刘潇潇

（山西大学商务学院，山西 太原 030031）

基于协议解析的网络安全审计系统的设计与实现

刘潇潇

（山西大学商务学院，山西 太原 030031）

随着网络技术的迅猛发展，计算机的应用领域日益扩张，随之也产生了不少网络安全问题。在很多企事业单位，计算机的网络安全问题所引发的事故不在少数。许多计算机虽然在防火墙等安全措施的保护下免遭外界风险的干扰，但是往往无法控制内部安全隐患的出现。本文设计出一套全新的基于协议解析的网络安全审计系统，能够对内网安全提供有力技术服务。

协议解析；网络安全审计；安全防护

1 引言

随着互联网技术的不断突破发展，国家各行业的建设已经离不开计算网络的使用。网络安全问题愈加成为人们更为关心的话题。虽然现阶段，已经出现了大量的防火墙、抗病毒木马入侵等软件或技术措施，为计算机的稳定运行带来了一定的安全保护。但是这些技术的应用往往无法对内部网络的监控或者特殊用户群体的使用发挥更有效的作用，从而导致大量的计算机网络容易受网络内网攻击，安全问题亟待解决。因此，十分有必要针对这样的网络风险，设计出一种可以防范内部攻击的网络安全审计系统。

2 主要研究内容

本文紧密结合网络数据源理论，将采用协议解析的分析手段来设计网络安全审计系统，在客观分析设计需求后，对系统的体系结构进行设计，并完成相应的功能模块的设计，实现在协议层对网络内部资源和人员行为的监控。

3 系统总体设计

3.1 系统项目概述

本次设计的主要目的在于能够对网络内部的协议进行必要的解析，然后通过监控具体的内部网络中的资源分配，加强对服务器数据的防护，防止非法入侵和信息泄露。同时，网络安全审计系统还能够记录不同的用户在计算机上的操作痕迹，对于具体的操作步骤、不同的数据处理历史记录等实行监控，从而限制操作人员的行动，规避内网受攻击的风险。本文主要从网络协议部分展开技术设计，在实现阶段也会对不同网络协议进行操作处理，方便掌握用户操作信息。

3.2 系统设计需求

3.2.1 设计原则

本文中提到的网络安全设计系统的设计基本原则主要有两方面要遵循：

首先，系统的设计要体现模块化。安全审计系统的设计必然需要庞大的数据库信息，同样应该体现必要的层次。一旦不区分层次，不分割模块，当系统出现细小的问题依然需要工作人员对所有的环节和部位都进行检查，影响系统的运行效果，同时发现问题后进行修改也同样存在巨大的麻烦。系统划分模块，便于工作人员在对应的位置查找问题和维修养护，提高工作效率。当然，模块化的设计，还有利于企事业单位的技术人员变动后不会对网络安全造成影响。

其次，系统的设计要便于扩展。系统的设计和实现一般都会体现出动态化的更新状态。因此在系统实现后，不会将所有的网络应用层协议都完全解析，应该将设计中的部分端口设计成方便扩展的结构形式，以便在更改内容后能够调整

协议的解析内容。

3.2.2 系统需求分析

本文设计的网络安全审计系统按照需求而言，主要体现两方面的功能，对应于设计完成两大功能模块。

第一，审计控制界面。对这一功能的具体需求分析包括：

（1）具备套接字socket的处理功能，实现控制界面与其他功能模块之间的通信联接。

（2）控制界面还能与数据库实现联接，从而存放安全审计数据。

（3）具备对审计事件的记录、显示、查询等服务功能。

（4）界面能够配置不同的审计策略，并对策略展开有效管理。

第二，审计引擎。对这一功能的具体需求分析包括：（1）具备套接字socket的处理功能，实现审计引擎与控制界面模块之间的通信联接。

（2）对网络内部的数据审计后能够获得数据包。

（3）系统的协议解析功能主要体现引擎对OSI结构的传输层、IP层、以太网层等协议解析。

（4）向控制界面反馈处理结果。

3.3 结构设计

由上文可知网络安全审计系统由两部分构成。在实际运用中，两大部分的功能可以在同一个主机上完成，也可以分立于两个主机单独体现。如图1所示为系统的结构设计图。

当然，图1所示的功能运作流程可简述如下：

第一，在审计工作之前，技术人员将审计策略以数据形式存于数据库中。一旦需要审计，则会将审计策略按一定配置规则重组后，通过两功能模块的socket链接传递到审计引擎中。

