（计算机科学与技术专业论文）网络服务监控网关软件关键技术研究与实现.pdf

国防科学技术大学研究生院工学硕士学位论文 摘要 随着因特网的迅猛发展，信息安全、网络安全已经成为人们日益关注的焦点。 对于政府和企业而言，为提升其内部局域网的安全，必须对用户实施有力的管理。 管理的策略是实施管理的根本所在，没有科学的管理策略，管理将成为“画饼”而 不能解决问题。 强化服务、促进管理、服务与管理并举，实施有力管理的目的在于更好的应 用。因此，在对用户严格要求的同时，要为用户提供更好的服务和保障。在安全 的前提下，要方便用户的网络应用。做到用良好的服务来促进更有效的管理，用 有效的管理来保证更好的网络应用，以便达到良性发展的功效。 实施用户管理，报文过滤是一种很好的措施。报文过滤以报文分类技术为基 础，报文分类速度的快慢、功能的强弱等直接影响到报文过滤的性能；而保证业 务的服务质量，流量管理是一种有效的解决方案。动态地分配和共享用户带宽能 够保障用户的业务应用，特别是能够提高关键服务的性能。 本文对网络服务监控网关涉及的报文过滤机制和流量控制机制进行了深入的 研究，提出了一种面向网络服务监控网关的基于用户的无冲突分组的报文分类算 法和流量限制算法。报文分类算法综合了无冲突哈希以及分组查找等技术。提出 的扶持共享带宽的双令牌桶流量限制算法在保证保障带宽的前提下，最大程度地 共享可用的带宽，从而高效地实现用户上网控制和管理网络带宽。 在关键算法研究的基础上，设计并实现了网络服务监控网关的各个功能，特 别是实体间的规则传输协议和行为传输协议、行为监控和报文过滤等。对网络服 务监控网关中的流量控制涉及的分类、过滤、限制等也进行了设计和实现。 基于本文研究基础而形成的网络服务监控网关和流量控制器两部分网络服务 监控软件，与其他研究人员完成的用户安全代理软件一起构成的网络服务监控网 关系统已经在实际网络上运行试验，证实了设计的算法与方法的有效性。 主题词：网络监控报文分类流量控制无冲突哈希分组查找双令牌桶 第i 页 国防科学技术大学研究生院工学硕士学位论文 a b s t r a c t m o n g w “hi i l t e m e t ss w ma i l dv i o l e n td e v e l o p m e n t ，t h ei n f 0 皿a t i o s e c u r i t y ，t h e n e t w o r ks e c u r i t ya l r e a d yb e c a m et h ef b c u sw h i c ht h ep e o p l ep a i da t t e n i i o nd a yb yd a y a sf o rt h e9 0 v e m m e n ta n dt l l ee n t e 甲r i s e ，f o rp r o m o t i n gt h es e c u r i t yo fi t sj n t e n l a ll o c a l a r e an e t w o f k ，m u s t 渤p l e m e n tp o w e r f i l l a i l a g e m e n tt ot h eu s e r t h em a i l a g e m e n t s t n t e g yw i l lb et h eb 弱i so ft h cm a i l a g e m e n ti n l p l e m e n t a t i o n w i 也o u tt 1 1 e 鲥e n t i f i c m a n a g e m e n ts t r a t e g y ，t h em a i l a g e m e n tw i l lb e m e ”t h ep i c t i l r c so fc a l c e s ”b u tn o tt ob e a b l et os o l v et 1 1 ep r o b l e m t h es t r c n 殍h e n e d s e r v i c e ， t h ep r o m o t e d m a n a g e m e n t ， t h es e r v i c ea n dt h e m a n a g e m e n td e v e l o ps i m u l t a i l e o u s l y t h eg o a l o ft h e p o w e r 如lm a n a g e m e n t i i l l p l c m e t a t i o ni i c si i lab e t t c r a p p l i c a t i o n t h e r e f o r e ，w l l i l es t r i c t l yr e q u e s t st ot h eu s e r ， m u s tp r d v i d eab e t t e rs e r v i c ea n dt h es 疵g