網(wǎng)絡(luò)行為分析監(jiān)控系統(tǒng)研究與設(shè)計(jì)

王小軍，顏嘉元，周涌杰，吳玉杰

(杭州電子科技大學(xué)通信工程學(xué)院，浙江杭州310018)

0 引言

當(dāng)前不少企事業(yè)單位因?yàn)閮?nèi)部網(wǎng)絡(luò)管理的缺失而導(dǎo)致的員工工作效率下降、企業(yè)帶寬資源浪費(fèi)、內(nèi)部網(wǎng)絡(luò)安全隱患和機(jī)密信息泄漏等負(fù)面效應(yīng)。文獻(xiàn)1提了一種基于通用有限狀態(tài)機(jī)的網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)實(shí)現(xiàn)，該系統(tǒng)通過(guò)通用有限狀態(tài)機(jī)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)行為監(jiān)控，使用邏輯器件來(lái)CPU的工作負(fù)擔(dān)，但在Net-FPGA之前還沒(méi)有一塊專(zhuān)門(mén)針對(duì)互聯(lián)網(wǎng)絡(luò)而設(shè)計(jì)的FPGA。本文研究設(shè)計(jì)的網(wǎng)絡(luò)行為分析監(jiān)控系統(tǒng)能有效完成內(nèi)網(wǎng)用戶(hù)上網(wǎng)行為的分析、監(jiān)視及控制。本設(shè)計(jì)硬件平臺(tái)采用帶PCI接口的PC主機(jī)和斯坦福大學(xué)開(kāi)發(fā)的NetFPGA板卡，主機(jī)與NetFPGA板卡的信息交互通過(guò)PCI接口來(lái)完成。系統(tǒng)基于瀏覽器/服務(wù)器(B/S)構(gòu)架，在實(shí)現(xiàn)上采用了應(yīng)用層協(xié)議處理和IP地址過(guò)濾等技術(shù)。管理人員通過(guò)Web頁(yè)面能很方便的對(duì)網(wǎng)絡(luò)用戶(hù)上網(wǎng)行為進(jìn)行分析監(jiān)控，并且系統(tǒng)還具有對(duì)某些網(wǎng)絡(luò)攻擊的實(shí)時(shí)報(bào)警和自動(dòng)防護(hù)功能，能較好地起到完成保護(hù)內(nèi)部網(wǎng)絡(luò)安全的網(wǎng)絡(luò)防火墻的功能。

1 開(kāi)發(fā)平臺(tái)

一個(gè)完整的NetFPGA系統(tǒng)由NetFPGA開(kāi)發(fā)板、千兆以太網(wǎng)卡、運(yùn)行于CentOS操作系統(tǒng)的PC機(jī)(或服務(wù)器)以及其他軟件程序組成，通過(guò)各個(gè)層次軟硬件的互相配合可完成復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)測(cè)試［2－4］。其中NetFPGA開(kāi)發(fā)板是整個(gè)平臺(tái)的核心，為用戶(hù)提供了十分豐富的硬件資源。NetFPGA開(kāi)發(fā)板硬件主要包括:Xilinx公司的Virtex22Pro 50 FPGA芯片，兩個(gè)高性能PowerPC處理器，還包括2塊36MB的SRAM、1塊64MB的DDR2 SDRAM、4個(gè)千兆以太網(wǎng)接口和一個(gè)PCI接口。其中Virtex22Pro 50 FPGA芯片提供給用戶(hù)設(shè)計(jì)完成自定義的功能。有關(guān)NetFPGA開(kāi)發(fā)板的更詳細(xì)資料可參考文獻(xiàn)5。

2 系統(tǒng)構(gòu)架

系統(tǒng)采用了PC主機(jī)加NetFPGA板卡的系統(tǒng)架構(gòu)，主機(jī)和NetFPGA板卡通過(guò)PCI接口進(jìn)行信息交互。主機(jī)運(yùn)行Linux，在Linux下由軟件來(lái)完成網(wǎng)絡(luò)行為記錄提取、系統(tǒng)配置、更新規(guī)則和自動(dòng)告警等功能。系統(tǒng)底層NetFPGA功能模塊設(shè)計(jì)基于reference_router工程［6］。Router設(shè)計(jì)的主體部分主要由輸入隊(duì)列、輸出端口查找和輸出隊(duì)列三大模塊構(gòu)成。輸入輸出隊(duì)列模塊負(fù)責(zé)PHY的4個(gè)RGMII接口和PCI的4個(gè)DMA接口的數(shù)據(jù)接收和發(fā)送，輸出端口查找模塊完成數(shù)據(jù)包的IP層分析和轉(zhuǎn)發(fā)查找，為該系統(tǒng)的核心模塊。整體結(jié)構(gòu)設(shè)計(jì)如圖1所示。

