网络信息内容审计系统的研究与实现

合集下载

网络环境下的信息系统审计问题及其发展策略

国际信息系统审计领域的权威专家ＲｎＷｅｅｏｂｒ认为，信息系统审计是一个过程，在此过程中搜集和评估证据以确定信息系统和相关资源是否有效保护资产、维持数据和系统完整性、提供相关和可靠信
计概念的一种延续和深化，是信息技术飞速发展、信息系统的广泛应用和审计实践需要的必然产物。我国的信息系统审计研究相对于国外起步较晚，直至上世纪９年代学界方始关注，０但大部分研究都集中于国外信息系统审计理论与发展的翻译引介［信息２１、系统审计基础理论、息系统审计的应用［１，信５等总－６的来说还处于初步发展阶段，在研究中存在重理论、轻实践的倾向，对信息系统审计的研究都是从整体大方向上进行，缺少细节方法的讨论［７１。２网络环境对信息系统审计的影响随着互联网的迅猛发展和大规模分布式信息系统的出现，信息系统面临着新的安全问题，信息系统
Ａｂｔａｃ：ｉｈｔａｉｅｌｐｎｆｔｅｃｓｒｔＷｔｒｐｄｄｖｅｏｍｅｔｏｏｍｐｕｅｎｅｗｏｋｔｃｎｌｇ，ｉｏｍａｉｎｓｓｅｉｓｄｉｈｅｈｔｒａｄｎｔｒｅｈｏｏｙｎｆｒｔｏｙｔｍｓｕｅｎｅｒｒｆｓｉｎ．ｎｆｒａｉｎｓｓｅａｉｉｏｏｎｒｉｎｉｓｓａｔｎａｅＩｉｐｒａｏｋｏｔｕ — ｖｅｙｐｏｅｓｏＩｏｍｔｏｙｔｍｕｄｔｎｇｉｕｒｃｕｔｙｉｔｔｒｉｇｐｈｓ．ｔｓｉｏｎｔｎｗｈｅｃｒｎｓｍｔｔｒｎｉｕｔｎｏｆｒａｉｎｓｓｅａｄｔｎｎｄｒｎｔｒｎｉｏｍｅｔｉｃｕｉｇｂｌｉｐａｌｇｌｉｂｌｔｉｅｔｓｔａｉｆｉｏｍｔｙｔｍｕｉｉｇｕｅｅｗｏｋｅｖｒｎｎ，ｎｌｄｎｕｉｎｇｕｅａａｉｉｎ— ｏｎｏｄｌｙｓｉｔｏｒｉｏｃｎｎｅａｏｔｏｙｓｅ，ｅｌｐｉｇｓｐｓｉａｅＳｔｃｎｏｏｇ，ｓａｌｓｉｇａＳｐｒｆｓｔｕｉｎ，ｅｎｆｒｉｇｉｔｒｌｃｎｒｌｓｔｍｄｖｅｏｎｏｈｉｔｃｔｄＩＡｅｈｌｙｅｔｂｉｈｎｎＩＡｏｅ — ｔｎｓｏｌｒｉｉｇｓｓｅ．ｉｎａａｎｎｙｔｍｔ

