（计算机应用技术专业论文）基于linux的分布式因特网监视器系统.pdf

独创性声明 秉承学校严谨的作风和优良的科学邋德，本入声明所呈交的学位论文 足我个人在导蝴指导f 进行蛉辨究工作及取褥的研究成果。撼我鼹翔， 除了文巾特别加以标注和致谢的地方外，沦文中不包禽其他人已经发表 竣撰写遥豹研究残果，不篷各零久或稳久已审请学袋浚荬壤麓途使用逮 的成果。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示敬谢。 申谴学位论文与资料若蠢不实之她，本人承担一切相关蠹任 论文侔豢蘩名 甥年弓n l o 瑟 保护知识产权声明 本人完全了解西安理工大学有关保护知识产权的规定，鄢：研究生在 蓥埠名：到够年多嗍 摘要 基于l i n u x 的分布式因特网监视器系统 学科名称：过簋扭趣堇攫 作者姓名：羞虫坐一。 导师姓名。焦塾鼗 导师职称；谴昱煎 曾 4 。 答辩日期：2 0 0 3 年3 月 摘要 在i n t e m e t 应用空前增长韵今天，计算机管理技术、网络通信技术、资源共享技 术却未能得到同步提高。为此，有效的网络安全防护手段是信息与网络安全研究的重 要澡题。目前，虽然有多种安全产品，但仍然不能满足i n t e r n e t 发展的需要。 因特网监视器是一种新型的网络安全产品。本文针对监视器实时、高效的要求， 提出了一种基于l i n u x 系统的i n t e m e t 网络监视器的设计方案。方案利用了l i n u x 操作 系统的多进程、多线程、线程的静态和动态优先级提高监视主机实时性，以多监视主 机的分布式数据处理来提高系统吞吐量。实验表明监视器具有高效、安全和可扩充性 强等优点。 整个系统采用了分层的设计，整体分为3 层：底层部分，截包组装模块实现i n t e m e t 报文的截取和按连接的组装；中层部分，解码、解压缩和全文检索模块实现了对原始 文件的解压缩、编码还原和全文检索；上层部分，用户界面实现基于j 2 e e 的三层结 构的系统。另外，在客户端加入了认证和授权机制，同时提供了基于s s l 的加密机制。 关键词：p a c k e t 套接字m i m e 线程j 2 e e s s l 西安理工大学硕士学位论文 ad i s t r i b u t e di n t e r n e tm o n i t o rs y s t e mb a s e do nl i n u x s u p e r v i s o t sn a m e s t u d e n t sn a m e ： c u id u - w u a b s t i 醯c t a 1 t h o u g hi n t e r n e ta p p l i c a t i o n sa r eg r e a t l yg r o w n t h et e c h n o l o g i e sa b o u t c o m p u t e rm a n a g e m e n t ，n e t w o r k e o m m u n i c a t i o n ，r e s o u r c es h a r i n ga r en o ti m p r o v e d a c c o r d i n g l y t h u s ，e f f e c t i v em e t h o dt op r o t e c tt h es e c u r i t yo fn e t w o r ki sa n i m p o r t a n tr e s e a r c ht a s ki nn e t w o r ks e e u r i t yf i e l d t h e r ea r e s o m ek i a d so f s c o u r i t yp r o d u c t s ，b u tt h e yc a n n o tm e e tt h en e e do fi n t e r n e te v o l u t i o n i n t e r n e tm o n i t o ts y s t e mi san e wk i n do fn e t w o r ks e c u r i t yp r o d u e tt h i s p a p e rp u t sf o r w a r dad e s i g no fi n t e r n e tm o n i t o rs y s t e mb a s e do nl i d u xt om e e t t h ed e m a n d so fr e a l t i m ea n dh i g h e f f i c i e n e y r e a l t i m ep e r f o r m a n c eo ft h e m o r t i t o th o s ti se n h a n c e du s i n gt h em u l t i p r o c e s s ，m u l t i t h r e a d ，p r i o r i t y p r o v i d e db yl i n u x m e a n w h i l