基于探針技術(shù)的網(wǎng)絡(luò)安全審計系統(tǒng)*

?

基于探針技術(shù)的網(wǎng)絡(luò)安全審計系統(tǒng)*

0引言

【研究意義】隨著網(wǎng)絡(luò)和信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)信息系統(tǒng)基礎(chǔ)性作用日益加強。人們在享受網(wǎng)絡(luò)帶來便捷的同時，也受到各種威脅，如病毒、黑客、信息泄露等,而且網(wǎng)絡(luò)攻擊手段日益復(fù)雜。為更有效地保護(hù)網(wǎng)絡(luò)安全，必需有一套網(wǎng)絡(luò)安全整體解決方案，通常在網(wǎng)絡(luò)入口增設(shè)硬件防火墻、信息捕獲系統(tǒng)、入侵檢測系統(tǒng)(IDS)、安全審計系統(tǒng)等。網(wǎng)絡(luò)安全審計系統(tǒng)是網(wǎng)絡(luò)安全體系中的一個重要環(huán)節(jié)，一般處在入侵檢測系統(tǒng)之后，作為對防火墻系統(tǒng)和入侵檢測系統(tǒng)的一個補充。網(wǎng)絡(luò)安全審計系統(tǒng)的研究對增強網(wǎng)絡(luò)安全防范能力，促進(jìn)網(wǎng)絡(luò)系統(tǒng)的健康發(fā)展有著重要的意義?！厩叭搜芯窟M(jìn)展】目前，北美市場的網(wǎng)絡(luò)安全審計系統(tǒng)技術(shù)發(fā)展比較成熟，最著名的產(chǎn)品是SurfControl。國內(nèi)產(chǎn)品開發(fā)起步較晚，良莠不齊，主要有綠盟、啟明星辰、網(wǎng)絡(luò)督察、任子行等。由于以前的網(wǎng)絡(luò)帶寬較小，國內(nèi)廠商的審計系統(tǒng)一般都是在單臺設(shè)備上完成所有的任務(wù)?！颈狙芯壳腥朦c】隨著網(wǎng)絡(luò)帶寬的增大，單臺設(shè)備很難處理較大網(wǎng)絡(luò)帶寬的數(shù)據(jù)，審計系統(tǒng)開始暴露出設(shè)計上的問題，比如傳統(tǒng)的libpcap捕包機(jī)制效率太低，審計系統(tǒng)不支持分布式和多級部署等等?！緮M解決的關(guān)鍵問題】針對傳統(tǒng)網(wǎng)絡(luò)安全審計系統(tǒng)存在的問題，本系統(tǒng)通過探針(sniffer)專門負(fù)責(zé)數(shù)據(jù)的采集和實時業(yè)務(wù)的處理，用零copy技術(shù)提高捕包效率，綜合C/S和B/S系統(tǒng)架構(gòu)的優(yōu)點實現(xiàn)安全審計系統(tǒng)分布式和多級部署管理，從而提高安全審計系統(tǒng)的審計效率和系統(tǒng)開發(fā)效率。

1網(wǎng)絡(luò)安全審計系統(tǒng)分析

網(wǎng)絡(luò)安全審計系統(tǒng)是一種基于網(wǎng)絡(luò)資源審計、封鎖和網(wǎng)絡(luò)信息流的數(shù)據(jù)采集、分析、識別的系統(tǒng)軟件[1]。根據(jù)用戶設(shè)定的安全策略，通過實時審計訪問記錄和網(wǎng)絡(luò)數(shù)據(jù)流，確保網(wǎng)絡(luò)數(shù)據(jù)的完整性、可用性和保密性，防止無意或蓄意的網(wǎng)絡(luò)行為，及時發(fā)現(xiàn)和防范互聯(lián)網(wǎng)犯罪活動。

