計(jì)算機(jī)網(wǎng)絡(luò)安全監(jiān)控技術(shù)分析

中原工學(xué)院廣播影視學(xué)院 李興華 范小麗

計(jì)算機(jī)網(wǎng)絡(luò)安全監(jiān)控技術(shù)分析

中原工學(xué)院廣播影視學(xué)院 李興華 范小麗

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)正在極大地改變著人們的生產(chǎn)、生活和工作的方式。借助于計(jì)算機(jī)網(wǎng)絡(luò)，人們可以進(jìn)行新聞瀏覽、信息查詢、電子郵件、網(wǎng)上辦公、即時(shí)通信、網(wǎng)上購物、網(wǎng)絡(luò)教育、遠(yuǎn)程醫(yī)療、視頻會(huì)議等多種應(yīng)用。

但是，網(wǎng)絡(luò)自身也是一把雙刃劍，它在帶給我們巨大便利的同時(shí)，也給網(wǎng)絡(luò)管理者帶來許多的問題，蠕蟲病毒、網(wǎng)絡(luò)泄密、網(wǎng)絡(luò)詐騙、應(yīng)用瓶頸、各種安全隱患和人為攻擊等網(wǎng)絡(luò)故障時(shí)常發(fā)生。由于網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)眾多和各種應(yīng)用的復(fù)雜性，網(wǎng)絡(luò)管理人員面對(duì)這些網(wǎng)絡(luò)故障時(shí)，往往無從入手。對(duì)各種問題的排查和追蹤，每次都要耗費(fèi)大量的人力和物力，并且提高了維護(hù)管理成本，因此，這種維護(hù)方式顯得非常被動(dòng)。

為了改善這種被動(dòng)的局面，網(wǎng)絡(luò)監(jiān)測(cè)和控制技術(shù)便應(yīng)運(yùn)而生，市場(chǎng)上出現(xiàn)了各種各樣的監(jiān)控軟件或?qū)Ｓ玫谋O(jiān)控硬件，根據(jù)功能的不同，我們可以大致把他們分為兩大類：即同時(shí)具有監(jiān)測(cè)和控制能力的網(wǎng)絡(luò)監(jiān)控系統(tǒng)和只具備監(jiān)測(cè)能力的網(wǎng)絡(luò)監(jiān)聽監(jiān)測(cè)系統(tǒng)。

一、網(wǎng)絡(luò)監(jiān)測(cè)與控制系統(tǒng)

網(wǎng)絡(luò)監(jiān)測(cè)與控制系統(tǒng)簡稱為網(wǎng)絡(luò)監(jiān)控系統(tǒng)，它不僅具有網(wǎng)絡(luò)數(shù)據(jù)的監(jiān)測(cè)功能，而且具備一定的控制能力，如截?cái)嘤泻?shù)據(jù)包的傳遞等，相對(duì)來說更加實(shí)用，所以在實(shí)際應(yīng)用中比較普遍。

1.網(wǎng)絡(luò)防火墻。網(wǎng)絡(luò)防火墻是最為人們所熟知的網(wǎng)絡(luò)安全產(chǎn)品，它的產(chǎn)品線也最為豐富，常見的防火墻大致可以分為以下幾類：硬件防火墻、軟件防火墻和個(gè)人防火墻等。防火墻通常被布置在計(jì)算機(jī)和它所連接的存在不安全因素的網(wǎng)絡(luò)之間，起到隔離和安全保護(hù)的作用。被保護(hù)的計(jì)算機(jī)的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻，防火墻對(duì)數(shù)據(jù)進(jìn)行監(jiān)測(cè)，一旦發(fā)現(xiàn)符合事先設(shè)定規(guī)則的攻擊或不良信息，防火墻就可以把它們過濾掉，避免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻可以關(guān)閉不使用的端口，能禁止特定端口的流出通信，可以禁止來自特殊站點(diǎn)的訪問等等。不同的防火墻在監(jiān)測(cè)能力和控制功能上相差也比較大，下面我們來了解一些常見的防火墻產(chǎn)品。