e ，t h ep e r f o r m a n c eo ft h es y s t e mi si m p r o v e db y d i s t r i b u t e dd a t ap r o c e s s i n gb a s e do nm u l t i p i em o n i t o rh o s t s i t sa d v a n t a g e o fe f f i c i e n c y s e c u r i t ya n ds c a l a b i l j t yi sv e r i l i e db ye x p e r i m e n t s t h es y s t e ma d o p t st h el a y e r d i v i d i n gm e t h o di nw h o l et h em a i ni d e ais t od i v i d et h es y s t e mi n t ot h r e el a y e r sa n dt os e tu pt h ed a t a b a s e so rl o c a l f i1e sb e t w e e nl a y e r sa si n t e r f a c e t h ef i r a t1 a y e ri m p le m e n t si n t e r n e tp a c k e t i n t e r c e p t i n ga n da s s e m b l i n ga c c o r d i n gt ot c pi i n k it h em i d d l el a y e ri su s e d t od e p r e s s ，d e c o d et h er a wf i l e s ，a n dt ot a k et h ef u i 卜t e x tr e s e a r c h i n g ：t h e u pl a y e rp r o v i d e st h eu s e ri n t e r f a c eb a s e do dt h e r e t i e rs t r u c t u r e i na d d i t i o h a u t h e n t i c a t i o na n da u t h o r i z a t i o i lm e c h a n i s ma r ep r o v i d ei nc l i e n ts i d eo f t h e s v s t e r na sw e l la st h ee n c r y p t i o nm e e h a n i s mb a s e d0 1 2s s i 。 2 k e yw o r d s ：p a c k e ts o c k e t ，m i m e ，t h r e a d j 2 e e ，s s i 。 1 1 网络安全概述 第1 章绪论 惰息系统包括信息存储系统l 如数掘库) 、信息处理系统( 如计算机) 和信息传输系统( 如通信网络) 等，其安全是一个错综复杂的问题，涉及 面非常广。威胁信息安全的因素很多，有臼然灾害、各种故障以及有意 和无意的破坏等。为了确保信息系统的安全，需要从多方丽蓿于，采取 各种措施，比如物理描施、管理措施和技术捕施等。计算机通信网络是 一一利i 有着广一泛应用的信息传输系统，它是计箨机与通信技术相结合的j 1 7 。 物，它的安全性至关重要。特别是以i n t e ，1 n e l 为代表的计算机通信网络 f 在成为未来全球信息系统最重要的慕础设施，如果。岜的安全性解决不 好，将直接影响到社会稳定和国家安全。 从i n t e r n e t 的发展来看，最初是美国军方出于预防战争对军事指挥 系统的毁灭性打击提出的研究课题，其后将军事用途分离出去，单纯研 究在科研教育的校园环境中解决互联、互通、互操作的技术问题。在校 园环境中，理想的技术、信息兆享主义使i n t e r n e t 发展忽略了安全问题。 2 0 世纪9 0 年代后，i n t e r n e t 从校园环境走上了社会应用，商业应用的 需要使人们意识到忽略安全的危害。尤其是在嘲上存在利益的今天，一 些不良行为从另一个方荷向人们揭示了信息系统的脆弱性，引起了人们 对信息和网络安全的空前重视。 1 1 ，l 网络安全的特征 网络安全指的是r 一种能够在网络环境中以别和消除不安全因素的能 力。从广义e 讲，安全必须解决保护安全区域的信息和物理设备( 例如计 算机本身) 。安全的想法也涉及到适宜性和从属性概念。负责安全的人必 须决定谁在具体豹设备上进行合适的操作，以及何时进行操作。不同的 西安理工大学硕士学位论文 安全区域的安全策略是不同的，但是任何一个具有网络的公司都必须具 有一个解决适宜性、从属性和物理安全问题的安全策略。 1 1 2 信息安全的需求 网络安全“”。”“3 以信息安全为基础，同时它的目的是提供在网络环 境下信息安全方法和手段。信息安全有如下五大需求： ( 1 ) 机密性：在安全区域内和安全区域之问保密存储和传递信息。 它和邮政系统下发送信件( 隐私) 的同时装巴一个信封类似。 ( 2 ) 完整性：信息在传输过程中，要求在接收端接收的信息和发送 端发送的信，皂十月一致。它和传统社会采用一些手段( 如印章和三方持有信 息) 防i t ：信息被恶：馥篡改和删除类似。 ( 3 ) 可用性：信息和信息系统都是它的所柯苦花费代价建立起来的。 胆是存在由于计算机病毒和其它人为原因造成的对客户的拒绝服务， 被他人滥用机时和信息的情况，这就是信息安全。t i 的可用性需求。 f 4 ) 非否认：在电子环境中，怎么知道信息发送者和接收者的真实 性，而且在法律【二做到责任的不可抵赖。 ( j ) 可控性：出于社会中存在不法分子，以及地球上各国之问还是 有意识形态和利益冲突造成的敌对行为，政府剥社会的监控管理行为( 如 搭线窃听犯罪分子的通信) ，在社会1 + 泛使用信，! = | ! ! 、安仝殴施和装置可能受 到严囊影响，以至于不能实旌。这就 现了信息安全i f l 的可控性问题。 1 2 安全威肋、和防护措施 所惴安全威胁屉指某个人、物、事件或概念纣某一资源的机密性、 完燃性、可用性或合法使用所造成的危害。所谓攻击就是某种威胁的具 体实现。 所渭防护措砸是指保护资源免受威胁的批物理控制、机制、策略 和过程。安全威肋n j 分成故意的和偶然的两类。故意威胁又可以迸一步 分为被动的和主动的两大类。被动威胁只对信息进行蠊听( 如搭线窃听) ， 而不是对其修改，二l ：动威胁包括对信息、进行故意的修改l 如改动某次金融 会话过程中货币的数量) 。总的来说，被动攻南比主动攻击更容易以更少 的花费付诸工程实现。 1 2 1 安全威胁 常用网络及安全通信中的安全威肋、分类如r ： ( 1 j 基本威胁信息和网络安全的基本目标是实现信息的机密性、完 整性、可用性以及资源的合法使用。由此，有如下四个基本的安全威胁 以反映这个安全目标。信息泄漏，信息被泄漏给某个未授权的实体； 完整性破坏，数据的。致性通过未授权的创建、修改或破坏：拒绝 服务，对信息或其它资源的合法访问被无条件的阻止；非法使用，某 。一资源被未授权的人或以未授权的方式使用。 ( 2 ) 主要的吨实现威胁在安全威胁中，f _ | j 实现的安全威胁是十分重 要的，因为任何这类威胁的菜一实现会直接导致纂本威胁的某一实现。 主要的可实现威胁包括渗入威胁和植入威胁。 主要的渗入威胁有：假冒，某个实体( 人或系统) 假装成另1 一个不 同的实体，目的是攫取合法用户的权利或特权，这是渗入某个安全防线 最通用的方法。黑客大多采用假冒攻击：旁路控制，为了获得未授权 的权利或特权，菜个攻击者会发掘系统的缺陷和安全漏洞。例如，攻击 者通过各种手段发现原来应该保密，但是却叉暴露出来的系统特征，利 用这些特征，攻击者可绕过安全防线而渗入系统内部：授权侵犯，被 授权以某目的使用某系统或资源的某个人，却将此权限用于其它未 授权的目的，这也称作“内部威胁”。 主要的植入威肋，有：特洛伊木马( t o r j ：mh o r s e ) ，软件中翕有察 西安理工大学硕士学位论文 觉不出的或无害的程序段，当它被执行时，会破坏用户的安全性。陷 门( 电称后门) ，在某个系统或某个文件中设置机关，使得当提供特定的 输入数据时，允许违反安全策略。例如，个登录处理子程序允许处理 。个特定的用户识别号，以绕过通常的l q 令检查。 ( 3 ) 潜在威胁如果在某个给定环境对任何。种基本威胁或者主要 的可实现的威胁进行分析，就能够发现某些特定的潜在威胁，丽任何一 种潜在威胁都可能导致一些更綦本威胁的发生。例如，如果考虑信息泄 漏这样一个基本威胁，我们有可能找出以下几种潜在威胁：窃听： 、也务流分析：人员疏忽；媒体清理。图1 一l 给出了些典型的威胁 以及它们之间的相互关系。注意，图中的路径可能回旋。例如，假斟威 胁可以构成所有基本威胁的基础。然而，假冒威胁本身也有信息泄漏的 潜在威胁( 因为信息泄漏可能暴露某个口令，而用此口令能够实施假冒) 。 截获修改 渗入 假冒 旁路控制 授权侵靶 物理侵入 拒绝服务、厂非法使用 信息泄露 完整性破坏 窃取 重放 植入 特洛伊木马 陷门 业务欺骗 资源耗尽 圈卜l 典型的潜相r 威胁及其丰l i 且关系 当然，杓二县体实施时，攻击者往往：陌，l 种攻击结合起来使用， if i ier n e t 蠕虫( i n t e ： n e tw o r s t ) 就是将旁路攻击1 j 假冒攻击结合起来的 一种威胁= j 在这种威胁中，旁路控制涉及对b ez k e e yl ：n i x 操作系统的 已知缺陷的利用，而假留则涉及对用户- 口令的破湃。 1 2 2 安全防护 在通信网络安全中，需要多种类型的芟全防护措施，除采取密码技 术措施外，还有物理安全、人员安全、管理安全、媒体安全、辐别安全 和生命周期安全。一个安全系统的强度是与其最弱链路的强度相同。为 了提供有效的安全性，我们需要将不同种类的威助。对抗措施联合起立使 用。 1 3 网络安全服务 在计算机通信网络中，主要的安全防护措施被称作安全服务。有以f 五种通用的安全服务： ( 1 ) 认证服务：提供剥某个实体( 人和系统) 身份的验证，其目的是确 保一个通信是可信的。它是一种昂重要的安仝服务。