计算机网络监控技术思考

计算机网络监控技术思考

摘要:网络安全是每个单位关注的主要问题,因此,网络监控已成为计算机安全防范攻击的重要组成部分。Wireshark和Snort等网络监控工具在入侵检测中起着重要的作用。Wireshark和Snort能够以图形方式监控网络过程或运动,以检测侵入的电子信息。通过IDS和IPS进行网络监控,提高了网络基础设施的性能和安全性。本文主要从理论上分析基于Wireshark和Snort工具如何进行网络监控,以保护通信网络系统。

关键词:网络监控;监控工具;信息技术

0引言

技术正在改变新的攻击方式,很多安全参数被这些新颖的攻击所绕过。因此,网络监控在入侵检测中起着重要的作用。网络监控是指当其他系统正在执行其重要功能时,需要留出至少一台计算机或一组计算机来监视网络活动,即对网络流量进行监管。网络监控是查找入侵者的最好方法,根据研究,有一些有用的网络监控软件工具。主要包括:AirWave,思科WC,MRTG,RRDTOOL,Kiwisyslog,RANCID,SNORT,NetDisco,ZABBIX,除了这些入侵检测工具还有SURICATA,KISMET,OSSEC。Wireshark和Snort等工具可以提供网络进程的图形视图,以便通过分析这些网络进程或流量干扰,可以简单地检测出这些网络进程或干扰流量。网络监控系统对于保护通信网络或网络系统免受外部攻击,以及预防相关人员执行恶意操作至关重要。

1网络监控的重要性

早在20世纪90年代,黑客或攻击者,开始侵入网络和计算机系统,当时IDS只能检测恶意流量和发送警报消息或信号,但没有预防攻击的机制,也不能检测所有的恶意程序。入侵是旨在损害基本网络安全的机密性、完整性、计算和网络资源可用性的操作的组合。IPS是IDS的先进版本,能够防止入侵和检测。IDS和IPS主要是为缺乏防火墙等设备的要求而开发的。IDS主要用于检测网络中的入侵或威胁。选择IDS主要有两种类型,一种是基于主机的,另一种是基于网络的。IDS的选择还取决于成本效益及其如何确保网络组织的安全。虽然通过实施IDS,不能说一个组织是完全安全的,但它是组织安全的特定的组成部分。结合IDS和强大的组织策略和程序,在特定时间间隔进行漏洞评估,安全配置路由器和防火墙可产生有效的结果。在目前的组织环境中,安全性是所有网络的一大问题。已经开发出不同的方法来保护互联网上的通信和通信,它们之间使用防火墙、加密和VPN(虚拟专用网络)。入侵检测是针对所有这些技术相对较新的。IDS可以保护系统免受攻击、误用和破坏,还可以监控网络活动。网络过程监测日益被视为一个重要的功能,了解和改进网络的流程和安全结构。IDS查找入侵者,并且实用、经济、具有商业潜力。预防胜于治疗,牢记IDS和IPS的组合可以为网络或系统提供深度防御,如果IPS无法阻止入侵,则可以进行检测,从而缓解网络风险。IDS技术提供可见性和许多其他优势作用于网络监控,其中包括网络中正在发生的事情的实时可见性,以及存储相关信息在以后的时间点以进行分析和报告的能力。可见性是决策的首要,通过可见性,可以基于量化的现实世界数据而创建安全策略。

2基于Snort的计算机网络监控方法

2.1Snort的主要功能

Snort是Sourcefire开发的开源网络入侵预防和检测系统(IDS/IPS)。Snort结合了签名、协议和基于异常的规范的优点,是全球部署最广泛的IDS/IPS技术。Snort是一种IDPS(入侵检测和预防系统)。主要研究基于签名的检测原理和基于异常的检测,它们有其自身的局限性。在基于签名的检测中,Snort将网络流量签名与预定义签名匹配,该签名存在于可以不断更新的snort的库或数据库中。当基于签名的检测与模式匹配时,它提供更好的性能,但它无法检测在snort数据库中不存在的新的攻击类型。Snort是一个现代安全应用程序,具有三个主要功能:它可以用作数据包嗅探器、数据包记录器或基于网络的入侵诊断系统(NIDS)。Snort还有许多附加程序,用于提供记录和管理Snort日志文件、获取和维护当前Snort规则集的不同方式,并发出警报,以便让管理员知道何时看到潜在的恶意流量。虽然这些附加组件不是核心Snort套件的一部分,但为安全管理员提供了丰富的各种功能。