l l a r df o r 也eu s e r s u n d e rt h es a f cp r e m i s e ， m u s tf a c i l i t a t et 1 1 eu s e r s n e t w o r ka p p l i c a t i o n m u s tp r o m o t eam o r ee f & c t i v e m a n a g e m e n tw i t ht l l eg o o ds e r v i c c ，a n dg u a r a n t e et h eb e t t e rn e 嘶0 r k 印p l i c a t i o nw i t h t h ee f f e c t i v em a i l a g e m e n t ，i no r d e rt oa c h i e v et h ee f f e c t0 ft h eb e i l i 弘d e v e l o p m e n t f o rt h ei m p l e m e n t a t i o o fu s e r s m a n a g e m e n t ，t h ed a t ap a c k e tf i l t e ri s0 n e l 【i n do f v e r yg o o dm e a s u t e t h ed a t ap a c k e t6 1 t e r st a k et h ep a c k a g ec l a s s i 丘c a t i o nt e c h i l o i o g y a saf o u n d a t i o n 1 1 l es p e e do ft 1 1 ep a c l 【a g ed a s s i f i c a t i o na i l di t sf l l n c t i o n ss t m n ga n d t h ew e a ka n ds o0 na f f e c tt h ep e r f o r 工n a i l c eo fd a t ap a c k e tf i l t e rd i r e c t l y a n dt o g u a r a n t e et h eq u a l i t yo ft l l eg r a d eo fs e r v i c e ，t l l et r a f f i cm a n a g e m e n ti so n el 【i n do f e f f c c t i v es o l u t i o n t h ed y a m i ca s s i 霉l m e n ta n dt l l es h a r i n go fu s e r s b a d w i d t hc a n s a f e g u a r dt h eu s e r s s e r v i c ea p p l i c a t i o n ，s p e c i a l l yc a ne i 山a n c et h ep e r f b r m a n c co f 山e e s s e n t i a ls e r v i c e t h i sa n i d eh a sc o n d u c t e dt h et h o r o u 曲r e s e a r c ht ot h e p a c k a g ef n t e rt h e m e c h a i l i s ma n dt h ct r a 舾cc o n 仃o lm e c h a n i s mi n v o l v e dw i t ht h eg a t e w a y0 fn e 研o r k s e r v i c es u r v e i l l a l l c e ，p r 叩0 s e do n e “n do fu s e r s n o n c o n n i c tg r o u p i n g p a c k a g e c l a s s m c a i i o na 1 9 0 r i t h ma n dt h et r a f f i cl i m “a l g o r i t h mw h i c hf a c et h eg a t e w a yo f n e n v o r ks e r v i c es u e i l l a l l c e t 1 l ep a c k a g ec l a s s i f i c a t i o na l g o r i t l l i i lh a si n t m d u c e dt h e c o n c e p to ft h en o n 。