基于SNMP协议的网络监控安全审计系统的设计与实现

《基于SNMP协议的网络监控安全审计系统的设计与实现》由会员分享，可在线阅读，更多相关《基于SNMP协议的网络监控安全审计系统的设计与实现（94页珍藏版）》请在装配图网上搜索。

1、基于SNMP协议的网络监控安全审计系统的设计与实现 南京航空航天大学 硕士学位论文 基于SNMP协议的网络监控安全审计系统的设计与实现 姓名：安洁 申请学位级别：硕士 专业：计算机科学与技术 指导教师：高航 2011-03 南京航空航天大学硕士学位论文 摘 要 随着信息技术的迅猛发展，网络信息安全问题日益突出，单靠某一种安全技术和设备已无 法保障网络的安全，且防火墙和入侵检测等传统的安全技术并不完善，其本身存在一定问题。 在下一代网络安全技术中，网络监控和安全审计是两个重要的技术，对解决网络安全问题具有 重要意义，论文将利用网络监控技术与安全审计技术相结合的方法来解决网络安全问题。 论文以德讯

2、信息系统的“网内监控审计”项目为背景，深入研究和分析了网络安 全审计系统和网络监控技术，以网络设备和网络数据包为审计对象，设计实现了一个结合 SNMP 协议管理、网络监听、网络审计等技术的多层次网络监控安全审计系统，并为系统设计了一种 结合 SNMP 协议管理模型和网络监听技术进行网络数据采集的方法，该方法改进了 SNMP 管理 模型中的报文收集模块，采用具有 BPF 过滤机制的 Libpcap 函数库来实现数据报文的高效捕获， 同时还实现了更多网络数据报文的旁路式监听。针对系统的实际情况，论文对 Sunday 模式匹配 算法进行改进，以提高关键字的匹配效率，从而提高原始审计数据的过滤速度和事

3、件分析模块 的分析效率。此外，为了减少轮询时对网络性能的影响，本文采用动态轮询算法来实现 SNMP 轮询，根据网络的实际情况来动态生成 SNMP 轮询周期。 论文实现的系统，有机结合了 SNMP 数据采集方式和网络监听技术来实现审计数据的采集， 保证了抓包的高效性，扩大了网络审计源，加强了审计力度，同时避免了现有的多数网络安全 审计系统只提供单一角度审计分析的问题。此外，该系统能对审计数据进行事件危险级别进行 分析，并能根据审计事件的危险级别提供不同的审计响应。本文所有模块采用 C/C+语言编程 实现，并已在德讯信息测试通过并已投入使用。 关键词：网络安全，安全审计，网络监控，网络监听，SNM

4、P I 基于 SNMP 协议的网络监控安全审计系统的设计与实现 Abstract With the development of the imformation techniques, the security problems of network become increasingly serious, Its not enough to assure the networks security using only a single safety technology and equipment. Moreover the common techniques, such as FireW

5、all and IDS, all have limitations. So Network Monitoring and Security Audit are beneficial complements to traditionary security technologies.Under the theory about NGN, this paper proposes a method combining Network Monitoring and Security Audit to solve the security problem of network. Seting in th

6、e ICA project of Dacent, this paper researched and analysed NAS and Network Monitoring technology, and then designed and implemented a Network Monitoring and Security Audit system combining SNMP management, Network Sniffing and Network Audit technology. It improved the network datagram collection mo

7、dule, using Libpcap Library to realize the efficient datagram capture and capture more network datagram. And then, for improving the efficency of audit datas filtration velocity and the analysis efficient of audit events, it improved the Sunday algorithm.Whats more, the paper using dynamic polling a

8、lgorithm to realize SNMP polling. It can dynamically generate SNMP polling cycle based on the network situation and can reduce the impact on network performance when polling. The system in this paper combined with SNMP data collecting methods and network sniffing technology to collect the audit data

