论文导读::本方法通过模拟内部用户计算机发送探测数据包,同时在外部截获该探测数据包转换后的数据包,进行分析提取来实现获取内外网地址映射关系,该方法进一步完善了安全审计系统用户定位功能。该方法通过对探测数据包的特定设置保证其不对内部网络ARP地址表造成混乱和对因特网可能造成的不良影响。
关键词:安全审计系统,地址映射方法
1 背景及目的
近年来,随着网络应用的普及,几乎所有的政府机关、企事业单位都将接入了互联网。互联网让人们快速地了解世界各地的最新资讯,通过各种通讯手段准确迅捷地传递信息,在各种论坛、博客、空间畅所欲言,给单位和个人带来了极大的方便。
但是,伴随着人们对互联网的依赖网络安全论文,由于缺乏有效的网络管理手段新的风险也随之而来。主要表现在以下几个方面:一是内部计算机被外部人员非法侵入,窃取国家涉密信息和企业商业秘密;二是内部人员向外部泄漏国家涉密信息和企业商业秘密;三是工作人员利用办公计算机在互联网发布、传播违法信息。以上情形都可能给单位带来了不可估量的法律纠纷和经济损失,给单位和单位相关负责人造成极其严重的不良影响中国论文网。此时网络安全日益得到人们的重视,安全审计系统也应运而生。它通过实时审计网络数据流,根据用户设定的安全控制策略,对受控对象的活动进行审计。
目前的安全审计系统网络接入方式一般有两种方式:在互联网出口处利用TAP设备分流一路数据给安全审计系统,如图1所示;在局域网核心交换机上通过端口镜像方式将上网数据“复制”给安全审计系统,如图2所示。这两种方式都能获得完整的互联网上网信息,然后系统按照已设定的各项安全策略进行信息审计,及时反映结果。不过此类解决方式还是存在一定的局限性,因为这种数据的采集方式决定了它所截获的用户上行数据包的源IP/Port和下行数据包的目的IP/Port职能是局域网内网IP/Port,不能掌握该用户计算机在经过路由器或防火墙之后的公网IP/Port,在某些情况下如国家安全部门或公安机关对某些互联网违法犯罪的源头追查时跟踪到属于某单位的互联网接入地址,但在进一步确定相关具体实施人员时由于经过了NAT地址转换无法核实内部行为人,而此时安全审计系统也无能为力。
本方法的目的在于解决现有安全审计系统不能提供摘要增加很高的硬件软件成本网络安全论文,升级较为方便。
2 技术原理
安全审计系统本身没有参与NAT地址转换,它无法主动获得内外网地址映射关系,需要模拟发现实际映射关系。技术原理为:主动发送数据包探测NAT转换前后的地址映射关系,包括:映射关系探测的触发,探测数据包的构建,探测数据包的发送,经NAT转换后的探测数据包的截获与分析,最后建立地址映射关系并保存。
地址关系映射表是以源IP,源Port,目的地址为索引的映射关系表,并随时探测系统,在发现映射关系表中没有的或者已经过期的条目时,触发探测活动;截获经NAT转换后的探测数据包后,更新地址映射关系表并保存。
探测数据包IP报头中的源IP、目的IP与内网用户计算机实际发送数据包源IP、目的IP相同;探测数据包TCP/UDP头中的源Port、目的Port与内网用户计算机实际发送数据包源Port、目的Port相同;探测数据包Ethernet层的源MAC地址应为一个内部网络中不存在的MAC地址,以保证探测数据包不会对内部网络硬件设备的ARP地址表造成混乱;探测数据包IP报头中的TTL字段设置为安全审计系统发送探测数据包的物理接入点和探测数据包的截获物理接入点之间路由器数目基础上再加1网络安全论文,以保证探测数据包在进入因特网到达第一跳路由器即被丢弃,对因特网不造成任何负担。
3 技术实现
下面介绍技术实现方法的步骤:
(1)安全审计系统截获内外网交互的全部数据包,通过“匹配上行数据包X源MAC地址是否为Y”过滤上行数据包,Y为探测数据包Ethernet层的源MAC地址,例如10-10-10-10-10-10中国论文网。匹配成功则不做任何处理继续处理下一个数据包,匹配失败则进入下一步骤.
(2)将上行数据包X的源IP、目的IP、源Port和目的Port作为四元组在安全审计系统中的映射关系表中查询,如查询已存在映射关系,重置该映射关系失效定时器,并回到步骤1中继续处理下一个数据包,否则进入下一步骤;
(3)安全审计系统构建探测数据包A,A中目的MAC地址与X中目的MAC地址相同,源MAC地址为步骤1中Y;A中源IP/Port,目的IP/Port与X中对应字段相同;A中应用层为X中源MAC地址、源IP/Port以及当前的日期时间信息;A中IP报头TTL字段设置为安全审计系统发送探测数据包的物理接入点和截获探测数据包物理接入点之间路由器的个数再加1。
(4)安全审计系统使用适当的发送机制将上述探测数据包A发送到内部网络。
(5)安全审计系统使用适当的数据包截获机制在外部网络中,以“TTL字段值为1”作为包过滤条件,接收A经过NAT转换后的数据包B。
(6)安全审计系统通过解析B网络安全论文,获取经NAT转换后的IP/Port以及应用层中NAT转换前的IP/Port和时间戳信息,即可获得内部用户计算机MAC、IP、Port与NAT转换后的外网IP、Port之间的地址映射关系及产生该关系的具体时间。
(7)安全审计系统将该条映射关系保存在系统内并为其设置合适的定时器,将该映射关系以及产生时间同时记录到长期存储介质。定期器过期后,安全审计系统在映射关系表中删除该条记录,同时将长期存储介质中该条映射关系设置为过期状态,并记录具体过期时间。
4 结论
本方法解决了当前安全审计系统存在的不足之处,提出一种获取内外网地址映射关系的方法,包括映射关系的发现和映射表的维护、保存方法,并能够避免对被审计网络和因特网产生不良影响,为进一步完善安全审计系统功能和加强网络安全提供了更好的保障。
参考文献
[1]W.RichardStevens. TCP/IP详解,卷1:协议.人民邮电出版社,2010.4
[2]吴功宜.计算机网络高级教程.清华大学出版社,2007.3
[3]宋西军.计算机网络安全技术.北京大学出版社,2009.8
[4]胡道元.计算机局域网.清华大学出版社,2001
[5]刘占全.网络管理与防火墙.人民邮电出版社,1999
|