c o n f l i c th a s ha n dt h eg r o u p i n gs e a i c h t 1 l ep r o p o s e ds u p p o ns h 撕n g b a n d w i d t hp a i ro ft o k e nb u c k e t st r a f ：f i cl i m i ta 1 9 0 r i t h i np r c m i s e st h eg l l a r a n t e es a f e g u a r d b a n d w i d t h ，s h a r e sf a n l l e s tc l l r r e n tu s e a b l eb a i l d w i d t h ，t h u sm a yh i g l l l ye f b c t i v er e a l i z e u s e r sa c c e s sc o n t r o la i l dm a n a g e m e n to fn e m o r kb a l l d w i d t h e a c hf u n c t i o no ft h eg a t e w a yo fn e t w o r ks e r v i c es u r v e m a n c eh a sb e e nd c s i g n e d a n dr e a l i z e db a s e do nt h ee s s e n t i a l a l g o r i t h mr e s e a r c hf o u n d a t i o n ，s p e c i a l l y r u i e t r a n s m i s s i o np r o t o c 0 ia i l dt h eb e h a v i o r t m n s m i s s i o np r o t o c o lb e m e e nt h ee n t i t i e s ，t h e b e h a v i o rm o n i t o r i n ga n dt h ep a c k e tf i l t e ra n ds oo n t h ec l a s s i f i c a t i o n ，f i l t e r ，1 i m i ta n d s oo n ，i n v o l v e dw i t ht h et m f f i cc o n t r o l i nt h eg a t e w a yo fn e t w o r ks e r v i c es u e i l l a n c e 第i i 页 国防科学技术大学研究生院工学硕士学位论文 a l s oh a v eb e e nd e s i 星皿e da n di m p l e m e n t e d t w od a r t so fn e t w o r ks e r v i c es u r v e i l l a n c es o f t w a r eb a s e do nt h i sa r t i d e sr e s e a r c h ， t h e2 a t e w a yo fn e t 、v o r ks e i c es u r v e i l l a n c ea n dt h et r 硼cc o n t r o l i e r ，c o n s t i t u t e dt h e g a t e w a yo fn e t w o r ks e r v i c es u r v e i l l a n c es y s t e mi nc o m p a n y w i t ht h eu s e rs a f e t yp r o x y s o f n v a r ew h i c ho t h e rr e s e a r e h e r sc o m p l e t e d t h i ss y s t e mh a sa l r e a d yp e r f b 册e dt e s ti n t h ea c t u a ln e 俩o r k ，a i l dt 1 1 ev a l i d i t yo ft h ed e s i 印e da 1 9 0 r i t l l la 1 1 dm e t l l o d sh a sb e e n c o n f i 加e d k e yw o r d s ： n e t w o r ks u r v e i i i a n c e ， p a c k e tc l a s s 行i c a 廿o n 。t r a f f i c c o n t r o n o n c o n f i c th a s h 。g r o u p i n gs e a r c h ，ap a i ro ft o k e nb u c k e t s 第试页 国防科学技术大学研究生院工学硕士学位论文 图目录 图2 1 串连控制型网络监控8 图2 2 混合型网络监控8 图2 3 原型系统组织体系结构9 图2 4 原型系统组成9 图2 5 网络服务监控网关组成结构1 0 图2 6i j n u x 网络接口实现1 1 图2 7 s kb u f f 结构图。