計算機網絡安全監控系統的設計與實現

何一鳴

（廣西大學計算機與電子信息學院 廣西壯族自治區南寧市 530004）

互聯網時代，網絡安全問題越來越不能忽視，一旦發生會對企業造成嚴重影響。為了做好網絡安全工作，很多企業希望通過計算機網絡安全監控系統來實現網絡系統安全穩定運行。本文對相關技術進行了介紹，設計并實現了計算機網絡安全監控系統，采用分布式技術改進通信子系統，以確保計算機網絡安全監控系統的安全穩定運行。

1 緒論

信息技術的發展，不斷改變著人們的通訊和交流方式，既給人們的生活帶來了極大便利同時也隱藏著難以預料的隱患。網絡攻擊是一直存在的現象，很多重要機密的敏感信息一旦泄露，就會造成嚴重的負面影響和極大的經濟損失，甚至威脅社會和國家安全[1]。面對這些問題，我們既要跟上時代信息化的潮流，又要運用可靠有效的手段保證信息化的安全，而計算機網絡安全監控系統滿足了這一需要。

2 相關技術介紹

2.1 網絡安全機制和技術措施

目前，國內外常用的有加密機制、訪問控制、病毒防護及身份鑒別等四類網絡安全機制。就上述幾種機制采取的措施有[2]：面向網絡和服務的加密技術、防火墻技術、審計監控、數字簽名技術、防病毒技術、鑒別技術、入侵檢測技術等，這些技術措施都是保證計算機網絡安全的有力手段。

2.2 國內外典型的網絡安全技術

2.2.1 防火墻系統

防火墻的主要功能有檢測并警告網絡攻擊、禁止非法訪問行為、監聽通過網絡的數據包、記錄允許的信息和行為、管理網絡訪問行為等，防火墻系統僅允許授權數據通過，禁止陌生用戶非法訪問內部資源，有效保護內部網絡的數據、資源和設備，對網絡之間的訪問行為進行控制，從而增強計算機網絡的安全性。

2.2.2 入侵檢測系統

目前，入侵檢測系統有基于主機和網絡兩類，前者查看和識別日志中的可疑行為并采取相應措施，后者對數據流進行監聽，查看是否包含惡意入侵，一旦發現馬上采取相應措施。入侵檢測系統對網絡的使用情況進行監聽，檢測和識別系統外非法入侵和系統內越權使用等情況，記錄用戶的操作和歷史行為，在特定情況下可作為證據和依據。

2.2.3 虛擬專用網VPN 技術

VPN 的基本功能有身份和信息認證、訪問權限控制和數據加密等，通常可以通過多種方法來實現，如專用VPN 設備、基于防火墻的VPN 等。VPN 技術提供端到端的安全通道，可以實現數據安全傳輸，使內部網與公司分支機構、遠程用戶等通過安全連接進行可靠數據傳輸。

2.2.4 其他安全技術和產品

還有很多的安全技術在軟件或硬件上保證網絡、主機安全，如數字憑證、密碼技術、認證中心以及數字郵戳等技術[3]。防火墻主要作用于內外部之間，加強網絡之間的控制；入侵檢測技術主要用于檢測和識別外部非法入侵；VPN 的作用是在內外部建立一條安全可靠的傳輸通道；認證技術可實現只有合法用戶可以訪問內部資源。未來的計算機網絡安全監控系統要融合上述各種技術的優點，采取有效措施避免它們的局限性，使網絡安全監控系統不僅具有一定的靈活性和開放性，還能有力保障計算機網絡內部數據和資源的安全。

3 系統總體結構設計與實現

3.1 系統功能和設計目標

系統的主要功能包括系統管理類、系統控制類及監控類等基本功能[4]。其中，系統管理類功能包含管理員操作日志、受控機消息日志、違章連接日志等系統日志管理功能和受控機參數設置、操作管理策略、受控機IP訪問范圍和系統監控受控機管理等配置管理功能。系統控制類功能主要包含遠程關閉或重新啟動計算機、控制網內計算機上進程和程序、網絡相關管理人員可遠程操縱網內計算機和遠程鎖定鼠標和鍵盤等功能；監控類功能主要包含監控、控制本地計算機使用Modem 撥號上網、自動發現并控制不合法的網絡連接、自動監控受控機是否在監視范圍內以及自動發現出現在網絡內的陌生計算機等功能。