圖1 網(wǎng)絡(luò)行為分析監(jiān)控系統(tǒng)結(jié)構(gòu)設(shè)計(jì)圖

管理系統(tǒng)以網(wǎng)頁(yè)形式提供，這樣使管理員能夠在遠(yuǎn)端方便快捷的管理系統(tǒng)，而不需要安裝任何客戶(hù)端程序。當(dāng)管理員輸入正確的用戶(hù)名和密碼后即可進(jìn)入管理界面，否則不能對(duì)系統(tǒng)進(jìn)行管理工作。管理系統(tǒng)使用HTML+JS+CSS進(jìn)行編寫(xiě)，使得管理系統(tǒng)具有方便靈活的特性。網(wǎng)絡(luò)行為記錄器將局域網(wǎng)內(nèi)用戶(hù)瀏覽網(wǎng)頁(yè)的情況提取出來(lái)并存入MySQL數(shù)據(jù)庫(kù)中，以便管理員進(jìn)行查詢(xún)和分析。網(wǎng)絡(luò)行為記錄器使用C語(yǔ)言編程實(shí)現(xiàn)，通過(guò)調(diào)用socket函數(shù)提取出流經(jīng)NetFPGA各接口的所有網(wǎng)址請(qǐng)求數(shù)據(jù)，完成用戶(hù)上網(wǎng)行為的提取及記錄［7］。web服務(wù)器基于系統(tǒng)提供的開(kāi)源web服務(wù)器設(shè)計(jì)，通過(guò)web服務(wù)器實(shí)現(xiàn)MySQL數(shù)據(jù)庫(kù)操作和操作寄存器進(jìn)行系統(tǒng)設(shè)置等功能，使系統(tǒng)應(yīng)用方便快捷。MySQL數(shù)據(jù)庫(kù)管理系統(tǒng)用于用戶(hù)網(wǎng)絡(luò)行為信息、禁用網(wǎng)址信息、日記信息和攻擊信息等數(shù)據(jù)的存儲(chǔ)和管理。

3 系統(tǒng)實(shí)現(xiàn)

本系統(tǒng)分為上層軟件實(shí)現(xiàn)部分和底層硬件實(shí)現(xiàn)部分，上層軟件設(shè)計(jì)在Linux操作系統(tǒng)下完成網(wǎng)絡(luò)行為記錄提取、系統(tǒng)配置、更新規(guī)則和自動(dòng)告警功能。NetFPGA硬件部分的主要作用是根據(jù)PC上位機(jī)軟件提供的規(guī)則，對(duì)數(shù)據(jù)包做分析過(guò)濾，對(duì)符合規(guī)則的包進(jìn)行丟棄或者轉(zhuǎn)發(fā)給軟件做二次處理，因此，硬件的設(shè)計(jì)主要是針對(duì)Router工程O(píng)utput Port Lookup模塊的升級(jí)，添加新的模塊對(duì)數(shù)據(jù)包進(jìn)行更全面的分析，同時(shí)新添加的寄存器接口供上位機(jī)軟件調(diào)用。

本系統(tǒng)的重點(diǎn)實(shí)現(xiàn)包括output_port_lookup模塊、網(wǎng)絡(luò)行為記錄器模塊和web服務(wù)器模塊，具體實(shí)現(xiàn)方法如下。

3.1 output_port_lookup 模塊設(shè)計(jì)

系統(tǒng)在 output_port_lookup 模塊內(nèi)新增加了 src_mac、src_ip、dst_ip、src_port、dst_port、http_get和 other_mod處理模塊，在判定數(shù)據(jù)包的轉(zhuǎn)發(fā)或者丟棄過(guò)程中在遵循原有設(shè)計(jì)規(guī)則之前，需要先考慮本系統(tǒng)設(shè)定的規(guī)則。如果該數(shù)據(jù)包中MAC地址、IP地址或者端口在系統(tǒng)的黑名單之內(nèi)，則數(shù)據(jù)包被直接丟棄，如果該數(shù)據(jù)包屬于Http GET請(qǐng)求包或者需要是特定端口的數(shù)據(jù)包則被轉(zhuǎn)發(fā)到cpu做二次處理，其余的包按正常規(guī)則轉(zhuǎn)發(fā)。

一個(gè)完整的數(shù)據(jù)包在達(dá)到Output Port Lookup模塊時(shí)已經(jīng)被拆分為若干個(gè)64位的分段，用一個(gè)8位的in_ctrl信號(hào)來(lái)標(biāo)記當(dāng)前的64位in_data屬于哪個(gè)分段。每段數(shù)據(jù)包在時(shí)鐘的驅(qū)動(dòng)下并行進(jìn)入input_fifo和preprcocess_control，前者是32深度的緩沖池，保證了數(shù)據(jù)包在后續(xù)模塊中的線(xiàn)速處理，后者是控制中樞，根據(jù)in_ctrl信號(hào)，啟動(dòng)相應(yīng)的模塊對(duì)當(dāng)前in_data上的數(shù)據(jù)進(jìn)行分析。其中本系統(tǒng)添加的處理模塊有源MAC過(guò)濾、源IP過(guò)濾、源端口過(guò)濾、目標(biāo)IP過(guò)濾、目標(biāo)端口過(guò)濾和GET包的識(shí)別。上述模塊除GET包識(shí)別之外，其他模塊都是基于內(nèi)容可尋址儲(chǔ)存器CAM核的設(shè)計(jì)，每個(gè)CAM的深度均為32位，CAM中匹配數(shù)據(jù)的寫(xiě)入和讀出均由寄存器系統(tǒng)完成，待匹配數(shù)據(jù)則由各個(gè)模塊從in_data上獲得。寄存器設(shè)計(jì)采用Router的架構(gòu)，將本系統(tǒng)添加的模塊加入到其中。GET包識(shí)別采用的是開(kāi)源項(xiàng)目url_extraction中的模塊。各個(gè)模塊在分析處理完數(shù)據(jù)包之后，都會(huì)將處理結(jié)果送到處理中心(op_lut_proce_sm.v)，在處理中心判別該數(shù)據(jù)包的丟棄或者轉(zhuǎn)發(fā)。

