蔡　雋， 王雪銀

(國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 海南分中心， ?？?570206)

?

代理網(wǎng)絡(luò)檢測(cè)及管控技術(shù)研究

蔡雋， 王雪銀

(國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 海南分中心， ?？?570206)

介紹了第三方代理軟件的工作原理，并結(jié)合特征匹配技術(shù)、行為檢測(cè)技術(shù)及人工探測(cè)技術(shù)，建立了一種代理網(wǎng)絡(luò)檢測(cè)及管控系統(tǒng)模型。該系統(tǒng)可自動(dòng)檢測(cè)出代理網(wǎng)絡(luò)，實(shí)現(xiàn)對(duì)代理服務(wù)器IP的管控。系統(tǒng)試運(yùn)行后監(jiān)測(cè)結(jié)果可靠，對(duì)網(wǎng)絡(luò)環(huán)境起到了較好的凈化作用。

代理網(wǎng)絡(luò)；特征匹配；行為檢測(cè)；管控技術(shù)

近年來，各種網(wǎng)絡(luò)不良信息泛濫，管理人員不得不實(shí)施各種管控手段，對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行凈化[1]。不良信源編造者為了反制管控，通過不斷發(fā)布和更新各種第三方代理軟件，企圖繞過網(wǎng)關(guān)管控，達(dá)到擴(kuò)大敏感有害信息傳播面的目的。本文對(duì)此類軟件的相關(guān)原理和特征進(jìn)行分析，提出了一種有效的檢測(cè)方法，并采取必要的管控措施，為提升網(wǎng)絡(luò)信息安全管理水平發(fā)揮了作用。

1　第三方代理軟件工作原理

基于代理技術(shù)的第三方軟件工作原理是在代理軟件客戶端對(duì)遠(yuǎn)程不良信源目標(biāo)網(wǎng)站提出瀏覽需求時(shí)，代理程序在當(dāng)前服務(wù)器尋找遠(yuǎn)程網(wǎng)站的網(wǎng)址，找到目標(biāo)網(wǎng)址后馬上將網(wǎng)站數(shù)據(jù)返回用戶的瀏覽器客戶端。大部分代理服務(wù)器都具有緩沖的功能[2]。如果當(dāng)前服務(wù)器中沒有該遠(yuǎn)程服務(wù)器的緩存，代理程序則自動(dòng)讀取遠(yuǎn)程網(wǎng)站，將遠(yuǎn)程網(wǎng)站的資料提交給客戶端，同時(shí)將資料緩存供下次瀏覽之用，而且代理程序會(huì)根據(jù)緩存的時(shí)間、大小和提取記錄自動(dòng)刪除緩存?；诖砑夹g(shù)的代理軟件工作拓?fù)鋱D如圖1所示。代理用戶、代理服務(wù)器及遠(yuǎn)程目標(biāo)網(wǎng)站共同構(gòu)成了代理網(wǎng)絡(luò)。

2　檢測(cè)及管控技術(shù)

2.1特征匹配檢測(cè)技術(shù)

由圖1可知，代理服務(wù)器獲取遠(yuǎn)程目標(biāo)網(wǎng)站不良信源后會(huì)將網(wǎng)站數(shù)據(jù)返給代理用戶的瀏覽器客戶端。這一過程必定帶有某些特征，因此，可獲取這些特征，并建立相應(yīng)的特征庫[3]。對(duì)流經(jīng)檢測(cè)系統(tǒng)的數(shù)據(jù)流進(jìn)行特征匹配，對(duì)于匹配上的數(shù)據(jù)流，可以進(jìn)一步采用行為檢測(cè)方法來確定是否有用戶確實(shí)在使用代理工具并瀏覽遠(yuǎn)程敏感不良信息網(wǎng)站。

特征匹配技術(shù)的前提是建立代理軟件特征庫。代理軟件特征庫的數(shù)據(jù)特征來源于代理用戶與代理服務(wù)器的通訊報(bào)文各協(xié)議層的特征、應(yīng)用協(xié)議設(shè)計(jì)的缺陷和漏洞等。當(dāng)數(shù)據(jù)包來到時(shí)，該技術(shù)將數(shù)據(jù)包與特征庫中的規(guī)則進(jìn)行匹配，對(duì)命中的數(shù)據(jù)包提取IP地址、端口、協(xié)議及數(shù)據(jù)等相關(guān)信息。這樣就能更進(jìn)一步確定是否有用戶使用代理軟件，并進(jìn)一步采取后續(xù)措施。

