网络窃听及防范窃听技术研究

1、网络窃听及防范窃听技术研究（自动化技术与应用）锄02年第21卷毙六期网络窃听thenotwork计算机应用cpmputerap 蹦啊 1io11snetworkbuggingtechnique四ji1大学信息安全所朱长安刘奠勇刘军卿j咖随着科学技术的迅猛发展，高新技术广泛应用于社会各个 领域，围绕着网络进行窃密与反窃密的斗争日益尖锐.各国政府 纷纷投入银大的精力来提高网络对抗的能力，甚至已经有人提 出了”国家黑客”的概念网络窃听技术是一种隐蔽的窃密手 段打破了传统上认为电脑内没有处理和保存涉密文件就安全 的思想观念，由于语音等技术在电脑等通信设备上的发展长期 以来受到各国的重视和研究目前在国内

2、,对如何防范网络语音 窃听技术尚投有进行专项研究，翩绐窃听原理同络窃听技术是对目标电脑的环境声咅进行拾取并将拾 取到的声音信号在目标电脑中进行处理后通过网络进行传递, 井在窃听者的监听系统中还原出来从而实现窃密的一种技术. 这里采用一般的服务器/客户端工作模式.即c./s（cliem/semi） 模式服务器端被动地提供服务，对客户端的请求做岀响应，客 户端是主动的，对服务器端做岀服务的请求，作为服务器端的主 机一般会打开一个默认的端口并进行侦听（l湎），网络窃听的 实现就是以目标电脑为服务器端监听系统为客户端工作的（图 本文首先概述了网络窃听技术研究的必要性，简单介绍网1 络窃听原理工作模式和

3、实现方法在此基础上，提出防范网络 窃听的技术并根据窃听软件的实现原理,提出防范删络窃听的 安全技术体系及实现防范的监控模型.堆备量蟻（目标电）广一1计算飢同略j1骞户嗽控栩电譬】 国103模型:网络窃听现0;通知监计算机应用computerapplications（自动化技术与应用）212年第21卷第六期这里的消息机制是指当目标电脑连到同一个网络时，如何 定位目标电脑及通知监听系统的方法，包括:定位机制和发送机 制.3.1.1定位机制这种机制來确定口标电脑，常用的两种方法:通过电脑的用 户资料进行确定，包括用户安装软件吋的用户名，软件的序列 号，用户密码，中央处理器芯片上的序列号,网卡的硬件地

4、址等； 0旺技术，是一种基于网站的方式，通过对进行浏览的用户 或曾经浏览的用户进行身份识别来定位目标电脑.3.1.2发送机制这种机制通过发送定位信息来通知监听系统,其工作过程： 当目标电脑连上网络时,在目标电脑中的服务端程序，对该电脑 中动态地址进行实时检测,把取得的动态和先前的动态 进行对比，当发现两者不同时，就触发了电子邮件发送程序， 根据预先设置好的p邮箱,将现在的地址和电脑用户资 料发送到指定邮箱.网络窃听:，有两种方案:一种是非实时的,直接利用对方操作系统内本 身带有的录音机的功能，把录到的目标电脑环境声音进行压缩， 传输到控制端，在控制端进行解压，还原出声音信号另一种窃 听方式是实

5、时进行语音传输，使用a(vi(at-o-xnpressiaamanag 一 日)声音压缩管理器，调用微软编写的o.ck功能的接口数库实 现网络传输时采用的是ldp(lrdatapii如)协议，原 因是:在传输层，它的效率高，适于网络上的语音传输;同吋， ix)p控件不区分服务器端和各户端，只区分发送端和接收端. ;防范网络务为的w0譬：1访问控决定开放系统环境屮允许使用那些资源，在什么地方适合 阻止未授权访问的过程叫访问控制，其一般目标是对抗涉及计 算机或通信系统非授权操作的威胁，对于网络窃听的防范来讲， 涉及到的主要内容有非授权使用，泄露，修改，破坏等进行访 问控制(图2)的目的是防止对信息

6、系统的非授权访问和非授权 使用系统资源访问控制机制一般由一个访问控制方案，如访 问控制列表方案和为该方案向adf(访问控制判决功能)提供 adi(访问控制判决信息)的支持机制组成.涉及到访问控制的 基本实体是发起者和目标，实现功能指访问控制执行功能 (aef),访问判决功能(adf) 图2访问控制策略图其中，发起者代表访问或试图访问目标的人和基于计算机 的实体在系统中，基于计算机的实体代表发起者目标代表 被试图访问或由发起者访问的，基于计算机或通信的实体.例 如，目标可能是061实体，文件或系统.访问请求代表构成试图 访问部分的操作和操作数正如adf所决定的那样,aef确保 只有对目标允许的访

