面向局域网的网络行为审计系统的设计与实现
随着互联网时代的到来,人们的日常工作和生活中的方方面面都有互联网的身影。
不少单位或者政府为了工作上的便利内部局域网也接入了互联网,然而互联网在带给人们便利的同时其背后也潜藏着巨大的安全隐患。
由于互联网本身具有极大的开放性,使其成为人们对于某些社会热门事件进行评论的主要媒介,在大量的评论中不免会包含一些敏感信息,同时,网络上也存在很多非法站点。
当今网民中有很大一部分是未成年人,他们心智还不太成熟,这些信息很容易使他们形成错误的人生观和世界观。
而且这些非法网站往往是计算机病毒的主要来源,访问这些网站会极大的威胁到内网的安全。
互联网如今在生活娱乐方面也扮演着重要的角色,通过互联网进行娱乐和交流已经非常流行。
比如浏览网页新闻,发送电子邮件以及与好友通过QQ等即时通信软件聊天这些行为都会大大的降低工作的效率。
互联网传播快而广的特点导致一旦有保密单位内部的重要文件或者敏感消息从内网泄露,如果不能及时发现并采取措施,就非常容易给单位甚至国家造成巨大的财产损失甚至影响到国家安全。
所以,如何对局域网内用户的网络行为进行审计,保障局域网的网络信息安全成为当下亟待解决的问题。
网络安全领域中几种常见的技术解决方案有数据加密、入侵检测系统(IDS)、杀毒工具和防火墙等。
但以上这些技术都偏重于互联网层面解决安全问题,在局域网层面稍显不足,不能达到监控和追溯局域网用户网络行为的目的。
本文研究了当前主流的网络行为审计技术的原理,并且在此基础上提出了一个基于TCP重组和敏感词匹配的协议解析算法。
论文首先从局域网网络结构的特点出发,分析了局域网内数据包捕获的原理、TCP会话流程以及应用层协议格式。
对相关算法和技术进行分析并提出方法,然后采用基于序列号和哈希表的重组算法实现了TCP会话的重组并对网页和邮件进行了协议解析和文本还原。
最后采用改进的多字符文本匹配算法匹配敏感词。最终设计出了针对用户网络浏览和收发邮件行为的网络行为审计系统。
该系统包括两个软件子系统,其中前端web管理子系统采用ssh框架实现,后端数据处理子系统采用多线程模块化的设计思想保证了系统的运行效率。
用户管理和角色管理功能为系统的安全提供保障,只有用户管理中的合法用户通过正确的用户名和密码才能登陆审计系统,而且不同的用户拥有不同的角色,不同的角色拥有对系统不同的访问权限。
本系统采用的快速多字符串匹配算法具有匹配效率高,实现简单的特点,系统对于还原之后的文本会根据敏感词库中的敏感词进行搜索匹配。
最终会将匹配到的所有敏感词组合成告警信息输出到web前台。
系统软件在测试环境中运行状态良好,并且已经通过国家权威软件评测单位的认证测试,对同类审计系统具有一定的参考价值。
随着互联网的发展,网络安全问题越来越引起人们的重视特别是内部局域网。
本文研宂的采用局域网网络行为审计系统,基本实现了对于局域网内部用户上网行为和邮件收发行为的审计,对同类的产品提供了一定的参考价值。
但是本系统还存在一些不足之处,未来的研宄工作可能在以下几个方面展开:(1)对应用层其他协议的支持不够完善,比如常用的电脑下载、在线视频和即时通信等应用。
在今后的研究中应该扩大协议的规模,使系统支持解析更多的应用层协议。
多字符匹配算法的效率有待进一步的提高。本文中的快速多字符匹配算法虽然利用空间换时间的思想一定程度上提高了匹配速率,但是算法还有改进和优化的余地。
本文中的TCP重组算法并没有考虑实际网络环境中的异常TCP连接,对于网络中异常网络情况的处理不够完善,因此算法还有很大的改进空间。
(4)对于超大流量的数据会导致丢包的发生,从而导致重组成功率显著下降,系统性能显著下降,需要研究分布式的部署结构来解决超大流量的问题。