1 2 图2 8i j n u x 内核网络层数据流程1 3 图2 9n e t 脚t c r 框架1 4 图2 1 0 数据包在m t e r 表中的流程图1 5 图2 1 1 “n u x 流量控制的基本实现。1 8 图2 1 2o u t p u tq u e u i g 的数据通路1 9 图2 1 3 复杂队列策略的过滤分类2 0 图3 1 前三域分类算法结构2 6 图3 2m 对分组查找树2 7 图3 3 报文分类流程图2 8 图3 4 无冲突分组查找算法的性能3 0 图3 5g t s 处理过程示意图3 2 图3 6 双令牌桶算法示意图3 3 图3 7 扶持共享带宽的双令牌桶算法3 5 图3 8n s 2 仿真拓扑3 5 图3 9 典型算法的仿真结果3 6 图3 1 0 扶持共享带宽的双令牌桶算法的仿真结果3 6 图4 1网络服务监控网关3 8 图4 2 行为监控结构图4 3 图4 3 协议模型图4 4 图4 4i p t a b l e s 与n e m l t e r 的结合4 5 图4 5 规则的组织形式4 5 图4 6i p t a b l e s 数据报过滤流程4 6 图4 7 改进的过滤模块部署4 7 图5 1 流量控制器4 9 图5 2 带宽分配方案5 1 第l l i 页 国防科学技术大学研究生院工学硕士学位论文 要5 = j 分类的分层关系图5 2 第页 国防科学技术大学研究生院工学硕士学位论文 表 目录 表2 1 n u x 内核的流量控制实现1 9 表2 2 与队列规则相关的数据机构及功能描述2 0 表4 1 五元组规则命令报文格式4 0 表4 2 上网行为报文格式4 1 第v 页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已 经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它教育机构的学 位或证书而使用过的材料与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示谢意 学位论文题目：圆垒迅盔鳖整圈差筮佳差毽筮! 睦煎究生塞翌 学位论文作者签名：生丝日期：哆年2 月，日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权国 防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子文档，允 许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据库进行检索， 可以采用影印，缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书。) 学位论文题目：豳垒题签些控圆差垫佳差缝拄盔盈宜盏塞理 学位论文作者签名： 作者指导教师签名： 如丝。 复：鱼丝， 日期：矽。夕年口月? 日 日期：弘手矿胡砌 国防科学技术大学研究生院工学硕士学位论文 1 1 课题背景 第一章绪论 互联网络正在快速地向着大规模、高性能、智能化、安全化的方向发展，逐 步变成了一个开发和使用信息资源的覆盖全球的平台，进入了人类社会生活的方 方面面。互联网络的迅速发展和应用，在政治、经济、军事、科技和文化等社会 领域中都产生了深刻的影响。人类正在经历着从工业时代向信息时代过渡的伟大 变革。 我国自1 9 9 4 年正式介入互联网。短短几年时间内，随着我国信息化建设的全 面推进，互联网在我国也得到了飞速的发展，这不仅表现在互联网的基础设施方 面，也表现在互联网的用户人数、互联网在备行各业的广泛应用等各方面。根据 第1 6 次中国互联网络发展状况统计报告的调查结果显示，截至2 0 0 5 年6 月 3 0 日为止，我国上网用户总人数已达1 0 3 0 0 万人，上网计算机总数已达4 5 6 0 万台， 上网人数中有4 7 是在单位或学校上网。同时，互联网促生的服务象雨后春笋不 断出现，各行各业的信息化应用程度不断提高，互联网在人民生活的各个方面发 挥着越来越大的作用。 随着h t e m e t 以及i n t r a n e t 被更多地引入到单位工作和校园学习中，它除了大 大拓展信息资源的共享空间以提高其利用率外，也为色情、反动言论及歪理邪说 打开了方便之门。目前我们对内部网络的管理存在大量的盲区，管理范围只是骨 干网络，而大量的局域网和校园网都没有实施有效的管理，只对用户单位的局域 网和校园网的接入进行了规范，提出了要求。这对信息网络管理而言，就存在明 显的盲区。而这些盲区将成为目前单位和校园内部网络的最大威胁，产生了诸如 技术泄密、工作学习效率降低及网络使用成本增加等一系列问题。为了保护内部 的资源、服务数据和保证网络正常运行，在单位或校园内部应用网络监控技术变 得迫在眉睫。 现有的防火墙和i d s 从网络监控角度来看，都可以归类于网络监控系统。防 火墙具有包过滤、应用代理、访问控制等功能，偏重于对网络的控制功能，i d s 主要是入侵监测功能，也顺带具有内容检查等功能，偏重于对网络的监视功能。 