一種安全審計(jì)系統(tǒng)中獲取內(nèi)外網(wǎng)地址映射關(guān)系的方法_第1頁(yè)
一種安全審計(jì)系統(tǒng)中獲取內(nèi)外網(wǎng)地址映射關(guān)系的方法_第2頁(yè)
一種安全審計(jì)系統(tǒng)中獲取內(nèi)外網(wǎng)地址映射關(guān)系的方法_第3頁(yè)
一種安全審計(jì)系統(tǒng)中獲取內(nèi)外網(wǎng)地址映射關(guān)系的方法_第4頁(yè)
一種安全審計(jì)系統(tǒng)中獲取內(nèi)外網(wǎng)地址映射關(guān)系的方法_第5頁(yè)
已閱讀5頁(yè),還剩4頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

付費(fèi)下載

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

一種安全審計(jì)系統(tǒng)中獲取內(nèi)外網(wǎng)地址映射關(guān)系的方法

論文導(dǎo)讀::本方法通過模擬內(nèi)部用戶計(jì)算機(jī)發(fā)送探測(cè)數(shù)據(jù)包,同時(shí)在外部截獲該探測(cè)數(shù)據(jù)包轉(zhuǎn)換后的數(shù)據(jù)包,進(jìn)行分析提取來實(shí)現(xiàn)獲取內(nèi)外網(wǎng)地址映射關(guān)系,該方法進(jìn)一步完善了安全審計(jì)系統(tǒng)用戶定位功能。該方法通過對(duì)探測(cè)數(shù)據(jù)包的特定設(shè)置保證其不對(duì)內(nèi)部網(wǎng)絡(luò)ARP地址表造成混亂和對(duì)因特網(wǎng)可能造成的不良影響。

