打开文本图片集
摘 要:当前很多个人、企业的网络带宽很大,但却常常发生网络堵塞的情况。用户的网速变慢,恶意程序盗取用户隐私资料,并通过联网将用户隐私数据上传到攻击者,或是未知蠕虫入侵电脑并尝试感染邻近主机,除危害到主机安全外,还有可能导致整个网络信息的泄露。本文在现有模型基础上,针对建立个人电脑对流量监控的需求,采用在NDIS驱动层的开发包设计并实现一款能够实时查看应用程序联网情况,流量分析以及流量进行控制的软件,其最大特点是程序运行占用内存率较低,且能为联网程序设置联网的黑、白名单并自动限制大流量程序的联网速率,使得用户对本机网络的管理更加清楚,方便用户对本机的联网程序速率进行查看和设置,以保证本机联网业务的正常使用。
关键词:防火墙;数据统计;流量监测;流量控制
中图分类号:TP393.08
目前采用的TCP/IP协议族潜在着安全漏洞以及安全机制不健全,INTERNET网上的黑客趁机而入,非法进入企业的内部网并存取、破坏、窃听数据。防火墙是保护网络安全最主要的手段之一,它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的结构、信息和运行情况,以此来实现内部网络的安全保护[1][2]。
目前国内外有较多为企业设计流量防火墙等流量监控软件,技术相对成熟,但为个人设计的流量监控软件却大多数是只监不控。如360流量防火墙软件,Netlimiter,Negie等。360流量防火墙软件,简单易用,但流量管理都是临时的,每次开机后都得重新对一些程序进行限速,没法实时显示流量趋势;Netlimiter,会询问用户是否允许程序建立连接、并设置流量上限值,在windows xp2以上系统使用该软件会出现蓝屏现象。本文就是要为个人设计一个能够自动监控的流量防火墙软件,更好的为个人计算机信息安全提供有效保障而研究开发的软件系统,利用windows 7系统开发,开发环境为VC6.0,可在windows xp、windows 7、windows 8环境下运行。
本方案的设计是通过调用微软提供的NDIS驱动,编写程序实时捕获网络速率。软件需安装微软的WDK开发包,调用WDK开发的NDIS中间层函数,用C语言编写,并在VC6平台下进行开发。
本软件实现的功能有以下几点:(1)实时统计主机上网速率、上传、下载总流量等基本信息;(2)控制应用程序联网、控制网络及应用程序上传、下载速率;(3)进行流量检测并对检测到的流量进行分类;(4)找出占用网络带宽较大的应用程序,并计算出合适的流量上限值,给占用流量较多的应用程序设定推荐流量上限值。
系统功能模块如图1所示:
图1 QuickSurf流量防火墙系统功能模块图
1 软件系统整体框架
本项目可通过读取注册表的信息以获得当前应用程序列表,再通过调用NDIS的函数可以得到获得网络速率、应用程序速率等信息。具体程序实现用C语言,读取速率会比较快。先将网卡设置为混杂模式,收集主机和外网间的所有数据包信息。然后用现已公开的数据流分析、数据包分析、数据统计分析,来对应用程序的流量进行特征分析。定时检测,将异常流量上传到开源的服务器上进行分析对比,以节省昂贵的维护特征库的费用。调用NDIS提供的接口,手动控制应用程序联网级上传下载速率。
流量防火墙功能模型框架如图2所示:
图2 流量防火墙功能模型框架图
2 功能模块分析
2.1 数据统计
收集主机与外网通信的所有数据包,统计出网络速率、网络流量、打开连接数、应用程序流量等详细数据。数据统计模块图如图3所示:
图3 数据统计模块图
协议驱动程序负责维护一个接收缓冲区,该缓冲区以队列的形式组织。当NIC通知NDIS已从网络上就收到数据包时,作为已经在protocolChar结构中注册过的函数,NDIS将调用PacketReceiveIndicate作为接收处理函数将NIC从网络上接收到的数据缓存起来。
流量统计系统将采用三层软件结构来实现,包括NetF10w数据导出,数据采集和数据分析等部分。其中:
数据导出:支持NetRow功能的网络设备,如果其物理接口激活了NetRow功能,并配置了NetRow数据导出的目的IP地址和端口后,该网络设备接口将定期地将NetFlow流数据通过UDP协议传输到NetF10w数据采集服务器;