在特定的通信过程 中，认匠可分为：实体认证，认证实体的身份，口令是种常用的方 法；数据起源认汪，指明数据项是否来自某实体( 认证实体和数据项 密不可分) 。 ( 2 ) 访问控制服务：其目标是防止对任何资源( 如计算资源、通信资 源或信息资源) 进行未授权的访闯。访闯控制直接支持机密性、完整性、 可用性以及合法使用的目标。访问控制是实施授权的方法，它的任何一 种机制模型由两部分组成实施功能和决蘸功能，如图卜2 所示。 剀卜2 访船控制服务的基奉组成薪分 ( 3 ) 机密性服务：保护信息在存储或被传输的过程中不被泄漏或不 暴露给未授权掌握这一信息的实体，以免受被动攻击。在计算机通信安 西安理工大学硕士学位论文 全中，机密性可分为：数据机密性服务，加密数据，使分析数据十分 嘲难；业务流机密性，使攻击者观察网络业务流十分困难。 根据对什么样的数据项进行加密，机密性服务又可分为连接机密性 服务、无连接机密性服务和选择字段机密性服务三类。 ( 4 ) 完整性服务：指以某种违反安全策略的方式改变数据的价值 ( 修改和排序) 或存在( 新增和删除) 。根据对 _ | 么样的数据采用完整性分 类，分为三类：连接完整性服务，它是对某连接i 二的所有数据进行完 整性检验：无连接完整性服务，它是对某无连接的所育数据进行完整 性检验；选择字段完整性服务，它仅对某数据单元的指定字段进行 完整性检验。 ( 5 ) 非否认服务：它防止发送方或接受方抵赖所传输的信息。它分 为起源的否认和传递的否认。起源的否认是一种关于“某特定方是否产 生了某一特定数据项”的相关纠纷。传递的否认是种关于“菜一特定 数据项是否被传递给某特定一方”的相关纠纷。 对付典型的威胁可能采用的安全服务见表1 1 ，通信协议( 如0 s i 和 1 1 i - p l p ) 是分层的，因此安全服务也必须分层配胃。 表卜1 用于对付韭型安全威阱的安全l 强务 交伞威胁安令服并 假冒攻m认证服务 授议侵犯访问捧制1 j l j 务 窃听攻，1 i柑l 密性服务 完整性破坏完整性服务 限务的甭执* 百认服务 捐绝服务执征服务、济旧拄制服务、完整c 。 般纤 根据安金服务和协议层各自的特点，安全服务的配置可分为应用级、 端系统级、了网级和直接链路级四个等级。 绪论 1 4 网络安全的核心技术密码技术 密码技术是实现所有安全服务的重要基础。当代密码技术主要包括 列称密码体制、公钥密码体制、完整性校验值l 又称消息认证码) 、数字 签名、密钥管理、密钥分配、公钥汪书、安争体系结构和f 安全标准等。 密码体制是密码技术最核心的一个概念， 个密码体制被定义为 对数据变换，密码体制的明显应用是提供机密性。有两大类密码体制， 一类是对称密码体制，也称为私钥密码体制：另一类是公钥密码体制。 ( 1 ) 对称密码体制。” 对称密码体制的特征是用了；_ 加密和解密的密刨是一样的或相! i 容易 推出。如图1 3 所示。 。 明文， ! ! ! 三 _ ! ! ：- - b 明文 酗卜3 对称密码体制模型 对称密码体制又分为两类，序列密码和分组密码。在序列密码中， 明文按字符逐位地加密；在分组密码中，明文按分组逐组地进行加密。 d e s ( d a t ae n c r y p t i o ns t a n d a r d ) 是i b m 提供的分组密码算法，被广 泛应用于各个领域，它几乎成为一个国际标准。d e s 使用了5 6 比特的密 钥，每次处理长度为6 4 比特的组。加密过程为初始置换、与密钥相关的 1 6 轮处理和末尾置换，解密除1 6 轮处理次序不同外，同加密过程。随着 汁算能力的提高，d e s 被认为密钥长度可能太短，它本身电可能存在陷门。 攻击d e s 有两种流行方法，即差分和线性密码分析法，但并没有对d e s 构成真正的威胁。为此，需要加密能力更强的分组密码体制。 1 9 9 3 年，美国商务部颁布了托管加密标准( e e s ) ，其特点是：加密体 制在法律许可时可以进行密钥合成，并能直接侦听。在该标准中使用了 个称之为s k i p j a c k 的分组密码体制，但浚算法的安全性很弱。 西安理工大学硕士学位论文 为了确定一个非密级的、全球免费使用的数据加密标准一一高级加 密标准( a e s ) ，美国国家技术研究所( n i s t ) 在全球征集候选算法。a e s 的 基本要求是比三重d e s 快，而且至少与三重d e s 样安全，分组长度为 1 2 8 , 1 9 2 _ ) 5 6 比特。2 0 0 0 年1 0 月选定r i j n d a e l 算法，它的设计策略是 宽轨迹策略( w i d et r a i ls t r a t e g y ) ，是针对差分和线性分析提出的a r i j n d a e l 算法是一个迭代分组密码体制，其分组长度和密钥长度都是可 变的。 a e s 有比d e s 更高的加密强度，r i j n d a e l 算法能很好地抵抗现有的 攻击方法，而且适合于硬件实现，n j k ，它将会逐步代替d e s ，而成为下 一代的分组加密标准。 除h 述提到的算法外，还有 i ) e a 、b 1 u o w f js h 、r c 5 、c a s 。卜1 2 8 和r c 2 等分组密码体制，在此不再详述。 ( 2 ) 公钥密码算法8 i “。3 与对称密码体制相l y , ，公钥密码体制有两种不同的密钥，它将加密 功能和解密功能分开。 一个密钥称为私钥，秘密保存：另密钥称为公 钥，不需要保密。其特，任为：给定公钥，要确定私钥是计算上不可性的。 公钥密码技术可以简化密钥的管理，并可以通过公7 r 系统来分配密钥a 公钥密码体制有两种基本模型：一种是加密模型：另种是认证模型。 参见图卜二；l 。 b 的公钥 b n , e n a 的私训 a 的公钥 州瞄，掣罅啾 f * 绷晰模型 l f ，从濉谟型 图卜t 公钥曾蚂体r 圳| 蜒型 目前，公钥密码体制的安全性基础主要是数学中的难题，最流行的 f | 两大类：类是基于大整数因子分解问题的，比如r s a 体制、r a b i n 8 体制等：另一类足瑟于离散对数问题的，比如e 1 g a m a 体制、椭圆曲线 密码等体制。 目前，r s a 体制应用极为广1 泛，r s a 体制是个可逆的公钥密码体制， 它利用了如下基本事实：寻找大素数是相对容易的，而分解蕊个大素数 在计算| _ ! ： 是不可行的。与对称密码体制如d e s 相比，r s a 的缺点是加、解 密的速度太慢。因此，r s a 很少用于数据加密，但它有诸如数字签名、密 钥管理和认证等方面的重要应用。 由于计算能力的不断增强和因子分解算法的不断改善( 由二次筛，广 义二次筛到特殊数域筛) ，使用时有如下限制：( a ) 1 0 2 4 到2 0 4 8 比特的密 钥将会是合理的；( b ) p 和q 的长度应只差几个数字；( c ) p 和q 都应该包 含大的素因子；( d ) g c d ( p ，q ) 应该很小。 ( 3 ) 报文鉴别和敖列函数 有三类产生鉴别符的函数：( a ) 报文加密，整个报文的密文作为鉴别 符；( b ) 报文鉴别码( m a c ) ，以报文的公用函数和用于产生一个定长值的 密钥作为鉴别符；( c ) 鉴别函数，一一个将任意长度的报文映射成定长的散 列值的公用函数，以敞列值作为鉴别符。 散列函数的目的是为文件、报文和其它的分组数据产生摘要( 或称 “指纹”) 。用于报文鉴别的散列函数h 必须满足：( a ) h 能用于任何大小 的数据分组；( b ) h 产生定长的输出；( c ) 对于任何给定的x ，h ( x ) 要相对 易于计算；( d ) 单向性质，即对于任何h ，寻找x 使得i t ( x ) = h 在计算上是 不可行的；( a ) 弱抗冲突，即对于任何分组x ，寻找不等于x 的y ，使 t t ( y ) = i t ( x ) 在计算上是不可行的；( f ) 强抗冲突，即寻找任何的( x ，y ) 对， 使得h ( x ) = h ( y ) 在计算上是不可行的。 常用的散列算法有m d 4 报文摘要算法、m d 5 报文摘要算法、s h a 一1 安 全散列算法和r i p e m d 一1 6 0 报文摘要算法。 ( 4 ) 数字签名。“。 数字签名可视作封装的特殊情况，它是段附加数据或者是数据单 9 西安理工大学硕士学位论文 元的密码变换结果，它主要用于证实消息的真实来源。数字签名的手段 主要有两种：( a ) 使用对称密码体制；( b ) 使用公钥密码体制。 使用对称密码体制进行数字签名时，为了避免接收者伪造签名，必 须引入可信的第三方。 使用公钥密码体制，可提供功能更强大的数字签名方案，而无需接 收者秘密保存验证密钥。常用的有三种方式：( a ) r s a 数字签名方案；( b ) 具有恢复功能的数字签名方案；( c ) 美国韵数字签名标准( d s s ) ；( d ) h a s h 函数的方法。 ( j ) 密钥管理 密码技术都依赖于密钥，而密钥的管理本身傲为复杂，它电是保证 安全性的关键。密钥管理方法因所使用的密码体制的不同而异。密钥 般有密钥产生、分配、启用停用、替换更新、撤销和销毁的生存期。 这是由于：( a ) 大量的密文有助于密码分析；( b ) 限定密钥的使用期限， 可减少危险。 刑嘞：密钥的分配有：( a ) 基于对称密码体制的a n s ix 9 1 7 ；( b ) 使用 公钥密码；( c ) d i f i e h e l f m a n 方案。 公钥体制的密钥分配，与对称密码体制有本质的区别，当分配1 个 公钥时，不需要机密性，然而，公钥的完整性足必需的。交换公钥通常 采用证书结构，公钥证书是一种数字签名的数据结构。：公钥证书怒目 i 比较热门的研究话题，它涉及到证书的查询机制秆f i l e 书撤销方法。存在 多种不同的证书类型：( a ) x 5 0 9 公钥旺书：( b 随f 靼p kl ( s i m p l ep u b l i c k e ) ? h n a s fl i c t u r c ) 征书；( c ) p g p ( p r ec t yo o o dp r ir a c y ) 证书；( d ) 属 性( a t tr jb u t e ) 汪书。 x 5 0 9 已成为业界的标准，是研究的热点，它也是p k i 采用的证书格 式。 i 6 ) 安全体系结构 在。个分层的通信结构中，发展标准以支持安全性是一件复杂的事 情凼为体系结构中所有的组成部分都会受到影响，包括所有的层次i ；j 、 f 艾和应用程序。 