日韩床上生活一级视频|能看毛片的操逼网站|色悠悠网站在线观看视频|国产免费观看A淫色免费|国产av久久久久久久|免费A级视频美女网站黄|国产毛片av日韩小黄片|热久久免费国产视频|中文字幕无码色色|成人在线视频99久久久

       一個(gè)網(wǎng)絡(luò)要保護(hù)起來(lái)分3個(gè)階段：事前、事中和事后。事前就是發(fā)現(xiàn)網(wǎng)絡(luò)已經(jīng)潛在的安全問(wèn)題或者是潛在的弱點(diǎn)、隱患并彌補(bǔ),常用的產(chǎn)品是掃描系統(tǒng);事中是對(duì)正在運(yùn)行的系統(tǒng)防止黑客攻擊,包括用得最多、最普遍、最成熟的是防火墻和入侵檢測(cè)技術(shù);而事后的取證,就必須用到審計(jì)系統(tǒng)。網(wǎng)絡(luò)內(nèi)容審計(jì)能夠幫助我們對(duì)網(wǎng)絡(luò)進(jìn)行動(dòng)態(tài)實(shí)時(shí)監(jiān)控,可通過(guò)尋找入侵和違規(guī)行為,記錄網(wǎng)絡(luò)上發(fā)生的一切,為用戶提供取證手段。

       目前,公司內(nèi)部員工對(duì)機(jī)密文件、敏感信息的竊取和泄漏,以及在工作時(shí)間,利用公司網(wǎng)絡(luò)資源進(jìn)行與工作無(wú)關(guān)的活動(dòng),嚴(yán)重?fù)p害了公司的利益。隨著我國(guó)電子政務(wù)系統(tǒng)的實(shí)施和建設(shè),政府、企事業(yè)單位對(duì)安全提出了更高的要求,本文對(duì)基于協(xié)議還原的內(nèi)容審計(jì)做了較深入的探討。

       2 網(wǎng)絡(luò)內(nèi)容審計(jì)

       內(nèi)容審計(jì)記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)資源訪問(wèn)的所有資源和所有訪問(wèn)過(guò)程。完整地記錄審計(jì)追蹤數(shù)據(jù)是事故后調(diào)查取證的基礎(chǔ)。通過(guò)對(duì)一些重要的事件進(jìn)行記錄,從而在系統(tǒng)發(fā)現(xiàn)錯(cuò)誤或受到攻擊時(shí)能定位錯(cuò)誤和找到攻擊成功的原因。審計(jì)記錄應(yīng)具有防止攻擊刪除和修改的措施。在CC準(zhǔn)則(信息技術(shù)安全評(píng)估通用準(zhǔn)則2．0版)中,對(duì)信息系統(tǒng)安全審計(jì)的功能有一個(gè)完整的定義：信息系統(tǒng)安全審計(jì)主要指對(duì)與安全有關(guān)的活動(dòng)的相關(guān)信息進(jìn)行識(shí)別、記錄、存儲(chǔ)和分析;審計(jì)記錄的結(jié)果用于檢查網(wǎng)絡(luò)上發(fā)生了哪些與安全有關(guān)的活動(dòng),誰(shuí)(哪個(gè)用戶)對(duì)這個(gè)活動(dòng)負(fù)責(zé),主要功能包括：安全審計(jì)自動(dòng)響應(yīng)、安全審計(jì)數(shù)據(jù)生成、安全審計(jì)分析、安全審計(jì)瀏覽、安全審計(jì)事件選擇、安全審計(jì)事件存儲(chǔ)等。基于網(wǎng)絡(luò)內(nèi)容審計(jì)的系統(tǒng),其原始審計(jì)數(shù)據(jù)來(lái)自于網(wǎng)絡(luò)上的數(shù)據(jù)包。

       2．1 網(wǎng)絡(luò)內(nèi)容審計(jì)的系統(tǒng)模型

       根據(jù)內(nèi)容審計(jì)的功能要求,設(shè)計(jì)了一個(gè)相應(yīng)的網(wǎng)絡(luò)內(nèi)容審計(jì)模型如圖1所示,主要是分析審計(jì)網(wǎng)絡(luò)用戶的活動(dòng)。

                

       (1)原始審計(jì)數(shù)據(jù)是指用戶在網(wǎng)絡(luò)中進(jìn)行活動(dòng)的所有數(shù)據(jù),通常是網(wǎng)絡(luò)數(shù)據(jù)包。獲得這些數(shù)據(jù)是進(jìn)行網(wǎng)絡(luò)審計(jì)的基礎(chǔ)。

