基于協議解析的網絡安全審計系統的設計與實現

劉瀟瀟

（山西大學商務學院，山西 太原 030031）

基于協議解析的網絡安全審計系統的設計與實現

劉瀟瀟

（山西大學商務學院，山西 太原 030031）

隨著網絡技術的迅猛發展，計算機的應用領域日益擴張，隨之也產生了不少網絡安全問題。在很多企事業單位，計算機的網絡安全問題所引發的事故不在少數。許多計算機雖然在防火墻等安全措施的保護下免遭外界風險的干擾，但是往往無法控制內部安全隱患的出現。本文設計出一套全新的基于協議解析的網絡安全審計系統，能夠對內網安全提供有力技術服務。

協議解析；網絡安全審計；安全防護

1 引言

隨著互聯網技術的不斷突破發展，國家各行業的建設已經離不開計算網絡的使用。網絡安全問題愈加成為人們更為關心的話題。雖然現階段，已經出現了大量的防火墻、抗病毒木馬入侵等軟件或技術措施，為計算機的穩定運行帶來了一定的安全保護。但是這些技術的應用往往無法對內部網絡的監控或者特殊用戶群體的使用發揮更有效的作用，從而導致大量的計算機網絡容易受網絡內網攻擊，安全問題亟待解決。因此，十分有必要針對這樣的網絡風險，設計出一種可以防范內部攻擊的網絡安全審計系統。

2 主要研究內容

本文緊密結合網絡數據源理論，將采用協議解析的分析手段來設計網絡安全審計系統，在客觀分析設計需求后，對系統的體系結構進行設計，并完成相應的功能模塊的設計，實現在協議層對網絡內部資源和人員行為的監控。

3 系統總體設計

3.1 系統項目概述

本次設計的主要目的在于能夠對網絡內部的協議進行必要的解析，然后通過監控具體的內部網絡中的資源分配，加強對服務器數據的防護，防止非法入侵和信息泄露。同時，網絡安全審計系統還能夠記錄不同的用戶在計算機上的操作痕跡，對于具體的操作步驟、不同的數據處理歷史記錄等實行監控，從而限制操作人員的行動，規避內網受攻擊的風險。本文主要從網絡協議部分展開技術設計，在實現階段也會對不同網絡協議進行操作處理，方便掌握用戶操作信息。

3.2 系統設計需求

3.2.1 設計原則

本文中提到的網絡安全設計系統的設計基本原則主要有兩方面要遵循：

首先，系統的設計要體現模塊化。安全審計系統的設計必然需要龐大的數據庫信息，同樣應該體現必要的層次。一旦不區分層次，不分割模塊，當系統出現細小的問題依然需要工作人員對所有的環節和部位都進行檢查，影響系統的運行效果，同時發現問題后進行修改也同樣存在巨大的麻煩。系統劃分模塊，便于工作人員在對應的位置查找問題和維修養護，提高工作效率。當然，模塊化的設計，還有利于企事業單位的技術人員變動后不會對網絡安全造成影響。

其次，系統的設計要便于擴展。系統的設計和實現一般都會體現出動態化的更新狀態。因此在系統實現后，不會將所有的網絡應用層協議都完全解析，應該將設計中的部分端口設計成方便擴展的結構形式，以便在更改內容后能夠調整

協議的解析內容。

3.2.2 系統需求分析

本文設計的網絡安全審計系統按照需求而言，主要體現兩方面的功能，對應于設計完成兩大功能模塊。

第一，審計控制界面。對這一功能的具體需求分析包括：

（1）具備套接字socket的處理功能，實現控制界面與其他功能模塊之間的通信聯接。

（2）控制界面還能與數據庫實現聯接，從而存放安全審計數據。

（3）具備對審計事件的記錄、顯示、查詢等服務功能。

（4）界面能夠配置不同的審計策略，并對策略展開有效管理。

第二，審計引擎。對這一功能的具體需求分析包括：（1）具備套接字socket的處理功能，實現審計引擎與控制界面模塊之間的通信聯接。

（2）對網絡內部的數據審計后能夠獲得數據包。

（3）系統的協議解析功能主要體現引擎對OSI結構的傳輸層、IP層、以太網層等協議解析。

（4）向控制界面反饋處理結果。

3.3 結構設計

由上文可知網絡安全審計系統由兩部分構成。在實際運用中，兩大部分的功能可以在同一個主機上完成，也可以分立于兩個主機單獨體現。如圖1所示為系統的結構設計圖。

當然，圖1所示的功能運作流程可簡述如下：

第一，在審計工作之前，技術人員將審計策略以數據形式存于數據庫中。一旦需要審計，則會將審計策略按一定配置規則重組后，通過兩功能模塊的socket鏈接傳遞到審計引擎中。