还有一些系统侧重于对内容进行关键词搜索。单位局域网或校园网是一个专用网 络，其端系统都是内部的用户。因此。迫切需要加强内部用户管理和规范用户行 为，以确保信息源的安全，降低安全威胁。网络监控软件应用于单位、校园内部 网络，对计算机在局域网活动行为进行监视、控制和记录，从而达到管理目的。 一方面，用于探测、拦截、收集和管理网络资源，规范网络有效合法使用，可防 第l 页 国防科学技术大学研究生院工学硕士学位论文 止单位重要资料机密文件等泄密，监督审查网络使用行为，备份重要网络资源文 件。另一方面，也是非常有效的网络监管工具。适合单位或校园网络的网络安全 人员、网络管理人员使用，用有效的管理来保证更好的网络应用，以达到良性发 展的功效。 1 2 课题要求 网络服务监控网关系统的目标是：依据“以网络技术管理中心为龙头、安全防 护中心为核心、以服务用户为基础”的信息网络管理体制的发展方向；针对局域网 管理的新特点和信息安全的高要求；按照“行政管理为杠杆、技术手段为措施、安 全可靠为目标”的指导思想：建立强有力的局域网用户管理机制：确立完整的、合 理的、配套的局域网用户管理的技术解决方案；为满足各种局域网用户管理的需 求，提供一套功能强大、技术先进、价格合理的网络用户管理产品。 1 3 课题取得的成果 本文对i p 层的报文分类算法进行了深入的研究和分析，提出了无冲突分组查 找报文分类算法，通过测试，对各种算法的性能进行了比较；对婵层的流量限制 算法进行了深入的研究和分析，改进了u n u x 流量控制模块中的双令牌桶队列规则 算法，提出了扶持共享带宽的双令牌桶流量分配算法，通过模拟，对算法的性能 进行了分析，该算法可以高效管理网络带宽；最后，对网络服务监控网关和流量 控制器两部分网络服务监控软件的实现技术进行了研究。以第一作者在中国电 子学会第十一届青年学术年会发表论文一篇( 见攻读硕士期间发表的论文) 。 1 4 论文组织结构 第一章为绪论。主要介绍网络服务监控网关的研究背景，提出了网络服务监 控技术研究与实现的迫切性，并简要叙述了课题的研究对象及主要研究内容。 第二章为网络服务监控相关技术。从原型系统的实现出发，着重于介绍信息 网络中网络服务监控的设计思想，并分析实现网络服务监控思想的报文过滤和流 量控制两种关键技术。 第三章为网络服务监控网关的相关算法研究，主要分析网络服务监控网关中 关键技术的核心算法，并设计了适合于网络服务监控网关需求的报文分类算法和 流量限制算法。 第四章对网络服务监控网关的软件技术进行了研究，针对得出的报文分类算 法，进行了详细的研究，给出了网络服务监控网关软件的实现技术。 第2 页 国防科学技术大学研究生院工学硕士学位论文 第五章对基于网络服务监控网关的流量控制软件技术进行了研孬雨i 福酉 的报文过滤模型，进行了详细的设计，给出了系统的实现方案。 最后为网络服务监控技术的研究展望。对网络服务监控的研究进行总结，并 给出进一步的研究方向。 第3 页 国防科学技术大学研究生院工学硕士学位论文 第二章网络服务监控相关技术 随着因特网的迅猛发展，信息安全、网络安全已经成为人们日益关注的焦点。 越来越多的企业和机关已经开始利用局域网控制技术来规范内部用户的行为，保 障网络不受外部黑客的入侵。 2 1 网络监控技术 网络上是否传送着一些不健康的内容? 人们在网上的行为是否规范? 是否有 网络攻击发生? 网络流量是否异常? 旦攻击发生后，我们能否获得攻击证据， 为打击网络犯罪留下法律证据? 对现实世界的监控措施同样必须在虚拟的法律世 界中有所体现，这就是网络安全监控技术的意义。 2 1 1 信息安全防护思想 随着计算机和通讯技术的发展，计算机网络已成为全球信息基础设旌的主要 组成部分。它为人们交换信息，促进科学技术、文化、教育、生产的发展带来了 深刻的影响，同时，网络信息安全和保密已成为一个至关重要并急需解决的问题， 人们对信息的安全传输、安全存储、安全处理的要求显得越来越迫切和重要。 计算机网络信息安全防护【1 j 是指利用网络管理控制和技术措旌，防止网络本身 及网上传输的信息财产被故意的或偶然的非授权泄漏、更改、破坏，或使网上传 输的信息被非法系统辨认、控制，即确保网上传输信息的完整性、保密性、可用 性受到保护，其内容大致包括四个方面： ( 1 ) 网络实体安全。计算机房的物理条件、物理环境及设施的安全，计算机硬 件、附属设备及网络传输线路的安全及配置元件安全。 ( 2 ) 保护网络系统不被非法侵入，系统软件与应用软件不被非法复制，不受病 毒的侵害等。 ( 3 ) 网络中的数据安全。保护网络信息数据安全、数据库系统的安全，保护其 不被非法存取，保护其完整、一致等。 ( 4 ) 网络安全管理。运行时突发事件的安全处理，包括采取计算机安全技术， 建立安全管理制度，开展安全审计，进行风险分析等内容。 网络系统既要开放，又要安全，以至于网络安全问题已成为网络应用的焦点 问题，影响网络信息安全的隐患主要来自于网络硬件和网络软件两方面的不安全 因素： ( 1 ) 计算机病毒。