谭　宁

[摘要]针对目前网络终端监控软件存在的一些问题，提出改进的网络终端监控系统模型，设计监控客户端、服务器端的功能模块。

[关键词]网络终端 监控系统 客户端 服务器

中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0520065－01

目前，网络的安全防御主要侧重于保护网络与网络之间的安全，而网络内部的终端安全也是非常重要的。特别对于局域网和企业内联网，一方面需要保护网络内部合法用户的安全，另一方面还需要监控网络中非法用户的越权操作、上网情况。故提出网络终端监控系统（Network Terminal Monitoring Systems，NTMS）模型，并在此模型基础上对网络监控系统进行模块划分和模块设计。

一、NTMS模型设计

网络终端监控系统模型致力于解决目前大多数网络终端监控软件存在的两个问题：第一，监控客户端显式运行，容易被破坏；第二，监控双方采用明文传输，容易被截获破解。该系统设计了一个监控网络内部各节点主机关键信息的网络终端监控系统，采用C/S结构，客户端运行在各主机节点上、负责收集主机上的关键系统信息，然后发送给网络内的服务器端，由服务器端收集并整理这些信息，为进一步分析提供数据支持。

网络监控系统基于同一个网络内，监控各节点主机的关键信息。网络通过装有防火墙的路由器与因特网相连。汇集到监控服务器的节点信息可以作为网络管理员的分析来源，也可以作为入侵检测系统或者相关部门取证的数据输入。

系统主要应用于内部局域网，体系结构采用得到广泛应用的C/S结构。本系统分为两部分：监控客户端和监控服务器端。监控客户端隐蔽的运行于网络各台主机上，将主机有关信息发送给监控服务器端。监控服务器端独立运行于网络某台单独的主机上。

1．客户端运行着监控驱动程序，它是整个系统的数据源，由于采用了进程隐藏技术，使得监控程序能够防止被强行结束，从而保证监控的连续性和可靠性。

2．为了减轻客户端的负荷以及出于安全方面的考虑，系统采用集中式的数据管理办法，统一进行数据的管理和汇总，这样维护数据的完整性和稳定性变得容易许多，同时有利于服务器端快速的检索和显示数据。

3．从总体结构上看，本系统可以分为两大部分：客户端和服务器端。服务器端从层次上看有二层结构：进行数据处理和维护的后台，数据显示和汇总的前台。这样结构的一个明显的好处是模块独立化，符合软件工程的高内聚、低偶合的开发模式。一旦其中的一台计算机出现错误，不会影响其他机器数据的准确性。前台的主要作用就是对特定的数据进行不同方式的显示，即根据不同的查询要求显示相应的记录、各类数据的汇总，后台主要完成对前台的支持，包括数据的完整性约束、增加新的客户端、对各种数据进行建档、运行时的维护管理、系统维护等。通过这样的处理，能够大大降低客户端的负荷，使之工作效率提高，运行稳定。即使监控端和其中的一台计算机之间的通信过程中发生错误，也不会影响到其他客户端计算机的运行，使各个客户端的运行相互独立，从而更好地提高系统的稳定性。

二、NTMS结构设计及功能模块

NTMS划分两个部分：服务器端、客户端。服务器端主要包括安全监控模块、即时通信监控模块、信息显示模块、集成工具模块和中心数据库。客户端包括通信模块和隐藏模块。下面将详细介绍各个模块的功能。

（一）服务器端监控模块

1．安全监控模块包括：局域网扫描处理模块、端口汇总处理模块、过滤分析处理模块、日志处理模块、防火墙处理模块等。通过监控服务器对局域网内所有流入和流出的IP地址、端口进行动态分析，根据端口和流入和流出的数据包分析异常，判断是否非法操作。按IP地址进行端口汇总查看非法使用的网络进程。对异常的IP地址可以单独分析，判断非法操作的主要对象。可以利用防火墙对端口和地址进行封锁。2．信息显示模块包括：抓屏处理模块、客户端锁定模块、通信处理模块、客户端管理模块等。主要定期监视客户端，对流量发现异常，进行远程抓取客户端直接查看屏幕，若发现非法使用，用消息模块发出警告提示，若不理会，那就锁定客户端或者远程关闭客户端。3．即时通信模块。主要针对在非正常时间使用如QQ、MSN等进行内容和消息捕捉等。4．集成工具模块包括：路由测试和联通测试。利用些工具对本地局域网测试连通性和远程网络路由的功能测试，使管理员能快速找到网络故障的原因。5．中心数据库。主要对产生的各种数据进行存储和管理，是系统监控数据的存储中心。

（二）客户端监控模块

客户端由消息部分、本地接受服务器发的请求处理模块组成，通过这些功能表之间的相互作用，可以保证整个系统完整性。客户端主要包括以下几个部分：1．信息捕获部分：主要负责收集主机上的关键系统信息；2．通信模块：主要功能是接受服务端发送来指令或消息，做出相应的回应，如锁定/解锁、关机等指令，同时实现与服务器端之间加密通信；3. 隐藏模块：主要负责客户端的自动加载和对应进程自动隐藏。

三、系统的运行环境

1．硬件环境。主要对服务器发出的指令做出回应，如锁定/解锁、关本系统采用基本的C/S结构，客户端和监控端对硬件没有什么特殊要求，由于整个系统运行在基于TCP/IP协议之上，因此两端的计算机必须都安装网卡并且能够正常工作。在经济条件允许的条件下，监控端应该采用高性能的机器配置，因为数据的统计处理都是在监控端完成的。由于本系统从总体上来说对机器的硬件配置要求不高，因此有着更广泛的适用空间。

2．软件环境。无论是客户端还是监控端都要求操作系统的版本要达到WinNT/Win98/ Win2000/WinxP以上，对保存图像结果的是ACCESS2000实现的，因此监控端必须安装OFFICE。

3．系统的开发工具。在系统需求已经相对确定的情况下，开发工具的选取将会对整个系统的开发效率和周期产生非常重要影响）合理选择开发工具将会提高开发效率，降低开发成本，提高系统稳定性，同时使系统的维护更加容易。

由于产生的数据类型相对简单，本系统的后台数据库采用了Access，这样可以使得操作数据库简单方便。无论客户端和监控端的开发，都需要直接调用大量系统提供的API，为了整个系统开发的一致性和后续开发的连贯性，所有的模块设计和开发完全采用VB6.0来实现。可以方便快捷地调用Windows系统提供的各个接口函数，还可以充分利用模块化的思想来构建整个系统的架构。由于系统开发过程中各个模块的实现是基于组件形式分别来完成的，所以后继开发和维护都较方便。

参考文献：

[1]商诺诺、周欣明、王东，计算机网络安全及防范策略探讨[J].黑龙江科技信息，2008（9）.

[2]陈斌，计算机网络安全与防御[J].信息技术与网络服务，2006（4）.

[3]戴玉洁，关于网络入侵检测系统的技术改进[J].福建电脑，2007（02）.

作者简介：

谭宁，男，汉，淄博职业学院信息工程系，副教授，研究方向:计算机网络。