e 关键问题是：，1 i 仅要提供必要的安全功能，而且要确 保标准有效实现的成本。这涉及到：( a ) 安全体系纠【构和框架标准；( 】j 安全技术标准；( 。) 层安全协议标准：( d ) 具体、i 用安全标准；( e j 安全管 理标准。 具体来说，按网络协议类型不同，可分为两类：( a ) 基于o s i 的安全 标准，它是其它协议实施的参考；( b ) 纂ri n t e r n e t 的安全标准( 如 t c p j p ，sj l j j t p ，f ? 、p ，t e r l ec 牙j 】j j l 、t p ) 。 基于i n t e r n e l 的安全标准主要有：( a ) p k x ：( b ) s m l m e ：( c ) o p e n p g p ； ( d je d l f a c l ：( e ) s e r ：( f ) sh 1 1 、p ：( g ) p k c s 。 1 5 主要的安全产品 安全产品是指利用网络和密码技术提供操作系统或者网络方面安全 的产晶。主要的安全产品有：( 1 ) 病毒防治系统，它预防、查出或清除网 络型、文件型和引导型病毒；( 2 ) 入侵监测系统( i d s ) “，它分析实时事 件序列或累计的记录，自动地向安全管理者警告可能的安全侵犯，目的 是检查异常活动，它有基于主机型、网络型和分布式三种结构；( 3 ) 防火 墙，防火墙。是一种网络安全的防范技术和访问控制机制，通过一定的 安全策略，防止非法入侵，只有被授权的通信才可以通过，因此它有效 地保护企业内部网络的安全，防火墙系统的实现技术一般分为两种，包 过滤( p a c k e tf t l t e r i n g ) 和代理服务( p r o x ys e r v ic e ) 技术；( 4 ) 安全审 计系统。，对系统记录和过程进行审查，检查安全策略是否充足，证实 安全策略的致性，建议安全策略的改变，仂恸攻击的分析，收集i 正据 用于起诉攻击者：( 5 ) i n t e r n e t 网络监视器系统。 1 6 本研究课题的意义和主要内容 随着i n t e r n e t 的快速发展以及i n t e r n e t 应用的空前增长，网络已 1 1 西安理工大学硕士学位论文 渗入社会生活的各个方面。但相应的计算机管理技术、网络中的信息交 换控制、程序以及资源共享秩序等却未能得到同步提高。这样就为今天 计算 几犯罪的产生和发展创造了条件。 现在，计算机犯罪已渗入政府机关、军事部门、商业、企业等单位 和部门。如果不加以遏制的话，轻则于扰人们的同常生活，重则造成巨 大的经济损失甚至危害到国家和政府的安全。所以信息安全已引起了 各罔的高度重视，他们不惜投入大量的人力、物力和财力来提高计算机 信息系统的安全性。 i n t e r n e t 网络监视器就是其中的一种重要的安全产品，它的主要功 能是监视用户和i n t e r n e t 之间交换敏感信息，及时纪录并提醒网络管理 员，以便进行事故追查。它能有效的保护企、i k 敏感信息，减少因信息泄 漏而导致的各种损失。 本课题专门针对广播型局域网，提出了一个基于l i n u x 平台 i n t e r n e t 忙玛络监视器的设计方案。并在广播型恻络一一以太网上进行了 实验，取得了良好的效果。 因特网监视器巷体设计 第2 章因特网监视器总体设计 2 1 系统整体结构 在i n t e r n e t 环境，用户f 例如公司、企业、银行、军事、学校和政府等 部门) 的网络环境是用户自己的i n t r a n e t 或与i n t e r n e t 连接的局域网，这些独 立的网络单元一般是通过一个公共的网络出口( g a t e w a y 或f i r e w a l l ) 与 i n t e r a c t 相连。外部用户访问内部资源或内部人员通过网络与外部进行联系 时，都要通过这个唯一的出口，因此这个公共的出口是安全策略实施的关 键点。网络结构如图2 1 所示，其中r o u t e r 为实施策略的关键点，s e r v e r l 、 s e r v e r 2 ，s e r v e rm 表示服务器，如h t t p 服务器、邱服务器、邮件服务 器以及其它服务器。u s e r l 、u s e r2 ，u s e rn 表示自己所在局域网的用 户，他们或者使用p c ，或者为主机的终端。 s e r v e r1s e r v e r2s e r v e r m u s e r1 u s e i2u s e r “ 图2 - 1 局域网和外部i n t e m e t 网的刚络拓扑图 公司内部重要数据和材料一般都保存在内部网络中的一些机器内，有 时一些恶意的用户会想方设法访问这些数据和材料，他们甚至和内部用户 串通作案，由内部用户以电子邮件等形式将内部数据传给外部客户。 如何保护这些数据和材料是一个非常重要的问题。要保护内部网络数 据和重要材料不丢失，在公共出口处对传输的数据进行审查是一个很有效 的方法。