网络安全管理系统集中日志审计子系统的设计与测试的开题报告

网络安全管理系统集中日志审计子系统的设计与测试的开题报告一、课题背景网络安全问题已经日益引起人们的重视，各种网络攻击和病毒威胁不断涌现。

为了维护网络安全，网络安全管理系统集中日志审计子系统（以下简称审计子系统）应运而生。

该系统主要用于收集、存储和分析网络设备产生的日志，帮助管理员进行日志审计，发现安全威胁并及时处理。

目前，网络日志审计系统存在多种问题，如数据量大、数据分散、数据不可靠、分析能力弱等。

因此，本课题旨在探究如何构建一套高效、分析能力强、易维护的网络安全管理系统集中日志审计子系统，为网络安全提供更全面的保障。

二、研究内容本课题主要包括以下研究内容：1.设计审计子系统的基本架构和数据流程：该部分主要研究审计子系统的基本组成和数据流程。

2.构建日志采集与传输模块：根据审计子系统的架构和数据流程，开发日志采集和传输模块。

采集模块包括从各种网络设备中采集数据的方法、收集哪些数据以及如何将采集的数据传输到审计子系统中等。

传输模块包括数据压缩、加密和传输协议等。

3.开发数据存储和处理模块：该部分主要实现采集到的日志数据的存储和处理。

具体来说，需要将数据存储到合适的存储介质中（如数据库或文本文件），并实现数据清洗、去重、格式化等操作。

4.实现数据分析和报警模块：该模块主要实现对存储的日志数据的分析和报警。

分析模块包括利用数据挖掘和机器学习方法分析日志数据，以识别异常行为和安全威胁等。

报警模块则根据检测到的异常行为自动触发报警或发送通知。

5.设计和实现用户接口：该部分主要实现审计子系统的用户接口，以便管理员可以使用交互式界面查看日志数据和报警信息，并进行必要的操作。

6.测试与性能优化：为了确保审计子系统的正确性和稳定性，需要进行充分的测试。

该部分主要包括单元测试、集成测试等，以及对系统性能的优化。

三、研究意义本课题的研究意义主要体现在以下几个方面：1. 提高网络安全：审计子系统可以及时发现和处理安全威胁，减少网络攻击所造成的影响。

联网审计系统数据安全性关键技术研究

业务数据服务器、
联网审计系统用户三者之间建立安全可靠、稳定通畅的数据传输通道，保证数据的保密性和高效性。除了身份认证、权限控制、数据加密和解密等措施
资源的访问认证和访问安全。ＳＬＶＮ传递用户ＳＰ层的认证，确保只有通过安全策略认证的用户可以访问指定的资源。ＭＰＳ一个可以在多种第二层Ｌ是
ｃｌｃｅ，ｔｎｆｒｄｏｌｔｄｒｓｏｍｅ，ｍｅｒｅｎｒｗｓｄｈｅｏｎｆｓｌｉｇｔｅｐｏｌｍｆｏ－ｉｅａｄｔｓｓｅｉｅａｍｏｉｄａｄｂｏｅ．Ｔｅｋｙｐｉｔｏｏｖｎｈｒｂｅｏｎｌｕｉｙｔｍｓｚｎ
ＲｅｅｒｈｏｔｅｕｉｙＢａｅｎＯｎＬｉｅＡｕｉＳｓｅｓａｃｆＤａａＳｃｒｔｓｄｏ－ｎｄｔｙｔｍ
ＹｎｊｎＺＵＬｎ — ａ，Ｈ［ｉｇｈｎＵＡ－ｕ，０ｏｇｇｎＳＪ－ｏｇｎ
都要经过Ｉ层的处理．所以提供了Ｉ层的安全性就ＰＰ
相当于为整个网络提供了安全通信的基础，故
ＩＳｃＶＮＰｅＰ为联网审计系统组网技术首选。
２２２ＶＰ．．Ｎ组网方式选择
目前常用的ＶＮ技术有ＩＳｃＶＮ。ＳＬＶＮＰＰｅＰＳＰ和ＭＰＳＶＮ．这三种技术区别如下：ＬＰ２２１１协议层次不同．．．

网络安全中安全审计与监控系统的设计

科技瓜—煽i 龇网络安全中安全审计与监控系统的设计监寿权(中国电信股份有限公司惠州分公司，广东惠州516001)”脯要】针对网络信息安垒性较差的现状，从访问控制机制的角度探讨了网络安全屏障的构建，论文在简单介绍访问控制机制的基础上，重点从访问机制的审计与监控两个角度，分析研究了网络中信息安全的审计与网络操作安全监控的设计应用，给出了网络安全审计与监控实‘现的详细方案，对于进一步提高企业内部局域网络的信息安全具有一定借鉴意义。

法键词]网络安全；网络审计；安全监控，近年来，计算机网络的发展异常迅速。

特别是随着国际互联网络I nt er net 的不断推广应用，计算机网络的发展I 敷=来愈成为人1门所关注的全球性麴点之一。

社会对计算初网络的使用越来越广泛，用户对网络的依赖性也越来越大。

未来社会是信息的社会，而信息社会是离不开网络的，因Ib 斗算机网络在人们生活串的地位也将越来越重要。

随着网络技术的发展和网上电子商务应用的日益增加，网络安全和信息安全的问题日益凸现本论文将主要针对网络安全中安全审计模块和安全监控系统的应用与设计展开讨论，以期找到能够有效的可供借鉴和指导的网络安全构建设计手段，并和广大同行分享。