硬件防火墻的特點(diǎn)是軟件和硬件高度融合，不允許用戶去改動(dòng)硬件或軟件，升級(jí)能力比較差。常見的國外品牌有Cisco、SonicWall、Fortinet等，國內(nèi)品牌有華為、聯(lián)想、方正、天融信等，可以說品牌繁多、產(chǎn)品豐富?？v觀這些產(chǎn)品，他們的功能都大同小異，只是在防控能力上有所區(qū)別。

相對(duì)于硬件防火墻，軟件防火墻顯得更加靈活，它實(shí)際上是一套軟件，允許用戶選擇硬件進(jìn)行安裝，安裝和配置比較靈活，升級(jí)也非常方便。比較著名的如微軟開發(fā)的Windows系統(tǒng)下的安全產(chǎn)品ISA，它的全稱是Internet Security and Acceleration，是集成的邊緣安全網(wǎng)關(guān)，人們更習(xí)慣于稱它為防火墻，它的最新版本是ISA Server 2006，是微軟全新的安全產(chǎn)品線Forefront安全家族的一員。此外，著名的軟件防火墻還有工作于Linux系統(tǒng)下的 MikroTik RouterOS、netfilter/iptables、SmoothWall和 基 于FreeBSD系統(tǒng)的產(chǎn)品等。

個(gè)人防火墻是指安裝在個(gè)人電腦上，保護(hù)PC安全的單機(jī)版網(wǎng)絡(luò)防火墻軟件，相對(duì)于上述兩種防火墻來說功能就簡單得多。常見的品牌有天網(wǎng)防火墻、瑞星網(wǎng)絡(luò)防火墻等。

2.IDS與IPS。IDS的全稱是Intrusion Detected System，即入侵檢測(cè)系統(tǒng)，它是防火墻的合理補(bǔ)充，是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)告警。它通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。與其他安全產(chǎn)品不同的是，入侵檢測(cè)系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大簡化管理員的工作，保證網(wǎng)絡(luò)安全的運(yùn)行。入侵檢測(cè)技術(shù)是動(dòng)態(tài)安全技術(shù)的最核心技術(shù)之一，但它最大的問題是它無法對(duì)有害的信息進(jìn)行處理，往往需要和防火墻進(jìn)行聯(lián)動(dòng)才能達(dá)到清除有害信息的目的，正是因?yàn)檫@個(gè)原因，才促成了IPS的誕生。

IPS的全稱是Intrusion Prevention System，即入侵防御系統(tǒng)，它的檢測(cè)功能類似于IDS，但I(xiàn)PS檢測(cè)到攻擊后會(huì)采取行動(dòng)阻止攻擊，而不像IDS僅是發(fā)出警報(bào)。IPS傾向于提供主動(dòng)防護(hù)，其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS是通過直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的，即通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異?；顒?dòng)或可疑內(nèi)容后，再通過另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS設(shè)備中被清除掉。由于在實(shí)際中人們對(duì)IDS和IPS的功能和效果認(rèn)識(shí)還比較有限，所以它們的應(yīng)用遠(yuǎn)不如防火墻廣泛。

3.上網(wǎng)監(jiān)控軟件。隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速普及，各類企事業(yè)單位的日常辦公已經(jīng)越來越離不開互聯(lián)網(wǎng)，一方面，互聯(lián)網(wǎng)使得企業(yè)具有更強(qiáng)的競爭力、溝通力和適應(yīng)力；而另一方面，工作人員在上班時(shí)間利用網(wǎng)絡(luò)從事與工作無關(guān)的事情，如進(jìn)行私人聊天、瀏覽無關(guān)網(wǎng)站、炒股或下載電影等，造成工作效率下降、管理混亂，這令很多管理人員頭疼不已。此外企業(yè)的商業(yè)機(jī)密、核心研發(fā)成果一旦泄漏，后果更是不堪設(shè)想。如何對(duì)互聯(lián)網(wǎng)行為進(jìn)行有效的管理和利用，使互聯(lián)網(wǎng)真正為企事業(yè)的生產(chǎn)和經(jīng)營活動(dòng)服務(wù)，是很多管理者越來越重視的問題。

