一种安全审计系统中获取内外网地址映射关系的方法.docx

?

?

一种安全审计系统中获取内外网地址映射关系的方法

?

?

论文导读:：本方法通过模拟内部用户计算机发送探测数据包，同时在外部截获该探测数据包转换后的数据包，进行分析提取来实现获取内外网地址映射关系，该方法进一步完善了安全审计系统用户定位功能。该方法通过对探测数据包的特定设置保证其不对内部网络ARP地址表造成混乱和对因特网可能造成的不良影响。

关键词：安全审计系统，地址映射方法

?

1背景及目的

近年来，随着网络应用的普及，几乎所有的政府机关、企事业单位都将接入了互联网。互联网让人们快速地了解世界各地的最新资讯，通过各种通讯手段准确迅捷地传递信息，在各种论坛、博客、空间畅所欲言，给单位和个人带来了极大的方便。

但是，伴随着人们对互联网的依赖网络安全论文，由于缺乏有效的网络管理手段新的风险也随之而来。主要表现在以下几个方面：一是内部计算机被外部人员非法侵入，窃取国家涉密信息和企业商业秘密；二是内部人员向外部泄漏国家涉密信息和企业商业秘密；三是工作人员利用办公计算机在互联网发布、传播违法信息。以上情形都可能给单位带来了不可估量的法律纠纷和经济损失，给单位和单位相关负责人造成极其严重的不良影响中国。此时网络安全日益得到人们的重视，安全审计系统也应运而生。它通过实时审计网络数据流，根据用户设定的安全控制策略，对受控对象的活动进行审计。

目前的安全审计系统网络接入方式一般有两种方式：在互联网出口处利用TAP设备分流一路数据给安全审计系统，如图1所示；在局域网核心交换机上通过端口镜像方式将上网数据“复制”给安全审计系统，如图2所示。这两种方式都能获得完整的互联网上网信息，然后系统按照已设定的各项安全策略进行信息审计，及时反映结果。不过此类解决方式还是存在一定的局限性，因为这种数据的采集方式决定了它所截获的用户上行数据包的源IP/Port和下行数据包的目的IP/Port职能是局域网内网IP/Port，不能掌握该用户计算机在经过路由器或防火墙之后的公网IP/Port，在某些情况下如国家安全部门或公安机关对某些互联网违法犯罪的源头追查时跟踪到属于某单位的互联网接入地址，但在进一步确定相关具体实施人员时由于经过了NAT地址转换无法核实内部行为人，而此时安全审计系统也无能为力。

本方法的目的在于解决现有安全审计系统不能提供摘要增加很高的硬件软件成本网络安全论文，升级较为方便。

2技术原理

安全审计系统本身没有参与NAT地址转换，它无法主动获得内外网地址映射关系，需要模拟发现实际映射关系。技术原理为：主动发送数据包探测NAT转换前后的地址映射关系，包括：映射关系探测的触发，探测数据包的构建，探测数据包的发送，经NAT转换后的探测数据包的截获与分析，最后建立地址映射关系并保存。

地址关系映射表是以源IP，源Port，目的地址为索引的映射关系表，并随时探测系统，在发现映射关系表中没有的或者已经过期的条目时，触发探测活动；截获经NAT转换后的探测数据包后，更新地址映射关系表并保存。

探测数据包IP报头中的源IP、目的IP与内网用户计算机实际发送数据包源IP、目的IP相同；探测数据包TCP/UDP头中的源Port、目的Port与内网用户计算机实际发送数据包源Port、目的Port相同；探测数据包Ethernet层的源MAC地址应为一个内部网络中不存在的MAC地址，以保证探测数据包不会对内部网络硬件设备的ARP地址表造成混乱；探测数据包IP报头中的TTL字段设置为安全审计系统发送探测数据包的物理接入点和探测数据包的截获物理接入点之间路由器数目基础上再加1网络安全论文，以保证探测数据包在进入因特网到达第一跳路由器即被丢弃，对因特网不造成任何负担。

3技术实现

下面介绍技术实现方法的步骤：

（1）安全审计系统截获内外网交互的全部数据包，通过“匹配上行数据包X源MAC地址是否为Y”过滤上行数据包，Y为探测数据包Ethernet层的源MAC地址，例如10-10-10-10-10-10中国。匹配成功则不做任何处理继续处理下一个数据包，匹配失败则进入下一步骤.

（2）将上行数据包X的源IP、目的IP、源Port和目的Port作为四元组在安全审计系统中的映射关系表中查询，如查询已存在映射关系，重置该映射关系失效定时器，并回到步骤1中继续处理下一个数据包，否则进入下一步骤；

（3）安全审计系统构建探测数据包A，A中目的MAC地址与X中目的MAC地址相同，源MAC地址为步骤1中Y；A中源IP/Port，目的IP/Port与X中对应字段相同；A中应用层为X中源MAC地址、源IP/Port以及当前的日期时间信息；A中IP报头TTL字段设置为安全审计系统发送探测数据包的物理接入点和截获探测数据包物理接入点之间路由器的个数再加1。

（4）安全审计系统使用适当的发送机制将上