论文导读:随着网络封锁的应用范围越来越大,用户对网络封锁的关注和讨论也不断升温。例如,将网络封锁系统用户信息与Windows用户信息相关联,用户登录Windows后即可使用相同用户名自动登录网络封锁系统,再由系统根据用户相关自动设置网络权限,计算机按照设置的权限使用网络。
关键词:网络封锁,改进,网络封锁系统
1.网络封锁概念
随着网络封锁的应用范围越来越大,用户对网络封锁的关注和讨论也不断升温。网络封锁实际就是对网络用户上网的权限和网络传输的信息的限制。上网权限包含的内容很广:从最初的能不能上网,能在哪个时段上网到上网能游览哪些网站和信息,能使用那些网络服务,能运行那些程序等。而网络传输的信息则包括文字、图片、声音、影像、软件等。
2.网络封锁的分类
根据网络规模的大小可将网络封锁分为以下三类:(1)单机网络封锁;(2)局域网网络封锁;(3)广域网网络封锁,其作用范围为广域网内所有的计算机,只有国家政府或相关网络服务管理机构才能使用。根据网络封锁常用到的封锁技术可分类如下:(1)IP封锁,对外部IP进行封锁,则其所对应的网站无法访问,对内部IP进行封锁,则其所对应的计算机无法上网;(2)信息过滤封锁,对于带有特定内容的信息,将被过滤使其无法查看(指外网)或对外发出(指网内);(3)端口封锁,封锁网络服务功能所用到的端口进而封锁网络服务;(4)协议封锁,禁用网络服务功能所用到的协议进而达到封锁网络服务的目的。根据网络封锁的封锁对象,可以分为(仅列出了常见的内容):(1)WEB封锁;(2)BBS封锁;(3)下载上传封锁,如不允许使用FTP等;(4)聊天封锁;(5)邮件封锁。
3.网络封锁相关技术及缺点
一是IP封锁。将含有不良信息的IP地址、URL地址或地址关键字放入专门的不良网址数据库。当用户输入网址进行浏览时,系统会首先将网址与地址库内的内容进行比对,碰到库中记录的网址或关键字将拒绝用户的浏览申请或转向另外一个自定义的网址。此种封锁方法的缺点为网络上每天都在诞生新网站,或改变网址。二是信息过滤技术。信息过滤技术是网络封锁用到的主要技术方法,其包含的内容和涉及的方面很多。三是协议封锁。不同的网络服务需要相对应的协议支持,比如FTP服务需要FTP文件传输协议等。只要封锁了协议的使用,就封锁了协议相对应的网络服务。发表论文。四是端口封锁。在网络过滤技术中,端口(Port)大致有两种意思:一个是物理意义上的端口,比如,ADSL Modem、交换机。用于连接其他物理设备的接口,如RJ-45端口等。另一个是逻辑意义上的端口,一般是指TCP/IP协议中的端口,端口号的范围从0到65535。当前很多网络服务中使用的端口是相对固定的,比如Http服务使用80端口。发表论文。可以利用Windows系统、相关软件设置禁用端口。五是域名劫持。域名劫持是指用某种手段(非法也可能合法)改变域名所有者为该域名所设定的IP地址。一方面是静态的域名与IP的对应关系被改变;另一方面是动态的域名解析请求被拦截,返回假的IP地址或无响应。域名劫持的缺点:不是很稳定,在某些网络速度快的地方,真实的IP地址返回得比劫持软件提供的假地址要快,因为监测和返回这么巨大的数据流量也是要花费一定时间;在网上查询域名正确的IP非常容易。
4.网络封锁系统的改进
4.1网络封锁系统的研究现状
现有的WEB网络信息封锁系统一般通过以下三层结构进行封锁过滤[2]:(1)利用禁用地址库提供的地址(URL或IP地址)对带有不良信息的网页进行屏蔽。这可在下载网页前删除非法网页。(2)利用规则算法、模式匹配检验网络上传递信息中的不良信息。发表论文。这是在截获数据包之后,取出包中数据的部分内容,根据规则演算,同规则库中的规则进行模式匹配,确定文本中是否含有不良信息。(3)对接受文本采用智能过滤,剔除不良信息文本。在接受网页文本内容以后,结合概率统计、数值计算、演化计算、数据挖掘、计算语义学和人工智能技术进行智能过滤。
4.2基于用户的网络封锁
基于用户的网络封锁方式在与其他封锁方式结合使用的时候通常放在其他方法之前。通过用户的身份信息设定其网络权限从而达到封锁网络的目的。例如,将网络封锁系统用户信息与Windows用户信息相关联,用户登录Windows后即可使用相同用户名自动登录网络封锁系统,再由系统根据用户相关自动设置网络权限,计算机按照设置的权限使用网络。
4.3基于地址的网络封锁
基于URL的网络封锁技术是屏蔽非法网站的常用的技术,简单的讲,就是首先构造出己知非法网站的URL地址数据库,当用户访问互联网时,建立一个类似代理(proxy)的程序对用户发出的请求消息首先截获检查,将请求中的网址提取出来,与URL地址库进行匹配,如果匹配成功,则将用户的请求屏蔽、断开连接。
4.4基于文本内容过滤的网络封锁
基于文本内容过滤的网络封锁是网络封锁系统中比较复杂的部分,其过程包括数据包的捕获、网络协议的分析、文档过滤和反馈。其简单逻辑结构为:网络数据包→数据包捕获→网络协议分析→文档过滤→文档浏览。其功能实现的关键技术如下:(1)网络信息的捕获,其实现机制依赖于OS,不同的OS提供不同的方法进行数据链路层数据包到用户缓冲区的拷贝。Linux系统为用户提供了一种工作在数据链路层的套接字SOCKET-PACKET,它绕过系统协议栈直接获取数据链路层的原始数据包。(2)网络协议数据分析。对于网络信息过滤系统来说面对的是数据链路层的数据帧。通过协议栈的信息流动就是数据封装,封装的过程就是将原始数据格式化为与特定协议相适应的数据。当数据通过协议栈流动时,每层都建立在前层封装的基础上,因此,必须完成协议数据解封装的过程。(3)文档的表示,是指以一定的规则和描述来表示文档或者文档类,在分类检索和匹配时用这些规则和描述来评价未知文档与给定文档或文档类的相似度。文档表示模型有许多种,常用的有:布尔逻辑模型、向量空间模型、潜在语义索引模型等。(4)文档的过滤。当用户要访问网络信息文档时,在文本信息过滤模型中建立起用户模板和文本的向量表示之后,需要按照一定的策略判断它们之间的相关程度,进而进行过滤与否的处理。(5)文档的反馈。通过一定的反馈机制跟踪用户需求的变化,及时调整用户需求模板。相关度反馈技术在提高信息检索地效率方面使用较多,在信息过滤方面也可以借鉴这一技术。
【参考文献】
[1]刘培德,刘玉国.网络信息过滤系统的设计与实现[J].计算机工程与应用,2005,(21).
[2]黄晓斌.网络信息过滤原理与应用[M].北京:北京图书版出版社,2005.
[3]marvellous.关闭系统端口 拒绝黑客入侵[J].网络与信息,,2009,(06).
|