關(guān)于計算機(jī)網(wǎng)絡(luò)監(jiān)控技術(shù)的幾點思考

高磊

摘要：網(wǎng)絡(luò)安全是每個單位關(guān)注的主要問題，因此，網(wǎng)絡(luò)監(jiān)控已成為計算機(jī)安全防范攻擊的重要組成部分。Wireshark和Snort等網(wǎng)絡(luò)監(jiān)控工具在入侵檢測中起著重要的作用。Wireshark 和 Snort 能夠以圖形方式監(jiān)控網(wǎng)絡(luò)過程或運(yùn)動，以檢測侵入的電子信息。通過 IDS 和 IPS 進(jìn)行網(wǎng)絡(luò)監(jiān)控，提高了網(wǎng)絡(luò)基礎(chǔ)設(shè)施的性能和安全性。本文主要從理論上分析基于Wireshark和Snort工具如何進(jìn)行網(wǎng)絡(luò)監(jiān)控，以保護(hù)通信網(wǎng)絡(luò)系統(tǒng)。

Abstract： Network security is the main concern of every organization. Therefore， network monitoring has become an important part of computer security against attacks. Network monitoring tools such as Wireshark and Snort play an important role in intrusion detection. Wireshark and Snort can graphically monitor network processes or movements to detect intruding electronic information. Network monitoring through IDS and IPS improves the performance and security of network infrastructure. This article mainly theoretically analyzes how to monitor the network based on Wireshark and Snort tools to protect the communication network system.

關(guān)鍵詞：網(wǎng)絡(luò)監(jiān)控;監(jiān)控工具;信息技術(shù)

Key words： network monitoring;monitoring tools;information technology

中圖分類號：TP277 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識碼：A ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文章編號：1006-4311（2020）01-0259-02

0 ?引言

技術(shù)正在改變新的攻擊方式，很多安全參數(shù)被這些新穎的攻擊所繞過。因此，網(wǎng)絡(luò)監(jiān)控在入侵檢測中起著重要的作用。網(wǎng)絡(luò)監(jiān)控是指當(dāng)其他系統(tǒng)正在執(zhí)行其重要功能時，需要留出至少一臺計算機(jī)或一組計算機(jī)來監(jiān)視網(wǎng)絡(luò)活動，即對網(wǎng)絡(luò)流量進(jìn)行監(jiān)管。網(wǎng)絡(luò)監(jiān)控是查找入侵者的最好方法，根據(jù)研究，有一些有用的網(wǎng)絡(luò)監(jiān)控軟件工具。主要包括：AirWave，思科WC，MRTG，RRDTOOL，Kiwi syslog，RANCID，SNORT，NetDisco，ZABBIX，除了這些入侵檢測工具還有SURICATA，KISMET，OSSEC。Wireshark和Snort 等工具可以提供網(wǎng)絡(luò)進(jìn)程的圖形視圖，以便通過分析這些網(wǎng)絡(luò)進(jìn)程或流量干擾，可以簡單地檢測出這些網(wǎng)絡(luò)進(jìn)程或干擾流量。網(wǎng)絡(luò)監(jiān)控系統(tǒng)對于保護(hù)通信網(wǎng)絡(luò)或網(wǎng)絡(luò)系統(tǒng)免受外部攻擊，以及預(yù)防相關(guān)人員執(zhí)行惡意操作至關(guān)重要。

1 ?網(wǎng)絡(luò)監(jiān)控的重要性

早在20世紀(jì)90年代，黑客或攻擊者，開始侵入網(wǎng)絡(luò)和計算機(jī)系統(tǒng)，當(dāng)時IDS只能檢測惡意流量和發(fā)送警報消息或信號，但沒有預(yù)防攻擊的機(jī)制，也不能檢測所有的惡意程序。入侵是旨在損害基本網(wǎng)絡(luò)安全的機(jī)密性、完整性、計算和網(wǎng)絡(luò)資源可用性的操作的組合。IPS是IDS的先進(jìn)版本，能夠防止入侵和檢測。IDS和IPS主要是為缺乏防火墻等設(shè)備的要求而開發(fā)的。IDS主要用于檢測網(wǎng)絡(luò)中的入侵或威脅。選擇IDS主要有兩種類型，一種是基于主機(jī)的，另一種是基于網(wǎng)絡(luò)的。IDS的選擇還取決于成本效益及其如何確保網(wǎng)絡(luò)組織的安全。雖然通過實施IDS，不能說一個組織是完全安全的，但它是組織安全的特定的組成部分。結(jié)合IDS和強(qiáng)大的組織策略和程序，在特定時間間隔進(jìn)行漏洞評估，安全配置路由器和防火墻可產(chǎn)生有效的結(jié)果。

