高校網(wǎng)絡(luò)安全綜合告警系統(tǒng)研究

石 瑩 ，李太浩

SHI Ying, LI Tai-hao

（吉林農(nóng)業(yè)大學(xué) 信息化教學(xué)與管理中心，吉林 130118）

0 引言

互聯(lián)網(wǎng)以其前所未有的迅猛速度，發(fā)展成為最重要的信息基礎(chǔ)設(shè)施，深刻影響和改變著經(jīng)濟(jì)社會(huì)的方方面面。高等院校校園網(wǎng)絡(luò)建設(shè)已逐步成為學(xué)校的基礎(chǔ)建設(shè)項(xiàng)目，更成為衡量一個(gè)學(xué)校教育信息化、現(xiàn)代化的重要標(biāo)志。高校是研究開(kāi)發(fā)新技術(shù)，拓展新科學(xué)的機(jī)構(gòu)；同時(shí)也是教育教學(xué)的重要場(chǎng)所，因此在高校的網(wǎng)絡(luò)中集中了大量的學(xué)術(shù)資料和教學(xué)資源，使之成為備受矚目的攻擊對(duì)象。校園網(wǎng)既是大量攻擊的發(fā)源地，也是攻擊者最容易攻破的目標(biāo)”，解決校園網(wǎng)絡(luò)安全問(wèn)題迫在眉睫。

目前，高校校園網(wǎng)上種類(lèi)繁多的安全問(wèn)題此起彼伏，網(wǎng)絡(luò)管理者人員數(shù)量有限，一方面要隨時(shí)排除安全隱患；另一方面要及時(shí)分析處理已經(jīng)出現(xiàn)的網(wǎng)絡(luò)安全故障。是否有效的對(duì)網(wǎng)絡(luò)現(xiàn)狀進(jìn)行監(jiān)視并根據(jù)異常情況進(jìn)行及時(shí)反饋處理是網(wǎng)絡(luò)安全中舉足輕重的關(guān)鍵問(wèn)題。本文研究的安全綜合告警系統(tǒng)的優(yōu)勢(shì)在于可以便捷的輔助計(jì)算機(jī)網(wǎng)絡(luò)管理人員實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行有效的監(jiān)控，同時(shí)又可以輔助網(wǎng)絡(luò)管理人員對(duì)鏈路中的不安全因素進(jìn)行分析預(yù)測(cè)，它簡(jiǎn)化網(wǎng)絡(luò)管理人員對(duì)網(wǎng)絡(luò)的管理操作，在現(xiàn)實(shí)應(yīng)用中具有廣闊的應(yīng)用前景以及深遠(yuǎn)的意義。

1 網(wǎng)絡(luò)安全綜合告警系統(tǒng)的設(shè)計(jì)思想與模型

1.1 設(shè)計(jì)思想

信息安全綜合告警系統(tǒng)應(yīng)用局部分散結(jié)合重點(diǎn)集中的混合體系結(jié)構(gòu)，采用以C/S（Client/Server）為主結(jié)合B/S（Browser/ Server）的開(kāi)發(fā)模式。組成系統(tǒng)的計(jì)算機(jī)系統(tǒng)按其功能分為被監(jiān)視客戶機(jī)、中心服務(wù)器、中心數(shù)據(jù)服務(wù)器以及Web管理客戶機(jī)。不同于以往開(kāi)發(fā)的其他類(lèi)型的監(jiān)測(cè)告警系統(tǒng)，信息安全綜合告警系統(tǒng)沒(méi)有將系統(tǒng)的主體功能都集中在中心服務(wù)器上，而是將功能分解后分散到網(wǎng)絡(luò)中被監(jiān)視客戶機(jī)上以及中心數(shù)據(jù)服務(wù)器上，這也就是所謂的局部分布結(jié)合重點(diǎn)集中的體系結(jié)構(gòu)；在系統(tǒng)的四類(lèi)計(jì)算機(jī)，被監(jiān)視客戶機(jī)與中心服務(wù)器是典型C/S機(jī)構(gòu)，Web管理客戶機(jī)與中心服務(wù)器又組成了典型的B/S結(jié)構(gòu)，這就是所謂以C/S為主結(jié)合B/S的開(kāi)發(fā)模式。組成系統(tǒng)的計(jì)算機(jī)及網(wǎng)絡(luò)接入方式如圖1所示。