第二，审计引擎在获得审计策略后，根据策略的规则开始对网络内部的各种数据进行解析。解析完成的数据又会经过socket端口重新到审计控制界面中，完成上报。

第三，审计控制界面在收到信息数据后，就将一一显示数据分析结果，相应地内容还会存入到ACCESS数据库中。提取必要的数据包进行分析后，以不断解析的方式来判断用户是否出现内部入侵的违规行为。

图1 系统的体系结构设计图

3.3.1 系统审计控制界面的结构分析

本文设计的网络安全审计系统所具备的审计控制界面可以由前文的模块功能设计需求分析而得知。通过微软基础类库MFC的单文档视图理论可以得到具体的界面结构层次图如图2所示：

图2 系统审计控制界面模块结构视图

综合分析后，本文将系统的控制界面设计成7个功能化的模块，分别具有不同的功能，采用ACCESS数据库作为介质对模块之间进行连接。图2中，我们将7个模块分别标记为①-⑦，则对应标号的模块功能具体介绍如下:

(1)初始化模块。确保系统识别逻辑定义后开始运行前要进行初始化，从而积极优化数据库信息，确保运行环境的状态正常。

(2)视图切换模块。此功能中，界面有时会用到多窗口信息查看，这时就必然需要对窗口进行管理，方便最小化和最大化，方便不同窗口的前置切换。

(3)新建策略模块。当计算机用户在完成对不同的审计状况配置不同策略后，需要借助此功能来完成对审计策略的操作，积极建立与数据库的实时链接，下发策略到ACCESS数据库中。

(4)已建策略操作模块。对于机已经配置完成且存储于数据库中的审计策略，控制界面中的策略处理功能可以按照

用户的指令对策略进行修改或删除，同时也可以实现对采用新建模块未完成的策略进行删除。

(5)事件显示模块。此模块能够将审计引擎功能模块中产生的数据流实时记录后传递到控制界面上，从而完成同步化的操作。

(6)事件查询模块。对于来自审计引擎的事件，用户有时需要进行回放或复查，在对数据进行配置修改中方面查询操作。

(7)套接字通讯模块。在此模块中，通过控制套接字socket，能够实现对控制界面与审计引擎之间的审计策略的产生与传递、输入与输出过程管理。

3.3.2 审计引擎结构

通过前文的系统设计需求分析，我们明确了审计引擎的结构设计应采用层次化的思想，建立具有明确功能的模块，通过分析和对比，本文将采用VC++语言来实现模块的对应功能。针对网络安全审计系统的审计引擎功能模块而言，其重点任务首当其冲的就是抓取在互联网中的数据信息。在互联网中，数据信息的传输基本都采用TCP/IP协议的信道争用技术来完成。因此，将已经连入互联网的主机作为实验对象来处理，修改其网卡的工作模式，按照监听模式运行后，就可以获取此刻处于相同地址冲突的数据包。通过分析，本文选择使用WinPcap手段来实现对审计引擎功能的数据抓包。一旦数据抓包成功，审计引擎就会在OSI七层网络模型中从以太网层开始向着应用层等不同的公共网络层展开解析。在解析的过程中，还同时进行其它操作，这些操作都需要具体的模块来实现快速跟踪处理。一旦完成从以太网层到应用层的层次解析后，审计引擎就会将结果上传到控制界面，通过其它的功能模块来完成对审计结果的组织包装，这些组织包装的过程中同样需要按不同网络协议来设置形式。

