一種基于旁路監(jiān)聽和軟件抓包技術(shù)的網(wǎng)絡(luò)安全監(jiān)控方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于計(jì)算機(jī)局域網(wǎng)安全管理技術(shù)領(lǐng)域���,具體涉及一種基于旁路監(jiān)聽和軟件 抓包技術(shù)的網(wǎng)絡(luò)安全監(jiān)控方法�。
【背景技術(shù)】
[0002] 旁路偵聽監(jiān)控就是通過共享式HUB或鏡像交換機(jī)自身的功能�����,把出口數(shù)據(jù)復(fù)制一 份到監(jiān)控主機(jī)連接的那個(gè)端口����,以達(dá)到監(jiān)控的目的。旁路監(jiān)聽對(duì)網(wǎng)絡(luò)速度影響較小�����,同時(shí)管 理的效果也很出色��。采用這種監(jiān)控方式的代表有LaneCat網(wǎng)貓����。winpcap是用于網(wǎng)絡(luò)封包 抓取的一套工具,可適用于32/64位的操作系統(tǒng)平臺(tái)上解析網(wǎng)絡(luò)封包���,包含了核心的封包 過濾����,一個(gè)地城動(dòng)態(tài)鏈接庫和一個(gè)高層系統(tǒng)的函數(shù)庫�����,及可用來直接存取封包的應(yīng)用程序 界面��。Libpcap是unix/linux平臺(tái)下的網(wǎng)絡(luò)數(shù)據(jù)包捕獲函數(shù)包�����,大多數(shù)網(wǎng)路監(jiān)控軟件都以 它為基礎(chǔ)�����。Libpcap提供了系統(tǒng)獨(dú)立的用戶級(jí)別網(wǎng)絡(luò)數(shù)據(jù)包捕獲接口�����,并充分考慮到應(yīng)用程 序的可移植性��。Jpcap在java中���,并非一個(gè)真正去實(shí)現(xiàn)對(duì)數(shù)據(jù)鏈路層的控制����,而是一個(gè)中間 件,jpcap調(diào)用winpcap和libpcap��,給java語言提供了一個(gè)公共的接口�,從而實(shí)現(xiàn)了平臺(tái) 無關(guān)性。Iibpcap和winpcap抓包工具的結(jié)果是一系列網(wǎng)絡(luò)數(shù)據(jù)包��,無法輕易進(jìn)行閱讀�,而 且無法自動(dòng)化分析。
[0003] 在企業(yè)局域網(wǎng)或廣域網(wǎng)中���,需要對(duì)接入網(wǎng)絡(luò)的PC終端進(jìn)行安全防護(hù)�����,以免因?yàn)镻C 終端感染病毒或木馬從而導(dǎo)致網(wǎng)絡(luò)癱瘓和泄密����。目前的安全防護(hù)措施都是C/S方式的安全 防護(hù)����,即在企業(yè)網(wǎng)絡(luò)中部署一到多臺(tái)中心服務(wù)器����,在每個(gè)需要防護(hù)的PC終端上安裝防護(hù)軟 件客戶端�,在發(fā)現(xiàn)PC終端有違規(guī)外連��,接入非安全U盤��,打開限制服務(wù)及端口等情況下����,會(huì) 自動(dòng)告警或者斷網(wǎng)。PC終端發(fā)現(xiàn)上述告警信息時(shí)����,會(huì)聯(lián)系服務(wù)器將告警和違規(guī)信息發(fā)送至 服務(wù)器,服務(wù)器發(fā)起斷網(wǎng)等指令���,但自動(dòng)告警或者斷網(wǎng)發(fā)現(xiàn)率低且發(fā)現(xiàn)速度慢����。
【發(fā)明內(nèi)容】
[0004] 針對(duì)現(xiàn)有技術(shù)存在的不足����,本發(fā)明目的是提供一種可以顯著提高未安裝安全防護(hù) 軟件PC終端的發(fā)現(xiàn)率和發(fā)現(xiàn)速度的基于旁路監(jiān)聽和軟件抓包技術(shù)的網(wǎng)絡(luò)安全監(jiān)控方法����。
[0005] 為了實(shí)現(xiàn)上述目的����,本發(fā)明是通過如下的技術(shù)方案來實(shí)現(xiàn):
[0006] 本發(fā)明的一種基于旁路監(jiān)聽和軟件抓包技術(shù)的網(wǎng)絡(luò)安全監(jiān)控方法,包括以下幾個(gè) 步驟:
[0007] (1)在和網(wǎng)絡(luò)安全防護(hù)服務(wù)器同網(wǎng)段的交換機(jī)上設(shè)置旁路監(jiān)聽�����;所述交換機(jī)支持 端口鏡像���,利用交換機(jī)的端口鏡像(參考:CISC0_2960端口鏡像配置.ppt)將所有經(jīng)過該 交換機(jī)的數(shù)據(jù)復(fù)制一份���,發(fā)送給網(wǎng)絡(luò)安全防護(hù)服務(wù)器端口;
[0008] (2)配置需要監(jiān)聽其網(wǎng)絡(luò)包的目標(biāo)服務(wù)器IP和數(shù)據(jù)發(fā)送端口�����;
[0009] 在后臺(tái)config.properties配置文件中配置監(jiān)聽的目標(biāo)服務(wù)器IP和數(shù)據(jù)端口:
[0010] monitor-filter=dsthost172. 17. 32. 184andport4700
[0011] (3)設(shè)置抓包時(shí)長(zhǎng)和抓包間隔���;
[0012] 在后臺(tái)config.properties配置文件中配置:
