探析局域网安全行为监控系统的设计



探析局域网安全行为监控系统的设计

黄一茗

（中国人民银行九江中心支行，江西九江，332000）

0　引言

中国互联网信息中心（CINICC）在2012年1月发布了第29次互联网发展报告，在报告中我们可以清晰看到，在2011年底，中国网民已经突破5亿，在2015年发布了第32次互联网发展报告，截止到2014年底，网民的数量突破到8亿人，网站规模大大增多，高达553.2万，同期增长了15%。

伴随信息化的飞速发展，电脑技术的不断普及，地球悄然之间成为了地球村，连接距离的纽带就是计算机网络。随着计算机技术的不断提高，单位往往会组建属于单位自身内部的局域网，防止信息泄露，同时复杂的网络给予我们广大网民各种各种的便利，首先可以娱乐休闲；其次可以帮助人们学习和工作；第三方便人们进行交流以及满足各种日常需求，权威部门调研发现中国人在网络上花费的时间比其他国家的人每周多出7.6个小时，这样往往容易导致病毒的攻击，因此只有不断网络的发展和安全行为监控的不断创新才能保证信息的不泄露和局域网的高速发展。

图1　活动主机发现

1　局域网相关理论技术研究分析

1.1监控系统实现前提

对于如何对局域网进行有效的行为监控主要在于对主机的监控，一般利用适配器以及主机信息列表来监控，借助于网络数据包的捕获对数据进行系统有效的分析，依据分析结果来进行不同模块的处理。

1.1.1获取网络适配器信息

Winpcap是在Win32平台上建立起来用来捕获数据包并系统分析和检测的数据库，Winpcap具有捕获、过滤、发出和回收四个部分组成，这些功能能够实现的基础就是Win32内核中的驱动程序通过DLL来实现，从而方便及时地获得适配器上面的信息，Winpcap提供了实现函数的功能，形成一个链表。

1.1.2获取活动主机列表

如图1所示，主要展示了活动主题的具体发现操作流程，通过ARP响应包来评判攻击者是否发现主机与否。

1.1.3局域网监控原理

网络行为监控能帮助我们捕获数据包信息，通过对数据的系统详细分析，对数据进行进一步的过滤并转发。以此来进行及时的数据传输，本文主要通过网络监听方式对ARP的欺骗模式进行网络监控。

所谓的ARP 欺骗原理：，就是运用TCP/IP 协议的主机来实现IP和MAC之间的一一对应的映射关系，当不能实现映射关系时，伪装的数据包就会对主机进行攻击，最终帮助攻击者获取传输中的所有数据。

1.1.4网络协议分析

TCP/IP 有很多形式，一般的网络协议按照层次来进行一定程度的开发，并且每一次其所具有的完全不同的通讯功能，因此一般把TCP/IP 分为链路、网络、运输和应用四个层次，其所负责的功能各不相同，链路主要负责物理接口方面；网络主要负责分组活动；运输主要负责端到端的通信；应用主要负责特定程序的应用。

1.2垃圾邮件识别与过滤

1.2.1基于 IP 地址的过滤算法

在网络中常用于过滤IP地址的处理方法主要是依据邮件发送者的服务器地址来确定是否是属于垃圾邮件，并提醒使用者进行数据清理，如果发现大量的邮件来自同一个IP地址，那么则需要过滤掉这个IP地址，从而达到防御的目的。

图2　TCP/IP 协议族中不同层次的协议

1.2.2基于邮件特定项过滤算法

运用特定项进行过滤在当前是一种比较科学和成熟的技术，数据库并不是单纯从邮件的发布IP来封杀过滤，而是有一套程序，一般首先要采用的就是确定邮箱中的邮件是否合法，合法的确定为白名单，不合法的确定为黑名单，从而对于不匹配的网络邮件则坚决过滤，但是事先需要做好两份数据表，并且在运行过程中要不断更新和完善。

1.2.3基于贝叶斯算法的内容过滤技术

通过贝叶斯算法来进行邮件内容的过滤，首先需要进行大量的数据推理作为其基础，因此这种方法得到大家的一致认可，并且广泛得到应用，这种算法只有在计算机时代才能真正得到足够的重视。通常情况下，人们发现，很多统计量是事先不能进行有效的判定，此时运用贝叶斯算法能很大程度上处理大量不需要的数据信息，得出对自己有效的数据信息。

贝叶斯算法的过滤有其独特之处，主要运用概率方法来对垃圾邮箱进行后验概率，这项功能需呀的前提就是需要大量的正常和非正常两者之间的一次对决。尤其是贝叶斯算法对于条件概率更有优势，优点更加凸显。

