即時(shí)通信監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

隨著科技的發(fā)展和計(jì)算機(jī)網(wǎng)絡(luò)的普及，即時(shí)通信軟件已逐漸融人人們的生活。即時(shí)通信軟件為個(gè)人和企業(yè)提供了便捷、快速、高效的溝通方式。常用的即時(shí)通信軟件有微軟的MSN Messenger、騰訊QQ、Googletalk等。即時(shí)通信技術(shù)在給個(gè)人及企業(yè)帶來高效便捷溝通的同時(shí)也產(chǎn)生了一系列的安全問題。隨著即時(shí)通信軟件的普及和用戶數(shù)量的快速增長，其已成為病毒和黑客攻擊的主要對(duì)象。對(duì)于企業(yè)而言，即時(shí)通信技術(shù)使得員工的行為更加難以控制，容易導(dǎo)致泄露機(jī)密、竊取資料等事件的發(fā)生，這將給企業(yè)造成無法估量的損失。針對(duì)中小規(guī)模企業(yè)網(wǎng)對(duì)即時(shí)通信安全的實(shí)際需求，對(duì)企業(yè)廣泛使用的MSN Messenger進(jìn)行了協(xié)議分析，并在此基礎(chǔ)上設(shè)計(jì)實(shí)現(xiàn)了一個(gè)基于網(wǎng)絡(luò)嗅探技術(shù)的MSN協(xié)議監(jiān)控分析系統(tǒng)——MSNAnalyzer。該系統(tǒng)可以對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控，監(jiān)督員工的上網(wǎng)行為，預(yù)防重要資料泄露等情況的發(fā)生，保護(hù)企業(yè)的信息安全，減少不必要的經(jīng)濟(jì)損失。

1、體系結(jié)構(gòu)

該監(jiān)控系統(tǒng)采集企業(yè)網(wǎng)絡(luò)出口處的所有數(shù)據(jù)幀，通過對(duì)幀的IP地址進(jìn)行分析提取出被監(jiān)控客戶機(jī)的數(shù)據(jù)幀并以一定的格式保存到文件中。然后，從文件中讀取數(shù)據(jù)幀并將數(shù)據(jù)幀交給協(xié)議分析處理模塊處理，處理后的結(jié)果以文件的形式保存在磁盤中。圖1所示為該系統(tǒng)的總體結(jié)構(gòu)示意圖。圖中，Sniffer是運(yùn)行MSNAnalymr程序的主機(jī)，Clientl、Client2、Client3為內(nèi)網(wǎng)主機(jī)。

圖1 系統(tǒng)體系結(jié)構(gòu)

MSNAnalyzer工作的基本過程為：

(1)基于Sniffer技術(shù)從網(wǎng)絡(luò)總出入口處采集網(wǎng)絡(luò)數(shù)據(jù)(抓包)。

(2)存儲(chǔ)數(shù)據(jù)幀。

(3)提取數(shù)據(jù)幀并進(jìn)行分析。

根據(jù)分析，系統(tǒng)實(shí)現(xiàn)模型如圖2所示。

圖2 系統(tǒng)總體實(shí)現(xiàn)模型及模塊劃分

2、數(shù)據(jù)采集及存儲(chǔ)

系統(tǒng)采用基于網(wǎng)絡(luò)嗅探技術(shù)的數(shù)據(jù)采集方法，以WinPcap 4．0．1作為開發(fā)工具，Windows平臺(tái)下使用WinPcap從網(wǎng)絡(luò)適配器嗅探數(shù)據(jù)十分方便，圖3是使用WinPeap捕獲網(wǎng)絡(luò)數(shù)據(jù)包的基本流程。

使用WinPcap開發(fā)應(yīng)用程序除可以捕獲數(shù)據(jù)包外，最大的優(yōu)點(diǎn)在于WinPcap可以對(duì)數(shù)據(jù)包進(jìn)行過濾。WinPeap從網(wǎng)絡(luò)適配器上嗅探到的是最原始的數(shù)據(jù)幀，這包括了所有流經(jīng)的數(shù)據(jù)。如果不對(duì)數(shù)據(jù)包進(jìn)行相應(yīng)的過濾，將會(huì)捕獲到許多無關(guān)的數(shù)據(jù)，這會(huì)增加系統(tǒng)的負(fù)擔(dān)，使系統(tǒng)工作效率降低。

圖3 WinPcap數(shù)據(jù)采集流程

在數(shù)據(jù)采集之后，采用什么樣的存儲(chǔ)策略來存儲(chǔ)數(shù)據(jù)，以最大限度地保證采集到的網(wǎng)絡(luò)數(shù)據(jù)包(Pack．et)不丟失，是系統(tǒng)設(shè)計(jì)中必須面對(duì)的一個(gè)重要問題。網(wǎng)絡(luò)丟包的原因可能有很多，包括內(nèi)存緩沖技術(shù)、磁盤I／O能力、包過濾及處理技術(shù)、數(shù)據(jù)流量大小、網(wǎng)絡(luò)接口性能、CPU處理能力等諸多方面。

網(wǎng)絡(luò)丟包的指標(biāo)一般采用丟包率(Rate of PacketLoss，RPL)。計(jì)算公式為：L=((發(fā)送的數(shù)據(jù)包數(shù)一接收到的數(shù)據(jù)包數(shù))／發(fā)送的數(shù)據(jù)包數(shù))×100％。

眾所周知。頻繁的磁盤I／O顯然會(huì)影響到系統(tǒng)的性能和效率，這在大的數(shù)據(jù)流量下尤為明顯。為了避免頻繁的磁盤I／O，需要在數(shù)據(jù)存儲(chǔ)時(shí)引入內(nèi)存緩沖處理技術(shù)。在基于WinPcap的網(wǎng)絡(luò)數(shù)據(jù)采集中，系統(tǒng)使用了多級(jí)內(nèi)存緩沖，內(nèi)核緩沖器和用戶緩沖器的大小分別設(shè)置為6MB和1MB，并設(shè)置內(nèi)核緩沖器和用戶緩沖器之間一次傳送的最小數(shù)據(jù)塊的大小為512kB。