1网络安全概述安全性一直是网络的薄弱环节之一，而用户对网络安全的要求又相当高，因此网络安全管理非常重要。

网络中主要有以下几大安全问题：网络数据的私有性(保护网络数据不被侵入者非法获得)，授权(防止侵^者在网络上发送错误信息)，访问控制(控制对网络资源的访问)。

相应地，网络安全管理应包括对加密和加密关键字、授权机制、访问控制的管理，另外还要维护和检查安全日志，包括：刨建、删除、控制安全服务和机制；与安全相关信息的分布：与安全相关事件的报告等。

要实现对网络信息的安全保障，关键是要实现对网络中传输的信息进行安全审计，同时对网络操作实施可行的监控，因此需要借助于访问控制机制来增强对网络信息的安全审计与监控，提高网络信息的安全性。

数据库审计系统的设计与实现路径探析

２０２０年第６期Ｎｏ．６　２０２０ＪＯＵＲＮＡＬＯＦ　ＡＮＨＵＩ　ＶＯＣＡＴＩＯＮＡＬ　ＣＯＬＬＥＧＥ　ＯＦ　ＥＬＥＣＴＲＯＮＩＣＳ　＆　ＩＮＦＯＲＭＡＴＩＯＮ　ＴＥＣＨＮＯＬＯＧＹ安徽电子信息职业技术学院学报第１９卷（总第１１１期）Ｓｕｍ　Ｎｏ．１１１　Ｖｏｌ．１９摘要：鉴于传统数据库安全保障方法在实际应用中存在很多的不足，综合分析了当前国内外数据库安全审计研究成果后，提出了一种数据库审计系统设计框架。

同时，对该系统的主要功能模块的实现路径进行探析，给出了系统的实现方法。

该系统设计结构简便，容错性强。

关键词：数据库审计；审计策略；系统设计中图法分类号：TP311 文献标识码：ADesign and Implementation of Database Audit SystemLi Hongli（Yangquan Teachers College, Yangquan 045200, China ）数据库审计系统的设计与实现路径探析李红丽（阳泉师范高等专科学校，山西阳泉 045200）[文章编号] １６７１－８０２Ｘ（２０２０）０６－００１２－０８等级划分规则》，这些国内外标准都对安全审计功能作出了相应的规定［１］。

根据国内外标准，本文认为数据库审计系统应达到以下目标：１．能准确记录对数据库访问行为的相关数据，并能随时查询数据库安全保护结果数据；２．在发现超越数据库规定权限的用户对数据库实施越权行为的时候，能实施准确及时的定位，并采取相关措施来处理；３．可以发现和排除数据库系统存在的安全漏洞；４．在发生了越过系统安全保护系统的行为时，可以记录并留存证据；５．当数据库系统受到破坏，可以进行损失评估和系统恢复。

二、研究现状目前，国外非常有名的数据库安全审计产品主要有下面几种：Ａｐｐｌｉｃａｔｉｏｎ　Ｓｅｃｕｒｉｔｙ　Ｉｎｃ公司的入侵检测系统－ＡｐｐＲａｄａｒ、Ｉｍｐｅｒｖａ公司的安全审计系统－ＳｅｃｕｒｅＳｐｈｅｒｅ和美国ＩＢＭ公司的数据库安全审计系统－Ｇｕａｒｄｉｕｍ等系统［２］。

基于监控日志的电力信息内网安全审计系统实现

基于监控日志的电力信息内网安全审计系统实现高宇（东北电力大学信息化办公室吉林吉林 132012）摘要：针对电力企业信息内网监控系统的日志审计功能薄弱的缺点，设计并实现一个针对该系统日志的安全审计系统。

系统通过对电力信息内网安全监控的多种日志信息进行采集和预处理，并利用数据挖掘算法进行审计分析，使管理员准确掌握网络系统的安全状态，及时发现违反安全策略的事件并实时告警、记录，以便于事后追查取证。