在目前的組織環(huán)境中，安全性是所有網(wǎng)絡(luò)的一大問題。已經(jīng)開發(fā)出不同的方法來保護(hù)互聯(lián)網(wǎng)上的通信和通信，它們之間使用防火墻、加密和VPN（虛擬專用網(wǎng)絡(luò)）。入侵檢測是針對所有這些技術(shù)相對較新的。IDS可以保護(hù)系統(tǒng)免受攻擊、誤用和破壞，還可以監(jiān)控網(wǎng)絡(luò)活動。網(wǎng)絡(luò)過程監(jiān)測日益被視為一個重要的功能，了解和改進(jìn)網(wǎng)絡(luò)的流程和安全結(jié)構(gòu)。IDS查找入侵者，并且實用、經(jīng)濟(jì)、具有商業(yè)潛力。

預(yù)防勝于治療，牢記IDS和IPS的組合可以為網(wǎng)絡(luò)或系統(tǒng)提供深度防御，如果IPS無法阻止入侵，則可以進(jìn)行檢測，從而緩解網(wǎng)絡(luò)風(fēng)險。IDS技術(shù)提供可見性和許多其他優(yōu)勢作用于網(wǎng)絡(luò)監(jiān)控，其中包括網(wǎng)絡(luò)中正在發(fā)生的事情的實時可見性，以及存儲相關(guān)信息在以后的時間點以進(jìn)行分析和報告的能力?？梢娦允菦Q策的首要，通過可見性，可以基于量化的現(xiàn)實世界數(shù)據(jù)而創(chuàng)建安全策略。

2 ?基于Snort的計算機(jī)網(wǎng)絡(luò)監(jiān)控方法

2.1 Snort的主要功能

Snort是Sourcefire開發(fā)的開源網(wǎng)絡(luò)入侵預(yù)防和檢測系統(tǒng)（IDS/IPS）。Snort結(jié)合了簽名、協(xié)議和基于異常的規(guī)范的優(yōu)點，是全球部署最廣泛的IDS/IPS技術(shù)。Snort是一種IDPS（入侵檢測和預(yù)防系統(tǒng)）。主要研究基于簽名的檢測原理和基于異常的檢測，它們有其自身的局限性。在基于簽名的檢測中，Snort將網(wǎng)絡(luò)流量簽名與預(yù)定義簽名匹配，該簽名存在于可以不斷更新的snort的庫或數(shù)據(jù)庫中。當(dāng)基于簽名的檢測與模式匹配時，它提供更好的性能，但它無法檢測在snort數(shù)據(jù)庫中不存在的新的攻擊類型。

Snort是一個現(xiàn)代安全應(yīng)用程序，具有三個主要功能：它可以用作數(shù)據(jù)包嗅探器、數(shù)據(jù)包記錄器或基于網(wǎng)絡(luò)的入侵診斷系統(tǒng)（NIDS）。Snort還有許多附加程序，用于提供記錄和管理Snort日志文件、獲取和維護(hù)當(dāng)前Snort規(guī)則集的不同方式，并發(fā)出警報，以便讓管理員知道何時看到潛在的惡意流量。雖然這些附加組件不是核心Snort套件的一部分，但為安全管理員提供了豐富的各種功能。

2.2 Snort的網(wǎng)絡(luò)監(jiān)控方法

為了配置Snort首先需要訪問，而后將下載Snort，并獲得規(guī)則，下載它。當(dāng)要在視窗機(jī)中安裝snort時，需要Winpcap軟件來捕獲數(shù)據(jù)包。通過C：＼Snort_etc，得到"snort.conf"文件，打開這個文件wordPad，應(yīng)該采取以下步驟創(chuàng)建自己的自定義配置。①設(shè)置網(wǎng)絡(luò)變量。②配置解碼器。③配置基本檢測引擎。④配置動態(tài)加載庫。⑤配置預(yù)處理器。⑥配置輸出插件。⑦自定義規(guī)則集。⑧將預(yù)處理器和解碼器規(guī)則集集中化。⑨自定義共享對象規(guī)則集。

3 ?基于Wireshark的計算機(jī)網(wǎng)絡(luò)監(jiān)控方法

3.1 Wireshark的主要功能

Wireshark是世界上最權(quán)威的network協(xié)議分析儀。它允許在微觀層面上查看網(wǎng)絡(luò)上發(fā)生的情況。它是許多行業(yè)和機(jī)構(gòu)事實上的標(biāo)準(zhǔn)。雖然Wireshark不是IDS或IPS，但它可視為入侵檢測。每個專家信息將包含以下內(nèi)容，chat（灰色）：有關(guān)常見工作流的信息，例如帶有SYN標(biāo)志集的TCP數(shù)據(jù)包;注意（青色）：值得注意的事情，例如應(yīng)用程序返回了"常規(guī)"錯誤代碼，如HTTP 404;警告（黃色）：警告例如，應(yīng)用程序返回了"異常"錯誤代碼，如連接問題;錯誤（紅色）：嚴(yán)重問題，例如"格式錯誤數(shù)據(jù)包"。在TCP連接應(yīng)包含SYN、SYN_ACK和ACK消息序列的Wireshark的chat部分中，可以進(jìn)行入侵檢測。通過chat部分的分析，可以識別DDOS攻擊及其來源IP。通過使用防火墻ACL規(guī)則存在于Wireshark防火墻可以應(yīng)用于任何IP地址，希望拒絕/允許來自該特定IP地址的數(shù)據(jù)包，也通過使用Wireshark顯示兩個或多個不同IP之間的通信。如果TCP流圖中只有SYN消息使用各種端口號從客戶端傳輸?shù)椒?wù)器，并且在兩個IP之間沒有傳輸任何其他消息均值（SYN_ACK和ACK），在此基礎(chǔ)上，可以說未建立連接和攻擊。另一個是通過分析會話部分入侵進(jìn)行識別。網(wǎng)絡(luò)會話是兩個特定終結(jié)點之間的流量。IP會話是兩個IP地址之間的所有流量。Wireshark是一種開放且非常常用的網(wǎng)絡(luò)數(shù)據(jù)包分析器工具，用于捕獲流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包，并以用易于理解的形式呈現(xiàn)它們。

