军用WebIM工具审计体系构设与实现

第一章绪论

1.1课题背景
近年来，我军计算机信息网络发展步伐不断加快，信息网络技术被广泛运用到部队各项工作任务中。当前，以“军队综合信息网”为骨千的军事网络系统正在加速发展，并延伸到每个基层营连分队，大大提高了军事训练的科技含量和技术水平，为部队战斗力的生成提供了有力的支撑。军用计算机网络还被大量运用于部队日常管理、物资储运、战役战术演习中。军网的特点是与国际互联网物理隔离，虽然能有效减小其受黑客攻击及感染病毒的机率，但实践证明，军网并不能对所有攻击免疫。接入端和物理链路依然存在安全盲点，不法分子从这些漏洞可以轻易地对军网进行攻击。而且军网要进一步发展，必须与国际互联网接轨。单纯以物理隔绝来保证安全，已经成为军网发展的瓶颈和桎梏。从整体上看，我军用网络的发展才刚刚起步，在网络安全、信息保密、攻击防御等方面还存在许多亟需改进的薄弱环节。信息安全防护意识缺乏、信息安全知识的贫乏、高科技含量的计算机网络安全技术的匮乏，直接导致了军队计算机网络安全事故时有发生⑴。随着世界军事强国纷纷组建自己的信息部队，信息对抗已成为新时期军事斗争的焦点。可以说谁控制了信息优势这个制高点，谁就赢得了未来战场的主动权。在信息战中，各种作战命令和战略情报都依托军网进行传输，军网一旦受到攻击而中断，部队的指挥中枢将会擁痪，我军将陷入万分危险的境地。军网的大量信息都涉及秘密，这些信息一旦被不法分子窃取、篡改、伪造或者删除，会给军队乃至国家的安全产生巨大的威胁。如何维护军网的安全运行，保证在任何情况下都能快速反应、及时报警、精确打击、高效防护，是建设信息化军队打赢信息化战争必须面临的一个重大课题。可以说，军网安全事关民族兴亡，本文的选题方向正是根据军网面临诸多安全威胁的现实背景提出的。

1.2研究意义
通常情况下，保护网络安全主要是防御外部网络对内部网络的攻击，只要在内外连接处做好防护措施，就确保了内网的安全运行。但对于与互联网物理隔绝的军网来说，监控和记录其用户的异常行为，防止涉密信息从内部泄露，才是安全防范的关键问题。目前常用的网络安全手段如防火墙、入侵检测等，虽然也能实现对网络异常行为的监控，如对网络连接和访问的合法性进行控制，监测网络攻击事件等。但是，对于已经授权的正常网络访问导致的信息泄露，或者是滥用网络资源的行为，传统的安全手段显得无能为力。最致命的是它们无法完成安全事故的追查取证，导致入侵者逍遥法外。据有关部门统计，超过四分之三的军网安全威胁来自于内部，而这些威胁绝大部分与内部网络访问行为有关，其危害远超黑客和网络病毒的攻击。目前，还没有一种技术可以绝对地保证网络安全。即便某种技术从理论上讲很安全，但也无法确保操作人员可以完整无误地执行。所以无论一项技术有多先进，具备审计功能依然非常重要。在TCSEC和CC以及我国的《信息系统安全保护等级划分准则》等安全认证体系中，安全审计的功能都是放在首要位置，它是评判一个系统是否真正安全的重要尺度。网络安全审计是一种通过分析安全审计记录来发现并报告系统中存在的非授权使用或异常现象，并留下不可抵赖和不可磨灭记录的技术。
随着军网的迅速发展，IM (即时通信）工具在军网中也得到广泛应用。一些IM软件在军内局域网络被用来传递文件、发布通知、汇总数据。部队内部开发的一些管理系统，也会自带一些即时通信的配套功能。军用IM工具也给在不同地区的现役军人提供了一个沟通和交流的平台，给部队的文化生活平添了新的活力。更重要的是，部队的指挥作战系统强调即时、简便、高效的特性，与IM工具的优点不谋而合。将IM用于作战指挥系统中，战争中的作战命令下达、战场情况评估等，都可以通过军用IM即时发送，将大大提高作战指挥系统的效率。虽然军网与互联网物理隔绝，但其基本技术和原理相同，随着Web IM (网页即时通信）的迅速普及，军用网页即时通信工具也将会在军网中得到推广。军用Web IM面临的安全威胁主要是应用上的风险和系统漏洞带来的安全隐患，主要包括Web IM主动绕过安全监控系统、病毒和木马的攻击、木马后门隐患、账号安全风险、针对设计缺陷的攻击、信息保密问题、监控审计问题等等。由于军网与互联网物理隔绝，对军网的攻击很多来自军网内部。即使使用Web IM发送的即时信息是加密的，能够防止外部的监听和截取，部队内部仍然存在有意泄密的隐患。鉴于Web IM存在的安全隐患，部队在使用Web IM存在很多限制。为了解决这些问题，本文设计并实现一个Web IM的安全审计系统，用以保证Web IM在军网的安全运行。

