【正文】 進(jìn)程功能通過(guò)主控模塊完成，主控模塊是系統(tǒng)的初始化進(jìn)程。 本設(shè)計(jì) 預(yù)期成果 是完成互聯(lián)網(wǎng)論壇 監(jiān)測(cè) 的功能并能夠?qū)崿F(xiàn)通過(guò)身份驗(yàn)證，實(shí)現(xiàn)客戶端訪問(wèn)服務(wù)器時(shí)，可以通過(guò)服務(wù)器上的 監(jiān)測(cè) 系統(tǒng)，把客戶端的信息捕獲到 并實(shí)現(xiàn)過(guò)濾功能 。 服務(wù)器端建議用戶的計(jì)算機(jī)使用以下配置（或更高）： CPU： Intel 或兼容機(jī) 硬盤： 7200 轉(zhuǎn) /分，剩余空間 100M 內(nèi)存：建議 512MB 或更多 鼠標(biāo)： 3D 光電鼠 鍵盤：標(biāo)準(zhǔn) 104 鍵 Microsoft Windows NT Server 、 Windows 2021 Server、 Microsoft Windows NT Server 企業(yè)版、 Windows 2021 Advanced Server 及 Windows 2021 Data Center Server 或者更高軟件版本 。 5. 基于開放式源代碼的特性，系統(tǒng)中不會(huì)存在后門，安全性好。 第 12 頁(yè) 共 25 頁(yè) 3. 目前的幾種主流抓包軟件都有支持 Linux的版本，便于比較功能。 2. Linux libpcap支持的比較好。 系統(tǒng)功能模塊圖如下 圖 7： 系統(tǒng)功能模塊主控模塊命令模塊輸 出 模 塊日 志 模 塊圖 形 顯 示 模 塊解 碼 模 塊匹 配 模 塊包 捕 獲 模 塊 圖 7 系統(tǒng)功能模塊 5 論壇 監(jiān)測(cè) 軟件的實(shí)現(xiàn) 通過(guò)分析，后臺(tái)軟件選用 Red (Linux )作為開發(fā)平臺(tái)。 圖形顯示模塊顯示目前的關(guān)鍵字和匹配成功的信息和信息的源 IP地址、目的IP地址、端口號(hào)、 ID號(hào)。 輸出模塊接收模式匹配模塊匹配出的結(jié)果建立黑名單，根據(jù)輸出類型分別分發(fā)到圖形顯示模塊、日志模塊及提供黑名單給網(wǎng)關(guān)計(jì)算機(jī)以便于攔截計(jì)算機(jī)攔截有害內(nèi)容。 解碼模塊把從網(wǎng)絡(luò)上抓取的原始數(shù)據(jù)包，從下向上沿各個(gè)協(xié)議棧進(jìn)行解碼并填充相應(yīng)的數(shù)據(jù)結(jié)構(gòu)，以便模式匹配模塊處理。 包捕獲模塊是主線程 的主程序，它將數(shù)據(jù)包捕獲后的處理交給解碼模塊。前臺(tái)部分包括圖形顯示模塊、命令模塊。主進(jìn)程通過(guò)主控模塊實(shí)現(xiàn)。 本系統(tǒng) 根據(jù)功能模塊化分為后臺(tái)和前臺(tái)軟件兩部分。 此外對(duì) 用戶 的數(shù)據(jù)的 監(jiān)測(cè) 就只能通過(guò)流控設(shè)備去實(shí)現(xiàn)，了 解 所使用 的 各個(gè)服 務(wù)的流量，對(duì)敏感的流量和服務(wù)有必要進(jìn)行抓包分析。 支持監(jiān)視內(nèi)容和配置文件的 海量模式備份、恢復(fù) 。 數(shù)據(jù)、配置和日志的查看、打印、備份恢復(fù)功能 。 