当前位置:首页 >> 互联网 >>

分布式网络安全监控系统的研究和实现_图文

大 套 伦



分布式网络安全监控系统的研究和实现
王旭仁

刘宝旭 李雪澄

曹爱娟 许榕生

于通 河

首都师范大学信息工程学院

中科院高能物理所计算中心

中科院研究生院

摘 要:本文提出了一种分布式实时网络安全监控系统 ( ii t N to S ut Dsb e e r e r t u d  w k  i r cy
Moirg sm,简记为 D S )          non S t t i ye N MS  ,能够对常见的网络 活动 ( T P F P H T ,  , T Tl t P P S T SL U )          ,  ,  P 进行实时抓包、重建、存储,为网 e e O ,  P S D n ,  M 络安全管理
员提供 了详细的内容监控 ,弥补 了现有网络安全工具的不足。同时使用分布式工作          模式,使得监控更灵活,便于管理员的使用和维护。实验表明,D S          N MS的监控效
果 良好。           

关键词 :网络安全

实时监控

T PI C /P协议

协议分析

1 、前言

B SW B      浏览、电子邮件、 P B ,E F 等的广泛使用, T
在给人们工作 、 生活带来便利的同时, 也成为传播色 情、 反动信息的温床 , 成为泄密、 人侵的工具和途径 , 造成网络资源的浪费和滥用 ; 漫无 目的的网上冲浪 , 也降低了工作人员的工作效率、 浪费了宝贵时间。目 前已有的网络安全攻击对解决这个问题存在的不足
之处在于 :

分布式监控 现在的局域网网络拓扑结构往往比      : 较复杂 , 由若干网段组成 , 因此进行分布式监控才更 利于了解整个网络的安全状况 , 也便于远程控制。 笔者参与设计实施的分布式网络安全监控系统     

(iru d t r Scry  non Ssm 简 Dsi t N w k  ut M irg  t , t e e o e i o ti ye b 记为 D S S  NM ) ,就是一个能够工作在复杂网络环境
下、 分布式的、 协同的实时网络安全监控工具。
2 、系统使用模式

访问内容记录不详细 :目前存在网络安全防范      攻击有防火墙 、 S审计工具等网络安全保障系统。 I 、 D 但是防火墙 、人侵检测系统和扫描器等可以记录网 络访问的审计数据 ,无法提供有关访问内容更详细 的记录信息。 实时性 :网络安全监控工具必须具有较好的实      时性 , 在攻击发生的同时或很快就能发现攻击 。达到 这一 目标的网络安全监控工具很少。 与其他工具的协作性 :网络安全监控工具应具      有和其他安全工具的协作功能 ,在攻击发生时或者
发生后 , 能进行联动 。

分布式网络安全监控系统 D S S      N M 包含一个管 理中心和若干个监控端, 管理端可以安装在局域网或 者互联网的任何位置,只要能进行网络通信就可以。 监控端根据网络拓扑结构和监控的需要安装在被监 控的网段上 , 如图 I 所示。
3 、工作模式 网络安全工具的工作模式通常有三种 : 基于主机 的模式、 网络监听模式、 网络过滤模式 :

基于主机的模式 :系统以后台程序的方式运行,

"2 5

第十九次全已计算机安全李术麦流套格文
监控端主要包含传输模块 ,控制模块和监控模      块。控制模块接收来 自管理端的命令 ; 传输模块根据 接收的命令向管理端传输数据; 监控模块是实现对网 段进行监控的重要的功能模块。 监控模块实现对网段上计算机的监控,      包括 3 个 小的模块 : 初始化配置模块 、 数据获取模块、 数据分析 和事件响应模块 : 1初始化配置模块      )

