基于协议的网络安全监测系统应用研究

0 引言

随着信息化与工业化的深度融合，信息系统已经成为各行业开展业务的必备条件。移动互联网、物联网、云计算、电子商务、网络媒体、微博客等新技术新业务相互促进、快速发展，成为推动经济社会变革的重要力量。但随之而来的信息安全问题严峻，黑客活动日趋频繁，网站后门、网络钓鱼、恶意程序、拒绝服务攻击呈大幅增长态势，直接影响网民和企业的权益，阻碍行业健康发展。

为落实国家信息安全等级保护制度，对本单位的信息系统进行实时监测，及时掌握信息系统、服务器及网络的运行情况，及时发现异常数据流量，异常链接。在复杂、多变的网络环境下及时排除信息安全隐患，保证本单位信息系统的安全稳定运行。

1 网络安全监测技术简介

网络安全监测技术主要包括实时安全监测技术和安全扫描技术。

实时安全监控技术通过硬件或软件实时检查网络数据流并将其与系统入侵特征数据库的数据相比较，一旦发现有被攻击的迹象，立即根据用户所定义的动作做出反应。这些动作可以是切断网络连接，也可以是通知防火墙系统调整访问控制策略，将入侵的数据包过滤掉。

安全扫描技术是一种基于Internet远程检测目标网络或本地主机安全性脆弱点的技术。通过对网络的扫描，网络管理员能够发现所管理服务器的各种TCP/IP端口的分配、开放的服务、服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。网络安全扫描技术采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃，它利用了一系列的脚本模拟对系统进行攻击的行为，并对结果进行分析。这种技术通常被用来进行模拟攻击和网络安全审计。

2 红枫校区网络现状分析

目前红枫校区网络机房的信息系统包含：门户网站、教务管理、电子图书、生产管理信息系统、心里测试系统、课程录制采编系统、招聘考试系统、综合测评考试、素质测评考试系统、电力营销培训系统等。随着培训、教学和管理业务量的加大，网络机房内各信息系统的访问量和数据量也随之增加，来自外网和内网的扫描攻击、渗透攻击、注入攻击、漏洞攻击、拒绝服务攻击等次数会越来越多，信息安全隐患加剧。

3 系统总体方案

3.1 设计思想

网络安全监测集成管理的基本思想是：主要通过当前Internet使用的网络标准TCP/IP协议族来实现对网络的监测，构造安全监测功能的集成框架，实现安全监测功能的组件化，根据系统的安全目标来确定安全监测功能需求，从整体角度考虑网络的安全性能和进行安全监测功能的选择。

3.2 系统架构

网络安全监测的目标是对网络中存在的安全漏洞和网络中发生的安全事件进行监测，因此至少可以分为监测功能和处理功能两部分，在进行监测之前先要建立基于TCP/IP协议的监测集。网络协议安全监测系统以监测集模块、监测功能管理模块、处理功能管理模块为主线分别集成为用户界面友好的一体化环境，有效支持监测准备、监测执行、监测结果采集、监测结果分析、监测报告生成。如图1所示。

图1 系统架构

在监测之前，系统首先要进行监测准备，建立监测过程；然后，通过监测过程管理提交监测程序，激活监测程序，控制监测程序执行，收集、采集监测结果；最后，进行监测结果分析，生成监测分析报告，打印、显示监测结果，产生评测报告。

3.2.1 协议监测集模块

建立、维护基于TCP/IP协议的安全协议软件监测集数据库，访问、浏览、入库、出库、修改、更新、扩充、管理监测集数据库内容。

3.2.2 监测功能模块

采集防火墙、IDS、IPS、网站防护设备、防病毒网关等安全设备安全事件，对网络边界进行全天候实时安全监测及深度分析。整合各种安全事件并进行关联分析，实时显示全网安全态势，并形成各类安全监测分析报告，基本实现监测过程的自动化。

3.2.3 处理功能模块

处理功能模块是根据检测结果，系统一旦检测到入侵，就开始工作进行事件的处理。

3.2.4 协议安全监测集数据库

监测集数据库用来存网络协议安全性监测集。监测集主要包括：安全功能监测集、安全性能监测集和脆弱性监测集。

3.2.5 监测结果采集数据库

监测结果采集数据库用来存储各种从安全设备收集的监测数据。这些数据包括安全日志、攻击事件和敏感信息等。

4 软件方案

通过在红枫校区的服务器上安装服务器安全狗和网站安全狗工具对网络安全进行实时的监控。服务器安全狗主要用于防护针对服务器的各类攻击，保护服务器系统环境安全，网站安全狗主要用于保护服务器上网站内容和网站资源安全。对于服务器上有网站的用户，同时安装服务器安全狗与网站安全狗，二者配套使用，可以全面保护服务器的安全。

服务器安全狗是一款集服务器安全防护和安全管理为一体的综合性服务器工具。服务器安全狗功能涵盖了服务器系统优化、服务器漏洞补丁修复、服务器程序守护、远程桌面监控、文件目录守护、系统帐号监控、DDOS防火墙、ARP防火墙、安全策略设置以及邮件实时告警等多方面模块，为用户的服务器在运营过程中提供完善的保护，使其免受恶意的攻击、破坏。

网站安全狗是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。功能涵盖了网马/木马扫描、防SQL注入、防盗链、防CC攻击、网站流量实时监控、网站CPU监控、下载线程保护、IP黑白名单管理、网页防篡改功能（结合安全狗云安全中心使用）等模块。能够为用户提供实时的网站安全防护，避免各类针对网站的攻击所带来的危害。

5 配置方案

通过设置服务器安全狗和网站安全狗的安全策略功能，同时设置 Windows系统的安全策略功能来配置整个网络安全系统的监测功能。

安全策略功能通过执行具体的端口保护规则，限制或者允许进程对端口的连接请求，来保护服务器安全。

（1）安全狗的安全策略功能的设置：用户可以直接使用服务器安全狗默认设置的11条端口规则，也可以根据实际需要自行设置。

（2）Windows系统的安全策略设置如下：

策略一：关闭windows2003不必要的服务；

策略二：磁盘权限设置：C盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置；

策略三：禁止 Windows 系统进行空连接；

策略四：关闭不需要的端口；

策略五：关闭默认共享的空连接；

策略六：IIS安全设置；

策略七：注册表相关安全设置；

策略八：组件安全设置。

6 应用实例

下面是红枫校区服务器上安装的网站安全狗和服务器安全狗的防护日志。

从防护日志中可以看出，安全狗有效地进行了CC攻击拦截和网马防护，为用户提供了实时的网站安全防护，避免各类针对网站的攻击所带来的危害。

7 结语

通过本课题的研究可以实时生成红枫校区内部网络包括服务器、路由器、交换机、网络终端设备等多种设备的网络流量图形化报表，并能够对这些报表进行统计，帮助网络管理员详细、实时地分析红枫校区网络和信息系统的数据流的性能、趋势和存在的问题。

图2 网站安全狗防护日志

图3 服务器安全狗防护日志