網(wǎng)絡(luò)文化信息監(jiān)控與取證的核心技術(shù)研究

湯松萍

（萍鄉(xiāng)學(xué)院江西萍鄉(xiāng)337055）

1 引言

隨著計算機信息技術(shù)的快速發(fā)展與完善袁網(wǎng)絡(luò)已成為人們獲取各種信息的主要渠道遙但正因為如此袁網(wǎng)絡(luò)也成了別有用心的一些人利用其快捷方便特點進(jìn)行有害信息傳播的途徑遙基于此袁通過研究本領(lǐng)域已有的技術(shù)和前人成功實踐的經(jīng)驗袁針對目前信息監(jiān)控領(lǐng)域仍然存在的熱點問題和不足袁重新考慮研究開發(fā)擁有自主版權(quán)的具體可升級性的新的網(wǎng)絡(luò)信息監(jiān)控系統(tǒng)袁對加強網(wǎng)絡(luò)信息監(jiān)控袁實施不良信息過濾袁保障網(wǎng)絡(luò)文化陣地的安全袁仍然具有非常重要的現(xiàn)實意義遙

2 基于監(jiān)控與取證的技術(shù)內(nèi)涵

網(wǎng)絡(luò)在線文化信息監(jiān)控與取證技術(shù)袁是監(jiān)測黑客攻擊和維護(hù)網(wǎng)絡(luò)安全的工具袁它能監(jiān)控流經(jīng)當(dāng)前網(wǎng)絡(luò)的在線全部信息流袁記錄當(dāng)前網(wǎng)絡(luò)的所有底層報文袁提供WWW堯TELNET堯FTP堯SMTP堯POP3 和UDP 等應(yīng)用報文重組袁按照特定要求對應(yīng)用重組進(jìn)行分析遙當(dāng)網(wǎng)絡(luò)正常運行時袁實時分析信息流袁報告可疑鏈接與數(shù)據(jù)袁預(yù)防相關(guān)信息泄漏遙當(dāng)實時監(jiān)控網(wǎng)絡(luò)信息流并發(fā)現(xiàn)問題時袁及時切斷連接并將日志保留遙

3 信息監(jiān)控與取證技術(shù)的現(xiàn)狀分析

目前袁國內(nèi)外網(wǎng)絡(luò)監(jiān)控新技術(shù)開發(fā)倍受關(guān)注遙一些軟件開發(fā)商和科研機構(gòu)相繼推出了許多網(wǎng)絡(luò)信息安全監(jiān)控軟件袁但總體來看袁現(xiàn)行監(jiān)控軟件的開發(fā)大多從野入侵冶角度考慮網(wǎng)絡(luò)安全監(jiān)控袁專門應(yīng)對網(wǎng)絡(luò)訪問事件袁具有更新功能的內(nèi)容審計和監(jiān)控的軟件并不多袁尤其是對于INTEMET 上大流量信息源與實時信息流的監(jiān)控袁國內(nèi)多半是針對色情內(nèi)容進(jìn)行的過濾與屏蔽袁國外則主要是針對商業(yè)情報的竊取與分析袁過濾功能往往局限于某一具體的應(yīng)用角度袁因而其應(yīng)用范圍也受到局限袁難以滿足新形勢網(wǎng)絡(luò)信息安全監(jiān)控的要求[1]遙

4 信息監(jiān)控與取證技術(shù)的應(yīng)用特性

網(wǎng)絡(luò)在線文化信息的監(jiān)控包括對報文內(nèi)容與類型進(jìn)行的審查與監(jiān)控袁同時也包括對報文格式合法與完整性形式進(jìn)行的審查與監(jiān)控遙網(wǎng)絡(luò)在線文化信息的監(jiān)控技術(shù)分為基于報文內(nèi)容的監(jiān)控技術(shù)與基于報文結(jié)構(gòu)格式合法性與完整性的監(jiān)控技術(shù)遙基于報文內(nèi)容的監(jiān)控技術(shù)袁采用了報文組合堯分割堯判別技術(shù)堯自然語言識別和人工智能等技術(shù)袁實時對報文內(nèi)容進(jìn)行識別和智能化處理袁一旦捕捉到含有非法有害的報文信息袁則記錄其IP 地址和端口號以及報文內(nèi)容堯服務(wù)類型堯發(fā)生時間及用戶信息袁以形成訪問日志袁為系統(tǒng)事后審計提供分析依據(jù)袁幫助系統(tǒng)管理員對非法和不健康的信息進(jìn)行追蹤與查處袁為系統(tǒng)運行提供相應(yīng)的安全管理措施遙基于報文結(jié)構(gòu)格式合法性與完整性的監(jiān)控技術(shù)袁則涵蓋了對數(shù)據(jù)結(jié)構(gòu)的完整性堯協(xié)議的完整性和應(yīng)用類型的合法性等內(nèi)容袁如對黑客程序?qū)彶楹蛯Σ《緦彶榈鹊萚2]遙