D SS      N M 系统运行时, 首先进行初始化配置: 网卡
图 1 分布式 网络安全监控 系统 的工作模式举例

这样会 占用一定 的主机资源 。例如主机人侵检测

(IS使用该模式。 HD )
网络过滤模式 :      系统接收数据包 , 对数据包处理 完毕后再转发, 这样会造成一定的网络延迟。例如防 火墙、 代理网关就使用这一模式。 网络监听模式 :      系统处于内/ 网络 中间, 外 但是 却独立于两者。不占用网络资源 , 不会对网络正常通 讯产生任何影响。网络人侵检测系统( IS  ND ) 使用该 模式 。

由于’N M 不仅接收数据包,      S DS 还要对网络数据
包进行应用层的分析 、 重建 、 存储等处理 , 在网络过 滤模式下工作 , 会成为网络瓶颈 ; 在主机模式下工作 会影响主机的工作和性能。因此 D S S N M 被设计成监 听工作方式。
4 、实现功能

D S S的功能如下图所示。 NM
N M M ngm n C n e S S aae et  t er ( 传输模块 , 控制模块 )

监听模式的设置使得系统能够接收广播式局域网的 数据包 , 而不影响网络正常运行 ; 设置合适的数据缓 冲区大小 , 缓冲区太小 , 会造成数据包来不及处理便 被丢掉的严重问题。设置对网络数据包的过滤, 由于 内核空间的过滤不用拷贝数据 ,因而不占用 C U时 P 间, 过滤效率较高。 2数据获取模块      ) 数据获取模块从网卡链路层获取网络数据包 ,      验 证连接是否完整 ;当一个连接的数据被接收下来后 , 将数据转给上一层的数据分析和事件响应模块处理。 允许用户灵活的监控某个主机 、 某些主机 、 某个 网段 上的所有数据包 , 并且几乎没有数据包丢失的情况。 3数据分析和事件响应模块      ) 数据分析和事件响应模块又分为若干子功能模      块: 统计分析、 生成审计 日志、 数据包重建、 事件响应 等功能模块。 统计分析 对被监控网络进行流量监控,     : 可以按 照多种标准进行统计 , 例如按照时段 、 I P地址 、 协议 进行流量统计。 并绘制动态流量变化图。 通过流量统 计管理员可以及时发现异常流量 、 突发流量以及网络
流量分布。

D S M ir    S  no NM ot ( 控制模块, 传输模式
功 能模块 )       

DNS      Mo i r MS  nt o

( 控制模块, 传输模式,
功 能模 块 )       

41管理端实现的功能      . 管理段和监控端是一种松散藕合的关系,管理      端的传输模块主要负责数据传输 ,例如根据需要调 取监控端的监控审计数据 , 了解监控的工作状况 ; 控 制模块向监控端分配任务 ,例如让监控端监控指定 I P地址的机器。
4     端 实现 的功能 . 2监控

生成审计      日志 : 对获取 的网络数据生成审计 日 志, 可供网络管理人员事后分析和取证。审计数据 包括连接 的时间、 口、 端 服务 、 连接状态 、 传输长度 等信息。 数据包重建 这个模块是 D S S系统中最重要      : NM 的部分。 虽然用户上网的方式各式各样 , 但主要是浏 览网页、 收发邮件 、 上传或下载文件 、B 聊天、 BS 及时

通讯等 。因此 D S S系统对 H PFPTl t NM T , , e, T e n
P P S T ,  ,  O ,  P SL U P等常用 网络协议 的数据包进 M S D 行 了详细的、 实时的解析、 重建和存储。对于多种网 页格式( 包括音乐、l h等)邮件附件、 Fa s 、 上传下载的 文件都能够进行完整的重建 ; 对于 SL传输 , S 由于使 用了加密机制 , 无法获得解密数据 , 但是通过对 SL S

大 会 格 灰
握手阶段的数据分析 ,可 以获得有关证 书的信 息 ( 如有效期 , 颁发机构 ) 加密方式 , , 密钥 长度等信 息。 这样管理员就可以对正在进行的网络活动进行 实时 、 直接的浏览 , 及时发现不安全的行为。 对重建 后的数据包进行存储 , 可以作为取证数据或者进行
事 后分 析 。