计算机病毒是为了某种目的而蓄意编制的计算机程序，它能 第4 页 国防科学技术大学研究生院工学硕士学位论文 在实际系统中生存、自我复制和传播，并且给计算机系统造成严重的损坏。 ( 2 ) 人为的恶意攻击。人为的恶意攻击分为两种，一种是主动攻击，它是以各 种方式有选择地破坏信息的有效性、完整性和真实性，目的在于篡改系统 中所含信息，或者改变系统状态；另一种是被动攻击，此类攻击主要威胁 信息的保密性，导致机密数据的泄漏。 ( 3 ) 网络系统软件自身的安全问题。网络系统软件的自身安全与否直接关系网 络安全，网络软件的功能较少或不全，是“黑客”进行攻击的首选目标。 ( 4 ) 非授权访问。非授权访问指那些预先没有经过同意就使用网络或计算机资 源，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用或 擅自扩大权限，从而对系统和网络进行非法访问。 ( 5 ) 传输线路安全与质量问题。信息在传输中和存储介质中易发生有意或无意 被泄漏出去或丢失的现象当线路的质量不太好时，可能会严重危害通信数 据的完整性；另外，黑客们常采用窃听方式，对通信线路中传输的信号进 行搭线监听，截获有用的机密信息等。 ( 6 ) 破坏数据完整性。破坏数据完整性分为两种：一是来自非法用户的攻击， 即通过改变信息的标签、内容和属性，达到用假信息代替原始信息的目的： 二是来自合法用户的攻击，即抵赖。 ( 7 ) 拒绝服务攻击。它不断对网络服务系统进行千扰，改变其正常的作业流程， 执行无关程序，使系统响应减慢甚至瘫痪，影响正常用户的使用。 ( 8 ) 网络安全管理问题。现有的信息系统大多数缺少安全管理员，缺少信息系 统安全管理的技术规范，缺少定期安全测试与检查，更缺少安全审计。随 着计算机及通信设备组件数目的增大，积累起来的安全问题将越来越复 杂。 网络信息的安全防护是一项系统工程1 2 】，它涉及密码安全、程序源代码安全、 数据库安全、网络服务器安全、病毒防护、加密与鉴别等多个方面。由于信息安 全所涉及到的技术、产品、方案和服务的内容与形式一直处在不断变化和发展之 中。信息安全主流技术的发展经历了从非对称计算技术到密码保护技术，再到信 任计算技术三个阶段；信息安全产品的发展经历了从被动防范到积极防御，再到 可信计算三个阶段：信息安全方案的发展经历了从外网安全到内网安全方案，再 到应用安全方案三个阶段。 可信计算平台的主要功能是确保用户身份、权限的真实性、合法性；工作空 间的完整性、可用性：确保存储、处理、传输的机密性、完整性；确保硬件环境 配置、操作系统内核、服务及应用程序的完整性；确保密钥操作和存储的安全； 确保系统具有免疫能力，从根本上防止病毒和黑客。在构筑信息安全环境、保障 第5 页 国防科学技术大学研究生院工学硕士学位论文 源头安全方面起着十分重要的作用。在网络环境下的用户认证不仅可以包括用户 的身份信息，而且可以包括p c 的硬件信息，从而可以更好地保证网络通信安全、 身份认证安全，并最终使防病毒、防入侵等最基本的信息安全功能与可信计算平 台实现最佳的结合。 同时，面对层出不穷的恶意攻击和病毒【3 ，人们把防火墙越砌越高、入侵检测 越做越复杂、病毒库也越做越大，但误报率也随之增多，维护与管理变得更加复 杂和难以实施，信息系统的使用效率大大降低。面对这种形势，人们开始从另一 个角度来思考信息系统的安全问题，并且提出了面向终端安全的“可信计算”的概 念，提出从终端的体系结构上解决信息系统安全问题。 因特网的安全是一项复杂的长期性的系统工程，不是单一的产品和技术可以 完全解决的。这是因为网络安全包含多个层面，既有层次上的划分、结构上的划 分，也有防范目标上的差别，层次上涉及到网络层、传输层、应用层的安全等， 在结构上不同结点考虑的安全是不同的。制定适当完备的网络安全策略是实现网 络安全的前提，高水平的计算机网络安全技术和严格的管理落实是保证。 2 1 2 信息网络监控 目前对于政府和企业来讲，其内部网络一般都是最近才建立起来的，通常基于 较先进的h t e m c t 技术，采用通用的w e b 方式来进行信息的发布与交流，在网络 上信息能够以多种方式( 文本、声音、图形、图像、视频等) 传递，这些网络都具有 良好的扩展性和交互性，极大地提高了办公效率。 但同时，正是由于这些网络的局部私有性，和对使用内部网络人员的宽容和 信任，造成了系统管理者对信息网络的安全管理与监控机制的忽视。 随着用户对网络管理的深入理解和应用需求的不断发展，网络管理软件从侧 重设备管理到侧重服务管理，从侧重故障管理到侧重性能管理，对系统的安全性 和系统的互操作性等提出了更高的要求。而且用户不再仅仅需要一个软件产品， 而是需要一个解决方案。用户越来越不关注具体的网络管理内容，而是关注与自 己的服务相关的部分，比如用户不希望关注网络的拓扑结构如何，而只希望关注 其应用是否能够在该网络环境下正常运行。同时，根据政府和企业不同的信息网 络规模，大型网络( 一般是一个全国性的广域网，网络结构复杂) 、中型网络( 一般 是局域网，也有城域网和广域网，但总体结构相对简单，服务也不是很复杂) 和小 型网络相对应的网络监控需求也很不相同。