5 信息監(jiān)控與取證的核心技術(shù)應(yīng)用

5.1 BPF 伯克利包過濾技術(shù)應(yīng)用

網(wǎng)絡(luò)在線文化信息監(jiān)控系統(tǒng)擬采用的伯克利包過濾技術(shù)淵BSD PACKET FILTER袁BPF冤袁可對流經(jīng)網(wǎng)卡信息包進(jìn)行透明性過濾袁其過濾機制具有良好的可移植性和執(zhí)行效率袁能夠便捷地移植到FREEBSD 和LINUX 系統(tǒng)袁能夠在不同版本的WIN9X 上運行遙網(wǎng)絡(luò)在線文化信息監(jiān)控與取證系統(tǒng)體系結(jié)構(gòu)袁如圖1 所示遙

圖1 網(wǎng)絡(luò)在線文化信息監(jiān)控與取證系統(tǒng)體系結(jié)構(gòu)圖

BPF 過濾技術(shù)應(yīng)用的基本原理如下：BPF 是系統(tǒng)內(nèi)核，主要作用是“截獲信息包”。一般用于開發(fā)類似于TCPDUMP 的UNIX 網(wǎng)絡(luò)環(huán)境工具。BPF 工作時，以高度優(yōu)化模式讀取網(wǎng)卡中報文，但又不直接控制網(wǎng)卡，BPF 由網(wǎng)絡(luò)閥和包過濾器2個主模塊組成。網(wǎng)絡(luò)閥不被BPF 直接執(zhí)行，但它作為調(diào)用函數(shù)，接受BPF 間接調(diào)用。當(dāng)報文來臨時，網(wǎng)卡激活網(wǎng)絡(luò)閥，接收傳輸數(shù)據(jù)。當(dāng)數(shù)據(jù)包來臨時，網(wǎng)卡調(diào)用網(wǎng)絡(luò)閥函數(shù)，BPF 開始正常工作，此時網(wǎng)絡(luò)閥將復(fù)制報文傳送給監(jiān)聽程序，并將報文暫存在數(shù)據(jù)緩沖區(qū)，如緩存貯滿則再向上一層應(yīng)用程序提交。包過濾器則承擔(dān)對否受理數(shù)據(jù)報文進(jìn)行判斷。但由于包過濾器工作時丟失報文情況嚴(yán)重，其工作效率嚴(yán)重影響到整個應(yīng)用程序的執(zhí)行效率，成為系統(tǒng)應(yīng)用的關(guān)鍵環(huán)節(jié)。

BPF 虛擬處理器的主要組成是：計數(shù)器、累加器、寄存器及隨機內(nèi)存單元。BPF 處理器能執(zhí)行LOAD、STORE 指令、算術(shù)與分支指令等。通過BPF 設(shè)定接收報文頭和指定字節(jié)數(shù)，可以減少報文的存儲空間和提交次數(shù)及優(yōu)化運行機制。BPF 過濾模型是CFG 過濾模型，軟件人員編寫過濾程序，執(zhí)行IOCTRL 調(diào)用，就可按照過濾規(guī)則執(zhí)行報文過濾，丟棄違背規(guī)則的數(shù)據(jù)包數(shù)據(jù)。