.3 5"

器登陆 w w站点 hp: w w o a. w时的SL w ts/w . t i w t/ hm l w S
握手部分 的信息片断。
甲 , r c ie n

C pe i hr
Se s 1.肠

: 二SL 习 n . 亡口 ..口二 , ,

Chslieng

C p e Sp c 写 p 《C i hr e s :
C1          , p c ph r 亏        p i e ep . 生       p 1肠 r c p r 5        P i he e1p卜.r        名 p Cip加,护        忿 p C p . 盆       p 1卜 r , . . …

L c  L o n e L e g
. t , :

t th : 51 h 如: . 7 : ,6

s e s)    c p

T   S 一 [  C _ 2 一 D ( 0 0 9 )    R . . T R 4 1 . . s 8.0 4 4 1 L  S  - H
T S S 一 T 一 C w  _  ( W 6 肠    R O  I H   4 1 0 S O O 6 9 》 L W H e2 M 0
T S RS    ̄  R 臼I H  D S E E C C S 自 《 ” L T8 E D  ̄  _ H D . … … ) SL    2 月C _ 2 一 I H  D 《 . . . S 4 1 . . T M S . 州 .. 》 S L _ E 1 2 D 9  R WI H    2 D S  9 E E C C  T M S  9 6 4 0 ) S (.7 00 S L _R 2 . 一 , -〔 心 妙 T 9N    2 C _C 公 , . . - 皿 H o S 咤 “ 口 . . S . . .. 】 TS S    R O 钟I H   S D S ) 《 ” . L T 一 E C C H) . . … ,》 D

事件响应 一旦发现攻击 ,      : 管理员可 以采取的响 应措施有 : 进行 T P连接阻断、 C 和其他网络安全工具 联动。对于正在通讯的非法 T P会话 , C 管理员可以 通过 D S S直接进行主动阻断。该功能完全可以 NM 采用由监控的实施者定制策略。在 D S S系统中 NM 利用 O S C接 口,和支持 O S C接 口的网络安全 PE PE 工具之间产生互动 , 提高网络的整体防范能力。 当系 统 管 理 员通 过监 控 系统 发现 异 常 时 ,可 以调 用

亡 ph r 右        p 1 , c ph r 布        p i e 公主 加.        p , r 忿
侣1p肠.r        忿 p

, : 口 . …

S L一 E6   2   S 气." _ T  ̄ 5 0 0 0 4 ) S 9 CC W HM I D (x 6 0 0

l hr C 脚 e 3       p
c p r 金        p i 翻. c p r 忿        , i he C p r 忿        , i 加e 公 oh r        t .

‘: S L2 R S t气 ‘29  XP RT 1 E O 勺眨- T M 5 ‘ “. . ) 甘I H  O . 2. .. ‘.”. S L2 C2 C 一1 _  C  T M S _R DC  20 C D WI H OS    勺....,
..  TL公 _.叻〔 一.写5_甘I N T  S加翻 《. 翻.…

T S   R E P R 1 2  ̄  T Y C    , S _ X O T 0 4 WI H R 4 5 一 H 0 8 0 6 L R 6   O  S 0 0 4) T S 日 . 〔 护 R I 2 W T O S  C  M ( . 0 0 2)   一 5 ‘ 盆 O T O 4  I N  E C O S R  0 0 0 6 L T S  公 一 翻 二 _甘 , - 公  ̄ 臼 M S .    R 确 ‘ 护 了 胜 叻 . 如 招 _ D 《 翻… … ) L t 5 R  ̄  O t N N R 2 C C i   w  R # P R _  T _ C } 9 _ 9 M 5 《 … … 》 Le S X [ D 翻
13"