3.2 Wireshark的網(wǎng)絡(luò)監(jiān)控方法

Wireshark有一個相關(guān)規(guī)則，可以根據(jù)用戶指令進(jìn)行配置或編輯。默認(rèn)規(guī)則告訴有關(guān)錯誤數(shù)據(jù)包、校驗和錯誤以及網(wǎng)絡(luò)中分類可能發(fā)生的其他常見數(shù)據(jù)包錯誤。Wireshark具有一些功能，可以幫助入侵檢測。除此之外，還有一個專家信息在Wireshark，它告訴格式錯誤的數(shù)據(jù)包和數(shù)據(jù)包的嚴(yán)重性與數(shù)據(jù)包號碼。檢測可以通過其他方式完成，例如圖形分析，可以在其中找到與哪個IP通信。這也可以通過會話來檢測在兩個系統(tǒng)之間傳輸?shù)臄?shù)據(jù)包和字節(jié)的數(shù)量。

Wireshark是一種非常多用的網(wǎng)絡(luò)數(shù)據(jù)包分析器工具，用于捕獲流經(jīng)在線網(wǎng)絡(luò)的數(shù)據(jù)包，并以易于理解的形式呈現(xiàn)它們。Wireshark可以在不同情況下使用，例如安全操作和學(xué)習(xí)網(wǎng)絡(luò)協(xié)議。

4 結(jié)論

IDS和IPS的主要作用是保護(hù)網(wǎng)絡(luò)安全參數(shù)。不可能建立完全安全的系統(tǒng)，但是，通過部署IDS和IPS，可以保護(hù)系統(tǒng)或網(wǎng)絡(luò)達(dá)到一定或最大的限制。提高網(wǎng)絡(luò)和系統(tǒng)的安全性。同樣，IDS和IPS與其他網(wǎng)絡(luò)設(shè)備（如路由器、防火墻、蜜罐、SIEM）的集成也可以提高效率。IDS和IPS對于保護(hù)SCADA（監(jiān)控和數(shù)據(jù)采集）系統(tǒng)非常有用。在基于行為的檢測中存在一些主要問題，即基于行為的檢測和檢測攻擊，盡管在網(wǎng)絡(luò)外圍部署IDS和IPS可以緩解這種攻擊。另外社會工程攻擊也是一個主要問題，也可以通過提供其它適當(dāng)?shù)姆椒▉砭徑狻?/p>

這是一個技術(shù)時代，技術(shù)在人類生活中扮演著主要角色，對技術(shù)的依賴與日增。技術(shù)是雙刃劍，一方面人們享受著遠(yuǎn)程通信、家庭商店、網(wǎng)上銀行、電子教育、電子票務(wù)等服務(wù)，而另一方面則有人正在使用技術(shù)進(jìn)行錯誤或未經(jīng)授權(quán)的訪問。所以保護(hù)技術(shù)以及網(wǎng)絡(luò)通信系統(tǒng)的技術(shù)是非常重要的。

Wireshark和Snort是網(wǎng)絡(luò)監(jiān)控的有效工具。網(wǎng)絡(luò)監(jiān)控通過Wireshark對入侵檢測非常有用，防火墻ACL規(guī)則可用于入侵防護(hù)，相關(guān)規(guī)則和專家信息在入侵檢測中可以發(fā)揮重要作用。其中Snort工具也是一種強(qiáng)大的入侵檢測和防御系統(tǒng)，可以根據(jù)要求調(diào)整安全策略。

參考文獻(xiàn)：

[1]莫建國.基于TCP/IP的遠(yuǎn)程電源監(jiān)控系統(tǒng)設(shè)計[J].電源技術(shù)，2017（1）：157-158.

[2]王新雷，王玥.網(wǎng)絡(luò)監(jiān)控法之現(xiàn)代化與中國進(jìn)路[J].西安交通大學(xué)學(xué)報（社會科學(xué)版），2017（2）.

[3]陳亞.計算機(jī)智能監(jiān)控系統(tǒng)在現(xiàn)代煤礦生產(chǎn)中的應(yīng)用[J].價值工程，2019，38（28）：289-290.