CN104601570A

CN104601570A - 一种基于旁路监听和软件抓包技术的网络安全监控方法

Info

Publication number: CN104601570A
Application number: CN201510016896.7A
Authority: CN
Inventors: 王传君; 崔恒志; 徐晓海; 梅沁; 郭波; 李萌; 卢海阳; 郑海雁; 官国飞; 陈玉权; 宋庆武
Original assignee: State Grid Corp of China SGCC; State Grid Jiangsu Electric Power Co Ltd; Jiangsu Fangtian Power Technology Co Ltd; Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Current assignee: State Grid Corp of China SGCC; State Grid Jiangsu Electric Power Co Ltd; Jiangsu Fangtian Power Technology Co Ltd; Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Priority date: 2015-01-13
Filing date: 2015-01-13
Publication date: 2015-05-06

Abstract

本发明公开了一种基于旁路监听和软件抓包技术的网络安全监控方法，包括(1)在和网络安全防护服务器同网段的交换机上设置旁路监听；(2)配置需要监听其网络包的源服务器IP和数据发送端口；(3)设置抓包时长和抓包间隔；(4)抓取并缓存网络数据包并分析，通过正则表达式获取数据包里的源IP列表；(5)记录源IP地址形成已知IP地址库；(6)由网络嗅探工具发现新接入网络的终端；(7)将所述源IP列表和局域网内所有PC服务器列表做比较，判定该客户PC终端是否安装相应的安全防护软件。本发明可提高未安装安全防护软件PC终端的发现率和发现速度，减少未安装安全防护软件的PC终端接入网络导致的潜在病毒和木马的攻击。

Description

一种基于旁路监听和软件抓包技术的网络安全监控方法

技术领域

本发明属于计算机局域网安全管理技术领域，具体涉及一种基于旁路监听和软件抓包技术的网络安全监控方法。

背景技术

旁路侦听监控就是通过共享式HUB或镜像交换机自身的功能，把出口数据复制一份到监控主机连接的那个端口，以达到监控的目的。旁路监听对网络速度影响较小，同时管理的效果也很出色。采用这种监控方式的代表有LaneCat网猫。winpcap是用于网络封包抓取的一套工具，可适用于32/64位的操作系统平台上解析网络封包，包含了核心的封包过滤，一个地城动态链接库和一个高层系统的函数库，及可用来直接存取封包的应用程序界面。Libpcap是unix/linux平台下的网络数据包捕获函数包，大多数网路监控软件都以它为基础。Libpcap提供了系统独立的用户级别网络数据包捕获接口，并充分考虑到应用程序的可移植性。Jpcap在java中，并非一个真正去实现对数据链路层的控制，而是一个中间件，jpcap调用winpcap和libpcap，给java语言提供了一个公共的接口，从而实现了平台无关性。libpcap和winpcap抓包工具的结果是一系列网络数据包，无法轻易进行阅读，而且无法自动化分析。

在企业局域网或广域网中，需要对接入网络的PC终端进行安全防护，以免因为PC终端感染病毒或木马从而导致网络瘫痪和泄密。目前的安全防护措施都是C/S方式的安全防护，即在企业网络中部署一到多台中心服务器，在每个需要防护的PC终端上安装防护软件客户端，在发现PC终端有违规外连，接入非安全U盘，打开限制服务及端口等情况下，会自动告警或者断网。PC终端发现上述告警信息时，会联系服务器将告警和违规信息发送至服务器，服务器发起断网等指令，但自动告警或者断网发现率低且发现速度慢。

发明内容

针对现有技术存在的不足，本发明目的是提供一种可以显著提高未安装安全防护软件PC终端的发现率和发现速度的基于旁路监听和软件抓包技术的网络安全监控方法。

为了实现上述目的，本发明是通过如下的技术方案来实现：

本发明的一种基于旁路监听和软件抓包技术的网络安全监控方法，包括以下几个步骤：

(1)在和网络安全防护服务器同网段的交换机上设置旁路监听；所述交换机支持端口镜像，利用交换机的端口镜像(参考：CISCO_2960端口镜像配置.ppt)将所有经过该交换机的数据复制一份，发送给网络安全防护服务器端口；