另外，不同行业对信息网络监控的需 求侧重点也不同，如涉及国家机密的政府、军队等行业，强调信息的高度安全性； 银行、民航等行业更重视对服务监测的全面完整；电信等行业则对网管系统响应 的实时性提出了极其苛刻的要求。因此在内部网络应用网络监控技术变得追在眉 第6 页 国防科学技术大学研究生院工学硕士学位论文 睫。 网络监控( n e t 、) l r o r ks u r v e i l l a n 是指利用网络嗅探( s n i f f e r ) 技术，获取网络数 据封包，并进行相关协议分析( p r o t o c 0 1a 卫a i y s i s ) ，提取监控人感兴趣的信息，从而 对网络连接实施控制或者对其网络管理策略进行修正。 网络嗅探是利用计算机的网络接口截获目的地为其他计算机的数据封包的一 种技术。它工作在网络的底层，把网络传输的全部数据记录下来。嗅探器可以帮 助网络管理员查找网络漏洞和检测网络性能，可以分析网络的流量，以便找出所 关注的网络中潜在的问题。大多数的嗅探器至少能够分析下面的协议：标准以太 网、t c p 佃、聊( 、d e c d n i 玎、f d d it 0 k e n 、微波和无线网。 协议分析( p r o t o c o la n a l y s j s ) 是指捕捉到网络数据封包后，按照有关协议规则， 将网络数据转换成具有可读意义形数据的过程。协议分析的最基本功能是将从网 卡上捕获到的数据字节按照网络封包的组织结构，明确地将数据包的各部分的意 义与作用标识出来，以便进一步综合分析。 网络连接控制( c o 衄e c t i o nc o n t m l ) 是指根据控制策略( p o l i c i e s ) 决定某个网络节 点对其他网络资源是否具有访问权限以及如何使用这些网络资源。在网络监控中， 使用监听工具获得数据，分析出结果以后，目的是为了对网络访问进行控制。连 接控制的策略类型可以简单的分为：允许、禁止和有限允许。允许与禁止的控制 比较简单，依照策略放行或者丢弃对应的网络数据即可，有限允许是指策略中规 定了部分或者只能按照特定方式访问某些网络资源。网络连接控制的方法很多， 基本思路都是在可路由的网络节点上增加控制策略，定义访问控制列表( a c c e s s c o n t r o lu s n ，例如常见的路山器的a c l ，n a t 设备、防火墙等，都是采用一系列 的网络地址来定义允许或者禁止访问的网络资源。但是这些常见的设备或系统对 于大量的网络地址控制和有限允许的访问策略支持能力有限，这是因为他们工作 的方式和在协议栈中的层次造成的：这些常见的设备工作在网络层，采用标准协 议栈控制方式，对于大容量的地址访问控制需要进行优化与调整；而对于复杂的 控制策略，需要进行多层次协议的解析与判断。 网络监控工具部署类型【5 】大致分为三类：并联侦听型、串联控制型、分布式混 合型。 并联侦听型网络监控指在网络拓扑结构上网络监控工具所在的节点与被监控 的网络节点处于同级网络，并且在协议栈层次中采用复制数据包的方式获取监听 数据。优点：完全不改变网络拓扑结构，工作方式透明。缺点：控制功能弱，只 能采取网络干扰的方法控制部分协议的连接。数据速率较大时，侦听时会丢包， 功能会受到影响。 串连控制型网络监控工具接管网络协议栈，局域网的网络数据包全部经由监 第7 页 国防科学技术大学研究生院工学硕士学位论文 控工具审查，而这些监控工具往往也是部署在网关位置，串接于网络之中。该种 监控系统能够完成较复杂的功能，例如防火墙、网络管理等。串连控制型的网络 监控工作原理比并联型的复杂的多，但是它的部署方式并不复杂，软件方式的一 般工作于双宿主计算机，即有两个网卡的具有网关特征的计算机上，硬件方式也 是一台等价于双宿主计算机的设备，如图2 1 所示。 碍啊野嗣并嗣 集厦 g e n t 帕工作站集虞 0 e n t 的工作站 图2 1 串连控制型网络监控图2 2 混合型网络监控 目前已经出现利用探针( p r o b e ) 或者分布式代理( a g e n t ) 方式工作的混合型网络 监控系统。网络数据在经过特定设备时，会被重写部分包的信息，例如代理服务 器，会修改包的地址来源， n 会重新拆分数抓进行加密。这些都会造成网络监 控的数据不能形成准确的分析结果，因此需要利用安装在被监控的客户端计算机 中的探针软件或者代理进程，将原始网络数据直接传到网络监控主控点，最终实 现正确的监控分析结果。如图2 2 所示。 2 1 3 网络服务监控网关原型系统 网络服务监控网关的原型系统是局域网用户管理控制系统的用户网络管理中 心，局域网用户管理控制系统组织体系包括三个层次：骨干网络管理中心、用户 网络管理中心和用户端点系统，其体系结构如图2 3 所示，系统组成如图2 4 所示。 用户端点系统；局域网的用户端点系统，也可以简称为用户，用户通过端点 系统来访问局域网，它是用户管理控制系统的主要管理对象。 