流量監(jiān)視與限制： 包括 針對(duì)具體的對(duì)象，能夠詳細(xì)準(zhǔn)確監(jiān)視其 發(fā) 生的流量 ， 并能夠限制其占據(jù)的流量帶寬 。 比如輸入 SINA，將過(guò)濾全部包含 SINA 的所有 URL 訪問(wèn) ，這叫做白名單過(guò)濾。 可設(shè)置只監(jiān)視具體的一些網(wǎng)站，也可以忽略監(jiān)視某些網(wǎng)站；比如一個(gè)公司里通常 SINA 這樣的網(wǎng)站可 能同時(shí)所有的人都有去看，如果都監(jiān)視的話將相當(dāng)浪費(fèi)資源又內(nèi)容重復(fù) ， 實(shí)際上也無(wú)意義和必要 。 根據(jù)不用管理需要，可設(shè)置為某些對(duì)象監(jiān)視 ,某些對(duì)象不監(jiān)視（比如 管理員和老板沒(méi)有必要被監(jiān)視），某些用戶應(yīng)用監(jiān)視 ,某些應(yīng)用不監(jiān)視 。 顯示當(dāng)前已經(jīng)獲取帖子的 發(fā)帖人 、 發(fā)帖時(shí)間 、 帖子位置 、 帖子標(biāo)題 、 帖 子URL 等基本信息 。 專項(xiàng)針對(duì)目標(biāo)論壇的信息發(fā)布進(jìn)行內(nèi)容獲取，對(duì)目標(biāo)論壇分組，基于論壇組進(jìn) 行高效的輪詢式全文獲取；采用純文本方式存儲(chǔ)，以最大限度節(jié)約空間。 數(shù)據(jù)獲取 ： 通過(guò) 監(jiān)測(cè) 機(jī)對(duì)網(wǎng)絡(luò)中所有主機(jī)的數(shù)據(jù)進(jìn)行檢測(cè)， 收集 網(wǎng)絡(luò)中的數(shù)據(jù)，當(dāng)發(fā)現(xiàn)正常的數(shù)據(jù)流時(shí)，監(jiān)測(cè) 機(jī) 不采取任何動(dòng)作，當(dāng)發(fā)現(xiàn)有敏感的數(shù)據(jù)時(shí)即可將其先隔離并保存下來(lái)，然后報(bào)警，通過(guò)管理員的操作和檢驗(yàn)后再對(duì)用戶 pc 加以處理。他們分 別有各自的出口網(wǎng)關(guān)。并同時(shí)發(fā)出警報(bào)聲。同時(shí)如果發(fā)應(yīng)用程序 應(yīng)用程序 緩存 緩存 緩存 過(guò)濾器 協(xié)議棧 鏈路層 驅(qū)動(dòng)器 過(guò)濾器 過(guò)濾器 鏈路層 驅(qū)動(dòng)器 鏈路層 驅(qū)動(dòng)器 BPF ?? 橋接 橋接 第 9 頁(yè) 共 25 頁(yè) 的信息中含有發(fā)法輪功字眼等反動(dòng)信息。做客戶端的機(jī)子在另外的局域網(wǎng)內(nèi)，發(fā)信息給目標(biāo)論壇。 4 論壇 監(jiān)測(cè) 軟件設(shè)計(jì)的總體方案 互聯(lián)網(wǎng)論壇 監(jiān)測(cè) 系統(tǒng)使用的是用戶 /服務(wù)器的模式。 如下圖 5： ?? 圖 5 BPF組成結(jié)構(gòu)圖 3. 匹配 報(bào)警 功能 根據(jù)任務(wù)的實(shí)時(shí)性要求，報(bào)警、記錄日志、圖形顯示 等功能應(yīng)建立在不影響包捕獲的基礎(chǔ)上。網(wǎng)絡(luò)分接頭從網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)程序處收集數(shù)據(jù)包拷貝，并傳遞給正在 監(jiān)測(cè) 的應(yīng)用程序。