9、. It ensurs the efficiency of the datagram capture, enlarges audit sources, reinforces the audit and avoids the problem that only auditing and analyzing single aspect in the intranet. Besides, the system can analyze the audit events and make audit response to different events danger level. In this p

10、aper, every module is realized with C/C+ language, and the effectiveness and accuracy of this system were proved by testing and using results. Key words: Network Security; Security Audit; Network Monitoring; SNMP; MIB Base II 南京航空航天大学硕士学位论文 图表清单 图 1. 1 P2DR安全模型. 1 图 1. 2 下一代网络安全技术体系. 2 图2. 1 SNMP 五种

11、基本报文操作 . 10 图2. 2 树型结构示意图.11 图2. 3 SNMP 管理模型. 13 图2. 4 DLPI 架构. 15 图2. 5 BPF 架构. 16 图3. 1 两种包过滤模型比较. 19 图3. 2 Libpcap 工作流程. 20 图3. 3 网络数据封装示意图. 21 图3. 4 以太网数据帧封装格式. 21 图3. 5 IP 报文首部结构 . 22 图3. 6 UDP 首部结构. 23 图3. 7 TCP 报文首部结构. 23 图3. 8 SNMP 基本报文格式 . 24 图3. 9 SNMPv2 修改报文格式 . 24 图3. 10 SNMPv3 报文格式 . 24

12、 图3. 11 SNMP 管理站通过 SET 控制设备过程 . 26 图3. 12 Sunday 算法移动. 29 图4. 1 系统功能模型.33 图4. 2 系统结构图.35 图4. 3 审计事件提取功能模型.36 图4. 4 SNMP 协议各对等层逻辑通信 .37 图4. 5 SNMP 轮询流程 .39 图4. 6 SNMP 报文发送流程 .40 图4. 7 数据采集流程.41 图4. 8 各层协议提取流程.42 图4. 9 函数调用关系.43 图4. 10 审计数据存储流程图.48 图4. 11 系统部署环境.50 图4. 12 FTP 会话内容审计 .51 V 基于 SNMP 协议的网

13、络监控安全审计系统的设计与实现 图4. 13 FTP 会话过程审计.52 图4. 14 FTP 操作指令审计.52 图4. 15 FTP 操作过程审计.53 图4. 16 HTTP 审计日志.53 图4. 17 SNMP 审计日志.54 图4. 18 SNMP TRAP 审计日志.55 图4. 19 审计告警日志.56 图4. 20 轮询统计图.57 表 2. 1 几种主流安全技术的比较.7 表 2. 2 指标与对应的 MIB 对象 .12 表 2. 3 SNMP TRAP 告知事件描述.14 表3. 1 动态轮询参数定义.27 表 4. 1 T_BH_AUDIT_FTP_SESSION（FT

14、P 会话日志）.46 表 4. 2 T_BH_AUDIT_FTP_CMD_yyyymm （FTP 操作命令表）.46 表 4. 3 T_BH_AUDIT_HTTP_yyyymm （HTTP 审计日志） .47 表 4. 4 T_BH_AUDIT_SNMP_yyyymm （SNMP 审计日志）.47 表 4. 5 各时段内轮询次数统计.57 VI 南京航空航天大学硕士学位论文 注释表 英文缩写 英文全称 中文全称 SNMP Simple Network Management Protocol 简单网络管理协议 BPF Berkeley Packet Filter 伯克利数据包过滤器 NGN Ne

15、xt Generation Network 下一代网络安全技术 P2DR Policy 、Protection 、Detection and Responde 动态网络安全模型 DOD the Department of Defense 国防部 HAS Host-based Security Audit 主机安全审计 NSA Network-based Security Audit 网络安全审计 MIB Management Information Base 管理信息库 USM User-Based Security Model 基于用户的安全模式 SMI Structure of Manag

16、ement Information 管理信息结构 OID Object Identifier 对象标识符 CSMA/CD Carrier Sense Multiple Access/Collision 载波监听多路访问/冲 Detectioon 突检测 DLPI Data Link Provider Interface 数据链路提供者接口 CFG Control Flow Graph 可控制流图 MTU imum Transmission Unit 最大传输单元 BER Basic Encoding Rules 基本编码规则 SPAN Switch Port Analyzer 交换分析端口 V