圖1 計(jì)算機(jī)及網(wǎng)絡(luò)接入方式

上述構(gòu)成信息安全綜合告警系統(tǒng)的計(jì)算機(jī)在運(yùn)行環(huán)境上均要求安裝有Windows家族的操作系統(tǒng)（通常為Windows Server 2000、Windows Server 2003 或 Windows Server 2008），同時(shí)還要求安裝或集成有.NET Framework （2.0版本及以上），以便用來(lái)安裝部署對(duì)應(yīng)的子系統(tǒng)。

客戶機(jī)是指網(wǎng)絡(luò)中需要監(jiān)視的服務(wù)器，在該組計(jì)算機(jī)上安裝部署客戶機(jī)監(jiān)視子系統(tǒng)。客戶機(jī)監(jiān)視子系統(tǒng)以系統(tǒng)服務(wù)的形式安裝在被監(jiān)視客戶機(jī)中，能夠在后臺(tái)持續(xù)運(yùn)行。該子系統(tǒng)接受由中心服務(wù)器分發(fā)下來(lái)的監(jiān)視端信息安全策略，根據(jù)策略的描述狀況負(fù)責(zé)收集被監(jiān)視客戶機(jī)的系統(tǒng)運(yùn)行狀態(tài)和網(wǎng)絡(luò)狀態(tài)，同時(shí)能根據(jù)策略的要求將特征數(shù)據(jù)以及告警信息傳輸給中心服務(wù)器，并完成本地運(yùn)行日志的記錄工作。

中心服務(wù)器上安裝有信息安全綜合告警系統(tǒng)的中心服務(wù)端子系統(tǒng)。中心服務(wù)端子系統(tǒng)負(fù)責(zé)接收被監(jiān)視客戶機(jī)發(fā)送來(lái)的監(jiān)視信息、分發(fā)信息安全策略給被監(jiān)視客戶機(jī)、接收來(lái)自Web管理機(jī)的系統(tǒng)管理信息、發(fā)送告警信息給Web管理機(jī)，以及對(duì)中心數(shù)據(jù)服務(wù)器進(jìn)行管理。

Web管理機(jī)對(duì)軟件運(yùn)行環(huán)境沒(méi)有限制。用戶在使用上可以通過(guò)Web管理機(jī)的瀏覽器訪問(wèn)中心服務(wù)器的Web界面，通過(guò)Web界面實(shí)現(xiàn)系統(tǒng)用戶管理、系統(tǒng)策略管理、告警管理、被監(jiān)視客戶機(jī)管理、系統(tǒng)日志管理等操作

中心數(shù)據(jù)服務(wù)器部署有信息安全綜合告警系統(tǒng)的數(shù)據(jù)服務(wù)子系統(tǒng)。中心數(shù)據(jù)服務(wù)器安裝有Microsoft SQL Server 2005數(shù)據(jù)服務(wù)軟件，同時(shí)加載SQL Server的Analysis Services服務(wù)和Integration Services服務(wù)從而實(shí)現(xiàn)數(shù)據(jù)分析服務(wù)。中心數(shù)據(jù)服務(wù)器負(fù)責(zé)記錄來(lái)自中心服務(wù)器的客戶狀態(tài)數(shù)據(jù)、系統(tǒng)運(yùn)行日志、被監(jiān)視客戶機(jī)的網(wǎng)絡(luò)數(shù)據(jù)監(jiān)視結(jié)果、系統(tǒng)告警數(shù)據(jù)等數(shù)據(jù)。