数据采集:数据采集服务器接受到NetF10w数据后,需要对原始的数据进行处理,如过滤聚合等,并将处理后的数据压缩存储到物理文件上;此外,有另外的进程不断地从存储的物理文件上抽取NetFlow数据,存储到关系型数据库中;
数据分析:通过分析存储在数据库中的流数据,数据分析模块可以统计各种流量信息,包括某设备一个接口的流量信息。一组IP地址的流入流出流量等,提供各种报表功能[3]。
2.2 流量控制:对指定应用程序进行联网允许设置、网络上行下行流量、应用程序上行下行流量进行设置。流量控制模块图如图4所示。
图4 流量控制模块图
关键技术为DPI和DFI技术。DPI的技术关键是高效的识别出网络上的各种应用,通过对应用流中的数据报文内容进行探测,从而确定数据报文的真正应用。DFI采用的是一种基于流量行为的应用识别技术,基于这一系列流量的行为特征,建立流量特征模型,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比,从而实现鉴别应用类型[4]。
2.3 流量检测:当应用程序占用了可用网络带宽的70%,并且上网速率较低时弹出提示框,提醒用户查看联网的应用程序,提示可禁用一些应用程序的联网和设置较大流量占用的程序上网速率。流量检测模块图如图5所示。
图5 流量检测模块图
对于来自Internet上的数据包,第一步是对其进行过滤和捕捉,第二步,先设计一个优先级:基于端口识别和基于特征值识别均处于第一优先级,而DFI技术识别放在第二优先级。这些数据包先进行基于端口识别和基于特征值识别,只要通过时两种方法有一种能识别出P2P流量即可;最后对识别出的P2P流量准备下一步的控制策略,对那些非P2P流量则允许通过[5][6]。
在基于P2P的分布式蠕虫检测系统中,各节点采用旁路侦听的方式监控各自对应的边界网络,需要对出入该网络的所有网络报文进行报文还原,即进行IP分片重组和TCP数据流还原,才能进一步进行蠕虫的检测和分析。基于协议分析的特征匹配检测技术的系统工作流程,首先通过截获网络数据包,送往协议命令解析模块,然后通过具体协议字段判断各层协议,同时解析数据包的数据部分,再根据系统的规则库进行特征匹配,判断该数据包是否有入侵企图,最后由响应系统对该数据做出相应的响应[7][8]。
3 结束语
QuickSurf流量防火墙(windows端)软件实现了实时统计主机上网速率、上传、下载总流量等基本信息;控制应用程序联网、控制网络及应用程序上传、下载速率;进行流量检测并对检测到的流量进行分类;找出占用网络带宽较大的应用程序,并计算出合适的流量上限值,给占用流量较多的应用程序设定推荐流量上限值的基本功能。实现了我们所预期的效果。
参考文献:
[1]谢恩宝.防火墙与入侵检测系统联动研究.信息通信.2013(08).1673-1131(2013)08-0122-01
[2]肖政宏,尹浩.基于网络流量统计分析的入侵检测研究.微电子学与计算机.2003(05).1000- 7180( 2006) 05- 003
[3]车葵,邢书涛,李玲玲.网络性能监控与流量统计系统的设计与实现.网络安全技术与应用.2009(09)
[4]汤昊,李之棠.基于DPI的P2P流量控制系统的设计与实现.通信技术.2007(06).1009-8054(2007)06-0094-03
[5]王逸欣,王锐,樊爱华,唐川.P2P流量检测技术初探.计算机与数学工程.2006(06)
[6]郦昊,吴安清.P2P流量检测技术.湖北农机化.2009(05)
[7]陈博,方滨兴,云晓春.分布式蠕虫检测和遏制方法的研究.通信学报.2007(02)
[8]钱旭,顾巍,陈凌晖,丁晓峰.网络蠕虫检测系统的设计和实现.现代图书情报技术.2007(01)
作者简介:赵禹哲(1993-),女,吉林松原人,学生,本科,研究方向:网络安全;李艳平(1972-),女,内蒙古满洲里市人,讲师,硕士,主要研究方向:云计算、物联网、网络安全;陈昕(1965-),男,安徽人,教授,博士,主要研究方向:计算机网络及其性能评价、网络安全、航电网络;李挺婷(1992.11.05-),女,广东梅州人,学生,本科,研究方向:计算机网络;黄浩(1994-),男,广东郁南人,学生,本科;田青青(1992-),女,河北邯郸人,学生,本科,研究方向:网络安全。
作者单位:北京信息科技大学计算机学院,北京 100085
基金项目:北京市2013年大学生科技创新计划项目经费资助(5JS12)。