17、II 承诺书 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进 行研究工作所取得的成果。尽我所知，除文中已经注明引用的内容外， 本学位论文的研究成果不包含任何他人享有著作权的内容。对本论文所 涉及的研究工作做出贡献的其他个人和集体，均已在文中以明确方式标 明。 本人授权南京航空航天大学可以有权保留送交论文的复印件，允许 论文被查阅和借阅,可以将学位论文的全部或部分内容编入有关数据库 进行检索，可以采用影印、缩印或其他复制手段保存论文。 保密的学位论文在解密后适用本承诺书 作者签名： 日 期： 南京航空航天大学硕士学位论文 第一章 绪论 1.1 研究背景 在全球网络信息技术高度发达的今

18、天，社会各方面对网络和信息技术的依赖性不断加强， 以网络方式获取信息或交流信息已成为现代信息社会的一个重要特征，网络正逐步改变我们的 生活方式和工作方式。但与此同时，网络信息安全问题也日益突出，网络安全威胁不断以形形 色色的形式攻击着网络安全，给网络带来不同程度的负面影响，如：电脑黑客的活动形成了重 要威胁；计算机系统感染病毒和被破坏的情况严重；信息基础设施面临着网络安全问题的挑战； 信息系统在预测、反应、防范和恢复能力方面存在诸多薄弱环节；各企业和政府机关网络安全 意识薄弱等14 。很显然，网络安全性目前已经成为阻碍信息化进程的重要因素之一，且其影响 从互联网领域逐步扩大到政府、通信、广电、

19、金融、电力、交通等应用和领域建设。因此能够 解决和缓减网络安全威胁的网络安全技术就越来越被重视。 网络安全从本质上讲是指网络上信息的安全，包括网络系统的硬件、软件及系统中的数据 安全，同时网络信息的传输、存储、处理和使用也要处于安全状态，网络信息安全具有保密性、 完整性、可用性、可控性、可审查性的基本特征。近 20 年以来，随着网络技术的大规模应用， 网络安全技术有了长足的发展，网络技术的发展经历了两个阶段：经典网络安全和下一代网络 5 安全技术 。 经典的网络安全技术的基本特点是从网络安全威胁出发，有针对性地解决网络安全问题， 经典网络安全技术大致有以下几类：密码、密码协议和认证技术，防火墙

20、技术，虚拟专用网， 5 检测、扫描技术，监控、审计和信息过滤 。 防护 策略 反应 检测 图 1. 1 P2DR 安全模型 而下一代网络安全技术既吸纳了传统网络安全技术中最精华的部分，也发展了大部分有价 值的方法，同时又创新了许多新的问题解决思路。下一代网络安全技术解决网络安全问题的基 本思想是从网络的业务和结构出特点出发，以综合增强网络系统的安全性能为目的。它采用了 1 基于 SNMP 协议的网络监控安全审计系统的设计与实现 6 P2DR 动态安全模型（Policy Protection Detection Response,如图 1.1 所示） 为理论模型。 该模型的基本描述为：安全 风险

21、分析+执行策略+系统实施+漏洞检测+实时响应。该模型强调系 统安全的动态性，以安全检测、漏洞检测和自适应填充“安全间隙”为循环来提高网络安全， 特别考虑管理的因素。 网络安全管理 网络安全设备 安全网络设备 针对性网络安全防范技术 图 1. 2 下一代网络安全技术体系 下一代网络安全技术体系结构包括如图 1.2 所示，图中 4 类解决网络安全的技术代表下一 代网络安全技术的 4 类相辅相成的不同思路。网络安全设备技术是从网络系统不同环节，以专 用安全设备和安全系统的形式解决安全问题；安全网络设备技术则立足在原有网络设备的基础 上，增强网络设备自身的安全能力，必要的时候增加相应的安全模块，从而提