7、问才由发起者执行当发起者请求对目标 进行特殊访问时,aef就通知adf,需要一个判决来作出决定. 为了作出判决决定，给adf提供了访问请求（图3）（作为访 问请求的一部分）和以下几种信息:发起者adi,目标adi,访问 请求adl空信揖直曩呈落日谴囊图3adf示意图adf的其他输入信息是访问控制规则和用于解释adi或策 略的必要上下文信息，上下文信息包括发起者的位置，访问时间 或使用中的特殊通信路径.基于这些输入，及以前判决中保留 下来的adi信息,adf可以作出允许或者禁止发起者试图对目 标进行访问的判决，并传递给aef然后aef允许将访问请求传 递给目标或采取其他合适的行动.7;三,墓克碟

8、的j&,一:譬防范网络窃听，防止对电脑的声卡和麦克风的非授公使用， 其主要方法是加入控制软件对电脑声卡的工作状态进行动态监 测，其控制软件由如下模块组成:身份识辨模块,启动和关闭麦 克风模块，报警启动和安全h志模块.（自动化技术与应用）2002年第21卷第六期计算机应用fmoijrad 1 引 ic.ntion:诵信端口自：_实施网络窃听对外进行通连时,必然要使用一个工作端口， 因而对可以工作端口进行控制工作端口控制部分应该由以下 几个模块构成:网络合法端口判决模块网络端口锁定或解锁 模块，启动报警和安全日志模块.遣色j包过滤（聃】也唱oi”packetfaltering）的原理在于监

9、视（相当 于adf）并过滤（相当于aef）网络上流入流出的包，拒绝发 送可疑的包.j,与加密性聪务加密性服务的目的是确保信息只是对授权者使用.就防范 网络窃听方面来讲,主要隐藏本机的信息不被外部可能存在的 威胁准确地定位，通过加密等技术手段来完成.r:.j 竹：通过对网络窃听防范的安全模型的分析，不同的事件有不 同的风险度，根据其不同风险度，在工作日志的实现过程中进行 分类成不同的安全等级保存起来.防范网络毒.为:防范网络窃听的模型（图4）,对于用户终端屯脑，为解决安 全性低，没有安全日志及入侵报警的弱点採用单机电脑加单机 防火墙的方法，加强单机电脑的安全性，通过重点对声卡的访问 控制及实时报

10、警的功能，实现对网络窃听的风险控制.图4网络窃听防范模型用动态安全发现和静态安全风险分析相结合的方法來实现，静 态分析主要是对系统漏洞进行检测和评估，即先于入侵者发现 漏洞并进行弥补，从而进行安全防护，由于网络环境比较复杂， 般利用工具针对网络层,操作系统层等进行漏洞检查，由丁网 络是动态变化的,故漏洞检测与评估定期进行网络漏洞检测 通过模拟攻击者的角度，攻击方法结合漏洞知识进行扫描和检 测由于静态的防护机制仍可能被渗透和突破,所以在网络中 选取节点进行实时入侵检测的测试，进行主动的防护机制，在静 态防护机制失效前检测到攻击活动，恶意行为或误操作，并及时 做出响应通过静态和动态检测的配合,就能

11、够实现防范网络 窃听和网络的安全的风险的有效的控制.i古采话随着网络技术及国内网络的基础设施的发展，网络多媒体的飞速发展和迅速普及，如网络电话，语咅邮件,网络会议的逐 步应用，特别是微软公司开发出的下一代办公软件01-cep,已 经将语音输入功能嵌入到软件里，随着orce的推出和普 及,更多的电脑将会装上麦克风.另外，笔记本电脑所占的市场 份额正在逐渐扩大,使用网络窃听实现的使用范圉大大增加. 不久的将來，网络窃听的使用将会更加常见，因此，对防范网络 窃听技术的研究具有重要的信息安全意义.参考文献1 a,徐良贤，译.计算机网络与互联网m.电子工业出版社,1998年4月2 q-lespetzold.w程序设计m.北京大学出版社,1998年10月s h戴宗坤,罗万伯信息系统安全m.金城出版社，200年9月4alanv.0pf 咖 malans.w iii,刘树棠，译.， 信号与系统m.钟玉琢多媒体技术基础及应用m 清华大