BPF 截取數(shù)據(jù)包主要通過過濾器與緩沖器來實現(xiàn)。其中，過濾器1個，過濾規(guī)則來自于上級調(diào)用程序IOCTRL；緩沖器2個，第一個為存儲緩存，主要用于接收網(wǎng)卡數(shù)據(jù)，第二個為保持緩存，主要用于將拷貝數(shù)據(jù)傳送給應(yīng)用程序。當(dāng)存儲緩存滿、保持緩存空閑時，BPF 將二者內(nèi)容相換，以致進(jìn)程與網(wǎng)卡不直接交互。當(dāng)報文處于網(wǎng)絡(luò)接口時，鏈路層協(xié)議先驅(qū)動報文至系統(tǒng)協(xié)議堆棧區(qū)等待，如BPF 處在監(jiān)聽狀態(tài)，網(wǎng)絡(luò)閥函數(shù)則先將報文傳送至過濾器，由過濾器決定報文是否被接收；如決定接收，則將過濾器指定數(shù)目字節(jié)拷貝傳送到存儲緩存器緩存。此時，接口驅(qū)動程序重新獲得控制權(quán)，又開始正常的協(xié)議處理?；趫笪倪^濾只發(fā)生在鏈路層的緣故，因而極大地優(yōu)化了執(zhí)行的過程和提高了存儲的效率[3]。例如，當(dāng)程序執(zhí)行調(diào)用時，BPF 可同時獲取多個數(shù)據(jù)包，但為了相互區(qū)別，先將對數(shù)據(jù)實行封裝，對不同的報文加上數(shù)據(jù)頭，具體結(jié)構(gòu)是：Struct timeval bh_tstamp：時間戳；Uint bh_caplen：所截獲數(shù)據(jù)長度；Uint bh_datalen：報文原始長度；Ushort bh_hdrlen：本數(shù)據(jù)頭長度。

5.2 黑盒子技術(shù)應(yīng)用

網(wǎng)絡(luò)在線文化信息監(jiān)控系統(tǒng)擬采用的“黑盒子”直接訪問技術(shù)對流經(jīng)網(wǎng)絡(luò)信息實時監(jiān)聽，同時對代理IP 訪問的信息實時監(jiān)控與審計，該技術(shù)具備良好的安全性和適應(yīng)性。

“黑盒子”源自于系統(tǒng)信息敏感器（見“系統(tǒng)體系結(jié)構(gòu)圖”），基于網(wǎng)絡(luò)連接方式特別，任何用戶都查覺不到它的存在，就像一個“黑盒子”的特征，故名為“黑盒子”。黑盒子技術(shù)應(yīng)用利用單向數(shù)據(jù)流，信息敏感器實現(xiàn)包采集。基于信息敏感器無IP 功能特點對任何主機來說都是透明的，因而任何網(wǎng)絡(luò)攻擊辦法都無法對其實行攻擊，從而確保了信息采集安全，采集信息的有效性和完整性[4]。

5.3 分布式技術(shù)應(yīng)用

網(wǎng)絡(luò)在線文化信息監(jiān)控系統(tǒng)擬采用的分布式技術(shù)袁能夠?qū)崿F(xiàn)規(guī)模的可擴(kuò)充性與系統(tǒng)的實時性袁使信息監(jiān)控更具效率遙這是因為信息監(jiān)控總是實時進(jìn)行的袁而智能分析需要一個復(fù)雜程序袁才能獲得較高的精度袁而處在分布式技術(shù)架構(gòu)下的信息敏感器袁只對信息進(jìn)行收集和簡單過濾袁最終的敏感數(shù)據(jù)還需發(fā)送至中心控制服務(wù)器進(jìn)行智能分析和處理遙

但在采用分布式技術(shù)架構(gòu)下袁只需在監(jiān)控子系統(tǒng)添設(shè)信息敏感器就可擴(kuò)充監(jiān)控的功能遙這樣既不影響網(wǎng)絡(luò)正常運行袁又實現(xiàn)了監(jiān)控規(guī)模的可擴(kuò)充性遙采用分布式技術(shù)袁網(wǎng)絡(luò)技術(shù)管理人員還可將任何主機視作控制服務(wù)器袁通過信息敏感器子系統(tǒng)袁實施異地監(jiān)控袁為監(jiān)管工作帶來極大便利[5]遙

5.4 協(xié)議分析與解碼技術(shù)應(yīng)用

網(wǎng)絡(luò)在線文化信息監(jiān)控與取證系統(tǒng)擬采用的協(xié)議分析與解碼技術(shù)袁通常需對鏈路層堯網(wǎng)絡(luò)層堯傳輸層和應(yīng)用層中各類協(xié)議進(jìn)行分析和解碼袁對信息內(nèi)容進(jìn)行分類識別遙其服務(wù)模式主要有協(xié)議服務(wù)和應(yīng)用服務(wù)遙