应用结果表明，系统既实现电网企业信息内网的安全审计功能，又为电网企业信息内网采取进一步的安全措施提供依据。

关键词：日志分析；安全监控；数据挖掘；安全审计中图分类号：TM73 文献标识码：A 文章编号：1671－7597（2012）1110156－02电力信息内网安全审计系统实现的关键技术是日志格式化0 引言算法以及审计分析实现算法。

随着电力企业信息化工作的不断深入，电力企业在信息内 3 关键技术实现网部署了内网安全监控管理系统，对内网用户的行为及终端设备进行监控[1]，然而由于目前的内网安全监管系统缺少对安日志压缩与归并的实现：由于获取的这些海量日志数据包全事件的审计功能或者审计功能薄弱，使管理员不能准确掌握含了大量的重复冗余信息，这些信息对于报警事件的关联分析网络系统的安全状态，不能对网络行为进行跟踪分析，要实现不具有任何价值。

因此需要对报警数据进行归并处理，以缩小事后的追查取证比较困难。

基于监控日志的电力信息内网安全关联分析的样本空间。

审计系统则能帮助系统管理员对网络安全进行实时监控，及时根据网络入侵事件的行为特征、时间特征和位置特征，现发现整个网络上的动态，发现网络入侵和违规行为，如实记录将报警事件主要分为三类：重复事件、冗余事件和并发事件。

网络上发生的一切，提供取证资料。

它是保障电力企业信息内对于重复事件和并发事件，利用归并规则进行检测。

归并网安全的一种十分重要的手段。

规则采用标准的关系代数进行组合，通过正则表达式对其进行解析提取。

基于JumpServer的运维安全审计系统研究与实现

基于JumpServer的运维安全审计系统研究与实现作者：***来源：《现代信息科技》2023年第21期收稿日期：2023-05-05基金项目：内蒙古自治区高等学院科学技术研究项目（NJZY22247）；内蒙古自治区哲学社会科学专项项目（ZSZX21090）；河套学院教学研究与改革项目（HTXYJY2102）；河套学院新冠肺炎重点研发项目（HYZX202089）DOI：10.19850/ki.2096-4706.2023.21.018摘要：随着IT技术的不断进步，信息系统在各行各业的应用范围日趋广泛，但网络安全风险也变得愈发严峻。

目前，网络安全的防护重点大多集中在外部入侵，一定程度上忽略了内部风险，但运维人员的违规操作会从内部破坏系统，因此需要针对运维操作进行安全审计，确保系统的正常运行。

基于此，将JumpServer作为核心技术，设计一个运维安全审计系统，实现了登录审计、操作审计、文件传输审计等多种功能，能够全面地监控系统的运维行为，有效提高了IT系统的安全性和可靠性，具有一定的应用推广价值。

关键词：网络安全；运维；安全审计；JumpServer中图分类号：TP393 文献标识码：A 文章编号：2096-4706（2023）21-0076-04Research and Implementation of Operation and Maintenance Security Audit System Based on JumpServerCAO Yuanqing（School of Mathematics and Computer Science， Hetao College， Bayannur 015000，China）Abstract： With the continuous progress of IT technology， the application range of information systems in various industries is becoming increasingly widespread， but network security risks have also become increasingly severe. At present， the focus of network security protection is mostly on external intrusion， which to some extent ignores internal risks. However， the illegal operations of operation and maintenance personnel will destroy the system from the inside. Therefore， it is necessary to conduct security audits for operation and maintenance operations to ensure the normal operation of the system. Based on this， using JumpServer as the core technology， an operation and maintenance security audit system is designed， which realizes various functions such as login audit， operation audit， file transfer audit， etc.， it can comprehensively monitor the operation and maintenance behavior of the system， and effectively improve the security and reliability of the IT system， it has certain application and promotion value.Keywords： network security; operation and maintenance; security audit; JumpServer0 引言IT系統在企业和组织的日常运营中发挥着至关重要的作用，它不仅提高了企业和组织的生产效率和竞争力，还带来了更高的质量、安全和可靠性[1]。