1.1功能需求

網(wǎng)絡(luò)安全審計系統(tǒng)在不影響網(wǎng)絡(luò)自身的前提下，對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行全面分析和審計，幫助用戶了解網(wǎng)絡(luò)使用狀況，發(fā)現(xiàn)違規(guī)網(wǎng)絡(luò)行為并備案。這就要求系統(tǒng)具備以下主要功能：(1)細(xì)粒度的網(wǎng)絡(luò)內(nèi)容審計。系統(tǒng)能夠?qū)W(wǎng)站訪問、數(shù)據(jù)庫訪問、遠(yuǎn)程訪問、郵件收發(fā)等關(guān)鍵信息進(jìn)行監(jiān)測和還原。(2)全面的網(wǎng)絡(luò)行為審計。系統(tǒng)要記錄局域網(wǎng)內(nèi)每臺電腦的上網(wǎng)行為，形成詳細(xì)并加密的網(wǎng)絡(luò)日志，以便事后進(jìn)行審計和分析。(3)強大的日志查詢與分析。系統(tǒng)要對各種協(xié)議網(wǎng)絡(luò)日志的組合進(jìn)行模糊查詢，可打印輸出PDF、EXCEL格式的文件。(4)能夠控制常用的影響工作效率或者占用帶寬較多的網(wǎng)絡(luò)應(yīng)用，如網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)聊天、股票軟件等。(5)靈活直觀的網(wǎng)絡(luò)訪問控制策略。管理員可以根據(jù)實際需要采用多種分組方式，設(shè)置有針對性的網(wǎng)絡(luò)控制策略，如對個別機(jī)器、個別組、全局的網(wǎng)絡(luò)控制策略設(shè)置，可以很好地滿足用戶對網(wǎng)絡(luò)使用的特殊控制需要。(6)支持集中管理、分級部署，滿足不同規(guī)模網(wǎng)絡(luò)的管理和應(yīng)用要求。

1.2關(guān)鍵技術(shù)

通過對網(wǎng)絡(luò)安全審計系統(tǒng)和探針技術(shù)的分析可知，網(wǎng)絡(luò)安全審計系統(tǒng)的主要功能包括捕獲、分析及封堵網(wǎng)絡(luò)數(shù)據(jù)包3個方面，實現(xiàn)這些功能的關(guān)鍵技術(shù)主要如下。

(1)數(shù)據(jù)包捕獲技術(shù)

目前比較高效、成熟的數(shù)據(jù)捕獲技術(shù)是零copy技術(shù)，該技術(shù)可使數(shù)據(jù)包在從網(wǎng)絡(luò)設(shè)備到用戶程序空間傳遞的過程中，減少系統(tǒng)調(diào)用和數(shù)據(jù)拷貝次數(shù)，降低CPU的負(fù)載。實現(xiàn)零copy的主要技術(shù)有DMA數(shù)據(jù)傳輸、緩沖區(qū)訪問同步以及內(nèi)存區(qū)域映射等[2]。

(2)協(xié)議分析技術(shù)

協(xié)議分析就是對探針采集到的數(shù)據(jù)依據(jù)TCP/IP協(xié)議規(guī)則從原始的數(shù)據(jù)包中解析出應(yīng)用層的數(shù)據(jù)，然后按照應(yīng)用層協(xié)議規(guī)則還原出真實的應(yīng)用層數(shù)據(jù)。而協(xié)議又分為常規(guī)和非常規(guī)協(xié)議，常規(guī)協(xié)議為標(biāo)準(zhǔn)化協(xié)議，一般遵循相關(guān)RFC文檔，非常規(guī)協(xié)議是非標(biāo)準(zhǔn)化的，一般由用戶自定義協(xié)議規(guī)則，如QQ使用的協(xié)議[3]。

(3)封堵技術(shù)

封堵是指把應(yīng)用軟件的正常通信打斷，阻止其正常通信。常用的封堵技術(shù)有基于IP 數(shù)據(jù)包偽裝的封堵、利用應(yīng)用層協(xié)議本身的規(guī)則來封堵、利用丟包來實現(xiàn)封堵等[4]。