企业或用户的敏感材料( 例如财务报表、客户信息、交易信息、内 部敏感文件等) 一般是以目标字为特征的，也就是说，如果一个文件中包含 了某个或某些目标字，那么，这个文件就极有可能是敏感材料。当文件在 西安理工大学硕士学位论交 用户的网络环境与外部的i n t e r a c t 之间发生交换时，i n t e r a c t 网络监视器对 鲠交挨鲶文件遂行全文绞索，磐票在文馋中发现了基稼字，剩撼醒爨终磐 理员可能发生了安全隐患，并记录下是谁在交换文件，以及相关信息，供 裰绦管蘧受事放迄查时缓爱。 因特网监视器系统( 简称i m s ) 就是实现上述功能的系统。从总体上讲， 系统实现戮下三大功麓： ( 1 ) 截取i n t e r n e t 数据包，并对截取的数据包组装成原始文件； ( 2 ) 对还潦的数蔼进行解压缩、髂羁和全文检索辞楚理，这是安全 检测的关键： ( 3 ) 与用户的交互功能，主要包捂弱标字维护、分布式策路的修改、 窳统安全维护、处理用户的各年申查询请求以及擐警备份功能。 t m s 的系统总体设计如图2 2 所示。 数据流控删漉 州络 图2 - 2 i n t e m c t 例络监视器系统蚺构圈 因特网监视器总体设计 在此体系结构中，底层模块负责报文截取和组装还原功能，中层负责 信息处理，上层负责与用户的交互。各层功能，都是独立实现的，底层模 块和中层模块的接口由文件实现，使得它们之f 日j 的耦合度较低，中层模块 和上层模块的接口用数据库实现，使得它们之间的耦合度更低。另外，各 层模块的编写都是尽量从优化系统整体性能和提高系统的可扩充性与可移 植性出发的。 2 2 底层截包和报文组装模块 此层负责控制网卡，以接收网络上传递的所有报文，并将接收到的报 文按连接四元组( 源i p 地址、目的i p 地址、源t c p 端1 3 号和t c p 目的端口 号) 分成单个连接，并将此连接上的所有数据包按应用层协议组装还原。将 h t t p 协议的数据恢复成h t m l x m l 等格式的文件；将s m t p 协议恢复成信 件结构表示的文件；r p 协议数据连接的报文恢复成数据文件；t e l n e t 协议的 数据恢复成t e l n e t 会话序列，并组织成文件。最后，把还原的文件存入原始 数据库中，各中层模块作进步处理。 2 3 中层数据处理模块 此模块为上层模块服务，它负责从原始库中提取邮件列表、f t p 文件 列表、h t t p 文件列表、f t p 文件列表和t e l n e t 文件列表，对于列表中的每 一个文件，经预处理后，放入全文检索队列、解压缩队列和解码队列，等 待被处理。 解码的主要任务是：( a ) s m t p 和p o p 3 协议中，信体的各种编码还原和 信件控制字段中各域的编码还原；( b ) u n i c o d e 与a s c i i 的转换：( c ) h t t p 协议 的汉字表示和特殊符号表示的还原。解码便于全文检索按统一的方式进行。 解压缩的主要任务是：( a ) 解压缩经h t t p 协议、邱协议传输的文件、s m t p 附件和p o p 3 附件中的压缩文件；( b ) 解压缩在文件发送前，由f t p 服务器为 减少带宽占用，自动进行压缩的邱文件。虽然解压缩是一个耗时的任务， 西餐理工大学硕士学位论文 但对于网络安全而言，它是非常重要斡，因为从这些文件中往往熊披重要 的敏感信息。 全文检索的主要任务是对鞭处理后的文传f 例如霈黉对爨始文 孛熬码哥秘 解压缩) 进行全文援索，即逐一与指定的睡标字( 或称鞲栝诃) 比较，蓿文件 中是否包含目标字。如果该文件包含这些目标字，则将该文件的连接四元 缎，以及对应的文件存入结架数据库，以餐上层系统搜用。 2 4 上层用户界面 从弱户使弼系统的焦度来讲，设计友好粒用户交甄爨萄是系统设计者 的顼重要工作。在设计本豢统的用户莽瑟对，网络繁磋员是箕重耍愆户， 因此，应包含对该系统进行配置的交互部分。 用户界耍躲设计有基于c i s 结构和綦予b s 结构掰类。对其中钓每一 萃中络襁，由予开发工其帮采瘸的其俸技术不同，又有许多不同酶方法。本 系统采用了基于b s 的三层结构，具体搜术是基于j 2 e e ，因此设计的用户 界蕊友好。 2 5 分布式处理 在宽带的别络环境下，网络的流量很大，因此网络蕊视器对c p u 和i o 资源的要求很蠢，这必然要求经褫器有禳离的处理筵力，一般静p c 翻，j 、型 机难以胜任此工作，其结果熄大量连接的报文来不及截取和组装，缎可能 导致敏感文件被传出网外，丽网络监视嚣还无法察觉，从丽会导致爨大损 失。 为了减少开支，同时又能使监视器正常工作，本系统采用了分布式处 理麓路该策路使繁重的工作由多台计算机分担，分别处理，然后将结果 ； ：_ = 总，绪暴溉翳箕效暴良好。 报文截取和组装 第3 章报文截取和组装 3 1 报文截取原理 实现网络监视器最主要的基础和条件就是要有能力接收网络上所有 的报文，要满足此条件，必须考虑网络拓扑结构。网络拓扑结构是指用 传输媒体互连各种设备的物理布局。将参与l 。a n 工作的各种设备用媒体 互连在一起有多种方法，现在常见的网络拓扑结构主要有总线型、星型和 环型等，如图3 - 1 所示。 