基于网络关键节点捕获网络监控系统.docVIP

基于网络关键节点捕获网络监控系统 　　[摘 要]本文提出了一种基于网络关键点捕获的网络监控系统解决方案，并加以实现。该系统能够在不影响主流业务开展的情况下，对高速超高速骨干网络上的网络内容进行监控。论文首先分析了网络面临的主要威胁，然后对网络监控系统的总体结构、系统数据控制流程以及应用管理子系统进行了设计。 　　[关键词]网络监控，网络关键点，数据流 　　中图分类号：TP277 文献标识码：A 文章编号：1009-914X（2015）41-0241-01 　　1.概述 　　当今世界信息技术迅猛发展，人类社会正进入一个信息社会，社会经济的发展对信息资源、信息技术和信息产业的依赖程度越来越大。在信息社会中，信息已成为人类宝贵的资源。近年来互联网正以惊人的速度在全球发展，互联网技术已经广泛渗透到政治、经济、文化和军事等社会各领域[1]。然而，由互联网的高速发展而带来的网络系统的安全问题，正变得日益突出，受到越来越多的关注。因此网络安全已成为关系社会稳定和国家安全的重大战略问题。 　　本文提出一种基于高速网络关键节点捕获，对网络数据进行分类监控、预警和备案的高速网络监控系统。该系统能够按照各种应用协议，根据网络安全管理员设定的特征信息，对具有特征信息的数据包进行分类解析、还原和预警，同时具有海量特征数据的储存、检索能力，有效地解决了目前网络监控系统所存在的一些问题。 　　2.网络面临的主要威胁分析 　　一是黑客的攻击。黑客对于大家来说，不再是一个高深莫测的人物，黑客技术逐渐被越来越多的人掌握和发展。目前，世界上有 20 多万个黑客网站，这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞，因而系统、站点遭受攻击的可能性就变大了。 　　二是网络的缺陷。因特网的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存的 TCP/IP 协议族，缺乏相应的安全机制，而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输，基本没有考虑安全问题，因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性[2]。 　　三是软件的漏洞或“后门”。随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在，比如我们常用的操作系统，无论是 Windows 还是 UNIX几乎都存在或多或少的安全漏洞，众多的各类服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。 　　当前，高等院校的信息化程度越来越高，信息化所依赖的基础网络也显得越来越重要。对于大中专院校的机房，里面运行着学院最重要的网络设备、服务器以及服务器上运行着学校重要的业务系统、数据库等。为了保障机房内网络设备和服务器不间断的稳定运行，与之配套的机房动力系统、环境系统、消防系统、保安系统必须时时刻刻稳定协调工作。 　　3.网络监控系统总体结构 　　网络监控系统采用多业务并行处理机制实现的。从某专用网络流分类设备下来的数据可按照不同的应用协议分类，分别输送到不同的特征信息监控子系统进行相应的处理，将符合匹配特征的信息存储到海量数据库中。然后，应用监控管理子系统可根据相应的索引规则对海量数据库中被还原的特征信息进行检索取证，或进行长期的跟踪和不良档案的备份等。 　　特征信息监控子系统可以根据网络安全管理员预先设置的特征信息监控和过滤其所辖系统的 TELNET、HTTP/HTTPS、EMAIL、FTP/TFTP 等协议的内容，并将其通过中心控制子系统统一建立相应规则索引存储在海量数据库中备份。同时，通过中心控制子系统按照网络安全管理员事先设定的预警动作、内容和方式向应用监控管理子系统进行预警等[3]。 　　中心控制子系统是整个网络监控系统的控制枢纽，实现对过滤规则、数据、报警审阅、进程及内存的统一管理，对系统的整体稳定性具有重要影响。网络监控系统体系结构如图1所示。 　　4.系统数据控制流程 　　网络监控系统的数据包捕获方式通常采用串联模式、并联模式和网内监听模式。其中串联模式是将网络监控系统部署在用户和网络之间的节点来实施网络监控，用户通过上网设备的数据包直接进入网络监控系统，这样网络监控系统就能完全监视和控制用户所有的上网行为，可以对用户所有的上网数据包进行侦听、丢弃和篡改。 　　这样的串联模式对网络监控系统有严格要求，希望系统运行要稳定、处理速度快，尽量让用户感觉不到网络监控系统的存在。 并联模式是将网络监控系统部署在同用户并级的网络节点来实施网络监控，用户通过上网设备连接网络时，通过网络监控系统的前端专用网络设备将链路上的用户报文拷贝一份到网络监控系统。网络监控系统根据预定策略过滤相关数据包并发送给特征信息监控子系统进行处理。这种连接方式多用于对公网系统的侦听监测，对于用户是透明的、不可见的。 　　网内监听模式是将网络监控系