网络文化信息监控与取证的核心技术研究
2014-10-16汤松萍
汤松萍
(萍乡学院江西萍乡337055)
1 引言
随着计算机信息技术的快速发展与完善袁网络已成为人们获取各种信息的主要渠道遥但正因为如此袁网络也成了别有用心的一些人利用其快捷方便特点进行有害信息传播的途径遥基于此袁通过研究本领域已有的技术和前人成功实践的经验袁针对目前信息监控领域仍然存在的热点问题和不足袁重新考虑研究开发拥有自主版权的具体可升级性的新的网络信息监控系统袁对加强网络信息监控袁实施不良信息过滤袁保障网络文化阵地的安全袁仍然具有非常重要的现实意义遥
2 基于监控与取证的技术内涵
网络在线文化信息监控与取证技术袁是监测黑客攻击和维护网络安全的工具袁它能监控流经当前网络的在线全部信息流袁记录当前网络的所有底层报文袁提供WWW尧TELNET尧FTP尧SMTP尧POP3 和UDP 等应用报文重组袁按照特定要求对应用重组进行分析遥当网络正常运行时袁实时分析信息流袁报告可疑链接与数据袁预防相关信息泄漏遥当实时监控网络信息流并发现问题时袁及时切断连接并将日志保留遥
3 信息监控与取证技术的现状分析
目前袁国内外网络监控新技术开发倍受关注遥一些软件开发商和科研机构相继推出了许多网络信息安全监控软件袁但总体来看袁现行监控软件的开发大多从野入侵冶角度考虑网络安全监控袁专门应对网络访问事件袁具有更新功能的内容审计和监控的软件并不多袁尤其是对于INTEMET 上大流量信息源与实时信息流的监控袁国内多半是针对色情内容进行的过滤与屏蔽袁国外则主要是针对商业情报的窃取与分析袁过滤功能往往局限于某一具体的应用角度袁因而其应用范围也受到局限袁难以满足新形势网络信息安全监控的要求[1]遥
4 信息监控与取证技术的应用特性
网络在线文化信息的监控包括对报文内容与类型进行的审查与监控袁同时也包括对报文格式合法与完整性形式进行的审查与监控遥网络在线文化信息的监控技术分为基于报文内容的监控技术与基于报文结构格式合法性与完整性的监控技术遥基于报文内容的监控技术袁采用了报文组合尧分割尧判别技术尧自然语言识别和人工智能等技术袁实时对报文内容进行识别和智能化处理袁一旦捕捉到含有非法有害的报文信息袁则记录其IP 地址和端口号以及报文内容尧服务类型尧发生时间及用户信息袁以形成访问日志袁为系统事后审计提供分析依据袁帮助系统管理员对非法和不健康的信息进行追踪与查处袁为系统运行提供相应的安全管理措施遥基于报文结构格式合法性与完整性的监控技术袁则涵盖了对数据结构的完整性尧协议的完整性和应用类型的合法性等内容袁如对黑客程序审查和对病毒审查等等[2]遥
5 信息监控与取证的核心技术应用
5.1 BPF 伯克利包过滤技术应用
网络在线文化信息监控系统拟采用的伯克利包过滤技术渊BSD PACKET FILTER袁BPF冤袁可对流经网卡信息包进行透明性过滤袁其过滤机制具有良好的可移植性和执行效率袁能够便捷地移植到FREEBSD 和LINUX 系统袁能够在不同版本的WIN9X 上运行遥网络在线文化信息监控与取证系统体系结构袁如图1 所示遥
图1 网络在线文化信息监控与取证系统体系结构图
BPF 过滤技术应用的基本原理如下:BPF 是系统内核,主要作用是“截获信息包”。一般用于开发类似于TCPDUMP 的UNIX 网络环境工具。BPF 工作时,以高度优化模式读取网卡中报文,但又不直接控制网卡,BPF 由网络阀和包过滤器2个主模块组成。网络阀不被BPF 直接执行,但它作为调用函数,接受BPF 间接调用。当报文来临时,网卡激活网络阀,接收传输数据。当数据包来临时,网卡调用网络阀函数,BPF 开始正常工作,此时网络阀将复制报文传送给监听程序,并将报文暂存在数据缓冲区,如缓存贮满则再向上一层应用程序提交。包过滤器则承担对否受理数据报文进行判断。但由于包过滤器工作时丢失报文情况严重,其工作效率严重影响到整个应用程序的执行效率,成为系统应用的关键环节。
BPF 虚拟处理器的主要组成是:计数器、累加器、寄存器及随机内存单元。BPF 处理器能执行LOAD、STORE 指令、算术与分支指令等。通过BPF 设定接收报文头和指定字节数,可以减少报文的存储空间和提交次数及优化运行机制。BPF 过滤模型是CFG 过滤模型,软件人员编写过滤程序,执行IOCTRL 调用,就可按照过滤规则执行报文过滤,丢弃违背规则的数据包数据。
BPF 截取数据包主要通过过滤器与缓冲器来实现。其中,过滤器1个,过滤规则来自于上级调用程序IOCTRL;缓冲器2个,第一个为存储缓存,主要用于接收网卡数据,第二个为保持缓存,主要用于将拷贝数据传送给应用程序。当存储缓存满、保持缓存空闲时,BPF 将二者内容相换,以致进程与网卡不直接交互。当报文处于网络接口时,链路层协议先驱动报文至系统协议堆栈区等待,如BPF 处在监听状态,网络阀函数则先将报文传送至过滤器,由过滤器决定报文是否被接收;如决定接收,则将过滤器指定数目字节拷贝传送到存储缓存器缓存。此时,接口驱动程序重新获得控制权,又开始正常的协议处理。基于报文过滤只发生在链路层的缘故,因而极大地优化了执行的过程和提高了存储的效率[3]。例如,当程序执行调用时,BPF 可同时获取多个数据包,但为了相互区别,先将对数据实行封装,对不同的报文加上数据头,具体结构是:Struct timeval bh_tstamp:时间戳;Uint bh_caplen:所截获数据长度;Uint bh_datalen:报文原始长度;Ushort bh_hdrlen:本数据头长度。