第二章Web IM工具概述

2.1 Web IM发展概况
随着Internet的普及和发展，使用即时通信工具进行沟通和交流，成为一种时尚潮流和重要手段。即时通信工具良好的实时性、兼容性和性价比，使其超越电子邮件，成为目前首屈一指的在线沟通交流工具29]。

2.1.1 Web IM出现的动因
当前，ICQ, MSN, Yahoo, AOL占据了国际上主流的即时通信市场，国内本土市场由腾讯QQ主导，其他一些即时通信软件也各有特点。即时通信市场的激烈竞争，并没有给用户带来多少好处。相反，各软件生产商为了吸引更多的用户，有意无意地降低其产品的兼容性，减少信息共享。这导致了用户必须同时使用几个不同的即时通信软件，才能完成与他人的沟通交流，极为不便。目前在企业、政府机关和军队中，比较常见的信息交流手段包括电视电话会议、局域网文件传输、电子邮件等，即时通信作为一种更加简便的交流方式也得到了广泛的应用，特别是在一些非正式的场合，使用即时通信工具的现象更加普遍。目前在办公领域，使用个人版的即时通信软件有较多的安全隐患，而单位自用的即时通信工具不能与外界进行信息交流。无论是对于个人还是单位，都盼望一种更加便捷安全的即时通信工具软件的出现。随着互联网的迅猛发展和Web技术的日趋成熟，以Web技术为基础的信息交流平台已表现出巨大的发展潜力，深受广大用户的青睐。很多即时通信软件开发厂商开始着手开发Web版的即时通信工具，Web IM应运而生。

第三章 军用Web IM工具审计系统的设计................... 20-44
    3.1 系统总体设计................... 20-24
        3.1.1 Linux内核的动态加载功能................... 20
        3.1.2 基于Linux的netfilter架构................... 20-22
        3.1.3 Linux的连接跟踪技术................... 22-23
        3.1.4 军用Web IM审计系统框架 ...................23-24
    3.2 审计驱动模块................... 24-31
    3.3 应用层审计模块 ...................31-41
        3.3.1 Web QQ通信过程研究 ...................31-36
        3.3.2 配置文件定义................... 36-39
        3.3.3 数据包关键内容获取................... 39-41
    3.4 数据存储模块...................44
第四章 系统实现与结果分析................... 44-48
    4.1 系统部署环境................... 44-45
    4.2 系统功能测试和评价...................45-47
        4.2.1 Web QQ审计功能测试 ...................45
        4.2.2 Mini QQ审计功能测试 ...................45-46
        4.2.3 Mail QQ审计功能测试................... 46
        4.2.4 系统稳定性测试................... 46-47
    4.3 本章小结................... 47-48
第五章 总结和展望 ...................48-50
    5.1 论文总结 ...................48-49
5.2 进一步的研究方向 ...................49-50

结论

随着Web IM工具的在军网的普及，军网管理员需要对Web IM用户的行为和通信内容进行审计监控，以保证部队涉密信息的安全和军网的正常运行。基于这个背景，本文设计并实现了一个军用Web IM工具审计系统。下面对本文的主要内容进行总结：
(1)在参考相关文献的基础上，对网络信息安全审计和Web IM的研究发展状况进行了综述，了解了国内外已有的研究成果和发展趋势。
(2)在进行系统设计之前，对Linux系统的内核加载功能、基于Linux的netfilter架构和路由netfilter架构进行了研究。因为在需要审计的军网中，Web IM工具审计系统使用具有NAT功能的netfilter架构，即把该系统作为路由系统使用。为提高系统对Web IM数据包的捕获和过滤效率，还应用了 Linux内核的连接跟踪机制。#p#分页标题#e#
(3)对军用Web IM工具审计系统进行了设计。系统主要由审计驱动、应用层审计、数据存储、审计管理4个模块组成。审计驱动模块工作在内核层，主要完成对Web IM数据包的捕获和识别，并通过与应用层的通信技术，将需要进行审计的数据包送到应用层审计模块。应用层审计模块接到数据包后，根据特定的WebIM类型和http数据类型进行多模式匹配，从而得到当前数据包的行为和通信内容信息。最后，应用层审计模块将获取到的信息进行格式化，提交给数据存储模块进行数据记录。军网络管理员可以根据数据存储模块提供的接口查询其中的数据。
(4)对审计驱动模块和应用层审计模块的设计是本文的重点。审计驱动模块重点研究Web IM数据包的识别、标记和内核与应用层之间的通信。本文运用经典的BM算法来解决数据包识别时的模式匹配问题，运用Linux内核的连接跟踪机制解决数据包的标记问题，运用netlink机制解决内核与应用层的通信问题。应用层审计模块对审计驱动模块传送的数据进行分类、分析和存储。本文以web qq典型的通信过程为例，通过wireshark抓包分析，研究总结得出不同Web IM工具和服务器通信的一般规律，并将该规律以配置文件的形式存放，最后描述应用层审计模块如何根据该配置文件的内容实现数据的识别和分类存储。
(5)最后将系统在军网环境下进行了实现与测试，实验证明，通过军用Web IM工具审计系统，可以完成对Web IM用户的相关行为和通信内容的审计。

参考文献
[1]王涛.对我军网络信息安全保密工作的建议与思考.通信工程，2003，(3)： 9-12
[2]贺雪晨.信息对抗与网络安全.北京：清华大学出版社，2004. 125-127
[3]孙伟，汪厚祥，刘霞.军用网络入侵检测系统的研究.舰船电子工程，2003，(2)：21-25
[4]许霆，袁萌，史美林.网络监控审计系统的设计与实现.计算机工程与应用，2009，10 (18)： 149-153
[5]景晓军.智能信息安全.北京：国防工业出版社，2006. 108-109
[6]管军霞.网络监控与审计系统的研究与实现：[硕士学位论文].长沙：国防科学技术大学，2007
[7]李旭芳.网络信息审计系统中数据采集的研究与实现.计算机工程与设计，2007，28 (3)： 550-552
[8]Dubois C . The information audit ： its contribution to decisionmaking/sjbylw/. Library Management, 1995， 16 (7)： 20-24
[9]王伟钊，李承，李家滨.网络安全审计系统的实现方法.计算机应用与软件，2002,19 (11)： 24-26
[10]邓小榕，陈龙，王国胤.安全审计数据的综合审计分析方法.重庆邮电学院学报(自然科学版），2005，17 (5)： 604-607