p cp c 直巍景晕 彝簿 穗俾 辜尊粤粤p cp cp c p c ( a ) 总线型结构 ( b ) 环型结构( c ) 星型结构 图3 一l 常用的网络拓扑结构 但总的说来网络通信结构又可分为两类：点对点型和广播型，如图 3 2 所示。这两种方式直接影响到网络监视器的设计。( a ) 在点对点型网 络中，局域网的一个通信设备a 与i n t e r n e t 一个通信设备b 通信时，其 i p 报文要经过网关( g a t e w a y ，即监视的关键点) ，这时，局域网内除a 外的其它节点的网络接口无法获得该i p 报文，因此网络监视器必需放在 网络的关键点，即局域网的出口处，使得所有报文的传输一定要通过此 点，才能保证将所有报文接收到监视器中。局域网内的其它节点只能获 得与本节点通信的所有报文，不能接收到所有报文；( b ) 在广播型网络中， 局域网内的任一网络接口a 与i n t e r n e t 上的通信设备b 通信时，它发送 或接收的报文不仅经过网关，而且局域网内的其它通信设备的接口也能 同时接收到它，这是与点对点型网络的不同之处。基于广播网络的这一 特点，网络监视器就不必放在关键点上，只要将网络监视器加入局域网 即可，这给网络监视器的设置增加了灵活性。如果监视器放在关键点上， 西安理工大学硕士学位论文 这将额外的增加关键点的处理工作量，耗费大量的处理资源和i o 资源， 使关键点的服务质量降低。对于广播型网络，可以将监视器放在非关键 点上，这对关键点无任何影响，即对局域网的性能也无任何影响。 网 p c a p c a ( a ) 点对点型 ( b ) 广播型 图32 点对点型和广播型网络通信示意图 图3 2 的( a ) 和( b ) 分别表示在点对点型网络和广播型网络中，由局 域网中的节点a 与i n t e r n e t 通信的数据流向，在( a ) 中，节点a 发出的 报文在局域网内其它主机无法接收到，而在( b ) 中，节点a 发出的报文却 可以被局域网内所有的主机接收。 i m s 系统是专门针对广播型网络而设计的。总线型网络非常适合于实 现网络监视，因为它属于广播型网络，网络监视器的存在对网络性能没 膏任何影响。局域网的网络传输大多采用以太网标准，而以太网属于总 线型网络，本系统的实验环境采用以太网环境。 3 2 报文截取方法 根据以上的网络类型和网络拓扑结构的分析和 m s 的截包要求r 系 统要求实现对广播型网络的所有报文截取的具体方法。这与特定的操作 系统有关，需要分析具体操作系统的网络实现和考察操作系统所提供的 功能。以下我们分别讨论在常见的操作系统下实现截包的方法。 3 2 1w i n d o w s 系统的报文截取简介 出于w i n d o w s 上不境自身的封闭性，很难直接对网络底层进行编程 报文截取和组装 因此我们可以利用现有的开发包w i n e a p 来实现在w i n d o w s 中的数据包截 取，本方法专门针对以太网标准。 在w i n d o w s 环境中，网络驱动程序标准n d i s ( n e t w o r kd r i v e t i n t e r f a c es p e c i f i c a t i o n ) 定义了通信协议程序和网络设备驱动程序之 间相互通信的w i n d o w s 规范。v x d ( v i r t u a d e v i c ed r i v s f ) 驱动程序和 w d m ( w i n 3 2d r i v e tm o d e ) 驱动程序是w i n d o w s 提供的给用户的w i n 3 2 环 境下的n d i s “”与用户截包程序问的接口。如图3 3 所示，在w i n d o w s 下要实现截包必须通过它们。 报文截取程序 h 尸奋( r i n 9 3 ) 恢1 0 惫( k m g o ) v x d w d m 协议驱动程序 n d l s ttt l 网卡驱动li 网卡驱动l l 刚卡驱动i 千千十 围3 3 征w l n 3 2 虾境p 买珧截包的廉理图 w i n c a p 中包含了v x d w d m 驱动程序，w i n p c a p 支持w i n 3 2 平台上数据 包的截取和网络分析。它包括内核级的包过滤程序n p f ( n e t g r o u pp a c k e t f i l t e r ) 、低级动态连接库( p a c k e t d 1 1 ) 和高级系统无关性库 ( w p c a p d 1 1 ) 。 w i n p c a p 数据包截取程序将虚拟设备驱动程序增加在w i n d o w s 内核 中，可以捕获和发送通过原始套接口的原始数据包( r a wp a c k e t ) 。它的 核心部分是包过滤器驱动程序n p f 。n p f 过滤器负责将监听到的所有数据 包进行过滤，只对用户关心的数据包提交给用户程序。n p f 有两个主要部 9 西安理工大学硕士学位论文 件，n e t w o r kt a p 和p a c k e tf i l t e r 。n p f 将n e t w o r kt a p 放在了网卡驱 动程序和n d i s 之上。当一个数据包到达网络接口时，链路层驱动程序将 其交给n e t w o r kt