22、高网络系统整体 的安全性，使网络建设从设计开始就尽可能成为安全的网络；针对性网络安全防范技术则是针 对少数威胁大，易于实施却难以防范的安全攻击手段的专用技术；网络安全管理技术指在网络 安全领域应用管理的概念，通过管理一系列与网络安全相关的因素，如：网络设备、安全威胁、 业务等，来保证整个网络系统在安全、可控的状态下运作。可以看出这四类解决思路中，前三 种是经典网络安全技术的延伸，同时也成为下一代网络安全技术的重要基础，而网络安全管理 则是下一代网络安全技术的核心。 网络管理技术是网络维护的核心技术之一7，网络安全管理技术则是在更高层面上安 全的层面上实现网络管理和维护的技术。网络安全管理技术通

23、过结合多种网络安全技术和网络 安全设备，使得目标网络系统能安全、合理、有效和高效的运作和被管理。因此，一般意义下， 为了实现对企事业内部网的安全保护和管理，网络安全管理技术需实施多层次的安全防护策略， 并在企业内部网中应用入侵检测技术、访问控制系统、异常流量检测技术等网络安全技术，使 得各种网络安全技术在统一的管理下相互配合、互为辅助，实现对网络安全行为以及网络性能 的检测和控制，从而形成一个安全策略集中管理、安全检查机制分散部署的分布式安全防护体 系结构。因此，安全网络管理技术的实现是多种网络安全技术和集中管理的融合，其中较重要 的是监控和审计。 监控和审计是网络安全管理中最重要的两个网络安

24、全技术，其目标是通过对网络通信过程 2 南京航空航天大学硕士学位论文 中可疑、有害信息或行为以及网络设备的性能状态进行纪录，以为事后网络安全分析和处理提 供依据，一方面，在企事业单位内部网中能提供强有力的网络安全状态信息，另一方面，对计 算机网络犯罪人员形成一个强有力的威慑，从而最终达到从各个方面提高网络系统整体安全性 的目的。局域网监控系统是网络监控系统中的一大类。局域网监控能够提供一套较好的内网行 为监控的机制，可以有效阻止来自内网的安全威胁。不同企事业单位和不同性质的网络所提供 的服务和业务之间差别很大，可能网络安全威胁不尽相同，这就需要网络监控技术针对不同的 业务特性进行具体的监控。网

25、络监控技术的专业特性很强，不同的局域网监控系统，其表现功 能可能完全不一样。 论文针对银行、电力系统等企事业单位，结合 SNMP 管理模型和网络监听技术来采集审计源 数据，设计实现了一个支持多层次审计的网络监控审计系统，该系统已在德讯信息系统有限公 司测试通过并已投入使用。 1.2 本文研究的主要工作 本文的研究目标是以德讯信息系统 ICA 项目组的网内监控审计系统项目为背景， 通过对现代网络安全审计系统和各种网络监控技术的研究，设计实现了一个基于 SNMP 协议管理 模型的、多种网络监控手段相结合的、能进行多层次审计的网络监控安全审计系统。系统结合 实际需求，对 SNMP 管理模型做了改动，

26、有机结合了网络监听技术，在 SNMP 管理模型中的监 听模块中采用 BPF 数据捕获机制来实现对更多网络数据报的监听，以获得更多的审计数据源， 扩大了审计数据源的采集力度，同时，本系统通过对 SNMP 轮询策略的改进，有效的减少了对网 络性能的减少，此外，为了加快数据处理速度，论文对 Sunday 算法进行了改进。论文的主要研 究内容如下： （1）研究下一代网络安全技术理论，并重点研究下一代网络安全技术的基本解决思路和 P2DR 动态理论模型。 （2）对现代网络安全审计系统和网络监控技术进行研究和分析，并深入研究SNMP 管理 模型和网络监听技术。提出一种 SNMP 管理模型与网络监听技术相结