[0013] 抓包間隔(m) :monitor_server= 5
[0014] 抓包時(shí)長(zhǎng)���,如下:
【主權(quán)項(xiàng)】
1. 一種基于旁路監(jiān)聽和軟件抓包技術(shù)的網(wǎng)絡(luò)安全監(jiān)控方法�,其特征在于�����,包括w下幾 個(gè)步驟: (1) 在和網(wǎng)絡(luò)安全防護(hù)服務(wù)器同網(wǎng)段的交換機(jī)上設(shè)置旁路監(jiān)聽�����;所述交換機(jī)支持端口 鏡像�,利用交換機(jī)的端口鏡像將所有經(jīng)過該交換機(jī)的數(shù)據(jù)復(fù)制一份���,發(fā)送給網(wǎng)絡(luò)安全防護(hù) 服務(wù)器端口�����; (2) 配置需要監(jiān)聽其網(wǎng)絡(luò)包的目標(biāo)服務(wù)器IP和數(shù)據(jù)發(fā)送端口��; (3) 設(shè)置抓包時(shí)長(zhǎng)和抓包間隔����; (4) 抓取并緩存符合步驟(2)條件的所有網(wǎng)絡(luò)數(shù)據(jù)包�,定時(shí)對(duì)該些數(shù)據(jù)包進(jìn)行分析,通 過正則表達(dá)式獲取數(shù)據(jù)包里的源IP列表; (5) 記錄步驟(4)獲取的源IP地址���,形成已知IP地址庫�����,對(duì)照W NAMP技術(shù)獲取的未安 裝防護(hù)軟件的PC終端IP列表���,通過嗅探工具獲取該IP對(duì)應(yīng)的MAC地址,對(duì)同一 MAC地址 的多個(gè)IP地址進(jìn)行歸一化處理��; (6) 由網(wǎng)絡(luò)嗅探工具發(fā)現(xiàn)新接入網(wǎng)絡(luò)的終端���,用于提供旁路監(jiān)聽規(guī)則中協(xié)議源IP�����,W 供旁路監(jiān)聽進(jìn)行分析����; (7) 將源IP列表和局域網(wǎng)內(nèi)所有PC服務(wù)器列表做比較�����,從而判定該客戶PC終端是否 安裝相應(yīng)的安全防護(hù)軟件。
2. 根據(jù)權(quán)利要求1所述的基于旁路監(jiān)聽和軟件抓包技術(shù)的網(wǎng)絡(luò)安全監(jiān)控方法�����,其特征 在于��, 步驟(2)中�����,在后臺(tái)config.propedies配置文件中配置監(jiān)聽的目標(biāo)服務(wù)器IP和數(shù)據(jù) 端日����,monitor_filter = dst host 172. 17. 32. 184and port4700�。
3. 根據(jù)權(quán)利要求1所述的基于旁路監(jiān)聽和軟件抓包技術(shù)的網(wǎng)絡(luò)安全監(jiān)控方法,其特征 在于�����, 步驟(3)中����,在后臺(tái)config. properties配置文件中配置; 抓包間隔(m) ;monitor_se;rver = 5���。
4. 根據(jù)權(quán)利要求1所述的基于旁路監(jiān)聽和軟件抓包技術(shù)的網(wǎng)絡(luò)安全監(jiān)控方法�����,其特征 在于�, 步驟(4)中,定時(shí)對(duì)網(wǎng)絡(luò)內(nèi)所有到達(dá)網(wǎng)絡(luò)安全防護(hù)服務(wù)器的數(shù)據(jù)包進(jìn)行分析的內(nèi)容包 括客戶PC終端與網(wǎng)絡(luò)安全防護(hù)服務(wù)器間是否有登錄數(shù)據(jù)���、請(qǐng)求數(shù)據(jù)或屯���、跳數(shù)據(jù)。
【專利摘要】本發(fā)明公開了一種基于旁路監(jiān)聽和軟件抓包技術(shù)的網(wǎng)絡(luò)安全監(jiān)控方法���,包括(1)在和網(wǎng)絡(luò)安全防護(hù)服務(wù)器同網(wǎng)段的交換機(jī)上設(shè)置旁路監(jiān)聽�;(2)配置需要監(jiān)聽其網(wǎng)絡(luò)包的源服務(wù)器IP和數(shù)據(jù)發(fā)送端口�;(3)設(shè)置抓包時(shí)長(zhǎng)和抓包間隔;(4)抓取并緩存網(wǎng)絡(luò)數(shù)據(jù)包并分析���,通過正則表達(dá)式獲取數(shù)據(jù)包里的源IP列表�����;(5)記錄源IP地址形成已知IP地址庫�����;(6)由網(wǎng)絡(luò)嗅探工具發(fā)現(xiàn)新接入網(wǎng)絡(luò)的終端�����;(7)將所述源IP列表和局域網(wǎng)內(nèi)所有PC服務(wù)器列表做比較����,判定該客戶PC終端是否安裝相應(yīng)的安全防護(hù)軟件。本發(fā)明可提高未安裝安全防護(hù)軟件PC終端的發(fā)現(xiàn)率和發(fā)現(xiàn)速度����,減少未安裝安全防護(hù)軟件的PC終端接入網(wǎng)絡(luò)導(dǎo)致的潛在病毒和木馬的攻擊。
【IPC分類】H04L29-06
【公開號(hào)】CN104601570
【申請(qǐng)?zhí)枴緾N201510016896
【發(fā)明人】王傳君, 崔恒志, 徐曉海, 梅沁, 郭波, 李萌, 盧海陽, 鄭海雁, 官國飛, 陳玉權(quán), 宋慶武
【申請(qǐng)人】國家電網(wǎng)公司, 江蘇省電力公司, 江蘇省電力公司信息通信分公司, 江蘇方天電力技術(shù)有限公司
【公開日】2015年5月6日
【申請(qǐng)日】2015年1月13日