針對(duì)這種情況，上網(wǎng)監(jiān)控軟件就應(yīng)運(yùn)而生，如深圳德爾的網(wǎng)路崗、上海百絡(luò)的百絡(luò)網(wǎng)警、廈門誠創(chuàng)的LaneCat等網(wǎng)絡(luò)管理軟件。雖然開發(fā)這些軟件的公司各不相同，界面有很大的差異，但他們的功能都大同小異，其主要功能有：

（1）網(wǎng)頁瀏覽監(jiān)控。網(wǎng)頁瀏覽日志記錄、網(wǎng)站黑白名單管理、網(wǎng)站URL過濾等。（2）郵件監(jiān)控。監(jiān)控通過各種方式收發(fā)的電子郵件的主題、正文、附件等。（3）聊天軟件監(jiān)控。各種聊天軟件行為監(jiān)控、聊天內(nèi)容監(jiān)控、聊天軟件封堵等。（4）流量控制?？蓪?duì)網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)進(jìn)行流量監(jiān)視和限制，防止網(wǎng)絡(luò)帶寬被大量占用。（5）外發(fā)資料監(jiān)控。監(jiān)控上傳或下載資料、監(jiān)控論壇活動(dòng)、監(jiān)控發(fā)帖子內(nèi)容。（6）禁止P2P下載。可對(duì)主流P2P下載工具進(jìn)行控制，有效利用企業(yè)網(wǎng)絡(luò)資源，徹底解決單位網(wǎng)絡(luò)資源濫用的問題。（7）端口封堵、股票及網(wǎng)絡(luò)游戲監(jiān)控等。

二、網(wǎng)絡(luò)監(jiān)聽監(jiān)測(cè)系統(tǒng)

網(wǎng)絡(luò)監(jiān)聽監(jiān)測(cè)軟件僅僅具備監(jiān)聽和監(jiān)測(cè)網(wǎng)絡(luò)信息和分析網(wǎng)絡(luò)故障的功能，而不具備控制能力，而要想實(shí)現(xiàn)控制就需要人工的介入或其他控制軟件來實(shí)現(xiàn)。雖然從表面上看，他們只具備監(jiān)測(cè)功能，不具備控制能力，自動(dòng)化程度比較低，使用的場(chǎng)合比較少，但實(shí)際上，他們的監(jiān)測(cè)功能往往非常強(qiáng)大，可以適用于所有的網(wǎng)絡(luò)故障分析的場(chǎng)合。下面我們介紹網(wǎng)絡(luò)故障分析中常用的2種網(wǎng)絡(luò)分析軟件。

1.Sniffer與Sniffer Por Sniffer。中文可以翻譯為嗅探器，是一種基于被動(dòng)偵聽原理的網(wǎng)絡(luò)分析方式，也可以看作是網(wǎng)絡(luò)偵聽工具的總稱。使用這種技術(shù)方式，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?。將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽模式，便可以將網(wǎng)上傳輸?shù)脑丛床粩嗟男畔⒔孬@，Sniffer技術(shù)常常被黑客們用來截獲用戶的口令。但實(shí)際上Sniffer技術(shù)被廣泛地應(yīng)用于網(wǎng)絡(luò)故障診斷、協(xié)議分析、應(yīng)用性能分析和網(wǎng)絡(luò)安全保障等各個(gè)領(lǐng)域，所有的網(wǎng)絡(luò)監(jiān)測(cè)軟件也都是基于這個(gè)原理來進(jìn)行工作的。

