集和審計處理任務，實現分布式系統的均衡負載。

數據采集和處理模塊實現了數據包抓取、協議分析和數據還原功能。數據審計模塊實現了關鍵詞匹配等算法對網頁內容進行審計。當數據審計模塊匹配到不良信息和非法內容時，數據審計模塊發出警報，控制中心迅速阻斷Agent主機與遠程服務器的數據交換。另外，本系統還能通過SSL Proxy對SSL加密的數據進行審計和攔截。

3 分布式網絡安全系統實現

3.1 系統開發環境

本系統基于Linux平臺，采用QT集成開發環境予以實現。開發的詳細環境如表2所示。

表2 開發環境需求

3.2 系統總體實現流程

分布式網絡安全審計系統包括控制中心和Agent主機，控制中心負責監控局域網網絡，開啟服務等流程，Agent主機負責內容審計、流量監控、SSL加密會話信息審計等工作，控制中心和Agent主機采用Socket方式進行網絡通信。

控制中心運行程序后，開始監聽，對從Agent主機收到的信息進行處理，形成網絡拓撲圖。并實時準備接收其他信息，如算法信息，審計得到的結果等。

Agent主機運行程序后，自動開始流量統計功能，并設置SSL代理以審計加密信息。輸入控制中心目的IP后建立連接，并開始審計工作。分布式算法首先進行任務分配，本機讀取分配信息后，對分配的任務進行審計工作，并將審計的結果傳到控制中心，不斷循環。同時，算法規定每隔10秒進行一次任務分配量的更新。

系統流程如圖1所示。

圖1 系統流程圖

4 系統測試

4.1 測試環境搭建

測試環境如表1所示。

表1 測試環境

在每臺客戶機上配置客戶端代理，另外利用主機當作服務器端和管理員機器，IP分別為192.168.1.1 和192.168.1.2。

測試的拓撲結構如圖2所示。

圖2 拓撲結構圖

4.2 測試方案

本系統的測試方案主要包括：功能測試，壓力測試，安全測試[3]。

4.2.1功能測試

（1）動態拓撲生成

使用多臺不同網段客戶端在不同時間接入網絡，并在不同時間離開網絡，測試服務器拓撲生成的響應時間及準確性。

與服務器距離不同的網段的機器接入或離開網絡時，拓撲的響應時間不同。距離服務器遠的機器接入或離開網絡，拓撲的響應時間長；距離近的機器，拓撲的響應時間短。

當某臺機器接入網絡后，拓撲能否正確獲得其沿途經過的網絡信息。當某臺機器離開網絡后，可能會產生一些網段沒有機器連入網絡，是否能正確識別這些網絡，并且在拓撲中刪除。

當網絡主機頻繁接入或離開時，拓撲是否依然能夠正常顯示，是否會出現系統崩潰狀態。

（2）采集策略分發

在客戶端運行之后，服務器向客戶端發送不同的審計策略，測試客戶端接收策略的響應時間及準確性。

當客戶端運行先前的審計策略的時候，是否能及時接收并響應新得到的審計策略。

當服務器端頻繁發送審計策略的時候，客戶端是否能及時響應并接收最新的審計策略，是否能判斷哪個是最新的審計策略。

（3）網頁恢復

不同客戶端在不同或相同時間瀏覽不同網頁時，測試能否恢復出客戶端瀏覽的所有網頁，測試恢復網頁的效率及準確性。

當客戶端瀏覽網頁時，能否正確恢復網頁的文本信息、JS腳本信息、圖片及壓縮后的相關信息。

當客戶端同時瀏覽多個網頁時，能否區分這些同時到達的網頁信息，能否正確的將這些網頁數據包重組，并分開保存。

當多臺機器同時瀏覽相同網頁時，能否判斷出相同連接，并只恢復一次，不會出現冗余信息。當多臺機器同時瀏覽不同網頁時，能否正確重組數據包，將網頁各種信息正確恢復，能否區分開客戶端對應的網頁信息。

（4）SSL審計

與網頁恢復類似，客戶端在不同時間瀏覽https網頁，測試客戶端效率及準確性。

當客戶端瀏覽一個SSL網站時，SSL Proxy是否能動態裝配正確的證書。當客戶端同時瀏覽多個SSL網站時，SSL Proxy是否能正確同時裝配所有網站的證書。

當證書裝配完成之后，SSL Proxy能否恢復網頁的全部內容，包括：文字信息，圖片信息，腳本信息等。同時瀏覽多個SSL網站時，能否同時恢復多個網頁信息。

（5）知識庫同步

管理員在不同時間添加或刪除知識庫內容，查看客戶端知識庫的更新效率及準確性。

當管理員添加、刪除一條、刪除多條知識庫的時候，距離服務器不同的客戶端更新知識庫的響應時間和準確性。

當管理員頻繁更新知識庫時，客戶端響應知識庫更新的響應時間，及是否所有的客戶端能夠及時準確的更新。

（6）內容審計

不同客戶端同時瀏覽網頁，并且將每臺客戶端的流量大小做出區分，在不同時間內，改變每個客戶端流量大小，測試分布式協作算法的效率、內容審計效率及內容審計準確性。

改變不同客戶端的CPU利用率和內存利用率，查看分布式協作算法的效率，能否及時重新分配審計負載。

客戶端瀏覽不同網頁，測試客戶端能否利用知識庫正確識別出非法信息。客戶端瀏覽大量網頁，測試客戶端是否能夠利用知識庫正確識別出非法信息，并測試系統分析時間及運行穩定性。[4]

