網(wǎng)絡(luò)安全審計(jì)系統(tǒng)中FTP解析策略研究

閆 露 鄧浩江 陳 曉 葉曉舟

1(中國(guó)科學(xué)院聲學(xué)研究所國(guó)家網(wǎng)絡(luò)新媒體工程技術(shù)研究中心 北京 100190)2(中國(guó)科學(xué)院大學(xué) 北京 100039)

網(wǎng)絡(luò)安全審計(jì)系統(tǒng)中FTP解析策略研究

閆 露1,2鄧浩江1陳 曉1葉曉舟1

1(中國(guó)科學(xué)院聲學(xué)研究所國(guó)家網(wǎng)絡(luò)新媒體工程技術(shù)研究中心 北京 100190)2(中國(guó)科學(xué)院大學(xué) 北京 100039)

常見(jiàn)的防火墻、防病毒、入侵檢測(cè)等系統(tǒng)，對(duì)于防止外部非法入侵都有一定的作用，但對(duì)于防范內(nèi)部人員對(duì)企業(yè)網(wǎng)等網(wǎng)絡(luò)的破壞卻效果甚微。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)針對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行監(jiān)控,受到越來(lái)越廣泛的重視。FTP由于其簡(jiǎn)單性與易用性，廣泛運(yùn)用于企業(yè)網(wǎng)中。針對(duì)FTP協(xié)議控制流和實(shí)時(shí)數(shù)據(jù)流分離的特點(diǎn)，提出了基于數(shù)據(jù)流信息封裝傳遞的解析策略。該策略可實(shí)現(xiàn)FTP命令、響應(yīng)的正確解析，獲取實(shí)時(shí)建立的數(shù)據(jù)流端口，關(guān)聯(lián)數(shù)據(jù)流信息，并實(shí)時(shí)產(chǎn)生審計(jì)日志。基于網(wǎng)絡(luò)處理器平臺(tái)實(shí)現(xiàn)了該策略，平穩(wěn)階段系統(tǒng)每秒事務(wù)處理量大于3萬(wàn)，吞吐率達(dá)到1 300 Mbps。

網(wǎng)絡(luò)安全審計(jì)系統(tǒng) FTP解析 控制流 數(shù)據(jù)流

0 引 言

信息安全審計(jì)[1]主要是對(duì)與安全有關(guān)的活動(dòng)的相關(guān)信息進(jìn)行識(shí)別、記錄、存儲(chǔ)和分析；審計(jì)的記錄用于檢查網(wǎng)絡(luò)上發(fā)生了那些與安全活動(dòng)有關(guān)的活動(dòng)，誰(shuí)(用戶(hù))對(duì)這個(gè)活動(dòng)負(fù)責(zé)，主要功能包括：安全審計(jì)自動(dòng)響應(yīng)、安全審計(jì)數(shù)據(jù)生成、安全審計(jì)分析、安全審計(jì)瀏覽、安全審計(jì)事件存儲(chǔ)、安全審計(jì)事件選擇等。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)主要針對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行監(jiān)控，實(shí)現(xiàn)信息安全審計(jì)功能[2]。在網(wǎng)絡(luò)安全審計(jì)系統(tǒng)中，協(xié)議解析用于識(shí)別用戶(hù)、行為、生成審計(jì)數(shù)據(jù)等，對(duì)信息安全審計(jì)功能的實(shí)現(xiàn)起著至關(guān)重要的作用。網(wǎng)絡(luò)上的協(xié)議成千上萬(wàn)，對(duì)于不同的協(xié)議，解析策略也不盡相同[3]。

