蔡　隽， 王雪银

(国家计算机网络应急技术处理协调中心 海南分中心， 海口 570206)



代理网络检测及管控技术研究

蔡隽， 王雪银

(国家计算机网络应急技术处理协调中心 海南分中心， 海口 570206)

介绍了第三方代理软件的工作原理，并结合特征匹配技术、行为检测技术及人工探测技术，建立了一种代理网络检测及管控系统模型。该系统可自动检测出代理网络，实现对代理服务器IP的管控。系统试运行后监测结果可靠，对网络环境起到了较好的净化作用。

代理网络；特征匹配；行为检测；管控技术

近年来，各种网络不良信息泛滥，管理人员不得不实施各种管控手段，对网络环境进行净化[1]。不良信源编造者为了反制管控，通过不断发布和更新各种第三方代理软件，企图绕过网关管控，达到扩大敏感有害信息传播面的目的。本文对此类软件的相关原理和特征进行分析，提出了一种有效的检测方法，并采取必要的管控措施，为提升网络信息安全管理水平发挥了作用。

1　第三方代理软件工作原理

基于代理技术的第三方软件工作原理是在代理软件客户端对远程不良信源目标网站提出浏览需求时，代理程序在当前服务器寻找远程网站的网址，找到目标网址后马上将网站数据返回用户的浏览器客户端。大部分代理服务器都具有缓冲的功能[2]。如果当前服务器中没有该远程服务器的缓存，代理程序则自动读取远程网站，将远程网站的资料提交给客户端，同时将资料缓存供下次浏览之用，而且代理程序会根据缓存的时间、大小和提取记录自动删除缓存。基于代理技术的代理软件工作拓扑图如图1所示。代理用户、代理服务器及远程目标网站共同构成了代理网络。

2　检测及管控技术

2.1特征匹配检测技术

由图1可知，代理服务器获取远程目标网站不良信源后会将网站数据返给代理用户的浏览器客户端。这一过程必定带有某些特征，因此，可获取这些特征，并建立相应的特征库[3]。对流经检测系统的数据流进行特征匹配，对于匹配上的数据流，可以进一步采用行为检测方法来确定是否有用户确实在使用代理工具并浏览远程敏感不良信息网站。

特征匹配技术的前提是建立代理软件特征库。代理软件特征库的数据特征来源于代理用户与代理服务器的通讯报文各协议层的特征、应用协议设计的缺陷和漏洞等。当数据包来到时，该技术将数据包与特征库中的规则进行匹配，对命中的数据包提取IP地址、端口、协议及数据等相关信息。这样就能更进一步确定是否有用户使用代理软件，并进一步采取后续措施。

建立特征库的具体过程如下：首先利用各种抓包工具(如wireshark或packetyzer等)分析代理用户与代理服务器间的通讯报文，从这些报文中提取特征，形成特征库；然后根据建立起来的特征库，检测流经检测设备的数据流，快速识别出代理网络数据流，提取数据流的IP地址、端口、协议及数据等相关信息，并将信息发送到特征模块内相应的综合业务处理单元，以此探测、跟踪Internet上的代理用户IP地址及代理服务器IP地址，并把所提取的相应代理信息写入数据库。其工作流程如图2所示。

图1　基于代理技术的代理软件工作原理

图2　特征检测流程图

2.2行为检测技术

代理网络行为检测是对上述报文特征匹配或者是在特定情况下对某些IP地址进行重点监控。这些IP通常是在多次访问境外网站时被防火墙或其他检测设备加入的黑名单，或是人工添加的IP地址。

由代理技术原理、代理用户行为特征及自相似原理[4]得知，代理IP地址与各代理用户请求者IP间，在运行同一代理工具时接收或发送的数据包常常在分组大小、协议类型及端口等诸多方面具有某种特定的相关性。因此，对具有相同统计特性的IP可进行重点监控，监控与这些IP通信的对端IP地址和端口。