Sniffer Por是美國Network Associates公司出品的一款非常著名的網(wǎng)絡(luò)分析和應(yīng)用故障診斷軟件，不管是在有線網(wǎng)絡(luò)還是在無線網(wǎng)絡(luò)中，它都能夠給予網(wǎng)絡(luò)管理人員實(shí)時(shí)的網(wǎng)絡(luò)監(jiān)視、數(shù)據(jù)包捕獲以及故障診斷分析能力。Sniffer Por最大的特點(diǎn)是使用容易，功能多樣，它具備優(yōu)秀的網(wǎng)絡(luò)和應(yīng)用故障診斷功能。智能化的專家分析系統(tǒng)協(xié)助用戶在數(shù)據(jù)包捕獲、實(shí)時(shí)解碼的同時(shí)快速識(shí)別各種異常事件；數(shù)據(jù)包解碼模塊支持廣泛的網(wǎng)絡(luò)和應(yīng)用協(xié)議，不僅局限于Oracle、還包括VoIP類協(xié)議，以及金融行業(yè)專用協(xié)議和移動(dòng)網(wǎng)絡(luò)類協(xié)議等等。Sniffer Pro提供直觀易用的儀表板和各種統(tǒng)計(jì)數(shù)據(jù)、邏輯拓?fù)湟晥D，并且提供能夠深入到數(shù)據(jù)包的點(diǎn)擊關(guān)聯(lián)分析能力。在同一平臺(tái)上支持10/100/1000M以太網(wǎng)絡(luò)以及802.11a/b/g/n網(wǎng)絡(luò)分析，因此不管是有線網(wǎng)絡(luò)還是無線網(wǎng)絡(luò)，它都具備相同的操作方式和分析功能，可有效減少因?yàn)楣芾砣藛T的桌面工具過多而帶來的額外工作量，極大地加快了故障診斷的速度。

2.科來網(wǎng)絡(luò)分析系統(tǒng)。科來網(wǎng)絡(luò)分析系統(tǒng)是成都科來軟件有限公司自主開發(fā)的、全球第一款支持中文解碼的協(xié)議分析軟件。科來網(wǎng)絡(luò)分析系統(tǒng)整合了行業(yè)領(lǐng)先的專家分析技術(shù)，能對(duì)當(dāng)前復(fù)雜的網(wǎng)絡(luò)提供精確分析和網(wǎng)絡(luò)故障的快速定位，在網(wǎng)絡(luò)安全、網(wǎng)絡(luò)性能、網(wǎng)絡(luò)故障方面提供全面和深入的數(shù)據(jù)依據(jù)，是各級(jí)各類網(wǎng)絡(luò)管理和網(wǎng)絡(luò)故障分析的必備工具之一。

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)攻擊行為也日趨復(fù)雜，各種方法相互融合，使網(wǎng)絡(luò)安全防御更加困難，防火墻、入侵監(jiān)測(cè)系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備已不足以完全阻擋網(wǎng)絡(luò)安全攻擊。黑客攻擊行為組織性更強(qiáng)，攻擊目標(biāo)從單純地追求“榮耀感”向獲取多方面實(shí)際利益的方向轉(zhuǎn)移，網(wǎng)上木馬、蠕蟲病毒、間諜軟件、惡意網(wǎng)站、網(wǎng)絡(luò)仿冒等的出現(xiàn)并日趨泛濫，是這一趨勢(shì)的實(shí)證。

科來網(wǎng)絡(luò)分析系統(tǒng)正是為了應(yīng)對(duì)各種各樣的網(wǎng)絡(luò)問題，讓網(wǎng)絡(luò)管理者能夠針對(duì)網(wǎng)絡(luò)故障對(duì)癥下藥的網(wǎng)絡(luò)管理方案。它的主要功能包括：

