一種安全審計系統(tǒng)中獲取內(nèi)外網(wǎng)地址映射關(guān)系的方法

一種安全審計系統(tǒng)中獲取內(nèi)外網(wǎng)地址映射關(guān)系的方法

論文導讀:：本方法通過模擬內(nèi)部用戶計算機發(fā)送探測數(shù)據(jù)包，同時在外部截獲該探測數(shù)據(jù)包轉(zhuǎn)換后的數(shù)據(jù)包，進行分析提取來實現(xiàn)獲取內(nèi)外網(wǎng)地址映射關(guān)系，該方法進一步完善了安全審計系統(tǒng)用戶定位功能。該方法通過對探測數(shù)據(jù)包的特定設置保證其不對內(nèi)部網(wǎng)絡ARP地址表造成混亂和對因特網(wǎng)可能造成的不良影響。

關(guān)鍵詞：安全審計系統(tǒng)，地址映射方法

1背景及目的近年來，隨著網(wǎng)絡應用的普及，幾乎所有的政府機關(guān)、企事業(yè)單位都將接入了互聯(lián)網(wǎng)?；ヂ?lián)網(wǎng)讓人們快速地了解世界各地的最新資訊，通過各種通訊手段準確迅捷地傳遞信息，在各種論壇、博客、空間暢所欲言，給單位和個人帶來了極大的方便。但是，伴隨著人們對互聯(lián)網(wǎng)的依賴網(wǎng)絡安全論文，由于缺乏有效的網(wǎng)絡管理手段新的風險也隨之而來。主要表現(xiàn)在以下幾個方面：一是內(nèi)部計算機被外部人員非法侵入，竊取國家涉密信息和企業(yè)商業(yè)秘密；二是內(nèi)部人員向外部泄漏國家涉密信息和企業(yè)商業(yè)秘密；三是工作人員利用辦公計算機在互聯(lián)網(wǎng)發(fā)布、傳播違法信息。以上情形都可能給單位帶來了不可估量的法律糾紛和經(jīng)濟損失，給單位和單位相關(guān)負責人造成極其嚴重的不良影響中國。此時網(wǎng)絡安全日益得到人們的重視，安全審計系統(tǒng)也應運而生。它通過實時審計網(wǎng)絡數(shù)據(jù)流，根據(jù)用戶設定的安全控制策略，對受控對象的活動進行審計。目前的安全審計系統(tǒng)網(wǎng)絡接入方式一般有兩種方式：在互聯(lián)網(wǎng)出口處利用TAP設備分流一路數(shù)據(jù)給安全審計系統(tǒng)，如圖1所示；在局域網(wǎng)核心交換機上通過端口鏡像方式將上網(wǎng)數(shù)據(jù)“復制”給安全審計系統(tǒng)，如圖2所示。這兩種方式都能獲得完整的互聯(lián)網(wǎng)上網(wǎng)信息，然后系統(tǒng)按照已設定的各項安全策略進行信息審計，及時反映結(jié)果。不過此類解決方式還是存在一定的局限性，因為這種數(shù)據(jù)的采集方式?jīng)Q定了它所截獲的用戶上行數(shù)據(jù)包的源IP/Port和下行數(shù)據(jù)包的目的IP/Port職能是局域網(wǎng)內(nèi)網(wǎng)IP/Port，不能掌握該用戶計算機在經(jīng)過路由器或防火墻之后的公網(wǎng)IP/Port，在某些情況下如國家安全部門或公安機關(guān)對某些互聯(lián)網(wǎng)違法犯罪的源頭追查時跟蹤到屬于某單位的互聯(lián)網(wǎng)接入地址，但在進一步確定相關(guān)具體實施人員時由于經(jīng)過了NAT地址轉(zhuǎn)換無法核實內(nèi)部行為人，而此時安全審計系統(tǒng)也無能為力。本方法的目的在于解決現(xiàn)有安全審計系統(tǒng)不能提供摘要增加很高的硬件軟件成本網(wǎng)絡安全論文，升級較為方便。2技術(shù)原理安全審計系統(tǒng)本身沒有參與NAT地址轉(zhuǎn)換，它無法主動獲得內(nèi)外網(wǎng)地址映射關(guān)系，需要模擬發(fā)現(xiàn)實際映射關(guān)系。技術(shù)原理為：主動發(fā)送數(shù)據(jù)包探測NAT轉(zhuǎn)換前后的地址映射關(guān)系，包括：映射關(guān)系探測的觸發(fā)，探測數(shù)據(jù)包的構(gòu)建，探測數(shù)據(jù)包的發(fā)送，經(jīng)NAT轉(zhuǎn)換后的探測數(shù)據(jù)包的截獲與分析，最后建立地址映射關(guān)系并保存。地址關(guān)系映射表是以源IP，源Port，目的地址為索引的映射關(guān)系表，并隨時探測系統(tǒng)，在發(fā)現(xiàn)映射關(guān)系表中沒有的或者已經(jīng)過期的條目時，觸發(fā)探測活動；截獲經(jīng)NAT轉(zhuǎn)換后的探測數(shù)據(jù)包后，更新地址映射關(guān)系表并保存。