目前，網(wǎng)絡(luò)上大多數(shù)協(xié)議均在同一條TCP上連接傳輸命令與數(shù)據(jù)，F(xiàn)TP協(xié)議則不同，在不同的TCP連接上分開(kāi)處理命令與數(shù)據(jù)[4]。 FTP[5-6]是File Transfer Protocol的英文簡(jiǎn)稱(chēng)，為客戶(hù)機(jī)/服務(wù)器系統(tǒng)，在網(wǎng)絡(luò)上通過(guò)FTP協(xié)議傳輸，F(xiàn)TP客戶(hù)端可以訪(fǎng)問(wèn)FTP服務(wù)器的資源。FTP支持兩種工作模式[7]：standard(PORT模式，主動(dòng)模式)，passive(PASV模式，被動(dòng)模式)。在standard模式下，F(xiàn)TP客戶(hù)端首先和服務(wù)器的TCP 21端口建立連接，用以傳輸命令、響應(yīng)，客戶(hù)端在需要進(jìn)行數(shù)據(jù)傳輸時(shí)，發(fā)送PORT命令，該命令包含客戶(hù)端使用的數(shù)據(jù)連接端口。在傳輸數(shù)據(jù)時(shí)，服務(wù)器通過(guò)TCP 20端口與客戶(hù)端的數(shù)據(jù)端口連接；在passive模式下，建立控制連接與standard模式類(lèi)似，但在需要進(jìn)行數(shù)據(jù)傳輸時(shí)發(fā)送PASV命令，服務(wù)器收到該命令后，打開(kāi)一個(gè)臨時(shí)端口(大于1 023小于65 535)偵聽(tīng)，并且將該端口通知客戶(hù)端等待連接。客戶(hù)端收到通知后，連接FTP服務(wù)器此端口，以進(jìn)行數(shù)據(jù)傳輸，具體采取哪種方式由客戶(hù)端決定。FTP的這兩種模式均是針對(duì)IPV4環(huán)境，當(dāng)IPV6出現(xiàn)后，協(xié)議對(duì)模式進(jìn)行了擴(kuò)展，出現(xiàn)了EPRT、EPSV模式以支持更長(zhǎng)的網(wǎng)絡(luò)地址，擴(kuò)展后的與原模式類(lèi)似，本文不做詳細(xì)討論。雖然FTP存在明文信息傳輸?shù)热秉c(diǎn)，但由于其簡(jiǎn)單性和實(shí)用性，在網(wǎng)絡(luò)應(yīng)用中還會(huì)長(zhǎng)期應(yīng)用[8]。

由于FTP將控制信息與數(shù)據(jù)分開(kāi)處理的特性，網(wǎng)絡(luò)安全審計(jì)系統(tǒng)中FTP解析需在正確解析控制流命令、響應(yīng)的基礎(chǔ)上，針對(duì)數(shù)據(jù)流需再解決兩個(gè)問(wèn)題：(1) FTP數(shù)據(jù)流的端口不固定，如何判斷所經(jīng)過(guò)的數(shù)據(jù)包哪些為FTP數(shù)據(jù)流；(2) FTP數(shù)據(jù)連接上只傳輸數(shù)據(jù)，如文件內(nèi)容、目錄列表內(nèi)容等，而不包含文件名等信息，如何獲得文件名等信息以生成完整的審計(jì)數(shù)據(jù)?，F(xiàn)有的FTP安全審計(jì)，通過(guò)引入代理來(lái)實(shí)現(xiàn)[9]，F(xiàn)TP代理模塊分別與客戶(hù)端、服務(wù)端建立兩條連接，完成FTP會(huì)話(huà)維護(hù)、分析審計(jì)等功能。該方法只針對(duì)FTP審計(jì)任務(wù)，但若當(dāng)系統(tǒng)中需要審計(jì)其他協(xié)議時(shí)，需增加其他協(xié)議代理模塊，而不同代理工作方式、支持功能都可能不同，擴(kuò)展性不好,并且不是所有的應(yīng)用軟件都可以使用代理，例如outlook軟件本身并不支持代理。其他常規(guī)FTP解析方法[10-11]僅分析控制流，并未將數(shù)據(jù)流端所傳送的文件名等信息與相應(yīng)數(shù)據(jù)流相關(guān)聯(lián)，那么在解析數(shù)據(jù)流時(shí)，并不知道文件名、哪個(gè)用戶(hù)進(jìn)行的操作等信息，審計(jì)文件日志不完整。