1.2 設(shè)計(jì)模型

該系統(tǒng)由一系列組件構(gòu)成，它們是狀態(tài)監(jiān)視器、狀態(tài)分析器、告警響應(yīng)單元、綜合數(shù)據(jù)庫(kù)。其中狀態(tài)監(jiān)視器的目的是通過(guò)內(nèi)置于各個(gè)被監(jiān)視客戶機(jī)的傳感器（這里的傳感器通過(guò)不同的技術(shù)手段在客戶機(jī)中獲取大量的信息）獲取計(jì)算機(jī)系統(tǒng)運(yùn)行狀態(tài)，并向系統(tǒng)的其他組件提供狀態(tài)信息。狀態(tài)分析器根據(jù)來(lái)自于綜合數(shù)據(jù)庫(kù)的狀態(tài)分析規(guī)則對(duì)狀態(tài)信息進(jìn)行分析產(chǎn)生分析結(jié)果。告警響應(yīng)單元實(shí)現(xiàn)對(duì)分析結(jié)果做出反應(yīng)，該單元反應(yīng)的結(jié)果是實(shí)現(xiàn)告警結(jié)果的產(chǎn)生，告警數(shù)據(jù)的記錄。綜合數(shù)據(jù)庫(kù)用于存放各種中間以及最終的數(shù)據(jù)，還有系統(tǒng)運(yùn)行設(shè)置信息。

在信息安全綜合告警系統(tǒng)模型中，狀態(tài)分析器的狀態(tài)分析結(jié)果直接影響到系統(tǒng)告警的產(chǎn)生，是系統(tǒng)的核心組件。狀態(tài)分析器在對(duì)計(jì)算機(jī)狀態(tài)信息進(jìn)行分析的過(guò)程中采取了異常檢測(cè)和誤用檢測(cè)兩種分析技術(shù)來(lái)實(shí)現(xiàn)告警信息的產(chǎn)生。

1）異常檢測(cè)：檢測(cè)與可接受行為之間的偏差。如果可以定義每項(xiàng)可接受的行為，那么每項(xiàng)不可接受的行為就應(yīng)該是非正常狀態(tài)。首先總結(jié)正常操作應(yīng)該具有的特征（如合法進(jìn)程、應(yīng)開(kāi)放的端口），當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是非正常狀態(tài)，進(jìn)而產(chǎn)生相應(yīng)的告警。

2）誤用檢測(cè)：檢測(cè)與已知的不可接受行為之間的匹配程度。如果可以定義所有的不可接受行為（如CPU使用率、內(nèi)存極限使用率等），那么每種能夠與之匹配的行為都會(huì)引起告警。收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是非正常狀態(tài)。

2 網(wǎng)絡(luò)安全綜合告警系統(tǒng)的實(shí)現(xiàn)

信息安全綜合告警系統(tǒng)的設(shè)計(jì)采用模塊化設(shè)計(jì)思想。完整的信息安全綜合告警系統(tǒng)被分為7個(gè)模塊，即監(jiān)視模塊、日志模塊、自我保護(hù)模塊、網(wǎng)絡(luò)傳輸模塊、信息管理模塊、Web管理模塊、數(shù)據(jù)庫(kù)模塊。7個(gè)模塊分布于被監(jiān)視客戶機(jī)、中心服務(wù)器和中心數(shù)據(jù)服務(wù)器上形成了客戶機(jī)監(jiān)視子系統(tǒng)、中心服務(wù)端子系統(tǒng)和數(shù)據(jù)服務(wù)子系統(tǒng)三部分構(gòu)成。三個(gè)子系統(tǒng)的關(guān)系如圖2所示。

圖2 系統(tǒng)結(jié)構(gòu)圖

客戶機(jī)監(jiān)視子系統(tǒng)的主要功能是完成對(duì)被監(jiān)視計(jì)算機(jī)的狀態(tài)的獲取以及按照信息安全策略產(chǎn)生告警信息?？蛻魴C(jī)監(jiān)視子系統(tǒng)由監(jiān)視模塊、客戶端數(shù)據(jù)傳輸模塊、日志模塊和自我保護(hù)模塊組成。