如果确实有N(该阈值可以根据情况进行设定)个被监控的IP在与某个IP通信，该IP使用的端口号又不是80、53、21、20、25、7 000等知名端口，那么可以确定该IP为疑似代理工具所使用的代理服务器IP地址。因此，可提取该代理IP地址和端口以及与该IP端口通信的通讯报文信息，并将其存入数据库，同时采取必要的管控措施。该行为检测流程如图3所示。

图3　行为检测流程图

2.3辅助探测技术

对于上述两种技术结合起来检测出的代理网络，还可以进一步采取人工辅助探测技术进行探测。该技术主要是向被怀疑为代理服务器的代理主机发送特定的报文，检查主机的响应报文，以便进一步证实所检测出的网络是否确实为代理网络。

2.4代理网络检测及管控系统模型

综合以上论述，构建出图4所示的代理网络检测及管控系统的模型。代理网络检测系统部署在Internet

的国际或省网出入节点上，它由代理网络主要检测及管控系统、代理网络辅助检测系统两部分组成。其中代理网络主要检测系统由代理网络报文特征检测模块、代理网络报文行为检测模块、代理网络信息查看模块和信息存取模块组成，分别负责代理网络的特征检测、行为检测、系统与用户交互及信息存取。代理网络辅助检测系统主要是向被怀疑为代理或控制者的主机发送特定的报文，检查主机的响应报文[5]，以便于人工分析，并根据数据库中存取的代理网络信息以及人工辅助探测结果，最终决定是否采取管控措施。

图4　代理网络检测及管控系统模型框图

3　运行效果分析

该检测与管控系统被部署在某省网出入节点上进行试用，在试用过程中能够准确检测出所有用于测试而构建的代理网络，但实际应用场景中代理网络的自动检测结果还存在一定误判，辅之以人工辅助探测后，在很大程度上可以降低误判率，进而提升检测结果的准确性，在实际管控中起到很好的网络环境净化效果。

4　结　语

本文所设计的检测与管控系统能自动检测出代理网络并对代理服务器IP采取相应的限制措施，同时通过人工辅助探测方法，可确保监测结果的可靠性。该系统灵活性强，实时性好，可以减少误管控。存在的不足是需要人工对代理软件进行预分析并提取相应特征，不断更新代理网络特征库。在实际操作中，针对特定IP的管控，下一步考虑增加DNS管控模块，以完善系统的性能。

[1]拜路.典型翻墙软件的网络通信特征分析[J].消费电子，2012(8X)：64.

[2]杨延双，张建标，王全民.TCP/IP协议分析及应用[M].北京：机械工业出版社，2007.

[3]官国静.典型翻墙软件的网络通信特征研究[J].信息安全与通信保密，2012(2)：67-68,72.

[4]何慧，张宏莉，张伟哲，等.一种基于相似度的DDoS攻击检测方法[J]. 通信学报，2004，25(7)：176-184.

[5]蔡隽，童峥嵘. 浅谈僵尸网络及其检测方案的研究[M].北京：电子工业出版社,2007.

(责任编辑：王长通)

Research on Agent Network Detection and Control Technology

CAI Jun, WANG Xue-yin

(China Hainan Sub Center， National Computer Network Emergency Response Technology Coordination Center, Haikou 570206, China)

This paper introduces the working principle of the agent software.With the combination of feature matching technology, behavior detection technology and artificial detection technology, a system model to monitor and control the agent network is established.The system can automatically detect the agent network, and achieve to control the proxy server IP.The experiment results show that the trial operation of the system is accurate and reliable, able to meet the needs to purify the Internet.

agent network; feature match; behavior detection; control technology

2016-05-30

蔡隽(1978-)，女，工程师，主要研究方向为网络与信息安全。

1671-6906(2016)04-0091-04

TP393

A

10.3969/j.issn.1671-6906.2016.04.019