2.2Snort的网络监控方法

当要在视窗机中安装snort时,需要Winpcap软件来捕获数据包。通过C:\Snort_etc,得到"snort.conf"文件,打开这个文件wordPad,应该采取以下步骤创建自己的自定义配置。①设置网络变量。②配置解码器。③配置基本检测引擎。④配置动态加载库。⑤配置预处理器。⑥配置输出插件。⑦自定义规则集。⑧将预处理器和解码器规则集集中化。⑨自定义共享对象规则集。

3基于Wireshark的计算机网络监控方法

3.1Wireshark的主要功能

Wireshark是世界上最权威的network协议分析仪。它允许在微观层面上查看网络上发生的情况。它是许多行业和机构事实上的标准。虽然Wireshark不是IDS或IPS,但它可视为入侵检测。每个专家信息将包含以下内容,chat(灰色):有关常见工作流的信息,例如带有SYN标志集的TCP数据包;注意(青色):值得注意的事情,例如应用程序返回了"常规"错误代码,如HTTP404;警告(黄色):警告例如,应用程序返回了"异常"错误代码,如连接问题;错误(红色):严重问题,例如"格式错误数据包"。在TCP连接应包含SYN、SYN_ACK和ACK消息序列的Wireshark的chat部分中,可以进行入侵检测。通过chat部分的分析,可以识别DDOS攻击及其来源IP。通过使用防火墙ACL规则存在于Wireshark防火墙可以应用于任何IP地址,希望拒绝/允许来自该特定IP地址的数据包,也通过使用Wireshark显示两个或多个不同IP之间的通信。如果TCP流图中只有SYN消息使用各种端口号从客户端传输到服务器,并且在两个IP之间没有传输任何其他消息均值(SYN_ACK和ACK),在此基础上,可以说未建立连接和攻击。另一个是通过分析会话部分入侵进行识别。网络会话是两个特定终结点之间的流量。IP会话是两个IP地址之间的所有流量。Wireshark是一种开放且非常常用的网络数据包分析器工具,用于捕获流经网络的数据包,并以用易于理解的形式呈现它们。

3.2Wireshark的网络监控方法

Wireshark有一个相关规则,可以根据用户指令进行配置或编辑。默认规则告诉有关错误数据包、校验和错误以及网络中分类可能发生的其他常见数据包错误。Wireshark具有一些功能,可以帮助入侵检测。除此之外,还有一个专家信息在Wireshark,它告诉格式错误的数据包和数据包的严重性与数据包号码。检测可以通过其他方式完成,例如图形分析,可以在其中找到与哪个IP通信。这也可以通过会话来检测在两个系统之间传输的数据包和字节的数量。Wireshark是一种非常多用的网络数据包分析器工具,用于捕获流经在线网络的数据包,并以易于理解的形式呈现它们。Wireshark可以在不同情况下使用,例如安全操作和学习网络协议。

4结论

IDS和IPS的主要作用是保护网络安全参数。不可能建立完全安全的系统,但是,通过部署IDS和IPS,可以保护系统或网络达到一定或最大的限制。提高网络和系统的安全性。同样,IDS和IPS与其他网络设备(如路由器、防火墙、蜜罐、SIEM)的集成也可以提高效率。IDS和IPS对于保护SCADA(监控和数据采集)系统非常有用。在基于行为的检测中存在一些主要问题,即基于行为的检测和检测攻击,尽管在网络部署IDS和IPS可以缓解这种攻击。另外社会工程攻击也是一个主要问题,也可以通过提供其它适当的方法来缓解。这是一个技术时代,技术在人类生活中扮演着主要角色,对技术的依赖与日增。技术是双刃剑,一方面人们享受着远程通信、家庭商店、网上银行、电子教育、电子票务等服务,而另一方面则有人正在使用技术进行错误或未经授权的访问。所以保护技术以及网络通信系统的技术是非常重要的。Wireshark和Snort是网络监控的有效工具。网络监控通过Wireshark对入侵检测非常有用,防火墙ACL规则可用于入侵防护,相关规则和专家信息在入侵检测中可以发挥重要作用。其中Snort工具也是一种强大的入侵检测和防御系统,可以根据要求调整安全策略。

参考文献:

[1]莫建国.基于TCP/IP的远程电源监控系统设计[J].电源技术,2017(1):157-158.

[2]王新雷,王玥.网络监控法之现代化与中国进路[J].西安交通大学学报(社会科学版),2017(2).

[3]陈亚.计算机智能监控系统在现代煤矿生产中的应用[J].价值工程,2019,38(28):289-290.

作者:高磊 单位:天津市住房公积金管理中心