（1）全局到節(jié)點(diǎn)的網(wǎng)絡(luò)流量統(tǒng)計(jì)分析，監(jiān)測(cè)網(wǎng)絡(luò)帶寬利用率，發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸提升網(wǎng)絡(luò)性能。

（2）捕獲網(wǎng)絡(luò)數(shù)據(jù)包、監(jiān)測(cè)網(wǎng)絡(luò)傳輸?shù)乃袛?shù)據(jù)。

（3）提供數(shù)據(jù)過濾與篩選，來調(diào)節(jié)監(jiān)測(cè)分析范圍。

（4）數(shù)據(jù)包中英文雙語解碼分析、深入的數(shù)據(jù)分析。

（5）監(jiān)測(cè)各個(gè)節(jié)點(diǎn)web訪問、電子郵件收發(fā)、FTP文件傳輸?shù)惹闆r。

（6）監(jiān)測(cè)各種網(wǎng)絡(luò)錯(cuò)誤，進(jìn)行網(wǎng)絡(luò)錯(cuò)誤統(tǒng)計(jì)和定位。

（7）網(wǎng)絡(luò)故障自動(dòng)診斷，快速定位網(wǎng)絡(luò)故障，找到病毒感染主機(jī)或攻擊源。

（8）詳細(xì)的報(bào)表和日志記錄，提供各種統(tǒng)計(jì)分析圖表。

（9）檢測(cè)潛在安全漏洞、為安全防御提供決策依據(jù)。

它可以對(duì)網(wǎng)絡(luò)中所有傳輸?shù)臄?shù)據(jù)進(jìn)行檢測(cè)、分析、診斷，幫助用戶排除網(wǎng)絡(luò)故障，規(guī)避安全風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)性能。與其他故障管理產(chǎn)品相比，科來網(wǎng)絡(luò)分析系統(tǒng)不僅可以獲得成倍的數(shù)據(jù)統(tǒng)計(jì)，而且通過專家?guī)斓姆治觯詣?dòng)診斷網(wǎng)絡(luò)出現(xiàn)的問題，對(duì)問題進(jìn)行詳細(xì)解釋，提供問題可能產(chǎn)生原因，并向管理人員提供相應(yīng)的解決建議。這將大大加強(qiáng)網(wǎng)絡(luò)故障管理的歸納總結(jié)能力，極大降低網(wǎng)絡(luò)管理的維護(hù)成本。

基于以上分析，我們知道網(wǎng)絡(luò)監(jiān)控系統(tǒng)雖然具備監(jiān)測(cè)和控制功能，但這些系統(tǒng)對(duì)數(shù)據(jù)的檢測(cè)分析能力一般比較有限，對(duì)于千差萬別的數(shù)據(jù)包來說，它們只能分析出已知的或符合設(shè)定規(guī)則的數(shù)據(jù)包，對(duì)于新型的網(wǎng)絡(luò)攻擊或經(jīng)過偽裝的數(shù)據(jù)包造成的網(wǎng)絡(luò)故障，往往就顯得無能為力了，這時(shí)就要借助于更加專業(yè)的網(wǎng)絡(luò)監(jiān)聽監(jiān)測(cè)系統(tǒng)來進(jìn)行具體的故障分析。

因此，對(duì)于普通的網(wǎng)絡(luò)用戶來說，平常的網(wǎng)絡(luò)安全可以通過防火墻和殺毒軟件來進(jìn)行保障。而一旦發(fā)生了這些傳統(tǒng)防御手段無法解決的故障時(shí)，比如出現(xiàn)網(wǎng)絡(luò)變得時(shí)斷時(shí)續(xù)或網(wǎng)速莫名其妙變得很慢等現(xiàn)象，就需要借助專業(yè)的網(wǎng)絡(luò)監(jiān)測(cè)軟件通過具體的網(wǎng)絡(luò)協(xié)議分析來查找故障原因，確定故障部位，從而保障網(wǎng)絡(luò)的持續(xù)可靠運(yùn)行。