1 网络内容审计系统的功能概述
随着当今社会信息化进程的不断推进以及计算机网络技术的快速普及, 网络上的信息量也在持续快速的增长, 形式也多样化, 因此对网络中各种形式的信息进行有效的过滤和监控, 阻止有害信息肆意传播成为当前净化网络空间、维护社会安定的一个棘手的问题。当然, 健康和谐的网络环境也需要用户共同参与维护。
本文提及的内容审计就是用来对局域网内每位用户使用计算机网络访问的所有信息资源, 以及用户所有访问过程都作了记录。将来, 这些完整的记录可以用来在发生事故后作为调查取证的重要依据。网络内容审计系统还会将一些重要的事件都记录下来, 这样当系统发生错误时能够准确定位错误位置, 并能就是修复系统错误, 或是在系统受到攻击时能够及时找到被攻击的原因, 及时作出应对的策略。在本网络内容审计系统中, 原始的审计数据主要来自于网络上的各种数据包, 系统对数据包的分析与处理来完成信息审计的任务。
2 网络内容审计系统结构
3 网络内容审计系统性能设计
要能够取得好的审计效果, 对网络中的信息进行尽可能彻底的审计, 这主要取决于如何更好的在报文的捕获阶段就能提高对数据的捕获率。
计算机接收数据包的设备主要是网络适配器, 即网卡或是调制解调器。计算机网络适配器能在数据包到达时通过中断方式通知网络适配器驱动程序, 驱动程序的中断服务程序将数据包从网络适配器拷贝到计算机内核空间。在整个过程中, 需要经过从网络适配器到计算机内核空间、从计算机内核空间到用户空间的两次数据包拷贝, 这个过程是系统性能的一个瓶颈之一, 因为这样比较消耗系统的资源。
这里来介绍一种能有效提高网络内容审计系统性能的技术, 即NAPI (新应用程序接口) 。NAPI的基本思想是:当系统检测到一批数据包中的第一个数据包达到时, 网络适配器驱动程序便采用中断的方式通知系统, 系统能够检测到发送数据包的网络设备, 并将该设备注册到一个设备轮询队列中, 同时关闭对该设备的中断响应。与此同时激活一个软中断, 对轮询队列中已经注册的网络设备进行轮询, 依次从中读取数据包, 并进行审计。
采用中断方式的好处在于有效的解决了外围设备与中央处理器的长时间对话问题, 中央处理器不用花费大量的时间去处理数据包, 大大提高了其利用率, 特别是在轻负载的情况下减少了处理的时间延迟。但是当中断量超过MLFFR的时侯, 如果系统中同时有较多的中断到达, 中央处理器就有可能无法正常的完成任何其他工作。即便到达的数据包能全部进入到等待队列中, 但是如果队列中数据包已满时, 则会将丢弃一些数据包。为了从已有数据包中选出可暂时丢弃的数据包, 又需要消耗大量的系统资源, 导致计算机无法完成其他任务, 系统性能明显会下降。
有时可能会只有一个数据包到达, 网络的负载会比较低, 在这种情况下, 网络适配器将该数据包提交到上层之后, 便将该设备从轮询队列中注销, 同时打开中断来等待下一个数据包的到达。另一种情况, 当数据包将源源不断的到达系统时, 网络负载会较重。由于接收缓冲区是一个环形的缓冲区, 每提交一个数据包, 就会马上添加一个新的数据包进来, 因此接收缓冲区总是处于满状态。在这样的情况下, 网络适配器就一直处在轮询队列中进行轮询, 同时完成读取网络上的数据包及向上层提交数据包的工作。通过上面的分析可以看出, 当系统采用NAPI技术以后, 系统在轻负载的情况下主要使用中断方式, 响应速度比较快;而在重负载的情况下, 主要使用轮询工作方式, 能够高效的处理数据包并且有效的避免了重负载情况下的中断活锁问题。
另外我们再来简单介绍一下内存映射技术, 其主要思想是:将系统的内核空间和用户空间共享到同一段内存区域上, 这样做有效的避免系统调用, 大大的减少了系统工作时间, 从而提高系统捕获数据包的效率。因为系统调用也是网络内容审计系统性能的瓶颈之一。因此, 这里可以借鉴内存管理中地址映射技术 (MMAP) 的基本思想, 从而降低系统调用的开销, 在提高缓存命中率的同时, 提高了系统的性能。
4 网络内容审计系统部署设计
由于当前网络环境越来越复杂, 考虑到大规模网络环境下的实际要求, 有必要建立适合于大规模的分布式、可扩展的高性能的实时内容审计系统。一般的, 基于大规模网络的内容审计系统主要由区域审计系统和全局通信控制代理组成, 这两部分共同完成网络内容的审计工作。其中, 区域子系统负责执行各个区域网络的审计, 全局通信控制系统则负责各个区域子系统之间的信息的交互与共享。
整个网络内容审计系统主要采用软硬件结合的基本思想, 包括“探测器、数据采集器, 控制台, 数据库”在内的四层分布式块化的体系结构, 这样可以多点同时进行信息的采集, 然后再将采集到的数据集中到中心设备进行数据分析。采用这种方式的技术优点在于:结构比较灵活、易于拓展, 同时模块之间的关系比较合理, 且可以进行并行开发, 还能自动适应不同规模网络环境的需要。在这四个层次中, 探测器主要负责数据的采集、重组和过滤;控制台负责数据的显示、策略管理、报警以及事后分析;数据采集器主要负责数据还原、数据的实时分析, 同时支持模块化结构;数据库主要负责数据的存储和查询, 各部分分工协作, 共同完成网络信息的审计任务。
5 结语
网络内容审计系统对那些信息保密或对非法信息传播非常敏感的企业或部门非常适合。该类系统能有效的预防了机密外泄, 以及预防利用网络的方便进行其他一些非法的活动, 用户能够正确合理地利用网络提供的资源, 尽可能的减少网络负面效应造成的损失。
摘要:当前, 随着计算机网络的迅速发展, 同时也带来了很多的安全问题。网络内容审计系统已经逐渐成为整个网络安全系统中很重要的组成部分。本文就网络内容审计系统的构成及关键技术进行了深入探讨, 对以后开发类似安全系统具有一定的指导意义。
关键词:内容审计,计算机网络
参考文献
[1] 李勇.基于内容的智能网络多媒体信息过滤检索[J].情报理论与实践, 2001.
[2] 许强, 江早, 赵宏.基于图像内容过滤的智能防火墙系统研究与实现[J].计算机研究与发展, 2000.
【网络内容审计系统关键技术研究】相关文章:
网络流量控制相关关键技术研究09-12
基于网络空间安全态势感知关键技术研究09-12
基于计算机网络防御策略关键技术研究09-11
网络RTK工程测量相关关键技术研究11-24
WCDMA系统的几种关键技术研究09-11
产品工业设计信息网络化应用关键技术研究09-10
应用监控在电力系统中的关键技术研究09-11