计算机网络安全监控技术分析

中原工学院广播影视学院 李兴华 范小丽

计算机网络安全监控技术分析

中原工学院广播影视学院 李兴华 范小丽

随着互联网技术的飞速发展，计算机网络正在极大地改变着人们的生产、生活和工作的方式。借助于计算机网络，人们可以进行新闻浏览、信息查询、电子邮件、网上办公、即时通信、网上购物、网络教育、远程医疗、视频会议等多种应用。

但是，网络自身也是一把双刃剑，它在带给我们巨大便利的同时，也给网络管理者带来许多的问题，蠕虫病毒、网络泄密、网络诈骗、应用瓶颈、各种安全隐患和人为攻击等网络故障时常发生。由于网络设备节点众多和各种应用的复杂性，网络管理人员面对这些网络故障时，往往无从入手。对各种问题的排查和追踪，每次都要耗费大量的人力和物力，并且提高了维护管理成本，因此，这种维护方式显得非常被动。

为了改善这种被动的局面，网络监测和控制技术便应运而生，市场上出现了各种各样的监控软件或专用的监控硬件，根据功能的不同，我们可以大致把他们分为两大类：即同时具有监测和控制能力的网络监控系统和只具备监测能力的网络监听监测系统。

一、网络监测与控制系统

网络监测与控制系统简称为网络监控系统，它不仅具有网络数据的监测功能，而且具备一定的控制能力，如截断有害数据包的传递等，相对来说更加实用，所以在实际应用中比较普遍。

1.网络防火墙。网络防火墙是最为人们所熟知的网络安全产品，它的产品线也最为丰富，常见的防火墙大致可以分为以下几类：硬件防火墙、软件防火墙和个人防火墙等。防火墙通常被布置在计算机和它所连接的存在不安全因素的网络之间，起到隔离和安全保护的作用。被保护的计算机的所有网络通信均要经过此防火墙，防火墙对数据进行监测，一旦发现符合事先设定规则的攻击或不良信息，防火墙就可以把它们过滤掉，避免其在目标计算机上被执行。防火墙可以关闭不使用的端口，能禁止特定端口的流出通信，可以禁止来自特殊站点的访问等等。不同的防火墙在监测能力和控制功能上相差也比较大，下面我们来了解一些常见的防火墙产品。

硬件防火墙的特点是软件和硬件高度融合，不允许用户去改动硬件或软件，升级能力比较差。常见的国外品牌有Cisco、SonicWall、Fortinet等，国内品牌有华为、联想、方正、天融信等，可以说品牌繁多、产品丰富。纵观这些产品，他们的功能都大同小异，只是在防控能力上有所区别。

相对于硬件防火墙，软件防火墙显得更加灵活，它实际上是一套软件，允许用户选择硬件进行安装，安装和配置比较灵活，升级也非常方便。比较著名的如微软开发的Windows系统下的安全产品ISA，它的全称是Internet Security and Acceleration，是集成的边缘安全网关，人们更习惯于称它为防火墙，它的最新版本是ISA Server 2006，是微软全新的安全产品线Forefront安全家族的一员。此外，著名的软件防火墙还有工作于Linux系统下的 MikroTik RouterOS、netfilter/iptables、SmoothWall和 基 于FreeBSD系统的产品等。

个人防火墙是指安装在个人电脑上，保护PC安全的单机版网络防火墙软件，相对于上述两种防火墙来说功能就简单得多。常见的品牌有天网防火墙、瑞星网络防火墙等。

2.IDS与IPS。IDS的全称是Intrusion Detected System，即入侵检测系统，它是防火墙的合理补充，是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时告警。它通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大简化管理员的工作，保证网络安全的运行。入侵检测技术是动态安全技术的最核心技术之一，但它最大的问题是它无法对有害的信息进行处理，往往需要和防火墙进行联动才能达到清除有害信息的目的，正是因为这个原因，才促成了IPS的诞生。

IPS的全称是Intrusion Prevention System，即入侵防御系统，它的检测功能类似于IDS，但IPS检测到攻击后会采取行动阻止攻击，而不像IDS仅是发出警报。IPS倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。由于在实际中人们对IDS和IPS的功能和效果认识还比较有限，所以它们的应用远不如防火墙广泛。

3.上网监控软件。随着计算机网络的迅速普及，各类企事业单位的日常办公已经越来越离不开互联网，一方面，互联网使得企业具有更强的竞争力、沟通力和适应力；而另一方面，工作人员在上班时间利用网络从事与工作无关的事情，如进行私人聊天、浏览无关网站、炒股或下载电影等，造成工作效率下降、管理混乱，这令很多管理人员头疼不已。此外企业的商业机密、核心研发成果一旦泄漏，后果更是不堪设想。如何对互联网行为进行有效的管理和利用，使互联网真正为企事业的生产和经营活动服务，是很多管理者越来越重视的问题。

针对这种情况，上网监控软件就应运而生，如深圳德尔的网路岗、上海百络的百络网警、厦门诚创的LaneCat等网络管理软件。虽然开发这些软件的公司各不相同，界面有很大的差异，但他们的功能都大同小异，其主要功能有：