根据上文提到的具体需求，审计引擎的功能一般按9部分来划分模块。其不同模块的不同功能介绍如下：

(1)模块一就是实现数据抓包的模块，通过这样模块的设计，内部互联网中的数据流通过使用WinPcap手段被提取。

(2)模块二就是在获得足够多的数据包后，及时在网络结构层的不同层次之间进行数据解析。这些抓取数据属于原始数据，需要在必要的函数处理中，以相应的分量来解析协议变量，从而实现解析函数的不同应用层之间的调动。

(3)在IP地址的解析模块中，模块需要分析IP地址是否需要重组，也需要使用必要的函数处理完成解析操作。以相应的分量来解析协议变量，从而实现解析函数的对应应用层之间的调动。

(4)此模块是用户数据报协议的解析模块。当完成IP地址的数据包解析后就需要开始对用户数据报协议(UDP)的数据包进行解析操作，需要在必要的函数处理中，以相应的分量来解析协议变量，从而实现解析函数的对应应用层之间的调动。

(5)这一模块是传输控制协议解析模块。当完成用户数据报协议的数据包解析后，数据将输出到传输控制协议(TCP)部分，TCP解析模块需要阻挡传输控制协议的不完全连接，同时积极重组。对网络协议上一层解析模块传入的数据进行解析，以相应的分量来解析协议变量，从而实现解析函数的不同应用层之间的调动。解析完成后，数据传输给应用层。

(6)用户数据报协议的解析模块和传输控制协议解析模块中所需的配置策略，需要由特定的模块来提供验证服务等匹配动作，这些匹配动作的实现由本模块完成。

(7)在完成传输控制协议解析模块的数据解析后，需要对应用层进行解析。本模块将借助前面几层的解析数据展开复杂函数的调用，从而实现应用层的协议解析。

(8)当应用层完全完成数据解析后，产生的各个分量应该以特定的格式组合后，形成完整的审计事项。

(9)套接字Socket处理模块的应用，能够接收到由审计引擎完成的审计策略并传送到控制界面。当然，套接字Socket还应该对各种策略数据进行组合包装，将组合形成的完整审计事项以Socket方式发给控制界面。

4 结束语

网络安全审计系统的设计，基于协议解析的数据分析手段具有重要的意义。它是对常规的网络安全手段的一种扩展和补充，能够有效缓解当前所面临的网络安全危机，从内部网络资源和内部人员的操作活动监控入手实现对内部风险的防范和控制。本文设计审计系统后，描述了系统的重点结构和建造过程，阐述了不同模块的基本作用与实现方法。监控内网安全操作问题可以有效降低网络中的数据信息泄密的概率。相信在不久的将来，会有更加强大和完善的网络安全审计系统问世，为网络安全提供更多的帮助。

[1]陈泉清．基于协议解析的网络安全审计系统的设计与实现[D]．电子科技大学，2014．

[2]陈敬森．运用协议解析的网络安全审计系统的研究[J]．信息与电脑(理论版)，2016(7)．

[3]张运明．协议行为审计关键技术研究与实现[D]．国防科学技术大学，2010．

Design and Implementation of Network Security Audit System Based on Protocol Analysis

Liu Xiaoxiao
(Business College of Shanxi University,Taiyuan 030031,Shanxi)

With the rapid development of network technology,the application of computer is increasingly expanding,and it also produces a lot of network security issues.There are not a few accidents caused by computer network security problems.Although many computers can escape from the external risk of interference under the protection of firewall and other security measures,they can’t control the emergence of internal security risks.This paper designs a new network security audit system based on protocol analysis,which can provide powerful technical services to network security.

protocol analysis;network security audit;security protection

TP393.08；TP311.52

A

1008-6609(2016)07-0018-04

刘潇潇，女，河南永城人，硕士，讲师，研究方向：网络与信息安全。

山西省软科学研究项目：＂山西政府行业信息安全风险评估及对策研究＂，项目编号：2015041002-1。