本文針對(duì)FTP協(xié)議的特性與網(wǎng)絡(luò)安全審計(jì)的需求，提出網(wǎng)絡(luò)安全審計(jì)系統(tǒng)中FTP協(xié)議的解析策略，該策略可以正確解析FTP協(xié)議，獲取并傳遞數(shù)據(jù)流傳輸端口與數(shù)據(jù)流信息，快速生成審計(jì)數(shù)據(jù)等。

1 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)

為實(shí)現(xiàn)信息安全審計(jì)的功能，我們?cè)O(shè)計(jì)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)HL-Audit包括數(shù)據(jù)采集、配置管理、審計(jì)日志數(shù)據(jù)中心等子系統(tǒng)，其中數(shù)據(jù)采集子系統(tǒng)的框架如圖1所示。

圖1 HL-Audit數(shù)據(jù)采集子系統(tǒng)

由于通用服務(wù)器采用中斷方式處理網(wǎng)絡(luò)流量，性能受限，因此HL-Audit數(shù)據(jù)采集子系統(tǒng)采用網(wǎng)絡(luò)處理器完成數(shù)據(jù)采集功能，具有功耗低、延遲小、采集性能高等優(yōu)勢(shì)。其工作流程如下：當(dāng)系統(tǒng)捕獲到數(shù)據(jù)包后，首先進(jìn)行對(duì)數(shù)據(jù)包進(jìn)行IP重組、隧道檢測(cè)、TCP重組，保證提交到上層的數(shù)據(jù)包嚴(yán)格有序；區(qū)分不同協(xié)議后，提交相應(yīng)高層協(xié)議解析模塊；高層協(xié)議解析模塊，解析高層協(xié)議，識(shí)別用戶(hù)登錄、命令、響應(yīng)等消息，調(diào)用命令黑名單模塊判斷是否允許命令執(zhí)行，并生成審計(jì)數(shù)據(jù)發(fā)送至數(shù)據(jù)中心保存。

2 FTP解析策略

FTP解析屬于HL-Audit網(wǎng)絡(luò)安全審計(jì)系統(tǒng)數(shù)據(jù)采集子系統(tǒng)高層協(xié)議解析模塊，分為控制流解析和數(shù)據(jù)流解析兩部分。控制流解析在正確識(shí)別用戶(hù)命令、響應(yīng)的基礎(chǔ)上，將解析到的數(shù)據(jù)流端口、文件名等數(shù)據(jù)流信息進(jìn)行封裝傳遞，封裝的信息用于底層進(jìn)行FTP數(shù)據(jù)流的識(shí)別以及FTP數(shù)據(jù)流解析，以達(dá)到對(duì)數(shù)據(jù)流傳輸?shù)谋O(jiān)控審計(jì)。如圖2所示。

圖2 FTP解析策略

2.1 FTP控制流解析

控制流解析實(shí)現(xiàn)FTP控制連接上數(shù)據(jù)解析，識(shí)別用戶(hù)登錄、命令、響應(yīng)等消息，當(dāng)產(chǎn)生新的數(shù)據(jù)連接時(shí)，將解析到的數(shù)據(jù)流信息傳遞；調(diào)用命令黑名單模塊，判斷是否需要阻斷命令或會(huì)話(huà)，實(shí)現(xiàn)審計(jì)自動(dòng)響應(yīng)；實(shí)時(shí)產(chǎn)生審計(jì)數(shù)據(jù)，以日志的形式通過(guò)網(wǎng)絡(luò)會(huì)話(huà)模塊發(fā)送至數(shù)據(jù)中心，日志內(nèi)容包括會(huì)話(huà)四元組信息、源mac、目的mac、登錄用戶(hù)名稱(chēng)、登錄時(shí)間、登出時(shí)間；操作日志的內(nèi)容包括操作命令、返回?cái)?shù)據(jù)、操作開(kāi)始時(shí)間、操作結(jié)束時(shí)間等。