1.3體系結(jié)構(gòu)的選擇

目前比較成熟的體系結(jié)構(gòu)有C/S結(jié)構(gòu)和B/S結(jié)構(gòu)。

C/S即客戶機(jī)/服務(wù)器(client/server)結(jié)構(gòu)通過將任務(wù)合理分配到client端和server端，充分利用兩端硬件環(huán)境的優(yōu)勢降低系統(tǒng)的通信開銷(圖1)。

圖1典型C/S模式系統(tǒng)結(jié)構(gòu)

Fig.1The model of a typical C/S system structure

B/S即瀏覽器/服務(wù)器(browser/server)結(jié)構(gòu)，是隨著Internet技術(shù)的興起，對C/S改進(jìn)的結(jié)構(gòu)。在此結(jié)構(gòu)下，用戶界面通過WWW瀏覽器實現(xiàn)，部分事務(wù)邏輯在前端實現(xiàn)，主要事務(wù)邏輯在服務(wù)器端實現(xiàn)。主要利用不斷成熟的WWW技術(shù)，結(jié)合瀏覽器的多種Script語言和AcitveX技術(shù)，實現(xiàn)原來需要復(fù)雜專用軟件才能實現(xiàn)的強大功能，是一種節(jié)約開發(fā)成本的全新的軟件系統(tǒng)構(gòu)造技術(shù)(圖2)。

圖2典型的B/S模式系統(tǒng)結(jié)構(gòu)

Fig.2The model of a typical B/S system structure

網(wǎng)絡(luò)安全審計系統(tǒng)通過探針實時數(shù)據(jù)采集，需具備處理大量網(wǎng)絡(luò)數(shù)據(jù)包的高性能和支持分布式部署，所以探針和服務(wù)器端應(yīng)采用C/S架構(gòu)。為了支持Internet的級聯(lián)部署并方便維護(hù)，應(yīng)采用B/S架構(gòu)。本系統(tǒng)充分考慮各應(yīng)用場合的最大效能，采用C/S和B/S相混合進(jìn)行體系架構(gòu)，通過兩種結(jié)構(gòu)的結(jié)合，充分發(fā)揮C/S和B/S結(jié)構(gòu)的優(yōu)勢，既充分考慮客戶的利益，也使系統(tǒng)更易維護(hù)，開發(fā)效率更高[5]。

2總體設(shè)計與實現(xiàn)

系統(tǒng)在邏輯上包括探針、服務(wù)器端兩部分，探針完成數(shù)據(jù)的采集工作，服務(wù)器端主要完成數(shù)據(jù)的處理和存儲。系統(tǒng)通過B/S架構(gòu)來滿足用戶需求，服務(wù)器端的邏輯處理采用目前流行的web service。從圖3可知，系統(tǒng)由用戶界面、服務(wù)器端和探針3部分構(gòu)成，而用戶界面是用戶應(yīng)用層需求，不同用戶有不同的行為需求，同一用戶在不同時間也有不同的行為需求，沒有固定的模式，不作詳細(xì)說明。下面只詳細(xì)描述探針和服務(wù)器的設(shè)計與實現(xiàn)。

2.1探針

探針是整個審計系統(tǒng)的數(shù)據(jù)來源，在系統(tǒng)中的作用至關(guān)重要，設(shè)計上要遵循穩(wěn)定、高效原則，并保證數(shù)據(jù)的完整性和還原的正確性。主要包括協(xié)議分析、命令處理、系統(tǒng)監(jiān)控、告警、數(shù)據(jù)傳輸、升級等進(jìn)程，主要進(jìn)程的功能設(shè)計和實現(xiàn)如下。

