网络环境下数据监测系统的研究

摘要:该文在明确网络安全重要性的基础上,引出了数据监测系统的研究意义,并对系统中的网络数据控制以及网络数据捕获的设计与实现作了详细的研究,为网络的安全提供了一定的保障。该文希望能为其它数据监测方面的研究提供一定的参考及借鉴作用。

关键词:数据监测;数据控制;数据捕获

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)33-9159-02

The Research of Data Monitoring System based on Network Environment

CHENG Yi-yun

(Nanjing Institute of Politics,Shanghai Branch, Shanghai 200433, China)

Abstract: At first,the paper has specifically introduced the importance of network security.Then the paper has leaded the research significance of data monitoring system.Secondly,the paper has studied the design and implementation of network data's control and capture in order to offers a certain protection for network security.The paper hopes to offers some reference and a similar approach for other research of the data monitor.

Key words: data monitoring; data control; data capture

在开放的网络环境中,相对于过去的主机环境、单机环境,基于网络连接的安全问题变得越来越复杂和突出。同时,随着人们对网络依赖程度的日渐加深,网络安全也表现得越来越重要。由于网络的互联共享,来自网络内部和外部的攻击不可避免[1]。因此,网络安全问题日益成为一个关注焦点。

数据监测是保障网络安全的一个重要措施,通过有效的数据监测系统,可以限制流量、控制网络数据、并通过捕获的数据包检测网络的安全状态,有效保证安全数据的正常传输,在一定程序上阻止了攻击探测数据包的传输。本文就是针对网络环境,研究数据监测系统的设计与实现。

1 数据监测系统的设计

1.1 网络数据控制的设计

数据监测系统的数据控制模块主要目的是阻止攻击者利用网络系统的管理主机作为跳板去攻击别的机器,但是只是尽量的减少,而不是杜绝这种行为。当然,针对网络任何的扫描、探测和连接管理主机是允许的,但是对从主机出去的扫描、探测、连接,网络安全系统却必须有条件的放行,如果发现出去的数据包有异常,网络安全系统或者系统管理员必须加以制止。本文研究的数据监测系统的数据控制设计原理如图1所示。

数据控制模块使用两层来进行数据控制:防火墙和信息检测系统(IDS)。防火墙为了防止内部网络安全系统的管理主机被作为跳板攻击其它正常系统,我们必须对管理主机的外部连接数进行控制,如只允许在一定的时一间内发送一定数量的数据包。防火墙的主要功能是:设定单向地址拦截或双向地址拦截,在单向地址拦截时,一方到另一方的资料访问被禁止,但反向的数据访问依然能正常进行,不会受到影响;采用先进的状态监测数据包过滤技术,不仅仅是依靠单个的IP包来过滤,而是对每一个对话和连接进行分析和监控,在系统中自动维护其当前状态,根据连接的状态来对IP包进行高效快速安全过滤;对管理主机的外出连接进行控制。当外出连接达到一定数量时,阻断以后的连接,防止管理主机被攻击者攻破后用来作为发起攻击的“跳板”;对所有出入系统的连接进行日志记录。

而网络流量由IP信息包组成。这些信息包前面所附带的一些数据位,它们包含有关信息包的源、目的地和协议类型的信息,称之为包头[2]。防火墙根据一组规则检查这些头,以确定接受哪个信息包以及拒绝哪个信息包。假如有一些信息包伪造了数据头,通过数据本身来攻击,那我们的防火墙就无能为力了。所以,必须利用某种手段,对通过的数据包的内容进行检测,如果发现是异常的数据包时,就丢弃或者修改这个数据包。

1.2 网络数据捕获的设计

本文设计了实现三层数据捕获的安全系统,即防火墙日志、嗅探器捕获的网络数据包、管理主机系统日志。捕获到数据后,就可以研究攻击者的技术、工具和动机。

1) 防火墙

所有进出系统的网络数据包必需通过防火墙,所以防火墙捕获到的数据将是最全面的,但是防火墙并不记录具体的数据包内容,而只是记录各个数据包的通过情况。如果攻击者利用半开连接扫描管理主机,则在管理主机上将看不到任何情况,但是在防火墙上却可以看到这些SYN数据。防火墙记录四种不同类型的数据包:TCP、UDP、ICMP、OTHER[3]。防火墙记录的日志非常的有价值,因为它在快速标识那些未知的攻击时非常的关键。

2) 嗅探器

嗅探器记录各种进出内部网络管理网的数据包内容,嗅探器可以用各种工具,如Ethereal等,我们使用了Tcpdump。记录的数据以Tcpdump日志的格式进行存储,这些数据不仅以后可用通过Tcpreplay进行回放,也可以在无法分析数据时,发送给别的研究人员进行分析。