其中袁HTTP 應(yīng)用服務(wù)是按IP 地址或IP 段進(jìn)行的袁按規(guī)則執(zhí)行數(shù)據(jù)信息過濾并生成證據(jù)文件袁它能完整記錄用戶瀏覽時的圖像堯文本和HTM 文件等遙FTP 應(yīng)用服務(wù)除按IP 地址和IP 段監(jiān)控外袁還可記錄訪問用戶名堯口令字和用戶服務(wù)器上操作的過程袁記錄用戶的PUT 與GET 文件遙E-mail 應(yīng)用服務(wù)袁可對特定用戶收發(fā)信件記錄收發(fā)時間袁進(jìn)行數(shù)據(jù)信息過濾袁記錄郵件收發(fā)雙方的郵箱地址和密碼袁并通過系統(tǒng)功能還原ATTACH 與中西文郵件遙TELNET 應(yīng)用服務(wù)袁同樣可記錄訪問用戶名堯口令字和用戶服務(wù)器上操作的過程[6]遙

5.5 內(nèi)容過濾技術(shù)應(yīng)用

所謂過濾技術(shù)袁即采用關(guān)鍵字淵常見編碼冤的方式進(jìn)行匹配審計袁實時捕獲其相應(yīng)幀的非明文編碼譯成明文袁傳輸?shù)綌?shù)據(jù)庫進(jìn)行再處理遙

網(wǎng)絡(luò)在線文化信息監(jiān)控與取證系統(tǒng)執(zhí)行過濾的模塊組成院淤 數(shù)據(jù)入庫模塊院有手動和定時2 種入庫方式袁用于將數(shù)據(jù)敏感器送來數(shù)據(jù)導(dǎo)入數(shù)據(jù)庫曰于 數(shù)據(jù)檢索模塊院主要用于統(tǒng)計和檢索數(shù)據(jù)庫記錄袁形成統(tǒng)計文件遙如對電子郵件內(nèi)容的檢索袁主要是通過對關(guān)鍵字報文內(nèi)容的檢索袁發(fā)現(xiàn)異常地址立即進(jìn)行審計和統(tǒng)計遙即按要求分類統(tǒng)計出符合條件的目的IP 與源IP袁然后將郵件中含有某類關(guān)鍵字的目的IP 與源IP堯含有某類關(guān)鍵字的郵件發(fā)送地址與郵件接收地址分別按出現(xiàn)次數(shù)排序[7]遙

6 結(jié)束語

網(wǎng)絡(luò)在線文化信息監(jiān)控與取證的核心技術(shù)在于信息審計與證據(jù)留存，將為司法部門追查網(wǎng)上非法行為和有效打擊網(wǎng)絡(luò)犯罪提供有力的依據(jù)?；诖?，系統(tǒng)中數(shù)據(jù)包的收發(fā)、重組、協(xié)議分析、集群、負(fù)載的均衡構(gòu)建和內(nèi)容過濾的匹配算法等等，都是衡量監(jiān)控系統(tǒng)的準(zhǔn)確性和快速性的關(guān)鍵技術(shù)。但在現(xiàn)有技術(shù)中，監(jiān)測的準(zhǔn)確性和快速性仍然存在問題，如在實施數(shù)據(jù)獲取及簡化，引入數(shù)據(jù)挖掘技術(shù)和模式匹配技術(shù)實施檢測分析，引入模糊邏輯改善知識的表達(dá)等方面仍需進(jìn)一步完善。

[1]周 剛,麥永浩,曹 強,等.云計算應(yīng)用對計算機取證技術(shù)的挑戰(zhàn)和對策[J].警察技術(shù),2011(2):37-39.

[2]樊 夢.網(wǎng)絡(luò)文化建設(shè)視角下的網(wǎng)絡(luò)安全管理探析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2012(3):72-74.

[3]張志華.基于接入層控制的網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)[J].肇慶學(xué)院學(xué)報,2009,30(5):37-41.

[4]劉麗萍,張力宏,張?zhí)m蘭.使用PHP 對信息進(jìn)行加密傳輸?shù)难芯縖J].情報科學(xué),2009,27(9):1383-1385.

[5]湯松萍.基于企業(yè)網(wǎng)絡(luò)信息化平臺建設(shè)及其權(quán)限機制的建立[J].計算機安全,2012(2):59-61.

[6]王碧輝,魏生民,汪焰恩,等.基于.NET 的供電網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)的設(shè)計及其樹形圖的實現(xiàn)[J].科學(xué)技術(shù)與工程,2009(16):4678-4682.

[7]湯松萍.基于小型煤礦企業(yè)計算機管理信息系統(tǒng)的開發(fā)應(yīng)用[J].煤礦機械,2012(9):291-293.