27、合的审计数据采集方法， 以弥补审计数据源单一的缺陷，扩大审计对象的覆盖范围。 （3 ）研究 SNMP 协议的两种数据采集方式，并改进 SNMP 的轮询机制，加入动态轮询算 法，以减少 SNMP 轮询时对网络性能的负面影响。此外设计并实现 SNMP 报文发送模块的同步 机制。 （4 ）通过深入研究 BPF 过滤机制，采用 Libpcap 函数库来实现网络数据包的捕获。为了 加速用户空间应用程序对原始数据包的过滤速度，对 Sunday 模式匹配算法进行研究，并结合本 文系统过滤时，匹配模式串较短的特点，提出对 Sunday 算法的改进办法，以提高用户空间数据 3 基于 SNMP 协议的网络监控安全

28、审计系统的设计与实现 的过滤速度。此外，为了提高后期事件分析的效率，在审计事件分析模块中也采用该算法进行 敏感关键字的匹配。 （5 ）对分布式和集中式两种系统部署结构进行研究，实现系统结构的设计，并对功能模块 进行编码实现以及功能测试。 本文系统已在德讯信息系统测试通过并已投入使用，使用结果表明该系统是稳定、 可靠的。 1.3 本文的主要目标 论文的研究目标是以德讯信息 ICA 项目组的网内监控审计系统项目为背景，应用 下一代网络安全技术理论，利用 SNMP 管理模型和网络监听技术两种网络监控技术的结合，设计 并实现一个集中式架构的、能多层次审计的网络监控安全审计系统，该系统应能高效的审计内

29、网的 SNMP 网络设备和网络数据包，能实现审计事件的快速提取和存储，具备审计事件分析的能 力。同时，实现程序模块化，以保证系统的可扩展性和可维护性。 1.4 本文的组织结构 本文组织结构如下： 第一章：绪论。通过对网络安全技术发展的研究，在下一代网络安全技术的理论基础上介 绍本文课题的研究背景，并阐述了本文研究的主要内容和主要目标。 第二章：网络监控安全审计系统研究。对网络安全审计系统和网络监控技术进行研究和分 析，阐明安全审计技术的原理以及研究网络安全审计系统的必要性，并通过对网络安全审计系 统的研究现状和两种网络监控技术的研究，提出本文课题结合 SNMP 管理模型和网络监听 技术来实现网

30、络监控安全系统，并阐明立题意义。 第三章：网络监控安全审计系统关键技术介绍。详细介绍了系统实现中的几个关键技术， 包括数据捕获技术、协议分析技术、SNMP 网络监控技术、动态轮询算法和 Sunday 模式匹配改 进算法。 第四章：网络监控安全审计系统设计与实现。详细介绍了整个系统的结构研究与设计、具 体功能实现以及系统测试情况。 第五章：总结与展望。对论文进行总结，并对该课题进行展望。 4 南京航空航天大学硕士学位论文 第二章 网络监控安全审计系统研究 网络监控安全审计系统是基于下一代网络安全技术的理论基础提出来的，是对传统安全防 护技术的有益补充，它通过有机结合网络监控技术和网络安全审计技术

31、来解决网络安全问题， 以弥补其他网络安防技术的不足，本章将对网络安全审计系统和网络监控技术两方面进行研究， 810 并通过对安全审计和网络监控两种网络安全技术的研究来阐明本文的立题意义 。 2.1 网络安全审计系统研究 网络安全审计实质上就是安全审计机制在网络环境下的应用11，它是一个安全网络必备的 安全机制。安全审计技术是网络安全审计系统实现的基础。本节将重点研究网络安全审计系统 的相关知识。 安全审计技术原理 审计定义为系统中发生事件的纪录和分析处理过程。与系统日志（Log ）相比，审计更关 注安全问题。安全审计 Security Audit 12是一个网络必须支持的功能特性，根据美国国防