基于可信网络的安全审计系统研究与应用

“ 可信网络 ”最直接的作用是全面提高用户的整体网络的防护能力．实现 “ 可信网络” 的扩展和对信息及信息系统的等级保护．同时通过对用户网络已有的
用户节省大量的资
金与人员配置
＼
．
三
文章编号：１００７ — １４２３（２０１３）０５ — ００１６ — ０５ＤＯＩ：１０．３９６９￣．ｉｓｓｎ．１００７ — １４２３．２０１３．０５．００４
基于可信网络的安全审计系统研究与应用
整个可信校园网络体系由以下几个部分组成．如
图１所示。
（１）认证服务器。主要的功能是对请求接入的用户进行身份认证．拒绝不合法的用户接入．同时可以接受
接人申请，颁发数字证书或其他的身份标识。
１建立完整的校园可信网络体系
服务器、认证服务器等是服务端。用户发送接人请求首
先被重定向到各服务器进行全方位的认证和检查．通过后．服务器下发给用户相关的权限设置和密码、证书
赌、毒等毒害青年心灵的信息．为了防止对敏感信息的发布所引发的访众指数级爆发等极端状况的出现．为了防止学生沉迷于网络．为了对上网者提供健康的全方位使用导向．在高校校园网推广实施上网行为管理
０引
言
构，每个接入网络的ＰＣ和用户都是客户端．中心管理
高等学校校园网络有应用繁多、流量巨大、上网行

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

龙源期刊网 http://www.qikan.com.cn 网络信息内容审计系统的研究与实现作者：付沙来源：《中国教育信息化·高教职教》2011年第01期

摘要：网络信息内容审计是一种对网络中传输的信息内容进行分析与审计的技术，是网络安全技术中非常重要的组成部分，通过内容审计可实现网络信息内容的可控性。本文阐述了网络信息内容审计技术，研究并构建了一种网络信息内容审计系统，且对其主要功能模块的工作流程及其实现进行了详细说明。

关键词：内容审计；数据采集；特征匹配；负载均衡中图分类号：TP393.08文献标识码：A 文章编号：1673-8454（2011）01-0043-03

一、引言随着我国信息化建设的不断推进和计算机网络的飞速发展，信息的发布与共享更为简捷方便，网络信息日益丰富；与此同时，许多非法和不健康的信息也出现在互联网上，严重影响广大网络用户的日常生活与工作，给整个社会的和谐稳定造成恶劣影响。如何保证网络行为、信息内容的合法性、合规性及健康性已成为网络与信息安全领域研究中的热点问题，在此背景下网络信息内容审计技术得到快速发展，网络信息内容审计系统逐渐成为整个安全系统中不可或缺的重要组成部分。

网络信息审计系统包括对网络信息报文格式的完整性、合法性进行形式化审查和对报文的类型、内容进行审查两大部分。目前，对审计系统的研究绝大部分都集中在报文完整性和合法性判别研究方面，基于内容的审计系统研究不多。因此，研究和构建网络信息内容审计系统对于网络信息的安全、网络的有效使用和对国家的安全具有重要意义。[1]

二、网络信息内容审计技术的思想网络信息内容安全的主要技术包括基于内容的防火墙和网络信息内容审计。[2]基于内容的防火墙虽能最大限度地保障网络信息内容的安全，但在网络犯罪取证和网络行为监控方面却无能为力，还只能依赖于网络信息内容审计技术。该技术针对网络流量中不良信息传播的问题，综合运用网络数据包获取、协议分析、信息处理、不良流量阻断等方式实现对网络信息内容传播的有效监管。能够帮助用户对网络进行实时监控，记录网络上发生的一切，寻找非法和违规行为并为用户提供事后取证。

文献[3]中指出网络信息内容审计技术是采用一些智能化的处理技术及网络信息报文采集、组合、判别等方面的技术，对通过网络的报文内容进行实时处理和识别，凡是发现包含有龙源期刊网 http://www.qikan.com.cn 害、非法、敏感信息的报文就记录其源/目的IP地址、源/目的端口号、服务类型等相关信息，形成系统访问日志并提供给系统管理人员和其他有关用户进行事后审计和分析，进而采取相应的安全管理措施，包括对非法及不健康信息进行追查等处理。