第二，審計引擎在獲得審計策略后，根據策略的規則開始對網絡內部的各種數據進行解析。解析完成的數據又會經過socket端口重新到審計控制界面中，完成上報。

第三，審計控制界面在收到信息數據后，就將一一顯示數據分析結果，相應地內容還會存入到ACCESS數據庫中。提取必要的數據包進行分析后，以不斷解析的方式來判斷用戶是否出現內部入侵的違規行為。

圖1 系統的體系結構設計圖

3.3.1 系統審計控制界面的結構分析

本文設計的網絡安全審計系統所具備的審計控制界面可以由前文的模塊功能設計需求分析而得知。通過微軟基礎類庫MFC的單文檔視圖理論可以得到具體的界面結構層次圖如圖2所示：

圖2 系統審計控制界面模塊結構視圖

綜合分析后，本文將系統的控制界面設計成7個功能化的模塊，分別具有不同的功能，采用ACCESS數據庫作為介質對模塊之間進行連接。圖2中，我們將7個模塊分別標記為①-⑦，則對應標號的模塊功能具體介紹如下:

(1)初始化模塊。確保系統識別邏輯定義后開始運行前要進行初始化，從而積極優化數據庫信息，確保運行環境的狀態正常。

(2)視圖切換模塊。此功能中，界面有時會用到多窗口信息查看，這時就必然需要對窗口進行管理，方便最小化和最大化，方便不同窗口的前置切換。

(3)新建策略模塊。當計算機用戶在完成對不同的審計狀況配置不同策略后，需要借助此功能來完成對審計策略的操作，積極建立與數據庫的實時鏈接，下發策略到ACCESS數據庫中。

(4)已建策略操作模塊。對于機已經配置完成且存儲于數據庫中的審計策略，控制界面中的策略處理功能可以按照

用戶的指令對策略進行修改或刪除，同時也可以實現對采用新建模塊未完成的策略進行刪除。

(5)事件顯示模塊。此模塊能夠將審計引擎功能模塊中產生的數據流實時記錄后傳遞到控制界面上，從而完成同步化的操作。

(6)事件查詢模塊。對于來自審計引擎的事件，用戶有時需要進行回放或復查，在對數據進行配置修改中方面查詢操作。

(7)套接字通訊模塊。在此模塊中，通過控制套接字socket，能夠實現對控制界面與審計引擎之間的審計策略的產生與傳遞、輸入與輸出過程管理。

3.3.2 審計引擎結構

通過前文的系統設計需求分析，我們明確了審計引擎的結構設計應采用層次化的思想，建立具有明確功能的模塊，通過分析和對比，本文將采用VC++語言來實現模塊的對應功能。針對網絡安全審計系統的審計引擎功能模塊而言，其重點任務首當其沖的就是抓取在互聯網中的數據信息。在互聯網中，數據信息的傳輸基本都采用TCP/IP協議的信道爭用技術來完成。因此，將已經連入互聯網的主機作為實驗對象來處理，修改其網卡的工作模式，按照監聽模式運行后，就可以獲取此刻處于相同地址沖突的數據包。通過分析，本文選擇使用WinPcap手段來實現對審計引擎功能的數據抓包。一旦數據抓包成功，審計引擎就會在OSI七層網絡模型中從以太網層開始向著應用層等不同的公共網絡層展開解析。在解析的過程中，還同時進行其它操作，這些操作都需要具體的模塊來實現快速跟蹤處理。一旦完成從以太網層到應用層的層次解析后，審計引擎就會將結果上傳到控制界面，通過其它的功能模塊來完成對審計結果的組織包裝，這些組織包裝的過程中同樣需要按不同網絡協議來設置形式。