公, e        1加 r
Ch a 11户血 口口

(. 4 02 . 0 01 ) T S 夕H O S E P  t 2 WI H D S  * _ # L _ E  S _ X O 10 Y  T - E C C SM ( x0 0 6 B 0 0 0 8)
T _  f . 一UI _ LS D加 _ 忿5 7N 公尼弓

6 、结论

本文提 出      了一 种 分 布 式 网络 安 全监 控 系统

O S C  I PE A 函数, P 向其他网络安全工具传输报警 日
志或修改安全策略( 例如中断连接) 同时还可以接 ; 收其他安全工具特定的 日志信息,对网段上指定的 机器进行监控 。
4 关键技      术 . 3

(N M ) N M 提供了审计功能、 D S S,  S DS 阻断功能、PE O SC
接口、 实时数据的分析还原和存储 , 试验表明 D S S NM 具有 良好的监控效果 , 但是在 自动事件响应和处理上 还有待进一步的研究。
参考文献 :
[ 浅析网络监控系统对网络性能的影响, 1 ] 张承、 蒋东兴、 刘启

在 D S S系统中,      NM 关键技术包括 : 数据获取不 丢包 、 实时重建数据包和存储。 N M D S S系统在百兆网 络环境下 , 数据丢包率很小 (5 , < %)主要通过对底层 抓包程序wnc 和硬件环境的优化来完成; i a pp 实时重 建数据包主要是在应用层按照协议对数据包进行重 建, 工作量大 , 比较耗费机时 ,N M D S S系统主要采取 了程序模块的优化来实现实时的重建和存储 ,和具
体的编程环境有关。
5 、试验

新、 《 石岩,小型橄型计算机系 ,o2, . , 9 1 2 统》V13  29  5-0 . 20 0 p  6 0 1 0
[ 对SL 2 ] S 协议的监控和分析, 王旭仁, 毕学尧, 许榕生, ” 第 届计算机在现代科学 技术领域应用学术会议, 0. 2 39 0 0 [ 网络内 3 ] 容安全监管系统的框架及其关健技术, 刘琦, 李建 华, 计算机工程, 19N . 03 2 v . ,  2  . o2 o ,  0 20

[ (C / 4 T PI ]  P协议簇)Bh u AFr z , pi C u, ,er z  o ua S h hn清 o . o n o a 
华大学出版社, 0 23 0

