即時通信監(jiān)控系統(tǒng)的設計與實現(xiàn)

申請免費試用、咨詢電話：400-8352-114

隨著科技的發(fā)展和計算機網(wǎng)絡的普及，即時通信軟件已逐漸融人人們的生活。即時通信軟件為個人和企業(yè)提供了便捷、快速、高效的溝通方式。常用的即時通信軟件有微軟的MSN Messenger、騰訊QQ、Googletalk等。即時通信技術在給個人及企業(yè)帶來高效便捷溝通的同時也產(chǎn)生了一系列的安全問題。隨著即時通信軟件的普及和用戶數(shù)量的快速增長，其已成為病毒和黑客攻擊的主要對象。對于企業(yè)而言，即時通信技術使得員工的行為更加難以控制，容易導致泄露機密、竊取資料等事件的發(fā)生，這將給企業(yè)造成無法估量的損失。針對中小規(guī)模企業(yè)網(wǎng)對即時通信安全的實際需求，對企業(yè)廣泛使用的MSN Messenger進行了協(xié)議分析，并在此基礎上設計實現(xiàn)了一個基于網(wǎng)絡嗅探技術的MSN協(xié)議監(jiān)控分析系統(tǒng)——MSNAnalyzer。該系統(tǒng)可以對企業(yè)內部網(wǎng)絡進行實時監(jiān)控，監(jiān)督員工的上網(wǎng)行為，預防重要資料泄露等情況的發(fā)生，保護企業(yè)的信息安全，減少不必要的經(jīng)濟損失。

1、體系結構

該監(jiān)控系統(tǒng)采集企業(yè)網(wǎng)絡出口處的所有數(shù)據(jù)幀，通過對幀的IP地址進行分析提取出被監(jiān)控客戶機的數(shù)據(jù)幀并以一定的格式保存到文件中。然后，從文件中讀取數(shù)據(jù)幀并將數(shù)據(jù)幀交給協(xié)議分析處理模塊處理，處理后的結果以文件的形式保存在磁盤中。圖1所示為該系統(tǒng)的總體結構示意圖。圖中，Sniffer是運行MSNAnalymr程序的主機，Clientl、Client2、Client3為內網(wǎng)主機。

圖1 系統(tǒng)體系結構

MSNAnalyzer工作的基本過程為：

(1)基于Sniffer技術從網(wǎng)絡總出入口處采集網(wǎng)絡數(shù)據(jù)(抓包)。

(2)存儲數(shù)據(jù)幀。

(3)提取數(shù)據(jù)幀并進行分析。

根據(jù)分析，系統(tǒng)實現(xiàn)模型如圖2所示。

圖2 系統(tǒng)總體實現(xiàn)模型及模塊劃分

2、數(shù)據(jù)采集及存儲

系統(tǒng)采用基于網(wǎng)絡嗅探技術的數(shù)據(jù)采集方法，以WinPcap 4．0．1作為開發(fā)工具，Windows平臺下使用WinPcap從網(wǎng)絡適配器嗅探數(shù)據(jù)十分方便，圖3是使用WinPeap捕獲網(wǎng)絡數(shù)據(jù)包的基本流程。

使用WinPcap開發(fā)應用程序除可以捕獲數(shù)據(jù)包外，最大的優(yōu)點在于WinPcap可以對數(shù)據(jù)包進行過濾。WinPeap從網(wǎng)絡適配器上嗅探到的是最原始的數(shù)據(jù)幀，這包括了所有流經(jīng)的數(shù)據(jù)。如果不對數(shù)據(jù)包進行相應的過濾，將會捕獲到許多無關的數(shù)據(jù)，這會增加系統(tǒng)的負擔，使系統(tǒng)工作效率降低。

圖3 WinPcap數(shù)據(jù)采集流程

在數(shù)據(jù)采集之后，采用什么樣的存儲策略來存儲數(shù)據(jù)，以最大限度地保證采集到的網(wǎng)絡數(shù)據(jù)包(Pack．et)不丟失，是系統(tǒng)設計中必須面對的一個重要問題。網(wǎng)絡丟包的原因可能有很多，包括內存緩沖技術、磁盤I／O能力、包過濾及處理技術、數(shù)據(jù)流量大小、網(wǎng)絡接口性能、CPU處理能力等諸多方面。

網(wǎng)絡丟包的指標一般采用丟包率(Rate of PacketLoss，RPL)。計算公式為：L=((發(fā)送的數(shù)據(jù)包數(shù)一接收到的數(shù)據(jù)包數(shù))／發(fā)送的數(shù)據(jù)包數(shù))×100％。

眾所周知。頻繁的磁盤I／O顯然會影響到系統(tǒng)的性能和效率，這在大的數(shù)據(jù)流量下尤為明顯。為了避免頻繁的磁盤I／O，需要在數(shù)據(jù)存儲時引入內存緩沖處理技術。在基于WinPcap的網(wǎng)絡數(shù)據(jù)采集中，系統(tǒng)使用了多級內存緩沖，內核緩沖器和用戶緩沖器的大小分別設置為6MB和1MB，并設置內核緩沖器和用戶緩沖器之間一次傳送的最小數(shù)據(jù)塊的大小為512kB。