2.1.1 FTP數(shù)據(jù)包處理

由于底層經(jīng)過(guò)TCP重組后提交的數(shù)據(jù)包僅保證有序，根據(jù)TCP/IP協(xié)議的特性[12-13]，TCP數(shù)據(jù)包不作為應(yīng)用層消息的邊界，一個(gè)完備的解析方案不能假設(shè)一個(gè)TCP數(shù)據(jù)包即是一個(gè)完整的應(yīng)用層FTP消息，因此需要先經(jīng)過(guò)數(shù)據(jù)包處理，提取出完整的單條FTP消息后，再進(jìn)行接下來(lái)的解析。

數(shù)據(jù)包處理算法如下：

Algorithm1 FTP Packet Process

1: start ← packet

2: uproLen ← len(packet)

3: while uproLen > 0 do

4: msgend ← find(msgendMark; start)

5: if msgend is true then

6: msg ← cache + (msgend - start)

7: process msg

8: clear cache

9: uprolen ← uprolen - len(msgend - start)

10: start ← msgend + 1

11: else

12: cache ← cache + start

13: uproLen ← 0

14: end if

15: end while

我們以圖3為例來(lái)說(shuō)明算法的執(zhí)行過(guò)程。首先客戶(hù)端至服務(wù)端方向cache中無(wú)緩存數(shù)據(jù)，收到客戶(hù)端發(fā)向服務(wù)端的第一個(gè)數(shù)據(jù)包后，在數(shù)據(jù)包中查找到命令結(jié)束標(biāo)志“ ”,提取第一條完整消息“AA bbbb ”進(jìn)行解析；繼續(xù)查找命令結(jié)束標(biāo)志“ ”，提取第二條消息“CC dddd ”進(jìn)行解析；繼續(xù)無(wú)命令結(jié)束標(biāo)志，則將不完整消息“EE ff”復(fù)制到客戶(hù)端至服務(wù)端方向cache中緩存，該數(shù)據(jù)包處理完畢；經(jīng)過(guò)一段時(shí)間間隔后，收到客戶(hù)端發(fā)向服務(wù)端的第二個(gè)數(shù)據(jù)包“ff ”,在數(shù)據(jù)包中查找到命令結(jié)束標(biāo)志“ ”,此時(shí)將cache中數(shù)據(jù)與第二個(gè)數(shù)據(jù)包中數(shù)據(jù)合成完整的第三條消息“EE ffff ”,并將客戶(hù)端至服務(wù)端發(fā)向cache中數(shù)據(jù)清空，至此第二個(gè)數(shù)據(jù)包處理完畢。

圖3 數(shù)據(jù)包處理算法執(zhí)行實(shí)例

該數(shù)據(jù)包處理算法，直接在新到數(shù)據(jù)包中查找結(jié)束標(biāo)志，若相應(yīng)方向存在緩存數(shù)據(jù)，與緩存數(shù)據(jù)進(jìn)行拼接組成完整消息，不存在緩存數(shù)據(jù)，則直接提取完整消息，并將最后不完整的消息進(jìn)行緩存以等待后續(xù)數(shù)據(jù)到來(lái)，而不需要將新到數(shù)據(jù)包全部進(jìn)行緩存再進(jìn)行提取完整消息，有效節(jié)約緩存空間，簡(jiǎn)單高效。

2.1.2 FTP命令/響應(yīng)解析

在數(shù)據(jù)包處理算法提取出完整消息后，首先根據(jù)系統(tǒng)需求，調(diào)用命令黑名單模塊，必要時(shí)阻斷命令或會(huì)話(huà)。該操作可實(shí)時(shí)監(jiān)控用戶(hù)不合理行為，及時(shí)阻止，而不至于產(chǎn)生不可逆后果后再追查審計(jì)日志追究責(zé)任。對(duì)于允許執(zhí)行的命令，進(jìn)行接下來(lái)的解析工作。