4.2.2壓力測試

（1）流量測試

流量測試將對系統數據采集、協議分析的效率進行測試。在不同等級的流量情況下，統計丟包率。

（2）分布式規模測試

本系統由多臺Agent主機構成了分布式結構，主機在數據采集、數據審計模塊實現分布式協作。為了測試系統對于不同主機數目的網絡環境，在執行分布式計算任務時，有何種性能變化，以及穩定性會發生什么樣的改變。測試將依次使用個數遞增的主機數目，加入到分布式網絡中，再測試系統性能和穩定的變化。

不僅要考慮主機個數的影響，對于每臺主機，當開始執行協同工作時，就需要利用分布式協作算法，算法的性能也能影響到整個系統的性能。因此，在主機數目相同的情況下，隨機改變每臺主機的初始化審計任務。執行測試，觀察審計系統的處理性能

（3）控制中心壓力測試

使用多臺主機連接，測試控制中心Web服務的負載情況，QT界面響應時間。

4.2.3安全測試

（1）數據庫口令安全：口令安全包括口令長度及口令多樣性。口令長度必須多于8位，口令必須包含字母、數字及符號。

（2）知識庫操作安全：管理員添加知識庫時必須按照提示添加，測試添加操作是否成功。

（3）系統操作安全：系統中有些可以手動輸入的文本框，測試如果用戶在文本框里輸入不合法的內容，是否提示錯誤，防止SQL注入等攻擊.

4.3 結果分析

對于功能測試，大部分功能比較滿意，只是在網頁恢復時丟失率過高，這部分需要進一步改進。

對于壓力測試，數據采集時由于流量過大，產生了一些正常的丟包行為，但丟包率較低，可以接受。在規模測試方面，隨著網絡規模的增加，分布式的優點越來越明顯，在龐大的網絡流量和審計任務面前，每個單獨系統能夠平衡網絡負載及審計任務，此時系統占用資源反倒略有降低。

安全測試方面，主要參考了一些國家安全標準，在功能上強制要求用戶做到一些標準化的操作。因此，對于通常的SQL注入，重放攻擊等，均無法對系統造成破壞。

5 總結與展望

5.1 主要工作總結

本文針對用戶的實際需求，在現有網絡安全審計技術研究的基礎上，提出并設計了分布式網絡安全審計系統。它為用戶提供了位于防火墻、入侵檢測系統后的第三層保護屏障。本文圍繞分布式網絡安全審計系統展開了以下研究工作：

（1）對現有網絡安全審計系統進行研究，分析現有模型的不足。以此為基礎，提出了分布式網絡安全審計系統，該系統將分布式結構、SSL加密信息審計等技術予以結合。

（2）在網絡安全審計的關鍵技術研究基礎上，對該系統進行需求分析和技術可行性分析。以此為基礎，提出了系統總體設計方案，完成各子系統和關鍵模塊的設計與實現。

（3）介紹了分布式網絡安全審計系統的開發環境，展示了關鍵模塊的實現代碼和用戶界面，從功能、壓力、安全等方面對系統進行了全面的測試，提供了相關測試數據和分析。

5.2 展望

本文實現的分布式網絡安全審計系統還存在一些不足，后續的研究方向主要有以下幾個方面：

（1）本文針對應用層協議的還原，只實現了HTTP協議，對SMTP、FTP等協議的還原工作并未完成，對應用層協議的還原的完善工作是下一步研究的重點內容之一。

（2）網頁還原時，雖然能夠還原文本內容，但是對于圖像的還原還在調研階段，完成圖像還原功能也是后續重點研究內容之一。

（3）本文在測試網頁還原功能時，發現數據包丟失率過高，后續工作應該找到丟失率高的原因。改進算法，將數據包丟失率降低到合理范圍。

（4）隨著IPv6網絡的普及，針對IPv6網絡的安全審計工作越來越重要，本文設計實現的系統是基于IPv4網絡，對IPv6網絡的安全審計工作是后續的重點研究內容之一。

[1]王兵. 計算機網絡安全技術在電子商務中的運用[J]. 電子商務，2016，03：44.45.

[2]崔鵬飛，裘玥，孫瑞. 面向網絡內容安全的圖像識別技術研究[A]. 中國計算機學會.第30次全國計算機安全學術交流會論文集[C].中國計算機學會，2015：4.

[3]盛宇. 網絡入侵檢測系統在信息安全防范上的技術分析[A]. Singapore Management and Sports Science Institute，Singapore.Proceedings of 2015 3rd International Conference on Social Sciences Research（SSR 2015 V13）[C].Singapore Management and Sports Science Institute，Singapore，2015：5．

[4]張亮，任德志. 基于網絡流量的主機安全防護系統實現[A]. Committee of Intelligent Digital Data Security of China Association for Artificial Intelligence（中國人工智能學會智能數字內容安全專業委員會）.Proceedings of the 2nd Asia.Pacific Conference on Information Network and Digital Data Security（2011APCID）[C].Committee of Intelligent Digital Data Security of China Association for Artificial Intelligence（中國人工智能學會智能數字內容安全專業委員會），2011：7.