3) 系统行为捕获

防火墙和嗅探器捕获的是网络数据,还需要捕获发生有管理主机上的所有系统和用户活动。对于windows系统,可以借助第三方应用程序来记录系统日志信息。现在大多数的攻击者都会使用加密来与被黑系统进行通信。要捕获击键行为,需要从管理主机中获得,如可以通过修改系统库或者开发内核模块来修改内核从而记录下攻击者的行为。

2 数据监测系统的实现

2.1 网络数据控制的实现

网络的数据控制主要完成对流经系统的数据的控制。首先对流入的数据,由于系统设计的最初目的就是让攻击者顺利进入并攻击,所以对于流入的数据不进行任何限制,而且由于系统本身不提供真正的服务,任何进入的流量都被认为是有攻击企图的;另一方面,对外出的连接要做限制,并且还要分析数据包抑制攻击数据包的传播,防止攻击者将系统作为跳板对其他正常系统进行攻击。数据控制的用例分析,如图2所示。

网络管理员可定制数据控制规则,并反映到防火墙上;入侵检测系统通过捕获数据,对外出的数据包的内容进行检测,如果发现是异常的数据包时,采取预先定义的策略,然后再将数据包传回给防火墙进行处理。

本文通过IPTables实现外出连接数限制。通过IPTables扩展选项limit可实现内网外出连接数限制。利用limit在FORWARD链配置规则,限制对外发起的连接数上限,这个限制可以是每秒(或者分、小时、天)多少个连接。根据要求,本文添加了IPTables规则来限制对外连接数,下面以限制TCP包为例加以说明,UDP、ICMP和其它数据包作同样处理。本文使用Snort_inline利用特征检测来发现有恶意的数据包。Snort_inline是入侵检测系统Snort的修改版,它可以经由libipq接收来自IPTables的数据包。并根据Snort的规则集对数据包进行检查,一旦发现恶意代码就对该数据包采取预先定义的策略,然后再将数据包传回给IPTables。数据控制机制如图3所示。

2.2 网络数据捕获的实现

本文的网络数据捕获功能主要从防火墙、嗅探器以及管理主机三个方面入手。防火墙、管理主机、嗅探器捕获的日志经过处理存放在数据库和文件中,已备分析和查询使用。经过防火墙的数据,可以通过防火墙日志直接获得,而网络上的数据包,可以用Tcpdump来进行捕获。Tcpdump支持相当多的参数。我们在网桥下运行如下命令进行捕获:

TCPDUMP -c 10 Ci eth1 -s 0 Cw /log

为了不让攻击者知道我们在监视他在主机上的活动,我们采用Sebek来实现我们的目标。Sebek是个隐藏的记录攻击者行为的内核补丁。一旦在主机上安装了Sebek的客户端,它就在系统的内核级别运行,记录的数据并不是记录在本地硬盘上,而是通过UDP数据包发送到远程服务器上,入侵者很难发现它的存在。

本文研究的数据捕获是由内核模块来完成捕获所有read()的数据。Sebek替换系统调用表的read()函数来实现这个功能,这个替换的新函数只是简单的调用老read()函数,并且把内容拷贝到一个数据包缓存,然后加上一个头,再把这个数据包发送到服务端。替换原来的函数就是改变系统调用表的函数指针。本文通过配置参数决定了Sebek收集什么样的信息,发送信息的目的地。以下就是一个linux配置文件的实例:

INTERFACE = "eth0" //设定接口

DESTINATION_IP = "172.17.1.2" // 设定远程服务器IP

DESTINATION_MAC = "00:0C:29:I5:96:6E" // 设定远程服务器MAC

SOURCE_PORT = 1101 // 设定源地址UDP端口

DESTINATION_PORT = 1101 // 设定目标地址UDP端口

MAGIC_VALUE = XXXXX // 如果同一网段有多个客户端,则设定相同的数值

KEYSTOKE_ONLY = 1 // 是否只记录键击记录

本文研究数据捕获机制如图4所示。

3 小结

该文研究的数据监测系统能有效地控制网络数据、捕获网络数据,在一定程度上保障了网络的安全。但是网络安全技术及攻击技术是在不断发展和变化中,要进一步提高网络安全的环境,必须在数据监测的基础上,不断完善网络安全方案,如加入网络的入侵检测技术、流量控制、边界路由的安全设置及客户终端等安全防范措施,这样才能确保网络数据的安全。

参考文献:

[1] 周照峰.高速网络数据包捕获技术方法研究[J].科技经济市场,2009,(2):21-23.

[2] 张昊.计算机网络数据包捕获技术浅析[J].合肥学院学报(自然科学版),2009,(2):45-48.

[3] 蒋波,李方军,郝军.数据包的截获与网络协议分析[J].重庆三峡学院学报,2006,(3):152-154.