數(shù)據(jù)包的拷貝必須跨越內(nèi)核 /用戶保護(hù)界限，這就需要使用名為包過(guò)濾器 (packet filter)的內(nèi)核代理程序。 包過(guò)濾就離不開 Berkeley Packet Filter（ BPF） ，即伯克利數(shù)據(jù)包過(guò)濾器 ，它 提供了一種新的流量 監(jiān)測(cè) 結(jié)構(gòu)，性能比其它工具有顯著提高。負(fù)責(zé)用戶程序與內(nèi)核的交互 如圖 4所示： 2. 包過(guò)濾 功能 根據(jù)目前社會(huì)存在的各種問(wèn)題及語(yǔ)言習(xí)慣，建立有害信息庫(kù)，通過(guò)包捕獲功能提取的 IM軟 件傳輸?shù)拿魑南?，將其與有 害信息庫(kù)中的關(guān)鍵詞進(jìn)行匹配，提取含有有害信息數(shù)據(jù)。根據(jù)用戶要求生成過(guò)濾指令 Libpcap完成了如下工作 ： 丟棄并報(bào)警 正常 抓包 分析包 匹配 關(guān)鍵字 是 否 圖 3系統(tǒng)流程圖 第 7 頁(yè) 共 25 頁(yè) 當(dāng)存儲(chǔ)緩 沖區(qū)滿而復(fù)制緩沖區(qū)空時(shí)， BPF將兩者交換。 核心緩沖區(qū)分為兩部分 ： 存儲(chǔ)緩沖區(qū)和復(fù)制緩沖區(qū)。 系統(tǒng)由網(wǎng)絡(luò)接口卡、 BPF和 Libpcap組成。 Libpcap庫(kù)只支持 BPF接口的內(nèi)核過(guò)濾。 如下圖 3 ： 1. 數(shù) 據(jù)包捕獲功能 論壇內(nèi)容 監(jiān)測(cè) 要實(shí)現(xiàn)抓包，就離不開 Libpcap調(diào)用抓包庫(kù)函數(shù)。 熱點(diǎn)發(fā)帖信息快照 此功能是 從論壇中 的所有信息，自動(dòng)篩選其熱點(diǎn)信息供查找和閱讀。 以海量信息為基礎(chǔ) 發(fā)帖人、發(fā)帖時(shí)間、主題及正文的分類檢索與統(tǒng)計(jì) 論壇發(fā)布內(nèi)容 目標(biāo)論壇 2 目標(biāo)論壇 1 目標(biāo)論壇 n 定點(diǎn)深入 挖掘 信息獲取 /存儲(chǔ)平臺(tái) 數(shù) 據(jù)報(bào)告生成平臺(tái) 圖 2系統(tǒng)功能圖 第 6 頁(yè) 共 25 頁(yè) 此功能進(jìn)一步對(duì)某個(gè)網(wǎng)站進(jìn)行信息的有針對(duì)性的很具體的搜索，達(dá) 到 信息的快速獲取。 數(shù)據(jù)挖掘 目標(biāo)論壇分組，基于論壇組的高效輪詢式全文獲取 此功能主要能夠很快的建立目標(biāo)論壇網(wǎng)站的目錄，并根據(jù)需要 定點(diǎn)某個(gè)網(wǎng)站。 目標(biāo)站點(diǎn)信息提取率達(dá)到 90% 系統(tǒng)還應(yīng)該需要 ： 定點(diǎn)網(wǎng)站深入 挖掘 數(shù)據(jù)獲取和存儲(chǔ)平臺(tái)： 接入互聯(lián)網(wǎng)，對(duì)定點(diǎn)網(wǎng)站、論壇進(jìn)行數(shù)據(jù)深入挖掘，基于發(fā)帖人、發(fā)帖時(shí)間、主題及正文進(jìn)行分類檢索與統(tǒng)計(jì)，對(duì)目標(biāo)站點(diǎn)的信息提取率達(dá)到 90%；專項(xiàng)針對(duì)目標(biāo)論壇的信息發(fā)布進(jìn)行內(nèi)容獲取，對(duì)目標(biāo)論壇分組，基于論壇組進(jìn)行高效的輪詢式全文獲??