(1)協(xié)議分析進(jìn)程

從零copy驅(qū)動獲取數(shù)據(jù)，調(diào)用協(xié)議分析模塊進(jìn)行分析。協(xié)議分析進(jìn)程的核心就是協(xié)議分析模塊，里面包含對業(yè)務(wù)數(shù)據(jù)的處理部分，是整個系統(tǒng)數(shù)據(jù)的來源。具體實現(xiàn)主要為采用C/C++語言開發(fā)，直接調(diào)用零copy模塊方法來解決進(jìn)程需要處理大量網(wǎng)絡(luò)數(shù)據(jù)包而要求很高穩(wěn)定性的問題；采用將每個協(xié)議分析模塊配置在一個配置文件中(pro_module.cfg)，根據(jù)配置文件進(jìn)行動態(tài)加載協(xié)議分析模塊，解決不同應(yīng)用場景下需要的功能不同的問題。

(2)命令處理進(jìn)程

定時向服務(wù)器端web server 發(fā)請求，獲取待處理的命令，并進(jìn)行處理，返回處理結(jié)果。實現(xiàn)過程：采用現(xiàn)成的java開發(fā)包，使用HTTP協(xié)議的方式訪問web service，把探針的ID作為參數(shù)，獲取此探針待處理的命令。

(3)系統(tǒng)監(jiān)控進(jìn)程

負(fù)責(zé)監(jiān)控各個進(jìn)程的運行和操作系統(tǒng)的資源情況等，并把異常記入日志，然后通過告警進(jìn)程將信息上報到服務(wù)器端。此進(jìn)程的功能相對簡單，采用C/C++語言開發(fā)實現(xiàn)。

(4)告警進(jìn)程

將協(xié)議分析、系統(tǒng)監(jiān)控等進(jìn)程產(chǎn)生的告警數(shù)據(jù)上傳到數(shù)據(jù)庫中。采用直接和web server通信的方式，通過HTTP協(xié)議的POST 命令把數(shù)據(jù)發(fā)送給服務(wù)器端。

(5)數(shù)據(jù)傳輸進(jìn)程

數(shù)據(jù)傳輸進(jìn)程主要功能是從日志文件中讀取日志信息，然后封裝成約定的xml格式，再調(diào)用HTTP協(xié)議的POST方法把數(shù)據(jù)發(fā)送給服務(wù)器端。采用java開發(fā)和使用開源的HTTP協(xié)議通信包來實現(xiàn)。

圖3系統(tǒng)的總體設(shè)計

Fig.3The overall design of the system

2.2服務(wù)器端

服務(wù)器端包括多個web service，主要處理客戶端提交的數(shù)據(jù)并存儲，把數(shù)據(jù)信息展現(xiàn)給用戶[6]。每個web service 完成一項對應(yīng)功能，主要包括探針數(shù)據(jù)處理、探針命令處理、級聯(lián)業(yè)務(wù)處理等。

為實現(xiàn)級聯(lián)業(yè)務(wù)，采用B/S結(jié)構(gòu)來實現(xiàn)服務(wù)器端的架構(gòu)。服務(wù)器端使用HTTP協(xié)議進(jìn)行通信，對效率要求不是很高，為減小開發(fā)難度，提高開發(fā)效率，采用java開發(fā)實現(xiàn)。

2.2.1數(shù)據(jù)處理模塊

主要配合探針上的數(shù)據(jù)傳輸進(jìn)程，把探針提交的數(shù)據(jù)保存在本地，對于探針提交的日志信息，則解析后直接寫入數(shù)據(jù)庫中；對于探針提交的二進(jìn)制文件，則從HTTP協(xié)議的Boundary塊中解析出相關(guān)信息、內(nèi)容審計結(jié)果和二進(jìn)制文件，把相關(guān)信息、內(nèi)容審計結(jié)果記入數(shù)據(jù)庫，把二進(jìn)制文件解壓后寫入本地磁盤。