3.2 網(wǎng)絡(luò)行為記錄器模塊設(shè)計(jì)

網(wǎng)絡(luò)行為記錄器實(shí)現(xiàn)將局域網(wǎng)內(nèi)用戶(hù)所瀏覽網(wǎng)站的地址、源MAC地址、源IP地址、目標(biāo)IP地址、端口號(hào)、時(shí)間等數(shù)據(jù)存入到數(shù)據(jù)庫(kù)，作為日志記錄，方便管理員分析監(jiān)控。程序流程如圖2所示。

圖2 網(wǎng)絡(luò)行為記錄器程序流程圖

3.3 web服務(wù)器模塊設(shè)計(jì)

web服務(wù)器模塊是根據(jù)系統(tǒng)設(shè)計(jì)要求利用開(kāi)源服務(wù)器設(shè)計(jì)添加了網(wǎng)絡(luò)行為分析監(jiān)控系統(tǒng)專(zhuān)用控制接口和報(bào)警信息處理等功能的專(zhuān)用服務(wù)器。

4 結(jié)束語(yǔ)

本文提出了一種基于NetFPGA開(kāi)發(fā)平臺(tái)的網(wǎng)絡(luò)行為分析監(jiān)控系統(tǒng)的設(shè)計(jì)方案及具體實(shí)現(xiàn)方法。經(jīng)測(cè)試分析，該設(shè)計(jì)不僅能夠?qū)崿F(xiàn)用戶(hù)網(wǎng)絡(luò)行為的分析監(jiān)控，記錄局域網(wǎng)中用戶(hù)瀏覽網(wǎng)頁(yè)的有關(guān)信息，如用戶(hù)的源MAC地址、源IP地址、目的IP地址、網(wǎng)址、端口號(hào)、訪(fǎng)問(wèn)時(shí)間等，而且還能通過(guò)硬件層次的重構(gòu)，快速的在硬件層次上實(shí)現(xiàn)非法用戶(hù)的禁用、非法網(wǎng)站的禁用、重要TCP/UDP端口的保護(hù)和特定服務(wù)控制等功能。而系統(tǒng)的一些重要設(shè)置參數(shù)直接作用于NetFPGA硬件層，從而使系統(tǒng)運(yùn)行效率更高且更安全。隨著上網(wǎng)行為管理系統(tǒng)應(yīng)用的不斷普及，可以預(yù)見(jiàn)系統(tǒng)在網(wǎng)絡(luò)安全領(lǐng)域有著較高的應(yīng)用價(jià)值和發(fā)展前景。

目前實(shí)現(xiàn)的系統(tǒng)各功能模塊仍有不夠完善之處，如本設(shè)計(jì)NetFPGA寄存器數(shù)據(jù)搜索所采用的數(shù)據(jù)匹配算法、安全規(guī)則設(shè)置及數(shù)據(jù)庫(kù)設(shè)計(jì)部分都還有改進(jìn)的空間，有待進(jìn)一步的研究。

［1］溫研，王懷民，胡華平.分布式網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)的研究與實(shí)現(xiàn)［J］.計(jì)算機(jī)科學(xué)與工程，2005，27(10):13－16.

［2］Digilent中國(guó)代表處.NetFPGA用戶(hù)手冊(cè)v1.2［R］.北京:北京理工大學(xué)，2009:3－7.

［3］陸佳華，楊衛(wèi)，周劍，等.零存整取NetFPGA開(kāi)發(fā)指南［M］.北京:北京航空航天大學(xué)出版社，2010:63－142.

［4］呂良，楊波，陳貞翔.網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的研究與設(shè)計(jì)［J］.山東大學(xué)學(xué)報(bào)(理學(xué)版)，2009，44(9):47－51.

［5］Xilinx.NetFPGA:A Gigabit Networking Development Platform for Education Community［R］.加州:XILINX 公司，2009:1－16.

［6］James HongyiZeng.NetFPGA Tutorial Tsinghua University– Day 1［DB/OL］.http://netfpga.org/tutorials/China2010/NetFPGA_Day_1.pdf，2010 －08 －18.

［7］Richard Stevens.TCP/IP詳解 卷3 TCP事務(wù)協(xié)議、HTTP、NNTP和UNIX域協(xié)議［M］.北京:機(jī)械工業(yè)出版社，2000:353－364.