FTP命令解析算法如下：

Algorithm2 FTP Comamnd Parse

1: command ← getcommand(msg)

2: if command is USER then

3: get the user name

4: else if command is PASS then

5: get the password

6: else if command is PORT then

7: get the standard mode client IP and port for data flow

8: else if command is LIST or NIST or RETR or STOR or STOU or APPE then

9: process the infomation of data flow

10: end if

11: generate audit logs

FTP響應(yīng)解析算法如下：

Algorithm3 FTP Response Parse

1: code ← getcode(msg)

2: count ← total number of incorrect login

3: if code is 230 then

4: set the login successful state

5: else if code is 530 then

6: set the login incorrect state

7: count ←count + 1

8: else if code is 227 then

9: get the passive mode server IP and port for data flow

10: end if

11: generate audit logs

FTP命令眾多，解析過(guò)程中可選擇性地關(guān)注特定命令，如USER，通過(guò)該命令獲取登錄用戶(hù)名。對(duì)于暫不關(guān)注的命令，只需將命令響應(yīng)生成審計(jì)日志，傳送至數(shù)據(jù)中心即可。

2.1.3 FTP數(shù)據(jù)流信息處理

FTP控制流解析，在正確解析命令、響應(yīng)時(shí)獲得數(shù)據(jù)流信息，為解決底層FTP數(shù)據(jù)流識(shí)別問(wèn)題以及數(shù)據(jù)流生成完整文件審計(jì)數(shù)據(jù)問(wèn)題，還需將數(shù)據(jù)流信息傳遞。數(shù)據(jù)流信息以七元組(control_infoP,data_mode,s_ip,s_port,c_ip,c_port,file_name)來(lái)表示，稱(chēng)為DFI(Date Flow Information)，其中control_infoP為指向控制流信息指針，data_mode為數(shù)據(jù)流傳輸模式，s_ip為數(shù)據(jù)流服務(wù)端ip，s_port為數(shù)據(jù)流服務(wù)端端口，c_ip為數(shù)據(jù)流客戶(hù)端ip，c_port為數(shù)據(jù)流客戶(hù)端端口， file_name為傳輸?shù)奈募蛭募夸浢?，同時(shí)定義DFIP為指向DFI的指針。

當(dāng)FTP會(huì)話(huà)下只有一個(gè)數(shù)據(jù)流時(shí)，控制流收到引起數(shù)據(jù)流傳輸?shù)闹噶詈?，?chuàng)建DFI，當(dāng)未知TCP流到達(dá)時(shí),底層模塊通過(guò)與該DFI進(jìn)行匹配來(lái)識(shí)別FTP數(shù)據(jù)流，分為兩種情況：(1) 若DFI中數(shù)據(jù)流傳輸模式為standard模式，則底層模塊需將數(shù)據(jù)流的客戶(hù)端IP、客戶(hù)端端口、服務(wù)端IP、服務(wù)端端口完整的四元組信息與已有DFI鏈表中每一項(xiàng)進(jìn)行匹配；(2) 若DFI中數(shù)據(jù)流傳輸模式為passive模式，該模式下，我們并不能在控制流解析到數(shù)據(jù)流客戶(hù)端IP與端口，F(xiàn)TP協(xié)議并不要求客戶(hù)端數(shù)據(jù)流IP與控制流IP一致，這會(huì)帶來(lái)安全隱患[14]，在網(wǎng)絡(luò)安全審計(jì)系統(tǒng)中，我們不支持?jǐn)?shù)據(jù)流IP與控制流客戶(hù)端IP不一致的情況，因此需將客戶(hù)端IP、服務(wù)端IP、服務(wù)端端口與已有DFI進(jìn)行匹配。若匹配，則該TCP流為FTP數(shù)據(jù)流，將DFIP傳遞給FTP數(shù)據(jù)流解析，若不匹配，則該TCP流不為FTP數(shù)據(jù)流，進(jìn)行其他處理。