2.2.2命令處理模塊

主要配合探針端的命令處理進(jìn)程，來完成命令的下發(fā)和響應(yīng)。具體流程：根據(jù)請求探針的ID，到命令表中查詢對應(yīng)命令字ID，把命令內(nèi)容取出，封裝成約定好的xml格式，返回給探針；根據(jù)探針I(yè)D和命令字ID匹配及響應(yīng)的返回值，修改命令字表中對應(yīng)的字段。

2.3協(xié)議分析和封堵TCP鏈接技術(shù)

協(xié)議分析前要先了解相應(yīng)協(xié)議及原理，然后根據(jù)協(xié)議原理進(jìn)行解析。根據(jù)相關(guān)協(xié)議原理對數(shù)據(jù)包分析后，根據(jù)分析結(jié)果采取相應(yīng)的封堵技術(shù)來處理數(shù)據(jù)包。

基于IP 數(shù)據(jù)包偽裝的封堵技術(shù)的實現(xiàn)要點如下：

(1)封堵原則是從哪里來的數(shù)據(jù)包就把封堵包發(fā)向哪里。即捕獲的是客戶端發(fā)送到服務(wù)器端的數(shù)據(jù)包，則應(yīng)該向客戶端發(fā)送封堵包，反之亦然。

(2)封堵包中TCP頭部中的序號和確認(rèn)序號一定要計算正確。封堵包中的序號為原始包中的確認(rèn)序號，封堵包中的確認(rèn)序號為原始包中的序號加TCP數(shù)據(jù)體的長度。

3實例驗證

下面以SMTP的郵件發(fā)送為例，對系統(tǒng)進(jìn)行分析驗證。SMTP協(xié)議對應(yīng)RFC821文檔[7]，應(yīng)根據(jù)這個文檔來實現(xiàn)SMTP分析過程。發(fā)送之前準(zhǔn)備好捕包的工具，本實例使用探針(sniffer)作為捕包工具。

首先在受控網(wǎng)絡(luò)中發(fā)送內(nèi)容為“收件人：wanghao00113715；主題：中秋快樂；郵件內(nèi)容：祝闔家歡樂??；發(fā)送人：wanghao488；發(fā)送時間：2015-09-14?！钡泥]件。

SMTP郵件發(fā)送的服務(wù)器端和客戶端的交互過程及捕獲的數(shù)據(jù)包如圖4所示。

圖4SMTP服務(wù)器端和客戶端的交互過程

Fig.4SMTP server side and client interactions

在發(fā)送過程中，數(shù)據(jù)是經(jīng)過編碼的，常用的編碼方式為Base64和QP，本實例使用的編碼方式是Base64。從服務(wù)器回來的數(shù)據(jù)包前面的數(shù)字為返回碼，從RFC文檔中可知各個返回碼代表的含義，從而知道數(shù)據(jù)包返回的具體信息。本郵件的頭部為

Date:Mon,14 sep 2015 16:38:45 +0800

From:"wanghao488"

To:"wanghao00113715"

Subject:=?gb2312?B?1tDH77/swNY=?=

Message-ID:<201509151638417348041@sohu.com>

X-mailer:Foxmail6,10,201,20[cn]

Mime-Version:1.0

Content-Type:multipart/altermative;

.boundary="=====003_Dragon588281240662_====="

根據(jù)這些信息分析可知：

Date 表示發(fā)送的日期，值為2015/9/14

16:38:45 GMT+8時區(qū)，星期一 。

From 表示發(fā)件人，值為"wanghao488" wanghao488@sohu.com。

To 表示收件人，值為 "wanghao00113715" wanghao00113715@huawei.com。

Subject 表示郵件的標(biāo)題，“?gb2312?B?”則表示后面的數(shù)據(jù)為base64編碼，解碼后的漢字為gb2312標(biāo)準(zhǔn),通過解碼函數(shù)解碼后為“中秋快樂”。