另外，系統還有監控代理、網絡嗅探器及監控臺等功能，其中監控代理主要包括接受監控臺關閉或重啟等操作和連接請求、定期檢測進程和連接是否合法、接受來自監控中心的非法地址或是非法進程表等控制策略以及依照相關策略關閉非法進程和連接等功能；網絡嗅探器主要包括非有非法網絡連接時發出警報、自動探測陌生計算機入網以及監控網絡數據流等功能；監控臺主要提供受控機和監控中心之間相關的所有管理界面，如日志查詢界面、所有活動監控列表界面等。

在深入研究各種網絡安全技術的基礎上，結合實際需求，本文設計的安全監控系統采用分布式C/S 架構，主要的組成部分有監控代理、數據中心服務器和監控臺，同時添加網絡嗅探器輔助子系統。該安全監控系統使用智能代理，融合最新技術，最終期望其具備一定的通用性、靈活性、繼承性、完備性、易用性和實時性，同時具有較好的性能。

3.2 硬件體系結構

整個監控系統的四大主要組成部分是監控代理、數據中心、監控臺以及網絡嗅探器。

其具體的硬件體系結構如圖1。

圖1：硬件體系結構

受控客戶機上運行有監控代理服務，該代理服務向數據中心或監控服務器實時匯報受控機的行為、狀態等信息，同時給客戶機轉達監控服務器命令[5]。其中，系統的核心是數據中心，用于保存和處理系統的日志和運行數據，同時是子系統之間的橋梁。

通常，監控中心保存管理來自受控機的違法連接、更新受控機訪問地址和控制等策略、活動受控機列表及來自網絡嗅探器的報警信息等。網絡嗅探器通常安裝在路由器或網關等關鍵路徑上，用于分析數據包協議和竊聽數據包，使系統實時掌握網絡運行情況，如陌生計算機接入等。

4 關鍵子系統設計與實現

4.1 通信子系統設計

系統通過TCP 協議和應用層接口協議進行通信，數據傳輸過程中，可能因數據被監聽和篡改、軟硬件故障、網絡延遲等問題產生不正確和延時報文[6]，為了保證數據正確、傳輸可靠，本文采用一些有效措施來解決這些問題，主要思路是放棄不正確和延時報文。

通常，通過緩沖區來記錄報文的發送及接受情況，同時設定報文段長度及編號以防止報文錯亂，系統會直接拋棄出現異常的報文列表。這又會引發另一個問題是，當接收方和發送方開始通信后，異常的報文列表被放棄，此時發送方仍在發送數據，可能出現的一種情況是這些報文都被視為異常報文被接收方放棄。

為了使放棄異常報文列表和其他正常報文的發送和接受之間不互相干擾，本文安全監控系統具體的辦法是，利用TCP 協議后一個報文不會先于前一個報文到達的特點，為第一個報文添加標識，從而實現放棄某一報文列表時，可正常接受其他報文，僅需要開辟一塊新的空間用以接受其他報文列表。

4.2 通信子系統改進

安全監控系統如果采用傳統C/S 結構，監控代理、嗅探器等都需要與數據中心相連，隨著用戶需求的不斷變化和系統的不斷升級，結構會愈加復雜，同時維護難度增大，例如數據中心地址發生變動，需要對所有相關模塊重新設置，這種是極不容易的。使用傳統C/S 結構會存在效率低下、耦合高、安全性和整合性能較差、不易維護和負載均衡能力弱等問題[7]，改進措施是采用分布式系統架構。本文采用了ZeroC 公司的ICE 技術，這種分布式技術具有靈活輕便、簡單易用、功能強大、可伸縮性和性能更好等優點。

通過ICE 技術對通信子系統進行改進，改進的兩個主要思路是，其一是通信作為一個模塊獨立出來，向其他模塊提供可調用的接口，降低了系統模塊之間的耦合性；其二是利用通信代理模塊實現各個模塊之間的通信，通信代理模塊向目的模塊轉發需要通信的模塊的通訊請求。同時，通信代理模塊還負責實現負載均衡，通過這種方式，通訊時各模塊不需要知道數據中心所在的物理地址，僅需向代理模塊提交請求即可，使資源利用率增加、系統更穩定強健。通過上述改進，減低了模塊之間耦合性，可以將更多時間精力放在業務邏輯上，又使系統具有較好的負載平衡性，提高了監控系統的整體性能。

