基于网络监听的网络安全平台构建

摘 要：在网络时代的今天，网络安全技术的重要性越来越突出，如今市场上的网络安全系统大多只有监视网络状况的功能，这样远远不够。现在成熟的网络技术正在为网络安全平台添加新的进展。本文阐述了网络监听的基本原理及功能运用，提出了一个基于网络监听技术的网络安全平台构建的思路。

关键词：网络安全；网络监听；网络安全平台

中图分类号：TP274 文献标识码：B DoI: 10.3969/j.issn.1003-6970.2012.05.009

Built on Network Monitoring Network Security Platform

Gao Yu-xi, waNG Yan-min

(Jilin Institute Of Business, Jilin, Changchun 130062, China)

【Abstract】Increasingly prominent in today’s Internet age, the importance of network security technology is more and more; but the network security systems on the market today are mostly only to monitor the network status ,so that is not enough. Mature network technology gave network security platform to add new progress. This paper describes the basic principles of network monitoring and functional use of a technology-based network monitoring network security platform built ideas.

【Key words】Network Security; Network monitoring; Network Security Platform

0 引 言

如今网络成为人们生活中必不可少的一部分，在享受网络时代带来的新生活的同时也会对网络上潜在的各种不安全因素感到恐慌，尤其是其中最典型的病毒和黑客已经给人们带来了危害，因而网络安全渐渐成为热门话题。管理者通常将网络监听工具作为一种管理工具来监视网络状态、流量数据等，必要时甚至会进行远程控制操作。另一方面，信息以明文形式在网络上传输时，黑客们常常使用该工具进行攻击。根据它的两面性，我们可以利用网络监听技术构建网络安全平台。

1 网络监听在网络安全中的作用

黑客技术是一种科学技术，并不是人们现在普遍认为的入侵行为，不能定义它是坏的，它具有攻击性，但是也能起到防护作用，同时黑客技术促使网络运营商不断改善产品，某一种程度来看，黑客技术推动着因特网的发展。网络监听是黑客技术中常被用到的，可以监视内部网络，检查其中的各种漏洞。举个例子，冰河木马程序具有很强的控制力，但它的这个特点可以带给我们一个灵感，利用冰河木马的扫描工具检测谁有了后门。某人想要控制别人的主机就必须查看他是否开了后门并且不断发送命令，当某人不断的向端口发送指令时我们就可以利用网络监听工具接收他的数据包，这样就可以分析他是否有不正常行为。这就说明网络监听可以帮助我们不断检测这种漏洞进行分析并将分析结果反馈，对计算机进行警告或是中断操作[1]。

2 建设网络安全平台的需求分析

如今通用的网络是由ARPANET网络发展而来，TCP/IP的网络模型已经成为标准，虽然现在网络安全项目受到重视，在技术有了飞速发展，但市面上的网络安全系统仅仅起到监视网络的作用，黑客还是有空可入。许多优秀的网络产品公司正在为此积极努力着，相信在成熟的网络技术的支持下，网络安全产品会日趋完善，为网络安全平台加入新的功能。

2.1 输入数据流分析

因为是基于网络监听的网络安全平台，主要经过数据采集和数据分析两道程序，主要输入数据流包括网络数据包（IP数据包、TCP数据包、ICMP数据包和UDP数据包）、主机信息（主机IP、系统进程、系统时间等）、网络用户信息（地址列表、访问时间表和访问操作）。

2.2 输出数据流分析

基于网络监听的网络安全平台主要的网络输出数据流有8项，分别是：网络用户地址列表、网络信息流量表、网络连接表、网络用户权限表、网络用户数据包分析表、访问端口统计表、网络用户黑名单和网络安全现状分析报表。

3 网络安全平台的构建

3.1 网络安全平台功能与设计原则

根据以上情况的分析我们可以设想网络安全平台应该具有的功能，攻击者要对某个端口访问并且不断发送数据包来监听，那么网络安全平台就得具备数据包接收和分析的能力，要对发送过来的数据包进行分析看是否具有攻击性，提早警告用户，对动态网段主机端口自动检测[2]。同时要具备统计能力，对内部资源使用情况进行整理，还要统计外部访问和内部外访的情况，要记录用户访问地址，生成用户访问数据。要能够对已发现的黑客设置黑名单限制其权限。

安全平台的设计原则是：系统内核程序不改变；用户进入要简化；系统安装或拆卸不停机；对访问信息和资源不影响。

3.2 网络安全平台总体设计

网络安全平台通过网络服务器或其他应用程序运行，对内部不安全因素进行检测、预防，并能够对各种不安全情况找出相应的解决措施。基于网络监听的网络安全平台应该有单独的网络服务器和操作系统，不过视具体情况而定，不同平台有不同的服务。我们将它基本分为6个子件：数据包接收、数据包分析、安全扫描、反入侵和网络统计。数据包接收并自动生成地址列表和操作访问记录，数据包分析会对用户数据进行分析并将结果生成报表，这一报表将反馈给反入侵系统（追踪黑客和修复故障），经过后台分析设置黑名单，对潜在或已经出现的不安全因素限制权限，对以上地址列表、用户数据分析报表、黑名单列表等建立数据库并及时更新，生成网络现状表。主机内部网络端口定期进行安全扫描排除风险，将内部不安全主机表提交给权限控制表。警报系统分为两种，发现不安全因素时对用户进行警报，一旦确立入侵行为有必要时主动中断网络。最后一点，对来访或外访信息、内部资源等进行统计。