三、网络信息内容审计系统的必要性网络信息内容审计系统是指从计算机网络系统中的若干个关键点收集数据包，对其传送的内容进行审计分析，检查其中是否含有违反信息安全策略的行为迹象，实现对网络信息内容的监控，防止机密文件或敏感信息的非法泄漏及传送，对可疑行为或内容采取措施并为查证提供有力证据。[4]网络信息内容审计系统作为保障网络信息安全的实时审计工具，可以高速有效地对进出内部网络的电子邮件、网页（BBS）、P2P软件、上传下载文件和远程登录等各类传输信息进行数据截取和还原，并可根据用户需求对通信内容进行审计，提供高速的敏感特征关键词检索和标记功能，从而防止内部网络敏感信息的泄漏以及非法信息的传播。

四、网络信息内容审计系统的结构在网络信息内容审计系统中，网络内容采集模块从互联网上取回内容之后，内容分析模块对内容进行分析处理。在拥有足够的网络带宽情况下，内容分析模块对大流量网络数据的处理速度将成为系统性能的瓶颈。而内容分析模块的处理速度和对敏感信息的识别准确率又是一对矛盾，难以兼顾。如果采用简单高速的分析算法则会降低识别准确率；而采用复杂准确的分析算法又难以保证处理速度。[5]

基于该因素，除了在系统中运用高性能的计算设备之外，在系统结构方面可以采用两层分析结构：第一层采用简单高速的分析技术进行数据包获取和内容过滤，着重系统的效率，对采用的算法时间复杂度有严格要求；第二层采用复杂准确的分析技术对第一层过滤的结果进行精确处理，着重系统的准确率和功能的全面性。通过将两层分析结构分步实现，从而增强对敏感信息的识别准确率，提高整个系统的性能。[6]

五、系统主要功能模块及其实现网络信息内容审计系统主要由四个功能模块组成：数据采集模块、数据包还原重组模块、特征匹配模块和集群及负载均衡控制模块。整个系统采用网络探针技术进行数据采集和分布式集群技术实现数据包还原重组，能较好地解决传统网络信息内容审计系统在高速网络环境下丢包率高、性能低下、无法支持多种协议的问题。系统的主要功能模块如图所示。

1.数据采集模块数据采集模块是网络信息内容审计系统的基础组件。该模块通过截获整个网络所有的信息流量，根据信息源主机、目标主机和服务协议端口等信息简单过滤掉不需要关心的数据，再将用户感兴趣的数据发送给更高层的应用程序进行分析。在不同的操作系统平台需要使用不同的龙源期刊网 http://www.qikan.com.cn 数据包获取技术，目前常用的是网络数据包捕获函数库Libpcap（Packet Capture Library）和信息包捕获与网络分析模型包WinPcap（Windows Packet Capture）。

在Unix或Linux操作系统平台下进行网络数据包采集时可采用Libpcap，它是一个由与实现无关的访问操作系统所提供的分组捕获机制的分组捕获函数库。该函数库提供的接口函数主要实现和封装与数据包截获有关的过程，同时所提供的C函数接口可用于需要捕获经过网络接口数据包的系统开发中。目前有许多流行的工具都使用了Libpcap来进行数据采集，如tcpdump、snort等。而WinPcap是Windows操作系统平台下一个免费、公共的网络底层访问系统，可用于进行捕获、发送原始数据包，它是Unix系统平台下广泛使用的Libpcap的Windows版本。

本文所构建的系统在Windows系统平台下运行，选用WinPcap来完成数据采集。WinPcap采集相关数据后提交数据帧给数据采集模块，该模块接收并分析记录数据帧的源和目的MAC地址，分析数据帧的上层协议类型。WinPcap不仅提供了一套与Libpcap兼容的标准报文捕获接口，以便于将程序移植到Unix系统平台下，还考虑了各种性能和效率的优化，收集网络通信过程中的统计信息并提供了内核态的统计模式。在数据采集模块中，首先可通过以太网的广播特性对网络底层信息进行监听并获取网络上传输的数据流，包括协议端口、子网主机的所有交互数据等。在这些交互数据中存在着大量用户不需要关心的非敏感信息（正常信息），对非敏感信息的监听工作严重影响到系统的工作效率，因此，建立高效的信息过滤机制是提高信息监听工作效率的重要环节，它使用户可指定特定的协议端口及子网主机，如对电子邮件、网页（BBS）、远程登录等各类传输信息进行过滤，只将用户关心的敏感信息向更高层提交，从而提高系统工作效率。