探測數(shù)據(jù)包IP報頭中的源IP、目的IP與內(nèi)網(wǎng)用戶計算機實際發(fā)送數(shù)據(jù)包源IP、目的IP相同；探測數(shù)據(jù)包TCP/UDP頭中的源Port、目的Port與內(nèi)網(wǎng)用戶計算機實際發(fā)送數(shù)據(jù)包源Port、目的Port相同；探測數(shù)據(jù)包Ethernet層的源MAC地址應為一個內(nèi)部網(wǎng)絡中不存在的MAC地址，以保證探測數(shù)據(jù)包不會對內(nèi)部網(wǎng)絡硬件設備的ARP地址表造成混亂；探測數(shù)據(jù)包IP報頭中的TTL字段設置為安全審計系統(tǒng)發(fā)送探測數(shù)據(jù)包的物理接入點和探測數(shù)據(jù)包的截獲物理接入點之間路由器數(shù)目基礎上再加1網(wǎng)絡安全論文，以保證探測數(shù)據(jù)包在進入因特網(wǎng)到達第一跳路由器即被丟棄，對因特網(wǎng)不造成任何負擔。3技術(shù)實現(xiàn)下面介紹技術(shù)實現(xiàn)方法的步驟：（1）安全審計系統(tǒng)截獲內(nèi)外網(wǎng)交互的全部數(shù)據(jù)包，通過“匹配上行數(shù)據(jù)包X源MAC地址是否為Y”過濾上行數(shù)據(jù)包，Y為探測數(shù)據(jù)包Ethernet層的源MAC地址，例如10-10-10-10-10-10中國。匹配成功則不做任何處理繼續(xù)處理下一個數(shù)據(jù)包，匹配失敗則進入下一步驟.（2）將上行數(shù)據(jù)包X的源IP、目的IP、源Port和目的Port作為四元組在安全審計系統(tǒng)中的映射關(guān)系表中查詢，如查詢已存在映射關(guān)系，重置該映射關(guān)系失效定時器，并回到步驟1中繼續(xù)處理下一個數(shù)據(jù)包，否則進入下一步驟；（3）安全審計系統(tǒng)構(gòu)建探測數(shù)據(jù)包A，A中目的MAC地址與X中目的MAC地址相同，源MAC地址為步驟1中Y；A中源IP/Port，目的IP/Port與X中對應字段相同；A中應用層為X中源MAC地址、源IP/Port以及當前的日期時間信息；A中IP報頭TTL字段設置為安全審計系統(tǒng)發(fā)送探測數(shù)據(jù)包的物理接入點和截獲探測數(shù)據(jù)包物理接入點之間路由器的個數(shù)再加1。（4）安全審計系統(tǒng)使用適當?shù)陌l(fā)送機制將上述探測數(shù)據(jù)包A發(fā)送到內(nèi)部網(wǎng)絡。（5）安全審計系統(tǒng)使用適當?shù)臄?shù)據(jù)包截獲機制在外部網(wǎng)絡中，以“TTL字段值為1”作為包過濾條件，接收A經(jīng)過NAT轉(zhuǎn)換后的數(shù)據(jù)包B。（6）安全審計系統(tǒng)通過解析B網(wǎng)絡安全論文，獲取經(jīng)NAT轉(zhuǎn)換后的IP/Port以及應用層中NAT轉(zhuǎn)換前的IP/Port和時間戳信息，即可獲得內(nèi)部用戶計算機MAC、IP、Port與NAT轉(zhuǎn)換后的外網(wǎng)IP、Port之間的地址映射關(guān)系及產(chǎn)生該關(guān)系的具體時間。（7）安全審計系統(tǒng)將該條映射關(guān)系保存在系統(tǒng)內(nèi)并為其設置合適的定時器，將該映射關(guān)系以及產(chǎn)生時間同時記錄到長期存儲介質(zhì)。定期器過期后，安全審計系統(tǒng)在映射關(guān)系表中刪除該條記錄，同時將長期存儲介質(zhì)中該條映射關(guān)系設置為過期狀態(tài)，并記錄具體過期時間。4結(jié)論本方法解決了當前安全審計系統(tǒng)存在的不足之處，提出一種獲取內(nèi)外網(wǎng)地址映射關(guān)系的方法，包括映射關(guān)系的發(fā)現(xiàn)和映射表的維護、保存方法，并能夠避免對被審計網(wǎng)絡和因特網(wǎng)產(chǎn)生不良影響，為進一步完善安全審計系統(tǒng)功能和加強網(wǎng)絡安全提供了更好的保障。

參考文獻

[1]W.RichardStevens.TCP/IP詳解，卷1：協(xié)議.人民郵電出版社，2010.