32、部 （DOD ）“可信计算基系统评估标准”（TCSEC，也称橘皮书）规定12，审计机制作为 C2 或 C2 以上安全级别的计算机系统必须具备安全机制，其功能包括能够纪录系统被访问的过程以及系 统保护机制的运行；能够发现试图绕过保护机制的行为；能够及时发现用户身份的跃迁；能够 报告并阻碍绕过保护机制的行为并记录相关过程，为灾难恢复提供信息等12 。由此可以看出安 全审计是实现现代安全管理的重要技术，也是安全系统中一种必要的安全机制。此外，安全审 计可以和安全系统中的其它安全机制相互协作、互为补充，共同保障系统的安全。 目前，安全审计系统的主要功能是实现对目标系统安全问题的审核、稽查、计算，通过各

33、 种手段收集并记录与系统安全活动有关的数据，并在此基础上进行分析处理、评价审查，以便 及时发现系统中存在的安全隐患；并且可为追查安全事故原因提供取证依据、为需对安全事件 负责的实体进行责任认定，此外还能够为系统安全策略的调整和修改提供安全层次的建议。总 的来说，安全审计的功能主要是通过对系统内部的全面审计，提供完整记录，并加以分析，以 帮助发现安全隐患，并进行责任认定和事后取证。 由于安全审计系统通过收集并记录与系统安全相关的可疑数据、入侵信息、敏感信息等数 据，来实现系统安全事故的取证和跟踪。因此，可记录的数据是安全审计系统的基础，而采用 什么样的数据源，如何收集这些数据源的数据，将直接决定

34、安全审计系统的性能和体系结构。 现在，按采用的数据源的不同可将安全审计系统分为基于主机实现的安全审计系统和基于网络 26 的实现的网络安全审计系统 。 5 基于 SNMP 协议的网络监控安全审计系统的设计与实现 基于主机实现的安全审计系统简称 HAS4，即传统的安全审计系统，其审计的数据源主要 是与主机系统资源活动和使用信息有关的信息，如系统重要文件的记录、系统中应用程序运行 日志、操作系统的内核日志以及系统用户使用打印机或对系统文件和注册表文件进行操作等行 为活动形成的日志文件4045 。所以，大多数传统的安全审计系统的主要目标是检测主机上的各 种操作行为，只针对单机系统的状态和安全级别作审

35、计，在网络安全行为方面的检测能力极其 有限。若某个攻击行为成功逃过防火墙和入侵检测系统进入了目标主机，很有可能会篡改或者 删除目标主机的系统日志，以隐瞒自己的入侵行为，此时基于主机的数据源变得不再可靠，审 计这些数据作审计分析反而会误导审计人员产生错误的决策。此外，由于传统基于主机实现的 安全审计系统不可避免地要在主机的操作系统平台上运行，主机系统本身也缺乏一定的安全性， 也会被攻击，一旦主机被成功攻击了，主机系统可能面临着崩溃，此时很难再为攻击行为提供 事后查证的依据。 基于网络的安全审计 NSA4简称网络安全审计，网络安全审计系统 HAS 而言，扩大了数据 源，其审计的对象不仅包括对网络设

36、备的审计还包括了对网络数据的审计，因此其数据来源也 仅仅局限于来自网络设备的系统日志22，网络防火墙的日志、IDS 系统日志还包括各种网络数 据包和一些网络工具产生的日志和记录等等。通过对丰富的网络数据的收集，以及对各种网络 数据信息进行存储和分析，来实现对网络上各种行为的检测和对整个网络系统的安全状态和安 全级别的评估。所以网络安全审计系统较传统的安全审计系统又很明显的优势，也正因此网络 安全审计系统成为近年来安全审计研究的热点。 由上面的分析可见，以上两种安全审计技术的侧重点不一样，基于主机的审计技术着重于 保护主机，而基于网络的审计技术则是从网络出发，但无论是基于主机的安全审计还是对网络 设备进行审计的网络安全审计，都是对网络节点信息的审计，其工作流程可概括为：首先通过 审计信息收集模块收集各种网络事件，然后根据条件判断是否适与安全审计信息相关的审计事 件，若是，则对审计