；采用純文本方式存儲(chǔ)，以最大限度節(jié)約空間。 第 5 頁(yè) 共 25 頁(yè) 系統(tǒng)所需的環(huán)境配置 拓?fù)鋱D如下 圖 2： 從上圖可知， 互聯(lián)網(wǎng)論壇 監(jiān)測(cè) 系統(tǒng)所需要 包括 的 兩個(gè)獨(dú)立的平臺(tái)：數(shù)據(jù)獲取/存儲(chǔ)平臺(tái)和數(shù)據(jù)報(bào)告生成平臺(tái)。 此外對(duì) 用戶 的數(shù)據(jù)的 監(jiān)測(cè) 就 通 過(guò)流控設(shè)備，了 解 所使用的網(wǎng)絡(luò)服務(wù)和各個(gè)服務(wù)的流量，對(duì)敏感的流量和服務(wù)有必要進(jìn)行抓包分析 。 監(jiān)測(cè) 系統(tǒng) 的總體目標(biāo) 論壇 監(jiān)測(cè) 系統(tǒng)總體目標(biāo) ：通過(guò)設(shè)計(jì)流量控制，身份驗(yàn)證，屏蔽各種端口等方法 對(duì)用 戶 上網(wǎng)、收發(fā)郵件、聊天和電腦游戲進(jìn)行嚴(yán)格管 理與控制 ； 有效預(yù)防黑客、木馬和病毒 ，進(jìn)行反動(dòng)，色情的信息。 因此互聯(lián)網(wǎng)論壇內(nèi)容 監(jiān)測(cè) 系統(tǒng)的產(chǎn)生 就顯得尤為重要。 從小型公司員工上網(wǎng)浪費(fèi)工作時(shí)間和公司資源，到商業(yè)間諜通過(guò)一封郵件將公司機(jī)密泄露，無(wú)不體現(xiàn)著網(wǎng)絡(luò) 監(jiān)測(cè) 的必要性。 3 系統(tǒng)需求分析 監(jiān)測(cè) 的 產(chǎn)生 互聯(lián)網(wǎng) 發(fā)展迅速，并在日益趨向跨國(guó)界、多語(yǔ)種、分布式和多接入的態(tài)勢(shì)。 3. 內(nèi)容的過(guò)濾： 根據(jù)收到信息的內(nèi)容，選擇性的數(shù)據(jù)過(guò)濾。 2. 類型過(guò)濾： 站過(guò)濾 ： 根據(jù) MAC地址，篩選出某個(gè) 工 作站或服務(wù)器的數(shù)據(jù)。 1. 協(xié)議過(guò)濾 ： 根據(jù)傳輸層和網(wǎng)絡(luò)層中的特性過(guò)濾，如選擇。用戶可以按特定的子網(wǎng)主機(jī)以及特定的協(xié)議端口如 Http, FTP, Email等進(jìn)行過(guò)濾，只將用戶關(guān)心的敏感數(shù)據(jù)向上層提交，從而提高系統(tǒng)的工作效率。事實(shí)上，網(wǎng)絡(luò) 監(jiān)測(cè) 模塊過(guò)濾功 能的效率是該網(wǎng)絡(luò) 監(jiān)測(cè) 的關(guān)鍵，因?yàn)閷?duì)于網(wǎng)絡(luò)上的每一數(shù)據(jù)包都會(huì)使用該模塊處理，判斷是否符合過(guò)濾條件。 網(wǎng)絡(luò)信息 監(jiān)測(cè) 將獲取所有的網(wǎng)絡(luò)信息，但在實(shí)際應(yīng)用中，其中存在若干用戶不關(guān)心的數(shù)據(jù)，或者稱為垃圾數(shù)據(jù)。