网络安全审计与监控系统的设计与实现

摘要：该文给出了网络安全审计与监控系统的整体设计，提出了系统监听方式下和网桥方式下的拓扑结构，该文还给出了系统的功能模型实现流程，包括安全审计模型的实现流程和网络监控模型的实现流程，系统中的IP地址盗用模块设计和服务器监控模块设计和实现。该系统通过测试，运行良好，取得了较好的实用效果。

关键词：电力系统；网络安全；安全审计；网络监控

中图分类号：TP393.08文献标识码：A文章编号：1009-3044(2008)25-1391-03

The Design and Realization of Network Security Audit and Monitoring System

LIU Chan-juan

(Ludong University Department of Computer Science & Technology, Yantai 264025, China)

Abstract: This paper presents a whole design of network security audit and monitoring system, including the design of monitoring module in Proxy and network capability, etc. And it also proposes the implement flow of these function models including the implement flow of security audit model and network monitoring model, it also gives the design and realization of IP address peculate model and monitoring module in Proxy. This system has greatly improved the level of safety management of network through the practice for an application case and has obtain good actual effect.

Key words: Electrical Power System; Network Security; Audit; Network Monitoring

1 引言

在物理容灾方面, 电力系统目前的防护措施已较为完善, 而在对黑客攻击与网络化病毒的防护方面, 特别是黑客攻击, 虽然已建立了初步的防护体系, 但由于电力系统数据网络在建设和管理中缺乏有效的指导, 同时也因黑客技术的不断发展, 在这方面还远远不能达到应有的效果。因此, 如何优化已有的系统软件和安全产品, 如何建立多层次的安全防护体系, 仍是电力数据网络发展中必须面对的重要问题[1]。保证电力数据网的稳定性、安全性和保密性，需要研究多层次的审计和监控手段，研发高效的网络安全审计与监控技术，研制自己的功能较完备的网络安全监控与审计系统，这是十分有意义的，所以展开对此课题的研究有重要的实用价值。

2 系统的总体设计

在系统开发初期阶段，经过反复调研，分析系统应用的软硬件环境，跟踪相关领域的研究情况，最后本系统确定了基于Unix系统平台，以B/S（Brower/Server）为开发模式，利用SNMP（简单网络管理协议）进行网络监控，运用Unix平台下的C语言的开发监控程序，利用Oracle OCI调用接口进行数据库操纵，结合PHP语言进行数据的网络的整体开发模式和方法[2]。网络安全审计和监控技术有两部分含义：系统安全审计与网络监控。系统的功能需求可归纳为两大部分：即基于日志形式的安全审计部分及基于SNMP的网络监控部分。

3 系统主要模块的设计

3.1 IP地址盗用模块的设计

在本模块开发初始，考虑到由于IP地址盗用只能发生在同一子网（Subnet）中，而网络中以太网卡MAC地址全球唯一不能改变，故通过绑定同一子网中的IP和以太网卡MAC地址便可区分合法用户与非法用户[3]。系统分四步：首先是建立一张IP地址和MAC地址的对应表，对应表中记录了合法用户的IP地址和MAC地址的对应关系。其次运行监测程序，监测子网中的各个IP地址对应的MAC地址是否与先前建立的对应表中的对应情况一致。若相同，说明合法用户正在使用。若发现不一致，说明非法用户正在盗用合法用户的IP地址，此时系统产生报警，记录非法用户的盗用信息。第三步运行阻断程序，对非法用户进行攻击。采用地址分辨协议ARP（Address Resolution Protocol）伪造技术，向非法用户主机发送ARP Spoofing攻击包，断开非法用户主机的网络连接，禁止其继续使用网络。最后是将监测的盗用信息进行网上，这样管理员可以随时通过浏览器查看IP盗用情况。

IP地址盗用监控模块功能结构见图1。数据采集模块利用UCD-SNMP网管软件，通过编写程序，每隔固定时间间隔向路由器等网络设备采集数据，并将采集数据传送给数据处理模块。数据处理模块包括数据分析模块和阻断模块两个子模块。数据分析子模块负责接收来自的数据，分析是否存在IP盗用情况，若存在则产生报警信息，随之调用阻断子模块，对非法用户进行攻击，阻止其继续使用网络。数据模块包括报警信息入库模块和数据浏览模块。入库模块完成盗用信息的存储入库，而浏览模块提供给管理员一个可视界面，用来浏览和管理报警信息，了解网络的使用情况。

3.2 服务器监控模块设计

在具备专线接入的大型局域网中，一般都采取服务器的方式接入Internet。采用服务器形式接入Internet的好处显而易见：可以充分利用现有IP实现更多用户同时访问Internet，但相应的各种各样的问题也随之到来：网络用户增多了，如何对内部用户访问外部网络情况进行统计，如何对网络用户访问的内容进行审计和监察，如何对网络流量进行统计及对数据流向进行监控，以及服务器本身服务情况统计等等。这些问题的出现，直接引出了服务器的监控问题。