當(dāng)FTP會(huì)話(huà)下出現(xiàn)多個(gè)數(shù)據(jù)流時(shí)[15]，單個(gè)DFI顯然不能對(duì)所有數(shù)據(jù)流進(jìn)行區(qū)分，因此需要為每個(gè)數(shù)據(jù)流建立相應(yīng)DFI，所有的DFI以鏈表形式保存。當(dāng)未知TCP流到達(dá)時(shí)，底層模塊首先需判斷該連接可能為FTP數(shù)據(jù)流的哪種數(shù)據(jù)連接模式，若發(fā)起TCP連接的端口為20，則此時(shí)為FTP服務(wù)端主動(dòng)發(fā)起連接，為standard模式，若發(fā)起TCP連接的端口不為20，則此時(shí)可能為FTP客戶(hù)端發(fā)起連接，為passive模式。判斷出模式后，將該TCP流信息與所有DFI項(xiàng)進(jìn)行匹配，匹配方法與單數(shù)據(jù)流匹配方法一致。若發(fā)現(xiàn)匹配項(xiàng)，則該數(shù)據(jù)流為FTP數(shù)據(jù)流，并將相應(yīng)DFIP傳遞給FTP數(shù)據(jù)流解析，若未發(fā)現(xiàn)匹配項(xiàng)，則該數(shù)據(jù)流不為FTP數(shù)據(jù)流，進(jìn)行其他處理。DFI數(shù)據(jù)結(jié)構(gòu)及DFIP傳遞,如圖4所示。

圖4 DFI數(shù)據(jù)結(jié)構(gòu)及DFIP傳遞

2.2 FTP數(shù)據(jù)流解析

FTP數(shù)據(jù)流解析模塊通過(guò)底層傳遞的DFIP，可直接獲得FTP控制流、文件名等信息。正常情況下，F(xiàn)TP控制連接會(huì)存在于會(huì)話(huà)整個(gè)生命周期，但存在控制連接先于數(shù)據(jù)連接關(guān)閉的異常情況。當(dāng)控制連接先關(guān)閉DFI被釋放時(shí)，若數(shù)據(jù)流還未來(lái)得及關(guān)閉TCP連接，此時(shí)FTP數(shù)據(jù)流解析試圖通過(guò)DFI獲取信息則會(huì)發(fā)生錯(cuò)誤，且無(wú)法保證生成DFI加入鏈表后，相應(yīng)數(shù)據(jù)連接一定會(huì)建立成功。因此為保證DFI內(nèi)存管理的正確性，在FTP數(shù)據(jù)流初始化時(shí)，通過(guò)底層傳遞的DFIP讀取出DFI數(shù)據(jù)流信息并保存，而不在整個(gè)數(shù)據(jù)流傳輸過(guò)程中都依賴(lài)底層傳遞的DFIP。所有DFI占用的內(nèi)存空間，在控制流斷開(kāi)連接時(shí)統(tǒng)一釋放。

通過(guò)DFIP的傳遞，數(shù)據(jù)流得到控制流、文件名等信息，加之?dāng)?shù)據(jù)流所傳輸數(shù)據(jù)生成完整文件審計(jì)數(shù)據(jù)，以文件日志形式發(fā)送至數(shù)據(jù)中心。

3 實(shí)驗(yàn)測(cè)試及分析

基于Caviun OCTEON CN6645多核網(wǎng)絡(luò)處理器[16]，我們實(shí)現(xiàn)了網(wǎng)絡(luò)安全審計(jì)系統(tǒng)HL-Audit，并在一個(gè)處理器核心上運(yùn)行FTP解析策略。本文利用IXIA測(cè)試儀模擬FTP客戶(hù)端與服務(wù)端，在上述嵌入式平臺(tái)下針對(duì)系統(tǒng)每秒事物處理量與吞吐率進(jìn)行了測(cè)試。圖5為系統(tǒng)測(cè)試框圖。