3　系统总体框架设计

3.1系统总体设计

3.1.1系统目标

系统目标包括五个方面，分别是功能全面性、易用性、安全性、可靠和稳定性、可扩展性。

（1）功能全面性

系统初步实现了对网页访问、垃圾邮箱、异常流量三个方面的控制，包含的功能十分齐全，运用价值更高，基本上解决了局域网安全和管理的绝大部分问题。

表1　垃圾邮件集名单

表2　正常邮件集名单

（2）易用性

系统本身所面对的客户群是普通用户，这是完全为普通用户开发的，在计算机应用能力上有所欠缺，虽然操作简单，功能简便易懂，不需要再多安装多余的，使用价值不高的客户端和服务端。

（3）安全性

系统要求监控过程不能影响局域网正常运转，能运用防火墙和杀毒软件两种方法来抵御病毒入侵。本系统的管理局域网对于安全性的要求特别高，保持高安全性，是在最初的开发设计过程中所必须面临的重大课题。

（4）可靠性和健壮性

局域网可以长期不间断的安全工作，并且对于局域网本身具有很强的存储能力，能应对今后不断增加的数据流。

（5）可扩展性

每一个系统本身是一个独立的整体。局域网要求接口必须是独立的，只有维持好的衔接性，才能最终在后期扩展中充分利用其所具有的功能，方便我们今后的工作。

3.2系统总体框图

图3　系统总体框架图

安全行为监控系统总体分为七大部分：主机网络适配器信息获取，数据包捕获，数据包协议分析，ARP 欺骗，网络活动主机发现，数据库访问以及安全行为监控模块。

但是七个部分之间的关系存在一定的衔接性，并且具有不同的层次上，具有良好的互补性。因为控制主机就可实现对被控主机数据包的提取和分析。

3.3数据库表设计

3.3.1垃圾邮件过滤特征项表（表1）

3.3.2正常邮件特征项表（表2）

3.3.3网卡信息表（表3）

参考文献

[1] Thomas M.Chen and Victoria Wang.Web Filtering and Censoring.IEEE Computer Society,0018-9162, 2010.

[2] Chunying Kang.DOM-based Web Pages to Determine theStructure of the Similarity Algorithm.Third International Symposium on Intelligent Information Technology Application,2009.

[3] Masahiro Uemura,Toshihiro Tabata.Design and Evaluation of a Bayesian-filter-based Image Spam Filtering Method.International Conferece on Information Security and Assurance.ISA 2008.

[4] 周鸿.基于WEB的校园网运行监控平台设计与实现:[D].西南交通大学, 2007.

[5] 田李.面向网络安全监控的数据流关键技术研究:[D].国防科技大学, 2008.

[6] 张卫华.网络行为监控系统的设计与实现:[D].电子科技大学, 2010.

[7] 邹雄杰.基于Winpcap的局域网监控系统的设计与实现: [D].西安理工大学, 2010.

[8] 李中原.基于向量空间模型的网页过滤研究: [D].北京化工大学,2010.

[9] 刘娟、吕建敏、杜海燕.基于DSP和局域网的医疗护理监控系统的设计：[J].电子测试，2014（10）

[10] 李士召、张丽、吴明.供电企业局域网安全管理与优化分析：[J].通讯世界，2015（2）

黄一茗（1989—），女，汉族，江西省抚州市人，学士，研究方向：计算机科学与技术。

表3　网卡信息表

摘要：信息化建设已经成为当前社会发展的重中之重，同时也是日常工作中不可或缺的一部分。伴随信息化的快速发展，局域网成为其重要的组成部分，给予广大人们提供便利的同时，信息化安全问题和管理问题成为人们关心的焦点，因此需要我们对局域网中的各种风险进行实时监控，并及时进行调整，保证局域网健康有序运行。本文主要从局域网的安全和管理两个方面来进行探讨，寻找问题的根源，以便能找出并设计出局域网安全行为的监控系统，提出自己的建议和意见，希望对于后续研究相关问题的专家学者有所帮助。

关键词：局域网；安全行为；监控系统；设计；行为监控

The design of monitor system for LAN security behavior

Huang Yiming

（The people's Bank of Jiujiang Center branch Jiangxi Jiujiang Chinese，332000)

Abstract：Information construction has become a priority among priorities of the social development,at the same time,and it is also an integral part of daily work.With the rapid development of information technology,network has become an important part of it,to provide convenience to the majority of people, information security and management issues become the focus of concern,so we need to conduct real-time monitoring of the various risks in the LAN,and adjust in time,to ensure the healthy and orderly operation of lan. This article mainly from the two aspects of LAN security and management were discussed,find the source of the problem,in order to find out and design a monitoring system for LAN security behavior,put forward their suggestions and opinions,hope that the experts for the issues related to the follow-up study help.

Keywords：LAN security behavior monitoring and control system design

作者简介