       (2)會(huì)話重建,網(wǎng)絡(luò)行為一般都不是孤立的,通常是由多個(gè)動(dòng)作形成的一個(gè)有序的活動(dòng)。會(huì)話重建是在原始審計(jì)數(shù)據(jù)的基礎(chǔ)上,對(duì)某一個(gè)網(wǎng)絡(luò)活動(dòng)進(jìn)行重建,恢復(fù)其本來(lái)面目,并重現(xiàn)。如常見(jiàn)FTP網(wǎng)絡(luò)文件訪問(wèn)行為,一般都包含了口令認(rèn)證、上傳或下載文件等動(dòng)作所構(gòu)成的一個(gè)完整網(wǎng)絡(luò)文件訪問(wèn)活動(dòng)。不能僅從單個(gè)數(shù)據(jù)包或單個(gè)操作動(dòng)作中審計(jì)用戶的行為,因?yàn)檫@樣會(huì)忽視各種事件之間的關(guān)聯(lián)性。

       (3)根據(jù)事先定義的違規(guī)行為集,可以有效地審計(jì)會(huì)話中的違規(guī)行為。

       (4)一旦發(fā)現(xiàn)違規(guī)行為,記錄違規(guī)行為,作為今后事故追蹤、犯罪取證的重要證據(jù)。

       2．3 會(huì)話重建及協(xié)議還原設(shè)計(jì)

       基于上述模型,給出了審計(jì)系統(tǒng)的主要部分——會(huì)話重建及協(xié)議還原的設(shè)計(jì)方案,其邏輯結(jié)構(gòu)如圖2所示。

               

       截包引擎用專(zhuān)門(mén)的網(wǎng)絡(luò)探針技術(shù)來(lái)替代傳統(tǒng)的網(wǎng)絡(luò)嗅探器。采集到的數(shù)據(jù)包在網(wǎng)絡(luò)探針上只做簡(jiǎn)單的IP重組,并通過(guò)SOCket技術(shù)傳遞到協(xié)議還原器。這樣的網(wǎng)絡(luò)探針功能相對(duì)專(zhuān)一,具有截包性能高、丟包率低的特點(diǎn)。在完整的審計(jì)記錄和高性能的基礎(chǔ)上,多協(xié)議的分析還原成為可能。

       3關(guān)鍵技術(shù)分析

     &nbs

       Libcalp是網(wǎng)絡(luò)截包最通用的函數(shù)庫(kù),適合于多種操作系統(tǒng)平臺(tái)。目前有許多著名的截包分析程序都建立在Libpcap的基礎(chǔ)上,如tcpdump,ethereal,snort等。但在高速的網(wǎng)絡(luò)中,特別是當(dāng)應(yīng)用程序需要截取大量完整的網(wǎng)絡(luò)數(shù)據(jù)時(shí),以Libcap為架構(gòu)的截包技術(shù)往往是不可行的。這是因?yàn)榻匕�和包分�?特別是包分析消耗大量的CPU周期,可能導(dǎo)致數(shù)據(jù)包丟失。CPU周期也稱(chēng)為機(jī)器周期。通常用內(nèi)存中讀取一個(gè)指令字的最短時(shí)間來(lái)規(guī)定CPU周期。一個(gè)CPU周期時(shí)間又包含有若干個(gè)時(shí)鐘周期。

       這種基于網(wǎng)絡(luò)數(shù)據(jù)包的審計(jì)系統(tǒng),如果丟包率太高,后面的會(huì)話重建、協(xié)議分析將無(wú)法進(jìn)行,系統(tǒng)將失去意義。所以,是否能高效截取所有數(shù)據(jù)包是整個(gè)審計(jì)的基石。采用Linux作為截包的操作系統(tǒng),其內(nèi)核是可以定制、修改的。

       在Linux一2．4．x以后的版本中,Libpcap是通過(guò)內(nèi)核中pf-packet模塊實(shí)現(xiàn)其截包和包過(guò)濾功能的。數(shù)據(jù)包直接從內(nèi)核接收隊(duì)列獲取,并傳遞到用戶空間。為了提高截包性能,包過(guò)濾采用BPF''(Berkeley Packet Filter,伯克利包過(guò)濾器),他是一種用于Unix內(nèi)核的包過(guò)濾機(jī)制,具有非常高的性能。為了減少數(shù)據(jù)從內(nèi)核到用戶空間的拷貝花銷(xiāo),必須在內(nèi)核中過(guò)濾掉不進(jìn)行審計(jì)的數(shù)據(jù)包,減少數(shù)據(jù)拷貝,節(jié)省的CPU周期可以留給數(shù)據(jù)包分析使用。完成一次系統(tǒng)調(diào)用或從內(nèi)核拷貝數(shù)據(jù)到用戶空間(通常是應(yīng)用程序的緩存)的系統(tǒng)花銷(xiāo)是很大的。使用Libpcap-mmap替代Libpcap作為截包庫(kù)。Libpcap-mmap是Libpcap的特殊版本,采用mmap系統(tǒng)調(diào)用,將數(shù)據(jù)從內(nèi)核傳遞給用戶空間。文獻(xiàn)[1]指出采用Libpcap-mmap比標(biāo)準(zhǔn)的Libpcap在截包性能上有所提高。