關(guān)鍵詞:安全審計(jì)系統(tǒng),地址映射方法

1背景及目的近年來,隨著網(wǎng)絡(luò)應(yīng)用的普及,幾乎所有的政府機(jī)關(guān)、企事業(yè)單位都將接入了互聯(lián)網(wǎng)?;ヂ?lián)網(wǎng)讓人們快速地了解世界各地的最新資訊,通過各種通訊手段準(zhǔn)確迅捷地傳遞信息,在各種論壇、博客、空間暢所欲言,給單位和個(gè)人帶來了極大的方便。但是,伴隨著人們對(duì)互聯(lián)網(wǎng)的依賴網(wǎng)絡(luò)安全論文,由于缺乏有效的網(wǎng)絡(luò)管理手段新的風(fēng)險(xiǎn)也隨之而來。主要表現(xiàn)在以下幾個(gè)方面:一是內(nèi)部計(jì)算機(jī)被外部人員非法侵入,竊取國(guó)家涉密信息和企業(yè)商業(yè)秘密;二是內(nèi)部人員向外部泄漏國(guó)家涉密信息和企業(yè)商業(yè)秘密;三是工作人員利用辦公計(jì)算機(jī)在互聯(lián)網(wǎng)發(fā)布、傳播違法信息。以上情形都可能給單位帶來了不可估量的法律糾紛和經(jīng)濟(jì)損失,給單位和單位相關(guān)負(fù)責(zé)人造成極其嚴(yán)重的不良影響中國(guó)。此時(shí)網(wǎng)絡(luò)安全日益得到人們的重視,安全審計(jì)系統(tǒng)也應(yīng)運(yùn)而生。它通過實(shí)時(shí)審計(jì)網(wǎng)絡(luò)數(shù)據(jù)流,根據(jù)用戶設(shè)定的安全控制策略,對(duì)受控對(duì)象的活動(dòng)進(jìn)行審計(jì)。目前的安全審計(jì)系統(tǒng)網(wǎng)絡(luò)接入方式一般有兩種方式:在互聯(lián)網(wǎng)出口處利用TAP設(shè)備分流一路數(shù)據(jù)給安全審計(jì)系統(tǒng),如圖1所示;在局域網(wǎng)核心交換機(jī)上通過端口鏡像方式將上網(wǎng)數(shù)據(jù)“復(fù)制”給安全審計(jì)系統(tǒng),如圖2所示。這兩種方式都能獲得完整的互聯(lián)網(wǎng)上網(wǎng)信息,然后系統(tǒng)按照已設(shè)定的各項(xiàng)安全策略進(jìn)行信息審計(jì),及時(shí)反映結(jié)果。不過此類解決方式還是存在一定的局限性,因?yàn)檫@種數(shù)據(jù)的采集方式?jīng)Q定了它所截獲的用戶上行數(shù)據(jù)包的源IP/Port和下行數(shù)據(jù)包的目的IP/Port職能是局域網(wǎng)內(nèi)網(wǎng)IP/Port,不能掌握該用戶計(jì)算機(jī)在經(jīng)過路由器或防火墻之后的公網(wǎng)IP/Port,在某些情況下如國(guó)家安全部門或公安機(jī)關(guān)對(duì)某些互聯(lián)網(wǎng)違法犯罪的源頭追查時(shí)跟蹤到屬于某單位的互聯(lián)網(wǎng)接入地址,但在進(jìn)一步確定相關(guān)具體實(shí)施人員時(shí)由于經(jīng)過了NAT地址轉(zhuǎn)換無(wú)法核實(shí)內(nèi)部行為人,而此時(shí)安全審計(jì)系統(tǒng)也無(wú)能為力。本方法的目的在于解決現(xiàn)有安全審計(jì)系統(tǒng)不能提供摘要增加很高的硬件軟件成本網(wǎng)絡(luò)安全論文,升級(jí)較為方便。2技術(shù)原理安全審計(jì)系統(tǒng)本身沒有參與NAT地址轉(zhuǎn)換,它無(wú)法主動(dòng)獲得內(nèi)外網(wǎng)地址映射關(guān)系,需要模擬發(fā)現(xiàn)實(shí)際映射關(guān)系。技術(shù)原理為:主動(dòng)發(fā)送數(shù)據(jù)包探測(cè)NAT轉(zhuǎn)換前后的地址映射關(guān)系,包括:映射關(guān)系探測(cè)的觸發(fā),探測(cè)數(shù)據(jù)包的構(gòu)建,探測(cè)數(shù)據(jù)包的發(fā)送,經(jīng)NAT轉(zhuǎn)換后的探測(cè)數(shù)據(jù)包的截獲與分析,最后建立地址映射關(guān)系并保存。地址關(guān)系映射表是以源IP,源Port,目的地址為索引的映射關(guān)系表,并隨時(shí)探測(cè)系統(tǒng),在發(fā)現(xiàn)映射關(guān)系表中沒有的或者已經(jīng)過期的條目時(shí),觸發(fā)探測(cè)活動(dòng);截獲經(jīng)NAT轉(zhuǎn)換后的探測(cè)數(shù)據(jù)包后,更新地址映射關(guān)系表并保存。