Content-Type 為郵件體的類型，multipart為復(fù)合類型，altermative為其一個子類型。

正文被Contype-Type 中的boundary 分為幾個部分。每個部分又細(xì)分為頭和體部分。頭部分描述類型或者字符集等信息，根據(jù)這些信息解析體部分。每次分析的時候?qū)γ總€部分單獨分析。比如對下面部分進(jìn)行分析：

=====003_Dragon588281240662_=====

Content-Type:text/plain;

.charset="gb2312"

Contern-Transfer-Encoding:base64

DQrXo+PYvNK7tsDWo6ENCg0KDQoNCg0Kd2FuZ2Q40A0KMjAw0C0w0S0xNQ0K

=====003_Dragon588281240662_=====

Content-Type:text/plain;表示內(nèi)容為文本，charset="gb2312" 表示字符集為 gb2312，Content-Transfer-Encoding:base64 表示為base64編碼。把中間的內(nèi)容取出后進(jìn)行base64解碼，然后進(jìn)行字符集gb2312的轉(zhuǎn)換，得到內(nèi)容:

祝闔家歡樂！

Wanghao488

2015-09-14

通過SMTP郵件發(fā)送實例驗證表明，基于探針技術(shù)的網(wǎng)絡(luò)安全審計系統(tǒng)能通過探針來實時采集通過本網(wǎng)絡(luò)的數(shù)據(jù)包，并對數(shù)據(jù)包按照約定的協(xié)議進(jìn)行分析，得出所采集的數(shù)據(jù)包的各項內(nèi)容，給網(wǎng)絡(luò)管理者提供具體的信息，對互聯(lián)網(wǎng)的各種行為提供有效的安全審計，對網(wǎng)絡(luò)安全的保障是有效的。

4結(jié)束語

針對傳統(tǒng)網(wǎng)絡(luò)安全審計系統(tǒng)難以滿足人們?nèi)找嬖黾拥木W(wǎng)絡(luò)應(yīng)用需要的問題，本文提出一種新的基于探針技術(shù)的C/S和B/S混合架構(gòu)的網(wǎng)絡(luò)安全審計系統(tǒng)，實例驗證表明，該系統(tǒng)具有較強的安全防范性和可移植性，符合大規(guī)模網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)快速發(fā)展的需求。

由于網(wǎng)絡(luò)的應(yīng)用越來越普及，網(wǎng)絡(luò)活動越來越復(fù)雜，網(wǎng)絡(luò)安全審計系統(tǒng)要不斷地研究與探索，本系統(tǒng)也要不停地進(jìn)行改進(jìn)，以滿足不斷變化的網(wǎng)絡(luò)安全審計需要。

參考文獻(xiàn)：

[1]段娟,辛陽,馬宇威. 基于Web應(yīng)用的安全日志審計系統(tǒng)研究與設(shè)計[J].信息網(wǎng)絡(luò)安全,2014,10:70-76.

DUAN J,XIN Y,MA Y W.Research and design of security audit log system based on web application[J]. Netinfo Security,2014,10:70-76.

[2]張素娟,馬軍. 零拷貝技術(shù)在網(wǎng)絡(luò)流量控制系統(tǒng)中的應(yīng)用[J]. 河北聯(lián)合大學(xué)學(xué)報：自然科學(xué)版,2013,35(3):81-84.

ZHANG S J,MA J.Application of zero-copy technology in network flow control system[J].Journal of Hebei United University：Natural Science Edition,2013,35(3):81-84.

[3]董日展. 基于協(xié)議分析的攻擊檢測技術(shù)的研究與實現(xiàn)[D].廣州:廣東工業(yè)大學(xué),2015.

DONG R Z.Research and Implementation of Attack Detection Technology Based on Protocol Analysis[D].Guangzhou:Guangdong University of Technology,2015.