操作系統(tǒng)直接訪問(wèn)數(shù)據(jù)鏈路層，截獲相關(guān)數(shù)據(jù)，由應(yīng)用程序如 IP層 , TCP層 的 協(xié)議對(duì)數(shù)據(jù)過(guò)濾處理，這樣就可以 監(jiān)測(cè) 到流經(jīng)網(wǎng)卡的所有數(shù)據(jù)。首先將網(wǎng)卡工作模式置于混雜 (promiscuous)模式。 傳輸層中的 TCP或者 UDP判斷目標(biāo)端口是否在本機(jī)已經(jīng)打開，如果沒(méi)有打開，則拋棄這些包 ， 否則將向應(yīng)用層提交內(nèi)容。網(wǎng)絡(luò)層判斷目標(biāo) IP地址是否為本機(jī)所綁定的 IP地址，如果不是 本機(jī)所綁定 IP地址，將丟棄這些 IP數(shù)據(jù)報(bào) 。 在接 收到上面兩種情況的數(shù)據(jù)包時(shí)，網(wǎng)絡(luò)接口通過(guò) CPU產(chǎn)生硬件中斷 ， 操作系統(tǒng)進(jìn)行中斷處理后將幀中所包含的數(shù)據(jù)傳送給網(wǎng)絡(luò)層進(jìn)一步處理。 鏈路層主要 指網(wǎng)卡驅(qū)動(dòng)程序判斷 所收到包的目標(biāo)以太 網(wǎng) 地址，在系統(tǒng)正常工作時(shí)，一個(gè)合法的網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)這樣的兩種數(shù)據(jù)幀 : 利用以太網(wǎng)的廣播特性進(jìn)行 包捕獲 以太網(wǎng)數(shù)據(jù)傳輸通過(guò)廣播實(shí)現(xiàn)，通常在同一個(gè)共享局域網(wǎng)的所有網(wǎng)絡(luò)接口都有訪問(wèn)在物理媒體上傳輸?shù)乃袛?shù)據(jù)的能力，但是在系統(tǒng)正常工作時(shí)，應(yīng)用程序只能接收到本主機(jī)為目標(biāo)主 機(jī)的數(shù)據(jù)包，其他數(shù)據(jù)包過(guò)濾后將被丟棄不作 處理。而包捕獲機(jī)制是在數(shù)據(jù)鏈路層增加一個(gè)旁路處理，對(duì)發(fā)送和接收到的數(shù)據(jù)包做過(guò)濾 /緩沖等相關(guān)處理，最后直接傳遞到應(yīng)用 程序。 監(jiān)測(cè) 程序大體結(jié)構(gòu)如下 圖 1： 不同的操作系統(tǒng)實(shí)現(xiàn)的底層包捕獲機(jī) 制可能是不一樣的，但從形式上看大同小異。 大體上來(lái)說(shuō)，可以將 監(jiān)測(cè) 程序分為兩個(gè)組成部分 : 另外一種通過(guò)捕獲網(wǎng)絡(luò)中的廣播 數(shù)據(jù)從而 進(jìn)行 監(jiān)測(cè) 。 目前的監(jiān)測(cè)軟件主要有兩種類型。 監(jiān)測(cè) 技術(shù)簡(jiǎn)介 絕大多數(shù)的現(xiàn)代操作系統(tǒng)都提供了對(duì)底層網(wǎng)絡(luò)數(shù)據(jù)包捕獲的機(jī)制，其最初的第 2 頁(yè) 共 25 頁(yè) 目的在于對(duì)網(wǎng)絡(luò)通信情況進(jìn)行 監(jiān)測(cè) ，以對(duì)網(wǎng)絡(luò)的一些異常情況進(jìn)行調(diào)試處理。 在眾多 的網(wǎng)絡(luò)安全