中心服務(wù)子系統(tǒng)的主要功能是通過(guò)數(shù)據(jù)傳輸模塊接收來(lái)自客戶監(jiān)視子系統(tǒng)的告警數(shù)據(jù)以及特征數(shù)據(jù)，訪問(wèn)數(shù)據(jù)服務(wù)子系統(tǒng)進(jìn)行告警及特征數(shù)據(jù)存儲(chǔ)，訪問(wèn)數(shù)據(jù)服務(wù)子系統(tǒng)實(shí)現(xiàn)與Web管理機(jī)數(shù)據(jù)同步，對(duì)數(shù)據(jù)進(jìn)行分析匯總生成分組報(bào)表。中心服務(wù)子系統(tǒng)由數(shù)據(jù)傳輸模塊、信息管理模塊和Web管理模塊組成。

數(shù)據(jù)服務(wù)子系統(tǒng)主要負(fù)責(zé)存儲(chǔ)和管理系統(tǒng)產(chǎn)生的告警數(shù)據(jù)、特征數(shù)據(jù)、系統(tǒng)日志數(shù)據(jù)和系統(tǒng)運(yùn)行配置數(shù)據(jù)，并針對(duì)上述數(shù)據(jù)執(zhí)行相關(guān)分析操作。

2.1 監(jiān)視模塊

監(jiān)視模塊是客戶機(jī)監(jiān)視子系統(tǒng)的一部分，也是最重要的部分，它具有監(jiān)視計(jì)算機(jī)系統(tǒng)的CPU使用狀態(tài)信息、內(nèi)存使用狀態(tài)信息、系統(tǒng)進(jìn)程信息、磁盤(pán)使用信息、特殊目錄訪問(wèn)信息、Windows日志信息、開(kāi)放網(wǎng)絡(luò)端口信息、數(shù)據(jù)包分發(fā)信息的功能，并具備按照信息安全告警策略生成相應(yīng)告警信息和狀態(tài)特征信息的功能。

2.2 數(shù)據(jù)庫(kù)模塊

數(shù)據(jù)庫(kù)模塊的作用是存儲(chǔ)由監(jiān)視模塊產(chǎn)生的告警信息、客戶機(jī)的監(jiān)視狀態(tài)數(shù)據(jù)、系統(tǒng)管理用戶信息、系統(tǒng)設(shè)定的信息安全策略以及存儲(chǔ)系統(tǒng)日志等，這些數(shù)據(jù)將提供給Web管理模塊以頁(yè)面的形式交給系統(tǒng)管理和使用者進(jìn)行查詢與分析。

本系統(tǒng)的數(shù)據(jù)庫(kù)模塊采用Microsoft SQL Server 2005數(shù)據(jù)庫(kù)。原因在于SQL Server 2005可面向Web服務(wù)和Microsoft .NET Framework提供高水平支持，SQL Server與其它Microsoft軟件產(chǎn)品（從Microsoft Windows Server?操作系統(tǒng)到Microsoft Visual Studio?開(kāi)發(fā)軟件包）高度集成。商務(wù)智能方面SQL Server 2005集成有Analysis Services服務(wù)和Integration Services服務(wù)，可以很容易的實(shí)施聯(lián)機(jī)分析處理（OLAP），數(shù)據(jù)挖掘，提取、轉(zhuǎn)換與加載（ETL）。它是一個(gè)技術(shù)成熟、功能強(qiáng)大的關(guān)系型數(shù)據(jù)庫(kù)系統(tǒng)，支持完備的SQL數(shù)據(jù)庫(kù)查詢語(yǔ)言，可以與.NET技術(shù)實(shí)現(xiàn)無(wú)縫對(duì)接。

2.3 網(wǎng)絡(luò)傳輸模塊

網(wǎng)絡(luò)傳輸模塊是構(gòu)架于客戶監(jiān)視子系統(tǒng)和中心服務(wù)端子系統(tǒng)之間信息傳輸橋梁，在兩者之間傳輸?shù)男畔⒘饔锌刂菩盘?hào)、告警信息、特征數(shù)據(jù)以及策略文件。控制信息用于實(shí)現(xiàn)服務(wù)器與客戶機(jī)之間的功能協(xié)調(diào)。主要有客戶機(jī)向服務(wù)器發(fā)出的握手信息、服務(wù)器向客戶機(jī)發(fā)出的監(jiān)視軟件重啟、客戶機(jī)向服務(wù)器發(fā)出的更新策略請(qǐng)求等信息。告警信息是由客戶機(jī)按照告警類(lèi)別不同而生成的一組字節(jié)流，用于描述告警情況。特征數(shù)據(jù)是當(dāng)網(wǎng)絡(luò)監(jiān)視模塊被設(shè)置為數(shù)據(jù)監(jiān)視狀態(tài)時(shí)，由網(wǎng)絡(luò)監(jiān)視模塊產(chǎn)生的監(jiān)視數(shù)據(jù)流。策略文件是在客戶端請(qǐng)求下或在Web管理機(jī)操作下由服務(wù)端向客戶端傳輸?shù)陌踩呗耘渲梦募?/p>