根據上文提到的具體需求，審計引擎的功能一般按9部分來劃分模塊。其不同模塊的不同功能介紹如下：

(1)模塊一就是實現數據抓包的模塊，通過這樣模塊的設計，內部互聯網中的數據流通過使用WinPcap手段被提取。

(2)模塊二就是在獲得足夠多的數據包后，及時在網絡結構層的不同層次之間進行數據解析。這些抓取數據屬于原始數據，需要在必要的函數處理中，以相應的分量來解析協議變量，從而實現解析函數的不同應用層之間的調動。

(3)在IP地址的解析模塊中，模塊需要分析IP地址是否需要重組，也需要使用必要的函數處理完成解析操作。以相應的分量來解析協議變量，從而實現解析函數的對應應用層之間的調動。

(4)此模塊是用戶數據報協議的解析模塊。當完成IP地址的數據包解析后就需要開始對用戶數據報協議(UDP)的數據包進行解析操作，需要在必要的函數處理中，以相應的分量來解析協議變量，從而實現解析函數的對應應用層之間的調動。

(5)這一模塊是傳輸控制協議解析模塊。當完成用戶數據報協議的數據包解析后，數據將輸出到傳輸控制協議(TCP)部分，TCP解析模塊需要阻擋傳輸控制協議的不完全連接，同時積極重組。對網絡協議上一層解析模塊傳入的數據進行解析，以相應的分量來解析協議變量，從而實現解析函數的不同應用層之間的調動。解析完成后，數據傳輸給應用層。

(6)用戶數據報協議的解析模塊和傳輸控制協議解析模塊中所需的配置策略，需要由特定的模塊來提供驗證服務等匹配動作，這些匹配動作的實現由本模塊完成。

(7)在完成傳輸控制協議解析模塊的數據解析后，需要對應用層進行解析。本模塊將借助前面幾層的解析數據展開復雜函數的調用，從而實現應用層的協議解析。

(8)當應用層完全完成數據解析后，產生的各個分量應該以特定的格式組合后，形成完整的審計事項。

(9)套接字Socket處理模塊的應用，能夠接收到由審計引擎完成的審計策略并傳送到控制界面。當然，套接字Socket還應該對各種策略數據進行組合包裝，將組合形成的完整審計事項以Socket方式發給控制界面。

4 結束語

網絡安全審計系統的設計，基于協議解析的數據分析手段具有重要的意義。它是對常規的網絡安全手段的一種擴展和補充，能夠有效緩解當前所面臨的網絡安全危機，從內部網絡資源和內部人員的操作活動監控入手實現對內部風險的防范和控制。本文設計審計系統后，描述了系統的重點結構和建造過程，闡述了不同模塊的基本作用與實現方法。監控內網安全操作問題可以有效降低網絡中的數據信息泄密的概率。相信在不久的將來，會有更加強大和完善的網絡安全審計系統問世，為網絡安全提供更多的幫助。

[1]陳泉清．基于協議解析的網絡安全審計系統的設計與實現[D]．電子科技大學，2014．

[2]陳敬森．運用協議解析的網絡安全審計系統的研究[J]．信息與電腦(理論版)，2016(7)．

[3]張運明．協議行為審計關鍵技術研究與實現[D]．國防科學技術大學，2010．

Design and Implementation of Network Security Audit System Based on Protocol Analysis

Liu Xiaoxiao
(Business College of Shanxi University,Taiyuan 030031,Shanxi)

With the rapid development of network technology,the application of computer is increasingly expanding,and it also produces a lot of network security issues.There are not a few accidents caused by computer network security problems.Although many computers can escape from the external risk of interference under the protection of firewall and other security measures,they can’t control the emergence of internal security risks.This paper designs a new network security audit system based on protocol analysis,which can provide powerful technical services to network security.

protocol analysis;network security audit;security protection

TP393.08；TP311.52

A

1008-6609(2016)07-0018-04

劉瀟瀟，女，河南永城人，碩士，講師，研究方向：網絡與信息安全。

山西省軟科學研究項目：＂山西政府行業信息安全風險評估及對策研究＂，項目編號：2015041002-1。