用户网络管理中心：网络服务监控网关在此处部署，用户网络管理中心负责 管理接入局域网的用户单位的信息网络，一般是园区网和局域网，也可称其为用 户网络。按统一要求，用户网络的用户管理和端点防护由用户网络管理中心负责 第8 页 国防科学技术大学研究生院工学硕士学位论文 具体的实施。 。 骨干网络管理中心：骨干网络管理中心负责对接入局域网的用户网络进行审 验，并且对用户网络的用户管理和安全防护情况进行监管。 图2 3 原型系统组织体系结构 图2 4 原型系统组成 网络服务监控网关负责按要求对上网的用户实施有效管理，实现二级上网控 制，该系统主要由两部分功能模块组成： 用户业务管理控制系统，属于控制平面。具体功能包括有：用户身份认证、 要求检验、上网行为审计控制和记录、访问控制规则( 或策略) 生成、加载及其 超时维护等等。该系统负责把用户上网行为报告给信息管理系统。 第9 页 国防科学技术大学研究生院工学硕士学位论文 网络服务监控网关，属于数据平面。对上网数据流进行分析，将有关上网状 态信息上报给控制平面，根据访问规则决定转发控制，创建或删除连接状态表， 将内容截获转发给用户业务管理控制系统，并实施基于用户的流量控制，提供对 单位局域网正常服务的带宽保证，优化带宽资源的合理使用。网络服务监控网关 的组成结构如图2 5 所示。 用户上网控制器的性能指标包括有：网络接口带宽、包转发能力和连接处理 时延。为适应不同用户网络的管理需求，用户上网控制器应设有两种型号：普通 型和增强型。两种型号的用户上网控制器起配置和性能各不相同。普通型用户上 网控制器的配置和性能为：网络接口带宽为1 0 0 m b p s 、包转发能力为：5 1 6 k p p s 。 增强型用户上网控制器的配置和性能为：网络接口带宽为1 0 0 0 m b p s 、包转发能力 为：2 mp p s 。 图2 5 网络服务监控网关组成结构 为保证网络通信的性能，对于不同规模的用户网络和性能要求将配置不同型 号的网络服务监控网关系统，小于2 0 0 用户的用户网络系统将配置普通型网络服 务监控网关，而大于2 0 0 个用户的用户网络应该配置增强型网络服务监控网关， 转发控制应基本上可做到线速处理。本文主要是针对普通型网络服务监控网关的 软件关键技术的研究和实现。 2 2 报文过滤技术 随着因特网的迅猛发展，信息安全、网络安全已经成为人们日益关注的焦点。 越来越多的企业和机关已经开始利用报文过滤技术来保障网络不受外部黑客的入 侵。更好的理解报文过滤的机制有助于我们更深刻的理解和应用其来保障网络信 息的安全。 网上所有传送都是以包( p a c k e t s ) 的形式进行的，每个包的开始部分描述此包它 第1 0 页 国防科学技术大学研究生院工学硕士学位论文 到什么地方、从哪里来、包的类型和其它管理信息。包的开始部分叫包头( h e a d e r ) ， 包的其余部分包含被传送的实际数据，叫包体( b o d y ) 。 报文过滤模块通常在操作系统内部实现，并且工作在i p 网络和传输协议层。 它在对基于i p 包头中信息实施过滤后，通过对包的路由作决策来保护系统。报文 过滤器就是一段程序，它检查通过的包的包头，并决定包的命运。它可以丢弃( d e n y ) 这些包( 当作没有收到它们) ，接受( a c c e p t ) 这些包( 让这些包通过) ，或拒绝( r e j e c t ) 包 ( 类似于d e n y ，但它通知包的发送者) 。 2 2 1l j n u 内核对数据包的处理 “n u x 的网络接口分为四部份【6 l ：网络设备接口部份，网络接口核心部份，网 络协议族部份，以及网络接口s o c k e t 层。网络设备接口部份主要负责从物理介质 接收和发送数据：网络接口核心部份是整个网络接口的关键部位，它为网络协议 提供统一的发送接口，屏蔽各种各样的物理介质，同时有负责把来自下层的包向 合适的协议配送。它是网络接口的中枢部份；网络协议族部份是各种具体协议实 现的部份；网络接口s o c k e t 层为用户提供的网络服务的编程接口。 网络应用 图2 6 n n l l ) c 网络接口实现 报文的接收：接收中断：如果网卡接收到匹配本地m a c 的以太帧，或者接收 到链路层广播，则产生中断，该网卡的网络驱动处理中断，通过d m a ，p i o 等方式 从r a m 中取得报文数据。然后分配一块缓冲区s k b 并调用独立于设备支持的函数： n e t c o r e d e v c n e t i f - & ( s k b ) 。如果驱动还没有给该s k b 打上计时标志，那么驱动将 立刻为该s k b 打上计时标志，而后，s k b 进入到处理器处理报文的适当的队列中排 第l l 页 国防科学技术大学研究生院工学硕士学位论文 队，如果队列已排满，报文将在这里被丢弃。 l i n u x 操作系统的实现起源于b s du n 发展的b e r k e r l y 套接字a p i 工业标 准，它把i i l t e r n e t 协议的地址族实现为一