（1）网页浏览监控。网页浏览日志记录、网站黑白名单管理、网站URL过滤等。（2）邮件监控。监控通过各种方式收发的电子邮件的主题、正文、附件等。（3）聊天软件监控。各种聊天软件行为监控、聊天内容监控、聊天软件封堵等。（4）流量控制。可对网络内计算机进行流量监视和限制，防止网络带宽被大量占用。（5）外发资料监控。监控上传或下载资料、监控论坛活动、监控发帖子内容。（6）禁止P2P下载。可对主流P2P下载工具进行控制，有效利用企业网络资源，彻底解决单位网络资源滥用的问题。（7）端口封堵、股票及网络游戏监控等。

二、网络监听监测系统

网络监听监测软件仅仅具备监听和监测网络信息和分析网络故障的功能，而不具备控制能力，而要想实现控制就需要人工的介入或其他控制软件来实现。虽然从表面上看，他们只具备监测功能，不具备控制能力，自动化程度比较低，使用的场合比较少，但实际上，他们的监测功能往往非常强大，可以适用于所有的网络故障分析的场合。下面我们介绍网络故障分析中常用的2种网络分析软件。

1.Sniffer与Sniffer Por Sniffer。中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式，也可以看作是网络侦听工具的总称。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获，Sniffer技术常常被黑客们用来截获用户的口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域，所有的网络监测软件也都是基于这个原理来进行工作的。

Sniffer Por是美国Network Associates公司出品的一款非常著名的网络分析和应用故障诊断软件，不管是在有线网络还是在无线网络中，它都能够给予网络管理人员实时的网络监视、数据包捕获以及故障诊断分析能力。Sniffer Por最大的特点是使用容易，功能多样，它具备优秀的网络和应用故障诊断功能。智能化的专家分析系统协助用户在数据包捕获、实时解码的同时快速识别各种异常事件；数据包解码模块支持广泛的网络和应用协议，不仅局限于Oracle、还包括VoIP类协议，以及金融行业专用协议和移动网络类协议等等。Sniffer Pro提供直观易用的仪表板和各种统计数据、逻辑拓扑视图，并且提供能够深入到数据包的点击关联分析能力。在同一平台上支持10/100/1000M以太网络以及802.11a/b/g/n网络分析，因此不管是有线网络还是无线网络，它都具备相同的操作方式和分析功能，可有效减少因为管理人员的桌面工具过多而带来的额外工作量，极大地加快了故障诊断的速度。

2.科来网络分析系统。科来网络分析系统是成都科来软件有限公司自主开发的、全球第一款支持中文解码的协议分析软件。科来网络分析系统整合了行业领先的专家分析技术，能对当前复杂的网络提供精确分析和网络故障的快速定位，在网络安全、网络性能、网络故障方面提供全面和深入的数据依据，是各级各类网络管理和网络故障分析的必备工具之一。

随着计算机网络的发展，网络攻击行为也日趋复杂，各种方法相互融合，使网络安全防御更加困难，防火墙、入侵监测系统等网络安全设备已不足以完全阻挡网络安全攻击。黑客攻击行为组织性更强，攻击目标从单纯地追求“荣耀感”向获取多方面实际利益的方向转移，网上木马、蠕虫病毒、间谍软件、恶意网站、网络仿冒等的出现并日趋泛滥，是这一趋势的实证。

科来网络分析系统正是为了应对各种各样的网络问题，让网络管理者能够针对网络故障对症下药的网络管理方案。它的主要功能包括：

（1）全局到节点的网络流量统计分析，监测网络带宽利用率，发现网络瓶颈提升网络性能。

（2）捕获网络数据包、监测网络传输的所有数据。

（3）提供数据过滤与筛选，来调节监测分析范围。

（4）数据包中英文双语解码分析、深入的数据分析。

（5）监测各个节点web访问、电子邮件收发、FTP文件传输等情况。

（6）监测各种网络错误，进行网络错误统计和定位。

（7）网络故障自动诊断，快速定位网络故障，找到病毒感染主机或攻击源。

（8）详细的报表和日志记录，提供各种统计分析图表。

（9）检测潜在安全漏洞、为安全防御提供决策依据。

它可以对网络中所有传输的数据进行检测、分析、诊断，帮助用户排除网络故障，规避安全风险，提高网络性能。与其他故障管理产品相比，科来网络分析系统不仅可以获得成倍的数据统计，而且通过专家库的分析，自动诊断网络出现的问题，对问题进行详细解释，提供问题可能产生原因，并向管理人员提供相应的解决建议。这将大大加强网络故障管理的归纳总结能力，极大降低网络管理的维护成本。

基于以上分析，我们知道网络监控系统虽然具备监测和控制功能，但这些系统对数据的检测分析能力一般比较有限，对于千差万别的数据包来说，它们只能分析出已知的或符合设定规则的数据包，对于新型的网络攻击或经过伪装的数据包造成的网络故障，往往就显得无能为力了，这时就要借助于更加专业的网络监听监测系统来进行具体的故障分析。

因此，对于普通的网络用户来说，平常的网络安全可以通过防火墙和杀毒软件来进行保障。而一旦发生了这些传统防御手段无法解决的故障时，比如出现网络变得时断时续或网速莫名其妙变得很慢等现象，就需要借助专业的网络监测软件通过具体的网络协议分析来查找故障原因，确定故障部位，从而保障网络的持续可靠运行。