4.3 嗅探器的設計與實現

嗅探器子系統是安全監控系統的一個輔助系統，主要用于探測陌生機器和監聽網絡數據流，同時和各個監控代理相互配合對受控機狀態進行判斷。其具體系統結構圖見圖2。

圖2：嗅探器系統結構圖

嗅探器主要負責維護已注冊合法機器、宿主計算機和在線受控機活動列表三個列表，對截獲數據包進行協議解析以判斷它的來源，主要是對比三個列表的實時信息和來源信息，發現陌生的來源信息，從而向數據中心匯報。另外，嗅探器對全網網絡連接狀態的消息進行實時維護，第一時間發現非法連接，向數據中心匯報的同時利用已設定的策略作出相應措施，對非法網絡連接通信進行干擾。

4.4 監控代理

代理在傳統安全監控系統中的作用是有限的，但在未來實時的監控系統中，代理是真正的執行者，是系統的重要組成部分，有助于提高系統的效率和性能。本文的安全監控系統中監控代理要具有一定的完備性、自主性、可拓展性、獨立性，要始終貫穿在監控系統的運行過程中，自發地開展工作，具有一定可拓展性以滿足不斷變化的需求，并且和被控系統用戶是獨立關系。

4.5 數據中心

數據中心是安全監控系統的核心部分，是通訊樞紐、消息中轉站，承擔著大部分事務處理的工作，直接決定著監控系統的效率和性能[8]。數據中心會統一集中管理網絡上全部的受控機，如受控機操作控制、策略管理及狀態判斷，系統運行日志等；是消息中轉站和通信樞紐，接受來自各模塊發送的消息和請求，經過分析和處理進行響應發出相應的指令；與網絡嗅探器共同監管網絡中的可疑行為、非法計算機以及監聽全網絡的數據流；與數據庫保持交互，提供對數據庫的訪問管理和各種操作。

4.6 監控臺

監控臺是監控系統和相關管理人員的交互界面，用于向監控代理、數據中心及嗅探器傳達來自管理員的各種指令，為了更好的適應需求和具備一定的靈活性，本系統的監控服務器盡可能滿足界面友好性、具有安全驗證機制、能被代理控制、可以和數據中心等設備實時交互等要求。

監控臺界面提供了全網網絡狀態監控、管理員管理、日志管理、系統設置與登錄、受控機監控和配置管理等功能入口。左側結構樹顯示嗅探器和受控機樹圖，點擊后悔進入具體的監控窗口；監控區顯示的是活動進程、網絡連接狀態等具體監控信息；消息區顯示各種報警消息；工具欄還提供用于控制、配置和系統相關的系列快捷按鈕。

5 系統測試和結論分析

5.1 監控臺

監控臺的核心功能是人機交互，安全監控系統經過一定測試，所有模塊均正常顯示，所有按鍵觸發功能均是相對應的功能；同數據中心的數據交互均得到了預期結果；監控臺可流暢控制遠程桌面，并且使用鼠標完成各種操作。

5.2 數據中心

數據中心的核心功能是數據中轉，測試過程中，向監控臺發送的消息均能正確接受和轉發；對代理列表的維護、日志記錄等都符合預期結果。

5.3 監控代理

監控代理是安全監控系統的核心功能，選用USB和Modem 兩種設備用于監控代理功能測試，先設置相關的安全策略，然后分別允許或禁止設備使用，均按照預期實現了控制；可根據一定安全策略識別非法進程和非法連接，并在第一時間關閉；能夠正常接受受控機各種請求，并正確地響應給監控臺。

6 結語

本文對計算機網絡安全監控系統的系統結構進行了設計，設計并實現了通信子系統、嗅探器輔助子系統、監控代理、數據中心和監控臺等子系統，使用ICE 分布式技術對通信子系統進行了改進，且經過一系列測試，在功能和性能方面都滿足各方面的實際需要，以期為計算機網絡安全監控系統的實現和優化提供參考。