網(wǎng)絡(luò)傳輸模塊由服務(wù)端數(shù)據(jù)傳輸子模塊、客戶端數(shù)據(jù)傳輸子模塊和數(shù)據(jù)加解密子模塊三部分組成。

2.4 信息管理模塊

信息管理模塊駐留在中心服務(wù)器上，主要負(fù)責(zé)協(xié)調(diào)Web管理模塊、數(shù)據(jù)傳輸模塊以及數(shù)據(jù)庫(kù)模塊三者的關(guān)系。完成的主要功能有與Web管理模塊的交互、策略生成與分發(fā)、數(shù)據(jù)庫(kù)操作、客戶端管理、GSM告警接口管理等。

2.5 Web管理模塊

Web管理模塊部署在中心服務(wù)器上，用戶通過(guò)Web管理機(jī)上的瀏覽器訪問(wèn)有其提供的Web界面，可以方便快捷的訪問(wèn)信息安全綜合告警系統(tǒng)，完成對(duì)系統(tǒng)的管理操作。該模塊的運(yùn)行依托與微軟公司的.net Frameworks框架，Web界面的編寫(xiě)是基于ASP.NET技術(shù)以及其擴(kuò)展集ASP.NET AJAX技術(shù)，數(shù)據(jù)庫(kù)的訪問(wèn)采用.net框架集的ADO.NET。Web管理模塊按照操作功能上進(jìn)行劃分，分為7個(gè)子模塊，分別是用戶管理、客戶機(jī)管理、告警管理、策略管理、圖表分析、日志管理、數(shù)據(jù)查詢和系統(tǒng)配置。

3 網(wǎng)絡(luò)安全綜合告警系統(tǒng)的不足之處

計(jì)算機(jī)網(wǎng)絡(luò)安全涵蓋的內(nèi)容十分廣泛，受到時(shí)間和技術(shù)條件等因素所限，本系統(tǒng)實(shí)現(xiàn)的功能還不完善，還有待于進(jìn)一步的研究和改善。

1）本系統(tǒng)僅對(duì)客戶端數(shù)據(jù)包內(nèi)容的檢測(cè)監(jiān)視僅僅基于IPV4的基礎(chǔ)之上，沒(méi)有對(duì)新型的IPV6技術(shù)進(jìn)行優(yōu)化。

2）系統(tǒng)對(duì)獲取的信息綜合處理能力還有待提高。

3）該系統(tǒng)僅針對(duì)Windows操作系統(tǒng)的服務(wù)器進(jìn)行監(jiān)視，未來(lái)拓展其監(jiān)視服務(wù)器的類(lèi)型實(shí)現(xiàn)跨平臺(tái)的監(jiān)視能力。

[1] 沙桂蘭.淺談校園網(wǎng)絡(luò)安全控制策略[M].電腦知識(shí)與技術(shù).2007,3.

[2] 劉占全.網(wǎng)絡(luò)管理與防火墻技術(shù)[M].人民郵電出版社：1999,7.

[3] 李新生.信息安全與國(guó)家安全[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2002,(06).

[4] 袁培根,楊東燕,李道彬.磁盤(pán)空間配額管理的設(shè)計(jì)與實(shí)現(xiàn)[J].實(shí)驗(yàn)室研究與探索,2005,24(6).

[5] 宋昕,盛晨,王新華.基于WMI的計(jì)算機(jī)管理技術(shù)的研究與實(shí)現(xiàn)[J].浙江科技學(xué)院學(xué)報(bào),2007,(01).