(2)配置需要监听其网络包的目标服务器IP和数据发送端口；

在后台config.properties配置文件中配置监听的目标服务器IP和数据端口：

monitor_filter＝dst host 172.17.32.184and port 4700

(3)设置抓包时长和抓包间隔；

在后台config.properties配置文件中配置：

抓包间隔(m)：monitor_server＝5

抓包时长，如下：

(4)抓取并缓存符合步骤(2)条件的所有网络数据包，定时对这些数据包进行分析，通过正则表达式获取数据包里的源IP列表；

(5)记录步骤(4)获取的源IP地址，形成已知IP地址库，对照以NAMP技术获取的未安装防护软件的PC终端IP列表，通过嗅探工具获取该IP对应的MAC地址，对同一MAC地址的多个IP地址进行归一化处理；

(6)由网络嗅探工具发现新接入网络的终端，用于提供旁路监听规则中协议源IP，以供旁路监听进行分析；

(7)将源IP列表和局域网内所有PC服务器列表做比较，从而判定该客户PC终端是否安装相应的安全防护软件。

步骤(4)中，定时对网络内所有到达网络安全防护服务器的数据包进行分析的内容包括客户PC终端与网络安全防护服务器间是否有登录数据、请求数据或心跳数据。

本发明可以显著提高未安装安全防护软件PC终端的发现率和发现速度。可以有效减少未安装安全防护软件的PC终端接入网络导致的潜在病毒和木马的攻击，有效的保护了生产网络的安全。

附图说明

图1为本发明的基于旁路监听和软件抓包技术的网络安全监控方法工作流程图；

图2为旁路设置图。

具体实施方式

为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体实施方式，进一步阐述本发明。

参见图1，本发明通过在和网络安全服务监控软件服务器同网段的交换机上设置旁路监听，定时对网络内所有到达安全防护服务器的数据包进行分析，分析指定的客户PC终端和安全监控服务器间是否有登录、请求或心跳数据，从而判定该客户PC终端是否安装相应的安全防护软件。

本发明的原理即在安全服务器所在网络的交换机端口上镜像，设置旁路监听，使用JAVA编程语言对这些网络数据包进行分析，获取IP终端目标为安全服务器的数据包，解析其源IP地址，将该IP地址列表和预先知道的局域网内所有PC服务器列表做比较，从而找出未安装防护软件的PC终端。

在和网络安全防护服务器同网段的交换机上设置旁路监听；所述交换机支持端口镜像，利用交换机的端口镜像(参考：CISCO_2960端口镜像配置.ppt)将所有经过该交换机的数据复制一份，发送给网络安全防护服务器端口，旁路设置如图2。

本发明目前用于某省电力公司的信通机房，实施以后，可以显著提高未安装安全防护软件PC终端的发现率和发现速度，并且给出及时的告警。通过这一技术的实施，可以有效减少未安装安全防护软件的PC终端接入网络导致的潜在病毒和木马的攻击，有效的保护了生产网络的安全。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims

1.一种基于旁路监听和软件抓包技术的网络安全监控方法，其特征在于，包括以下几个步骤：

(1)在和网络安全防护服务器同网段的交换机上设置旁路监听；所述交换机支持端口镜像，利用交换机的端口镜像将所有经过该交换机的数据复制一份，发送给网络安全防护服务器端口；

(2)配置需要监听其网络包的目标服务器IP和数据发送端口；

(3)设置抓包时长和抓包间隔；

2.根据权利要求1所述的基于旁路监听和软件抓包技术的网络安全监控方法，其特征在于，

步骤(2)中，在后台config.properties配置文件中配置监听的目标服务器IP和数据端口，monitor_filter＝dst host 172.17.32.184and port4700。

3.根据权利要求1所述的基于旁路监听和软件抓包技术的网络安全监控方法，其特征在于，

步骤(3)中，在后台config.properties配置文件中配置：

抓包间隔(m)：monitor_server＝5。

4.根据权利要求1所述的基于旁路监听和软件抓包技术的网络安全监控方法，其特征在于，