建立特征庫的具體過程如下：首先利用各種抓包工具(如wireshark或packetyzer等)分析代理用戶與代理服務(wù)器間的通訊報(bào)文，從這些報(bào)文中提取特征，形成特征庫；然后根據(jù)建立起來的特征庫，檢測(cè)流經(jīng)檢測(cè)設(shè)備的數(shù)據(jù)流，快速識(shí)別出代理網(wǎng)絡(luò)數(shù)據(jù)流，提取數(shù)據(jù)流的IP地址、端口、協(xié)議及數(shù)據(jù)等相關(guān)信息，并將信息發(fā)送到特征模塊內(nèi)相應(yīng)的綜合業(yè)務(wù)處理單元，以此探測(cè)、跟蹤Internet上的代理用戶IP地址及代理服務(wù)器IP地址，并把所提取的相應(yīng)代理信息寫入數(shù)據(jù)庫。其工作流程如圖2所示。

圖1　基于代理技術(shù)的代理軟件工作原理

圖2　特征檢測(cè)流程圖

2.2行為檢測(cè)技術(shù)

代理網(wǎng)絡(luò)行為檢測(cè)是對(duì)上述報(bào)文特征匹配或者是在特定情況下對(duì)某些IP地址進(jìn)行重點(diǎn)監(jiān)控。這些IP通常是在多次訪問境外網(wǎng)站時(shí)被防火墻或其他檢測(cè)設(shè)備加入的黑名單，或是人工添加的IP地址。

由代理技術(shù)原理、代理用戶行為特征及自相似原理[4]得知，代理IP地址與各代理用戶請(qǐng)求者IP間，在運(yùn)行同一代理工具時(shí)接收或發(fā)送的數(shù)據(jù)包常常在分組大小、協(xié)議類型及端口等諸多方面具有某種特定的相關(guān)性。因此，對(duì)具有相同統(tǒng)計(jì)特性的IP可進(jìn)行重點(diǎn)監(jiān)控，監(jiān)控與這些IP通信的對(duì)端IP地址和端口。

如果確實(shí)有N(該閾值可以根據(jù)情況進(jìn)行設(shè)定)個(gè)被監(jiān)控的IP在與某個(gè)IP通信，該IP使用的端口號(hào)又不是80、53、21、20、25、7 000等知名端口，那么可以確定該IP為疑似代理工具所使用的代理服務(wù)器IP地址。因此，可提取該代理IP地址和端口以及與該IP端口通信的通訊報(bào)文信息，并將其存入數(shù)據(jù)庫，同時(shí)采取必要的管控措施。該行為檢測(cè)流程如圖3所示。

圖3　行為檢測(cè)流程圖

2.3輔助探測(cè)技術(shù)

對(duì)于上述兩種技術(shù)結(jié)合起來檢測(cè)出的代理網(wǎng)絡(luò)，還可以進(jìn)一步采取人工輔助探測(cè)技術(shù)進(jìn)行探測(cè)。該技術(shù)主要是向被懷疑為代理服務(wù)器的代理主機(jī)發(fā)送特定的報(bào)文，檢查主機(jī)的響應(yīng)報(bào)文，以便進(jìn)一步證實(shí)所檢測(cè)出的網(wǎng)絡(luò)是否確實(shí)為代理網(wǎng)絡(luò)。

2.4代理網(wǎng)絡(luò)檢測(cè)及管控系統(tǒng)模型

綜合以上論述，構(gòu)建出圖4所示的代理網(wǎng)絡(luò)檢測(cè)及管控系統(tǒng)的模型。代理網(wǎng)絡(luò)檢測(cè)系統(tǒng)部署在Internet