圖5 系統(tǒng)測(cè)試框圖

3.1 每秒事務(wù)處理量測(cè)試

每秒系統(tǒng)能夠處理的事務(wù)量，是衡量系統(tǒng)處理能力的重要指標(biāo)，實(shí)驗(yàn)針對(duì)客戶(hù)端下載64 KB文件時(shí)，系統(tǒng)的每秒事務(wù)處理量進(jìn)行了測(cè)試，測(cè)試結(jié)果顯示，平穩(wěn)階段系統(tǒng)每秒事務(wù)處理量大于3萬(wàn)，測(cè)試結(jié)果如圖6所示。

圖6 系統(tǒng)每秒事務(wù)處理量測(cè)試結(jié)果

3.2 吞吐率測(cè)試

在存在文件傳輸?shù)那闆r下，系統(tǒng)吞吐率是很重要的一個(gè)指標(biāo)，實(shí)驗(yàn)針對(duì)常規(guī)方法只解析FTP控制流與本文策略通過(guò)DFIP傳遞解析控制流與數(shù)據(jù)流兩種情況進(jìn)行了系統(tǒng)吞吐率測(cè)試，測(cè)試過(guò)程中客戶(hù)端下載服務(wù)端1 GB的文件，測(cè)試結(jié)果如圖7所示。

圖7 系統(tǒng)吞吐率測(cè)試結(jié)果

在常規(guī)方法只解析數(shù)據(jù)流沒(méi)有DFIP傳遞的情況下，底層模塊無(wú)法識(shí)別FTP數(shù)據(jù)流，故FTP數(shù)據(jù)流直接通過(guò)系統(tǒng)，系統(tǒng)也無(wú)法生成實(shí)時(shí)審計(jì)日志；而通過(guò)本文策略，當(dāng)經(jīng)過(guò)DFIP的傳遞后，F(xiàn)TP數(shù)據(jù)流會(huì)經(jīng)過(guò)底層模塊識(shí)別匹配，并提交FTP協(xié)議解析模塊進(jìn)行解析，由FTP解析模塊實(shí)時(shí)產(chǎn)生文件日志，而此時(shí)系統(tǒng)的吞吐率只是略低于直接通過(guò)的情況，F(xiàn)TP解析策略工作效果較好，DFIP的傳遞并沒(méi)有給系統(tǒng)造成過(guò)大負(fù)擔(dān)。

4 結(jié) 語(yǔ)

本文提出了網(wǎng)絡(luò)安全審計(jì)系統(tǒng)中FTP協(xié)議解析策略。該策略可以正確解析FTP協(xié)議，識(shí)別用戶(hù)名、密碼；在控制流端獲取FTP數(shù)據(jù)流信息，解決了底層模塊FTP數(shù)據(jù)流的識(shí)別問(wèn)題；在控制流端獲取FTP數(shù)據(jù)流文件名等信息，通過(guò)DFIP的傳遞，實(shí)時(shí)關(guān)聯(lián)數(shù)據(jù)流信息；快速生成審計(jì)日志。通過(guò)分析日志，可確定哪個(gè)用戶(hù)在什么時(shí)間進(jìn)行了哪些操作，實(shí)現(xiàn)安全審計(jì)。下一步的目標(biāo)是利用多核平臺(tái)的特性，實(shí)現(xiàn)性能的優(yōu)化。

本文在解決網(wǎng)絡(luò)安全審計(jì)系統(tǒng)中FTP協(xié)議解析問(wèn)題的同時(shí)，也為其他多TCP連接的協(xié)議解析提供參考。

[1] 通用準(zhǔn)則發(fā)起組織.ISO/IEC 15408 信息技術(shù)安全性評(píng)估通用準(zhǔn)則2.0版[S].1998.

[2] 張濤,余煬,李弋.Linux服務(wù)器安全審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件,2014,31(5):17-22,75.

[3] 陳泉清.基于協(xié)議解析的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].成都:電子科技大學(xué),2014.

[4] 江浩,朱巧明,錢(qián)培德.一種高效的FTP流量統(tǒng)計(jì)方法及應(yīng)用[J].計(jì)算機(jī)工程與科學(xué),2007,29(1):30-32,69.