5.2 黑盒子技术应用
网络在线文化信息监控系统拟采用的“黑盒子”直接访问技术对流经网络信息实时监听,同时对代理IP 访问的信息实时监控与审计,该技术具备良好的安全性和适应性。
“黑盒子”源自于系统信息敏感器(见“系统体系结构图”),基于网络连接方式特别,任何用户都查觉不到它的存在,就像一个“黑盒子”的特征,故名为“黑盒子”。黑盒子技术应用利用单向数据流,信息敏感器实现包采集。基于信息敏感器无IP 功能特点对任何主机来说都是透明的,因而任何网络攻击办法都无法对其实行攻击,从而确保了信息采集安全,采集信息的有效性和完整性[4]。
5.3 分布式技术应用
网络在线文化信息监控系统拟采用的分布式技术袁能够实现规模的可扩充性与系统的实时性袁使信息监控更具效率遥这是因为信息监控总是实时进行的袁而智能分析需要一个复杂程序袁才能获得较高的精度袁而处在分布式技术架构下的信息敏感器袁只对信息进行收集和简单过滤袁最终的敏感数据还需发送至中心控制服务器进行智能分析和处理遥
但在采用分布式技术架构下袁只需在监控子系统添设信息敏感器就可扩充监控的功能遥这样既不影响网络正常运行袁又实现了监控规模的可扩充性遥采用分布式技术袁网络技术管理人员还可将任何主机视作控制服务器袁通过信息敏感器子系统袁实施异地监控袁为监管工作带来极大便利[5]遥
5.4 协议分析与解码技术应用
网络在线文化信息监控与取证系统拟采用的协议分析与解码技术袁通常需对链路层尧网络层尧传输层和应用层中各类协议进行分析和解码袁对信息内容进行分类识别遥其服务模式主要有协议服务和应用服务遥
其中袁HTTP 应用服务是按IP 地址或IP 段进行的袁按规则执行数据信息过滤并生成证据文件袁它能完整记录用户浏览时的图像尧文本和HTM 文件等遥FTP 应用服务除按IP 地址和IP 段监控外袁还可记录访问用户名尧口令字和用户服务器上操作的过程袁记录用户的PUT 与GET 文件遥E-mail 应用服务袁可对特定用户收发信件记录收发时间袁进行数据信息过滤袁记录邮件收发双方的邮箱地址和密码袁并通过系统功能还原ATTACH 与中西文邮件遥TELNET 应用服务袁同样可记录访问用户名尧口令字和用户服务器上操作的过程[6]遥
5.5 内容过滤技术应用
所谓过滤技术袁即采用关键字渊常见编码冤的方式进行匹配审计袁实时捕获其相应帧的非明文编码译成明文袁传输到数据库进行再处理遥
网络在线文化信息监控与取证系统执行过滤的模块组成院淤 数据入库模块院有手动和定时2 种入库方式袁用于将数据敏感器送来数据导入数据库曰于 数据检索模块院主要用于统计和检索数据库记录袁形成统计文件遥如对电子邮件内容的检索袁主要是通过对关键字报文内容的检索袁发现异常地址立即进行审计和统计遥即按要求分类统计出符合条件的目的IP 与源IP袁然后将邮件中含有某类关键字的目的IP 与源IP尧含有某类关键字的邮件发送地址与邮件接收地址分别按出现次数排序[7]遥
6 结束语
网络在线文化信息监控与取证的核心技术在于信息审计与证据留存,将为司法部门追查网上非法行为和有效打击网络犯罪提供有力的依据。基于此,系统中数据包的收发、重组、协议分析、集群、负载的均衡构建和内容过滤的匹配算法等等,都是衡量监控系统的准确性和快速性的关键技术。但在现有技术中,监测的准确性和快速性仍然存在问题,如在实施数据获取及简化,引入数据挖掘技术和模式匹配技术实施检测分析,引入模糊逻辑改善知识的表达等方面仍需进一步完善。
[1]周 刚,麦永浩,曹 强,等.云计算应用对计算机取证技术的挑战和对策[J].警察技术,2011(2):37-39.
[2]樊 梦.网络文化建设视角下的网络安全管理探析[J].网络安全技术与应用,2012(3):72-74.
[3]张志华.基于接入层控制的网络行为监控系统[J].肇庆学院学报,2009,30(5):37-41.
[4]刘丽萍,张力宏,张兰兰.使用PHP 对信息进行加密传输的研究[J].情报科学,2009,27(9):1383-1385.
[5]汤松萍.基于企业网络信息化平台建设及其权限机制的建立[J].计算机安全,2012(2):59-61.
[6]王碧辉,魏生民,汪焰恩,等.基于.NET 的供电网络监控管理系统的设计及其树形图的实现[J].科学技术与工程,2009(16):4678-4682.
[7]汤松萍.基于小型煤矿企业计算机管理信息系统的开发应用[J].煤矿机械,2012(9):291-293.