       另一個(gè)可能造成丟包的原因是,應(yīng)用層對(duì)數(shù)據(jù)包分析的周期過(guò)長(zhǎng)。這個(gè)周期指的是,數(shù)據(jù)包從內(nèi)核空間拷貝到用戶空間后,應(yīng)用層對(duì)其進(jìn)行分析、操作等一系列動(dòng)作所用的CPI．『周期。因此,應(yīng)該盡量縮短數(shù)據(jù)包在應(yīng)用層的處理周期。在網(wǎng)絡(luò)流量突然增大的情況下,由于在內(nèi)核中,例如Linux一2．4．20緩存數(shù)據(jù)包的空間最大是6 5 5 3 5*2 B,數(shù)據(jù)包分析周期過(guò)長(zhǎng),應(yīng)用程序不能快速讀取內(nèi)核的數(shù)據(jù)包隊(duì)列,致使內(nèi)核緩存不夠,內(nèi)核只能丟棄新到的數(shù)據(jù)包。鑒于網(wǎng)絡(luò)流量的陣發(fā)性,所以增大Linux內(nèi)核pf-packet模塊的接收緩存,可以避免這種丟包現(xiàn)象。這也是解決丟包的一種方法。

       3．2會(huì)話重建技術(shù)

       會(huì)話重建是審計(jì)系統(tǒng)中的重要環(huán)節(jié)。分析數(shù)據(jù)包的特征,并基于會(huì)話對(duì)數(shù)據(jù)包進(jìn)行重組,去除協(xié)商、應(yīng)答、重傳、包頭等網(wǎng)絡(luò)信息,以獲取一條基于完整會(huì)話的記錄。基于Libpcap的截包應(yīng)用程序都是截獲原始的網(wǎng)絡(luò)數(shù)據(jù)包。因此,基于Libcap的網(wǎng)絡(luò)審計(jì)系統(tǒng),必須進(jìn)行IP碎片重組、TCP數(shù)據(jù)流的重組。對(duì)此,模擬了TCP／IP,協(xié)議棧,實(shí)現(xiàn)會(huì)話重建。會(huì)話重建可以有多種并行處理辦法：

       (1)對(duì)LAN的主機(jī)進(jìn)行分段處理

       這種方法均衡性很差,因?yàn)楦髦鳈C(jī)的流量很難預(yù)測(cè),這會(huì)導(dǎo)致有些線程忙碌,有些很空閑,多線程的效果一般。

       (2)真正負(fù)載均衡

       數(shù)據(jù)包均衡分發(fā)到各個(gè)TCP重組線程,但這種方法涉及到共享數(shù)據(jù)的同步訪問(wèn),需要互斥機(jī)制,這樣就增加了許多系統(tǒng)花銷(xiāo),還會(huì)帶來(lái)共享資源的等待問(wèn)題,這些都''影響了系統(tǒng)的性能,實(shí)現(xiàn)起來(lái)也很復(fù)雜。

       (3)會(huì)話處理均衡

       同一會(huì)話的數(shù)據(jù)交給同一線程處理,這樣多個(gè)線程無(wú)需同步,而且負(fù)載均衡的效果比方法(1)有明顯的改善,結(jié)合了上述兩種方案的優(yōu)點(diǎn)。

       在系統(tǒng)實(shí)現(xiàn)中,采用會(huì)話處理均衡的方法。經(jīng)過(guò)IP重組的數(shù)據(jù)包,傳給數(shù)據(jù)分流器,同一會(huì)話的數(shù)據(jù)包分流到不同的TCP重組引擎進(jìn)行處理,提高了會(huì)話重建的能力。每個(gè)TCP重組引擎都有一個(gè)自己的數(shù)據(jù)包緩沖區(qū),存放IP包。緩沖區(qū)采用靜態(tài)環(huán)形隊(duì)列,避免了數(shù)據(jù)同步,且減少了內(nèi)存的分配和釋放的系統(tǒng)開(kāi)銷(xiāo),從而提高了整體性能,這是提高并發(fā)處理性能的關(guān)鍵技術(shù)之一。

       此外,在模擬TCP／IP協(xié)議棧的過(guò)程中,使用高效的查找算法--哈希算法也是高效實(shí)現(xiàn)會(huì)話重建的關(guān)鍵之一。

       在TCP流的重組中,定義了一個(gè)四元組<源地址,源端口,目的地址,目的端口>。以這個(gè)四元組來(lái)構(gòu)造會(huì)話文件,文件名為：目的地址．目的端口一源地址．源端口,例如文件名：

       1 91．1 92．1 93．1 94．025 6 6一01 5．01 6．01 7．01 8．011 80