[4]徐緩.網(wǎng)絡(luò)信息監(jiān)測與封堵技術(shù)的研究[D].南昌：南昌大學(xué),2007.

XU H.Research on Technology of Network Information Monitoring and Blockading[D].Nanchang：Nanchang University,2007.

[5]倪麗菊.基于B/S結(jié)構(gòu)與C/S結(jié)構(gòu)的混合體系結(jié)構(gòu)的研究[J].福建電腦,2010(9):124-125.

NI L J.Research on the hybrid architecture based on B/S structure and C/S structure mixed[J].Fujian Computer,2010(9):124-125.

[6]尹兆冰,王加陽. Web Service及其關(guān)鍵技術(shù)研究綜述[J].軟件導(dǎo)刊,2010(2):121-123.

YIN Z B,WANG J Y.Survey on Web service and its key technologies[J].Software Guide,2010(2):121-123.

[7]KLENSIN J. Simple Mail Transfer Protocol：

RFC2821：April 2001[S/OL].[2015-08-10].http://www.faqs.org/rfcs/rfc2821.html.

(責(zé)任編輯：陸雁)

Network Security Audit System Based on Sniffer Technology

李賢陽，陽建中

LI Xianyang，YANG Jianzhong

(欽州學(xué)院電子與信息工程學(xué)院，廣西欽州535000)

(College of Electronic and Information Engineering，Qinzhou University，Qinzhou，Guangxi，535000，China)

摘要：【目的】為適應(yīng)大規(guī)模網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)快速發(fā)展的需求,對網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面深層次的審計分析，掌握網(wǎng)絡(luò)系統(tǒng)的安全狀況，增強安全防范能力?！痉椒ā坷锰结?sniffer)技術(shù)實時采集網(wǎng)絡(luò)數(shù)據(jù)包并進(jìn)行關(guān)聯(lián)分析，結(jié)合C/S和B/S模式架構(gòu)的優(yōu)點來實現(xiàn)網(wǎng)絡(luò)安全審計系統(tǒng)的設(shè)計?！窘Y(jié)果】基于探針技術(shù)的C/S和B/S混合架構(gòu)的網(wǎng)絡(luò)安全審計系統(tǒng)能對互聯(lián)網(wǎng)的各種行為提供有效的安全審計?！窘Y(jié)論】該系統(tǒng)對網(wǎng)絡(luò)數(shù)據(jù)包的安全審計效果良好，有一定的實用價值。

關(guān)鍵詞：安全審計探針技術(shù)協(xié)議分析封堵

Abstract:【Objective】To meet the needs of large-scale network environment and the rapid development of the network,establish a comprehensive and in-depth audit analysis to the network system,monitor the security situation of the network system,and enhance security capabilities.【Methods】The network security audit system was designed by using the related analysis of network data package through sniffer technology and the advantages of C/S and B/S architecture pattern.【Results】The results show that the system through the analysis of real-time network packets obtained by sniffer technology,and the C/S and B/S mixed architecture pattern,can provide effective security audit to the Internet actions.【Conclusion】The effect of network security audit system based on C/S and B/S mixed architecture pattern and sniffer technology on the audit security of the network packets is effective with practical value.

Key words:security audit,sniffer technology，protocol analysis，blockading

中圖分類號：TP393

文獻(xiàn)標(biāo)識碼：A

文章編號：1002-7378(2016)01-0049-05

作者簡介：李賢陽(1977-)，男，副教授，主要從事計算機(jī)網(wǎng)絡(luò)和數(shù)據(jù)挖掘方面的研究。

收稿日期：2015-10-14

網(wǎng)絡(luò)優(yōu)先數(shù)字出版時間:2016-01-27

網(wǎng)絡(luò)優(yōu)先數(shù)字出版地址:http://www.cnki.net/kcms/detail/45.1075.N.20160127.1616.014.html

*廣西高校科研項目(KY2015YB314)和廣西區(qū)教改項目(2015JGA363)資助。