探測(cè)數(shù)據(jù)包IP報(bào)頭中的源IP、目的IP與內(nèi)網(wǎng)用戶計(jì)算機(jī)實(shí)際發(fā)送數(shù)據(jù)包源IP、目的IP相同;探測(cè)數(shù)據(jù)包TCP/UDP頭中的源Port、目的Port與內(nèi)網(wǎng)用戶計(jì)算機(jī)實(shí)際發(fā)送數(shù)據(jù)包源Port、目的Port相同;探測(cè)數(shù)據(jù)包Ethernet層的源MAC地址應(yīng)為一個(gè)內(nèi)部網(wǎng)絡(luò)中不存在的MAC地址,以保證探測(cè)數(shù)據(jù)包不會(huì)對(duì)內(nèi)部網(wǎng)絡(luò)硬件設(shè)備的ARP地址表造成混亂;探測(cè)數(shù)據(jù)包IP報(bào)頭中的TTL字段設(shè)置為安全審計(jì)系統(tǒng)發(fā)送探測(cè)數(shù)據(jù)包的物理接入點(diǎn)和探測(cè)數(shù)據(jù)包的截獲物理接入點(diǎn)之間路由器數(shù)目基礎(chǔ)上再加1網(wǎng)絡(luò)安全論文,以保證探測(cè)數(shù)據(jù)包在進(jìn)入因特網(wǎng)到達(dá)第一跳路由器即被丟棄,對(duì)因特網(wǎng)不造成任何負(fù)擔(dān)。3技術(shù)實(shí)現(xiàn)下面介紹技術(shù)實(shí)現(xiàn)方法的步驟:(1)安全審計(jì)系統(tǒng)截獲內(nèi)外網(wǎng)交互的全部數(shù)據(jù)包,通過“匹配上行數(shù)據(jù)包X源MAC地址是否為Y”過濾上行數(shù)據(jù)包,Y為探測(cè)數(shù)據(jù)包Ethernet層的源MAC地址,例如10-10-10-10-10-10中國(guó)。匹配成功則不做任何處理繼續(xù)處理下一個(gè)數(shù)據(jù)包,匹配失敗則進(jìn)入下一步驟.(2)將上行數(shù)據(jù)包X的源IP、目的IP、源Port和目的Port作為四元組在安全審計(jì)系統(tǒng)中的映射關(guān)系表中查詢,如查詢已存在映射關(guān)系,重置該映射關(guān)系失效定時(shí)器,并回到步驟1中繼續(xù)處理下一個(gè)數(shù)據(jù)包,否則進(jìn)入下一步驟;(3)安全審計(jì)系統(tǒng)構(gòu)建探測(cè)數(shù)據(jù)包A,A中目的MAC地址與X中目的MAC地址相同,源MAC地址為步驟1中Y;A中源IP/Port,目的IP/Port與X中對(duì)應(yīng)字段相同;A中應(yīng)用層為X中源MAC地址、源IP/Port以及當(dāng)前的日期時(shí)間信息;A中IP報(bào)頭TTL字段設(shè)置為安全審計(jì)系統(tǒng)發(fā)送探測(cè)數(shù)據(jù)包的物理接入點(diǎn)和截獲探測(cè)數(shù)據(jù)包物理接入點(diǎn)之間路由器的個(gè)數(shù)再加1。(4)安全審計(jì)系統(tǒng)使用適當(dāng)?shù)陌l(fā)送機(jī)制將上述探測(cè)數(shù)據(jù)包A發(fā)送到內(nèi)部網(wǎng)絡(luò)。(5)安全審計(jì)系統(tǒng)使用適當(dāng)?shù)臄?shù)據(jù)包截獲機(jī)制在外部網(wǎng)絡(luò)中,以“TTL字段值為1”作為包過濾條件,接收A經(jīng)過NAT轉(zhuǎn)換后的數(shù)據(jù)包B。(6)安全審計(jì)系統(tǒng)通過解析B網(wǎng)絡(luò)安全論文,獲取經(jīng)NAT轉(zhuǎn)換后的IP/Port以及應(yīng)用層中NAT轉(zhuǎn)換前的IP/Port和時(shí)間戳信息,即可獲得內(nèi)部用戶計(jì)算機(jī)MAC、IP、Port與NAT轉(zhuǎn)換后的外網(wǎng)IP、Port之間的地址映射關(guān)系及產(chǎn)生該關(guān)系的具體時(shí)間。(7)安全審計(jì)系統(tǒng)將該條映射關(guān)系保存在系統(tǒng)內(nèi)并為其設(shè)置合適的定時(shí)器,將該映射關(guān)系以及產(chǎn)生時(shí)間同時(shí)記錄到長(zhǎng)期存儲(chǔ)介質(zhì)。定期器過期后,安全審計(jì)系統(tǒng)在映射關(guān)系表中刪除該條記錄,同時(shí)將長(zhǎng)期存儲(chǔ)介質(zhì)中該條映射關(guān)系設(shè)置為過期狀態(tài),并記錄具體過期時(shí)間。4結(jié)論本方法解決了當(dāng)前安全審計(jì)系統(tǒng)存在的不足之處,提出一種獲取內(nèi)外網(wǎng)地址映射關(guān)系的方法,包括映射關(guān)系的發(fā)現(xiàn)和映射表的維護(hù)、保存方法,并能夠避免對(duì)被審計(jì)網(wǎng)絡(luò)和因特網(wǎng)產(chǎn)生不良影響,為進(jìn)一步完善安全審計(jì)系統(tǒng)功能和加強(qiáng)網(wǎng)絡(luò)安全提供了更好的保障。

參考文獻(xiàn)

[1]W.RichardStevens.TCP/IP詳解,卷1:協(xié)議.人民郵電出版社,2010.

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論