下图是利用 D S S监控端记录到的被监控机 NM


相关文章:
分布式网络安全监控系统的研究和实现_图文.pdf
分布式网络安全监控系统的研究和实现 - 大套伦 文 分布式网络安全监控系统的研究和实现 王旭仁 刘宝旭 李雪澄 曹爱娟 许榕生 于通 河 首都师范大学信息工程学院 ...
分布式网络行为监控系统的研究与实现_图文.pdf
分布式网络行为监控系统的研究与实现 - 维普资讯 http://www.cqvi
一种分布式网络安全管理平台的设计与实现_图文(精).doc
一种分布式网络安全管理平台的设计与实现_图文(精) - 北京邮电大学 硕士学位论文 一种分布式网络安全管理平台的设计与实现 姓名:陈思璐 申请学位级别:硕士 专业:...
分布式安全审计系统设计与实现_图文.pdf
分布式安全审计系统设计与实现黄晨,胡红云, 蒋安东, 谢俊元 (南京大学计算机科学...硕士研究生,研究方向为计算机网络安全; 究方向为计算机网络安全; 胡红云(1974~...
基于Hadoop的分布式云监控平台系统的研究与设计_图文.pdf
基于Hadoop的分布式监控平台系统的研究与设计_信息与通信_工程科技_专业资料。...在云主机中,不同的服 务可 以通 过扩 展的 方式 来获得,比如安全盾、镜像...
分布式网络监控系统设计与实现_论文.pdf
分布式网络监控系统设计与实现 - 本文针对目前防火墙等网络监控产品存在过滤不全面,力度不强等问题,研究设计了分布式网络监控系统(简称DNM),给出了DNM系统框架和结构...
网络安全态势感知系统关键技术研究与实现_潘峰_图文.pdf
网络安全态势感知系统关键技术研究与实现_潘峰 - A c a d e m i c E x c h a n g e s [ 学术交流 ] 网络安全态势感知系统 关键技术研究与实现 ...
P2P网络行为安全监控研究综述_图文.pdf
由以上可以看出,该P2P分布式监控系统继承了传统网 络监控的特点,主要的改进在于安全策略的集中定义和分散 执行,以实现协同监控。但监控对象主要仍是针对P2P局域 网络...
分布式信息安全防御系统的设计与实现.pdf
3 2 分布式信息安全防御系统采用树形多级管理结构,由主 动防御平台、监控节点、...(1970-),男,讲师、硕士,主研方向:网络安全, 信息安全风险评估;朱宪花,副教授...
船舶分布式智能电力监控系统的研究与开发_夏伟_图文.pdf
船舶分布式智能电力监控系统的研究与开发_夏伟 - 第 30 卷第 8 期 201
分布式传感器网络安全监控系统设计.doc
分布式传感器网络安全监控系统设计 - 分布式传感器网络安全监控系统的设计 摘要:设计了分布式传感网络安全监控系统,能够感应场地中 是否有火源及其火源的大体位置,并通过...
基于多Agent分布式入侵监控系统的研究_论文.pdf
基于多Agent分布式入侵监控系统的研究 - 文章首先分析了可适应网络安全理论的主要模型PDR和P2DR,在此模型上将多Agent技术运用到网络安全框架模型中,设计并实现了基于多...
基于CAN总线分布式传感网络安全监控系统设计_论文.pdf
基于CAN总线分布式传感网络安全监控系统设计 - 设计了分布式传感网络安全监控系统,保证人员安全和生产的正常进行,可防止油田生产过程中火灾的发生。本系统以CAN总线协议...
软件定义网络分布式控制平台的研究与实现.pdf
软件定义网络分布式控制平台的研究与实现_互联网_IT/...此模块是用于模拟宽带和传输时 74 网络安全技术与...在网络边界 上通过建立起来的相应网络通信监控系统来...
...分布式机房监控系统的设计与实现--答辩讲解_图文.ppt
研究目的该系统研究分布式机房监控系统的目标主要有以下四个方面: ?为机房内部的各种设备以及运行在服务器上的应用系统提供安全可靠的环 境; ?在以往的机房管理工作...
分布式网络拓扑管理系统研究与实现.doc
分布式网络拓扑管理系统研究与实现 - 分布式网络拓扑管理系统研究与实现 摘要:随着电力行业计算机通信网络系统和应用日益普及和完 善,集中式的网管软件面临应用挑战,其...
网络信息监控系统设计与实现_论文.pdf
网络信息监控系统设计与实现_信息与通信_工程科技_...的分布式实时网络信息监控系统模型,通过系统各分监控...民公安大学安全防范系 【摘要 】互联网的无政府状态...
e6%8d%ae库和Internet的分布式远程多点监控系统研究_图文.pdf
为此,笔者开发了一种基于数据 库和Internet的分布式多点远程监控系统。系统采用两级数据库实现了数据的缓存,有效地解决了 Internet网络数据传输不稳定的问题,系统可对...
基于Java三层架构的网络文件传输系统的研究与实现_图文.pdf
基于Java三层架构的网络文件传输系统的研究与实现 - 应用安全 基于Java 三层架构的 网络文件传输系统的研究与实现 张洁1,2 许盛伟2 毛明1,21 西安电子科技大...
澜沧江流域梯级电站集控中心监控系统的设计与实现_图文.pdf
域梯级电站的远方实时安全监控' 经济运行和优化调度 " 有利于电力系统安全稳定 ...完整的开放式广域网络型 分层分布式集中控 制调度自动化系统 " 整个系统网 络...