的國(guó)際或省網(wǎng)出入節(jié)點(diǎn)上，它由代理網(wǎng)絡(luò)主要檢測(cè)及管控系統(tǒng)、代理網(wǎng)絡(luò)輔助檢測(cè)系統(tǒng)兩部分組成。其中代理網(wǎng)絡(luò)主要檢測(cè)系統(tǒng)由代理網(wǎng)絡(luò)報(bào)文特征檢測(cè)模塊、代理網(wǎng)絡(luò)報(bào)文行為檢測(cè)模塊、代理網(wǎng)絡(luò)信息查看模塊和信息存取模塊組成，分別負(fù)責(zé)代理網(wǎng)絡(luò)的特征檢測(cè)、行為檢測(cè)、系統(tǒng)與用戶交互及信息存取。代理網(wǎng)絡(luò)輔助檢測(cè)系統(tǒng)主要是向被懷疑為代理或控制者的主機(jī)發(fā)送特定的報(bào)文，檢查主機(jī)的響應(yīng)報(bào)文[5]，以便于人工分析，并根據(jù)數(shù)據(jù)庫中存取的代理網(wǎng)絡(luò)信息以及人工輔助探測(cè)結(jié)果，最終決定是否采取管控措施。

圖4　代理網(wǎng)絡(luò)檢測(cè)及管控系統(tǒng)模型框圖

3　運(yùn)行效果分析

該檢測(cè)與管控系統(tǒng)被部署在某省網(wǎng)出入節(jié)點(diǎn)上進(jìn)行試用，在試用過程中能夠準(zhǔn)確檢測(cè)出所有用于測(cè)試而構(gòu)建的代理網(wǎng)絡(luò)，但實(shí)際應(yīng)用場(chǎng)景中代理網(wǎng)絡(luò)的自動(dòng)檢測(cè)結(jié)果還存在一定誤判，輔之以人工輔助探測(cè)后，在很大程度上可以降低誤判率，進(jìn)而提升檢測(cè)結(jié)果的準(zhǔn)確性，在實(shí)際管控中起到很好的網(wǎng)絡(luò)環(huán)境凈化效果。

4　結(jié)　語

本文所設(shè)計(jì)的檢測(cè)與管控系統(tǒng)能自動(dòng)檢測(cè)出代理網(wǎng)絡(luò)并對(duì)代理服務(wù)器IP采取相應(yīng)的限制措施，同時(shí)通過人工輔助探測(cè)方法，可確保監(jiān)測(cè)結(jié)果的可靠性。該系統(tǒng)靈活性強(qiáng)，實(shí)時(shí)性好，可以減少誤管控。存在的不足是需要人工對(duì)代理軟件進(jìn)行預(yù)分析并提取相應(yīng)特征，不斷更新代理網(wǎng)絡(luò)特征庫。在實(shí)際操作中，針對(duì)特定IP的管控，下一步考慮增加DNS管控模塊，以完善系統(tǒng)的性能。

[1]拜路.典型翻墻軟件的網(wǎng)絡(luò)通信特征分析[J].消費(fèi)電子，2012(8X)：64.

[2]楊延雙，張建標(biāo)，王全民.TCP/IP協(xié)議分析及應(yīng)用[M].北京：機(jī)械工業(yè)出版社，2007.

[3]官國(guó)靜.典型翻墻軟件的網(wǎng)絡(luò)通信特征研究[J].信息安全與通信保密，2012(2)：67-68,72.

[4]何慧，張宏莉，張偉哲，等.一種基于相似度的DDoS攻擊檢測(cè)方法[J]. 通信學(xué)報(bào)，2004，25(7)：176-184.

[5]蔡雋，童崢嶸. 淺談僵尸網(wǎng)絡(luò)及其檢測(cè)方案的研究[M].北京：電子工業(yè)出版社,2007.

(責(zé)任編輯：王長(zhǎng)通)

Research on Agent Network Detection and Control Technology

CAI Jun, WANG Xue-yin

(China Hainan Sub Center， National Computer Network Emergency Response Technology Coordination Center, Haikou 570206, China)

This paper introduces the working principle of the agent software.With the combination of feature matching technology, behavior detection technology and artificial detection technology, a system model to monitor and control the agent network is established.The system can automatically detect the agent network, and achieve to control the proxy server IP.The experiment results show that the trial operation of the system is accurate and reliable, able to meet the needs to purify the Internet.

agent network; feature match; behavior detection; control technology

2016-05-30

蔡雋(1978-)，女，工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全。

1671-6906(2016)04-0091-04

TP393

A

10.3969/j.issn.1671-6906.2016.04.019