在该模块设计时，根据实际需求，设计了该模块的主要功能包括三个部分：

1) 今日访问情况统计：包括最常访问网站统计，用户点击率统计，服务器访问率统计和访问成功和失败情况统计。

2) 客户机监控：包括客户机访问统计，客户机流量统计和客户机访问网站统计。

3) 服务器性能分析：包括服务响应码分析及服务传输时间统计。

为实现上述功能，结合具体的Unix平台，具体设计出了服务器监控模块的功能结构图，如图2所示，主要包含三个方面的功能：日志采集，日志分析及信息三部分。

■

图2 服务器监控功能结构图

4 系统的实现

4.1 系统功能模型的实现流程

本系统设计的主体功能包括两大部分：安全审计模型和网络监控模型。系统的安全审计功能主要基于系统的各种日志信息，如系统日志，用户操作记帐日志，服务器日志等。通过编制数据采集程序采集相关的日志信息，同时利用数据分析程序对审计跟踪文件的信息进行分析处理，经过审计得到计算机系统或网络是否受到攻击或非法访问，并对采集的审计数据进行入库操作，保留安全审计结果，同时利用保存的统计数据绘出各种统计分析图表，最终通过构建Web服务器，将审计结果进行网络，提供给用户直观的浏览界面[4]，方面管理员进行综合分析和审计，提高网络管理水平。系统中安全审计模型图如图3所示。

■

图3 安全审计模型图

在本模块开发过程中，首先要做的就是网络数据的采集，经过采集模块得到的数据经通信模块传送给分析过滤模块，经过分析和过滤得到相应的统计数据，同时将统计数据保存到数据库，以方便做数据的纵向分析比较，最后用Web数据方式将监控结果和统计分析情况到网络。网络监控功能模型如图4所示。

■

图4 网络监控模型图

4.2 IP地址盗用监控模块的实现

本模块的数据采集程序是基于UCD-SNMP软件开发平台开发的。UCD-SNMP开发平台提供了非常多封装好的库函数和链接库，这使得程序的开发得到极大方便。在IP盗用监控过程中，程序的主要任务是采集当前网络中处于活动状态的IP地址信息，包括IP地址和以太网卡MAC地址，并将他们绑定在一起，与登记的合法IP和MAC地址对相比较，作为判定IP是否合法的标准。

程序通过SNMP协议定期访问被管设备，取得当前网络中IP使用情况。通过访问设备的MIB（ManagementInformationBase）中IP接口组的IpNetToMediaPhysAddress对象值，获得当前网络中活动主机的IP地址和MAC地址的对应关系，而后将得到的信息发送到数据处理程序。系统中程序实现数据处理的算法流程图如图5所示。

当程序采集到数据后，就将数据传送给数据分析处理模块。数据分析模块负责接收和分析程序返回的数据，并将数据和合法IP和MAC对应表比较，判断是否存在IP地址盗用，此时存在多种情况。经过分析模块的分析，对于IP盗用情况，系统会自动产生报警信息，包括盗用者的原始IP和注册登记信息（在其完成网络登记的情况下）、盗用者主机网卡MAC地址，被盗用主机的IP地址、MAC地址及主机登记信息。这些数据应该妥善的保存起来，并提供给网络管理员查阅，方便其查找盗用IP者起到威慑作用。数据存储入库程序采用C语言结合Oracle OCI(Oracle Call Interface)接口，在UNIX平成了盗用信息的收集和入库工作，将盗用信息存储在Oracle数据库中，为数据的网络做铺垫[5]。

4.3 服务器监控模块的实现

在模块的实现过程中，主要利用队列技术实现高速缓冲区的设计，同时用FIFO(First In First Out)机制来控制对缓冲区的访问，使得日志写入和入库读取高速缓冲区不发生冲突。对于服务器的监控无外乎两个方面的内容，对用户访问网络的统计和对服务器本身服务的监控。本模块中，对日志的分析过程是通过对数据库的查询分析得到的，通过PHP语言，利用复杂的SQL语句操纵数据库，实现数据的统计与分析，最终将结果返回给管理员。

5 结束语

电力营销管理信息系统的不安全因素是由计算机系统的脆弱性以及人为因素造成的。从系统的结构、系统资源与实施及运行环境来分析，实施一个安全的电力营销管理信息系统，需要通过管理手段将人为破坏因素降到最小，通过技术手段降低自然因素对系统的危害。

参考文献：

[1] 姚小兰, 李保奎, 董宁, 等. 网络安全管理与技术防护[M]. 北京:北京理工大学出版,2002.

[2] Peter Kuo. 最新UNIX开发使用手册[M]. 北京:机械工业出版社,2000.

[3] Hansen, Lesley. Network Infrastructure Security[J]. Network Security,1999,12(6):57-61.

[4] 王琛, 等. Unix分布式身份认证和审计系统的设计和实现[M]. 北京:机械工业出版社,1998.

[5] 胡峪, 刘静. VC++高级编程技巧与示例[M]. 西安:电子科技大学出版社,2001.