[5] 蔡勇.FTP服務(wù)器技術(shù)研究及實(shí)現(xiàn)[D].成都:電子科技大學(xué),2005.

[6] Rani L,Narula P,Panchal N.Ftp-the file transfer protocol[J].International Journal of Research,2014,1(9):1029-1031.

[7] 孟欣.基于FTP的文件高效上傳方法的研究與實(shí)現(xiàn)[D].廣州:華南理工大學(xué),2014.

[8] 梁秀花.淺談FTP協(xié)議在網(wǎng)絡(luò)傳輸中的應(yīng)用[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2014,17(14):137-138.

[9] Li W,Hu X,Jia Y,et al.Proxy-based FTP secure audit technology[C]//Software Engineering and Service Science (ICSESS),2014 5th IEEE International Conference on.IEEE,2014:667-670.

[10] 史軼.基于應(yīng)用協(xié)議分析的網(wǎng)絡(luò)信息監(jiān)控系統(tǒng)[D].哈爾濱:哈爾濱工程大學(xué),2008.

[11] 李軍,倪宏,陳君,等.一種應(yīng)用層協(xié)議解析加速算法[J].四川大學(xué)學(xué)報(bào)(工程科學(xué)版),2014,46(4):87-93.

[12] 劉靜菠,劉嘉勇,唐龍.基于應(yīng)用層特征的TCP數(shù)據(jù)流重組方法研究[J].信息安全與通信保密,2014(5):111-113.

[13] 呂冠橋,柳寒冰,鄧曉紅.基于TCP協(xié)議的網(wǎng)絡(luò)擁塞控制算法設(shè)計(jì)[J].軟件導(dǎo)刊,2014,13(1):56-59.

[14] 黃世權(quán).FTP協(xié)議分析和安全研究[J].微計(jì)算機(jī)信息,2008,24(2-3):93-94,264.

[15] 蔡艷麗.基于FTP協(xié)議網(wǎng)絡(luò)流量模擬的設(shè)計(jì)與實(shí)現(xiàn)[J].海軍航空工程學(xué)院學(xué)報(bào),2014,29(3):221-224.

[16] Cavium Inc.OCTEON II CN66XX Multi-Core MIP S64 Processors[OL].(2015-11-17).[2016-03-28].http://www.cavium.com/OCTEON-II_CN66XX.html.

RESEARCH ON FTP PARSING STRATEGY IN NETWORK SECURITY AUDIT SYSTEM

Yan Lu1,2Deng Haojiang1Chen Xiao1Ye Xiaozhou1

1(NationalNetworkNewMediaEngineeringResearchCenter,InstituteofAcoustics,ChineseAcademyofSciences,Beijing100190,China)2(UniversityofChineseAcademyofSciences,Beijing100039,China)

Common firewall, anti-virus, intrusion detection and other systems, for the prevention of external illegal invasion have a certain role, but for the prevention of internal staff on the enterprise network and other network damage has little effect. Network security audit system for internal network monitoring, has been more and more attention. Because of its simplicity and ease of use, FTP is widely used in enterprise networks. Aiming at the characteristics of FTP protocol control flow and real-time data flow separation, a parsing strategy based on packaging and transmitting the data flow information is proposed, which can realize the correct parsing of FTP command and response, obtain real-time data flow port, associate data flow information, and generate audit log in real time. The strategy is implemented based on the network processor platform. In the steady phase, the system transaction per second is more than 30 000, and the throughput reaches 1 300 Mbps.

Network security audit system FTP parsing Control flow Data flow

2016-04-06。中國(guó)科學(xué)院戰(zhàn)略性先導(dǎo)科技專(zhuān)項(xiàng)課題(XDA06010302)。閆露，博士生，主研領(lǐng)域：寬帶通信和信息安全。鄧浩江，研究員。陳曉，研究員。葉曉舟，研究員。

TP3

A

10.3969/j.issn.1000-386x.2017.05.053