2.数据包还原重组模块数据采集的目的是为了分析网络数据包内容，对于网络信息内容审计系统来说，仅分析零碎数据包的价值非常小，必须将一个会话中双向传输的所有数据包进行拼接，并排除协商、应答、重传、包头等网络附加信息以实现还原与重组，只有这样才能实现网络内容的监控与审查。按照TCP/IP协议以及应用层协议的规范，此模块对采集的IP数据包在进行预处理之后逐层还原并将数据包进一步重组为应用层数据。根据数据物理帧的帧头，模块可以识别出所有的IP数据包；根据IP数据包头中的信息（信源端IP地址、信宿端IP地址、协议类型号等）则可以识别出哪些IP数据包属于同一个TCP或者是UDP的数据分段，并将它们重组为数据分段；再根据TCP或者是UDP段头中的信息（源端口号、目的端口号、序列号、确认号等）可以恢复原始会话的内容，经过进一步处理可以完成应用层协议的重现并对内容还原分析。

以电子邮件为例，电子邮件通常是以编码的方式在网络上进行传输，RFC1341-MIME（多媒体因特网邮件扩展）中有详细的说明，邮件的内容编码标志域指出了相应的编码方式，主要分为五种：7bit、8bit、Binary、Quoted-printable和BASE64编码。7bit、8bit和Binary编码方龙源期刊网 http://www.qikan.com.cn 式的数据在邮件发送和接收过程中都是以明文方式进行传输的；而Quoted-printable和BASE64编码则以非明文方式传输，这是当前电子邮件中最常用的编码方式，根据其相应的编码规则可以对邮件进行相应的解码并对邮件报文信息进行翻译。[7]

3.特征匹配模块敏感特征关键词的匹配速度是决定系统性能的关键，解决不好将严重影响系统的性能，甚至导致失败。字符串的匹配算法直接影响系统的检测效率，当对网络数据包匹配特定字符串的特征时就需要一个有效的字符串搜索算法。

特征匹配模块可以利用自动机技术对敏感特征关键词进行字符串匹配，若发现敏感信息则将其相关信息记入数据库中，在客户端可以实现对信息的显示、查询及统计。将所有的关键字分解成不同的状态构成自动机，该自动机以文件内容作为输入对象，输出结果为匹配到的关键字，从而完成特征匹配的功能。

4.集群及负载均衡控制模块集群是指相互独立的一些系统在一台负载监视器的控制下作为一个系统共同工作，构造集群的目的是为了提高系统的可靠性和规模的可扩展性。集群的核心技术就是构造负载监视器和实现任务分配策略的算法，负载监视器负责监视集群系统中的各台机器的当前负载，任务分配策略根据各台机器的当前负载进行任务分配并在各台机器之间进行负载均衡。

集群及负载均衡控制模块采用在集群的各个主机上安装监视本机CPU负载的Agent的方式，Agent可获得当前系统的CPU负载。这些Agent和数据接收机上的负载监控程序采用CORBA进行通信，负载监控程序可实时监控到各台机器的当前负载。集群的负载均衡策略可采用加权最小负载法，即有新的任务提交的情况下选用加权最小负载（=当前负载/处理能力）的处理机为新数据包的处理者。同时，由于网络流量的增长速度已远远高于处理器处理能力的增长速度，使用负载均衡算法来应付大流量内容审计是必须的，但现有的分流技术仍存在不足，尚不能实现真正的负载均衡，仍需进一步完善数据负载均衡算法。

六、结束语本文针对网络环境下的信息内容安全性问题和当前网络信息内容审计产品的不足，结合网络信息内容审计技术的发展趋势，研究并构建了一种可对网络信息流进行全面有效检测与审计的网络信息内容审计系统，以确保网络信息安全可靠的传输。