一种安全审计系统中获取内外网地址映射关系的方法

摘要

一种安全审计系统中获取内外网地址映射关系的方法，通过从NAT内部网络侧仿真用户发送一个模拟数据包和从NAT外部网络侧截获经NAT转换后的模拟数据包进行分析来实现获取内外网地址映射关系；通过在模拟数据包中设置一个内部网络中不存在的源MAC地址，保证不对内部网络交换机的ARP地址表造成不良影响，避免影响内部网络正常数据包的传输；通过将模拟的用户数据包IP头的TTL字段设置为一个合适的值，保证了该模拟数据包在到达因特网第一跳路由器时即被丢弃，不会对因特网造成影响。

说明书

技术领域

本发明属于计算机、网络安全、审计系统领域，具体涉及一种安全审计系统中获取内外网地址映射关系的方法。

背景技术

近年来，随着互联网的普及，越来越多的企业都在网络上开展自己的业务，通过网络彼此交换、了解最新的信息，企业处理信息的能力和容量都大大增强了。互联网给企业带来的好处简直太多了。

但是，随着互联网逐渐成为企业员工工作的一种工具，大部分员工的计算机都接入互联网，工作中大量使用互联网，暴露了许多对于网络使用缺乏管理带来的问题。这些问题主要表现在如下的几个方面：通过互联网使企业的机密信息外泄，上班时间浏览与工作无关信息，给企业带来法律纠纷，网络带宽的滥用阻碍了正常业务使用，互联网的滥用带来安全隐患。给企业带来法律纠纷这个问题很相当严重，由于互联网的开放性，往常充斥着许多色情，非法言论、赌博、暴力等不良站点，这些站点都可以很方便的访问到；根据国家相关法律的规定，在互联网上发布淫秽信息与及迷信、反动、分裂等言论均为违法行为，有些企业员工滥用公司的互联网进行了上述行为，将把企业拖进复杂的、难以脱身的法律纠纷当中。

目前的安全审计系统实际的网络接入方式一般都是采取在出口处采用TAP分流方式(如图1)，或在出口处的核心交换机做端口镜像(如图2)；这种方式能够让安全审计系统截获到所有用户与因特网之间的数据包，然后系统再利用本身设定的各种关键字规则来匹配数据包的内容。不过这种方式的限制在于所截获到的上行数据包的源IP/Port和下行数据的目的IP/Port都是用户机器本身的，而并不能反映出用户机器的IP/Port在经过NAT转换后所对应的公网IP/Port，而且并不是所有的犯罪活动都有很明显的一些关键词，所以并不能完全将违法活动记录下来，很多情况下是国家安全机关或某些公网服务器管理员对某些违法犯罪活动的IP/Port跟踪，确定是哪个用户所为。如果确定此IP/Port确实为某企事业单位的公网地址，但目前安全审计系统对这种情况毫无办法，因为它并不能知道此IP/Port在某个时间段对应的是内部网络中哪台机器所使用的。这给国家安全机关侦破工作带来很大的难度，也给企业带来了不必要的法律问题。

通过登陆到路由器中来查询也仅仅只是看到当前的NAT映射关系，目前还没有一种解决这个问题的方法。

发明目的

本发明的目的在于解决现有安全审计系统中存在的不足之处，提出一种安全审计系统中获取内外网地址映射关系的方法，包括映射关系的发现和映射表的维护方法，并避免对被检测网络和因特网产生不良影响的方法，来进一步完善安全审计系统的功能，为国家安全机关和企事业单位的安全审计提供更好的保障，并且不需要增加很高的硬件及软件成本，方便现有安全审计系统的升级。

技术方案

本发明的技术方案是：一种安全审计系统中获取内外网地址映射关系的方法，包括映射关系的发现和映射表的维护方法，避免对被检测网络和因特网产生不良影响的方法，其特征在于：

审计系统主动发送消息探测NAT两端的映射关系，包括映射关系探测的触发，模拟数据包的构建，模拟数据包的发送和经NAT转换后的模拟数据包的截获与分析，并控制发送的模拟数据包不影响被监测网络和因特网的正常工作；

系统维护以源IP，源Port，目的地址为索引的映射关系表，并随时探测系统，在发现映射表中没有的或者已经过期的项目时，主动发起探测映射关系；获取到映射关系以后，使用探测到的映射关系更新映射关系表；

模拟数据包IP报头中的源IP、目的IP与用户实际发送数据包源、目的IP相同；

模拟数据包TCP或UDP头中的源Port、目的Port与用户实际发送数据包源、目的Port相同；

模拟数据包Ethernet层的源MAC地址为一个非内部网络中已存在的MAC地址，以保证发送模拟数据包后不会对网络中交换机的ARP地址表造成的不良影响；

模拟数据包IP报头中的TLL字段设置为安全审计系统发送模拟数据包的物理接入点和模拟数据包的截获物理接入点之间路由器的个数再加1，以保证模拟数据包在进入因特网第一跳路由器即被丢弃，不会对因特网造成不良影响。

如上所述的安全审计系统中获取内外网地址映射关系的方法，其特征在于：模拟数据包应用层内容中携带用户实际发送数据包IP地址和Port，模拟数据包应用层中携带的IP地址和Port使用的传输格式不受限制。

如上所述的安全审计系统中获取内外网地址映射关系的方法，其特征在于：模拟数据包应用层内容中携带产生该模拟数据包的时间戳信息，应用层中携带的时间戳信息的传输格式不受限制。

如上所述的安全审计系统中获取内外网地址映射关系的方法，其特征在于：安全审计系统截获经NAT转换后的模拟数据包时，使用“TTL字段等于1“做为数据包过滤条件。

如上所述的安全审计系统中获取内外网地址映射关系的方法，其特征在于具体步骤如下：

①安全审计系统截获内部网络中所有的数据包，对于上行包，通过某个固定MAC地址Y对数据包源MAC地址进行过滤(Y为某一网络中不存在的MAC地址)，源MAC不为Y的数据包转入步骤2处理；否则循环处理下一个数据包；

②将上行包X中的源IP、目的IP源Port、和目的Port作为一个四元组从安全审计系统内的映射关系表中查询，是否已经存在对应关系？如已存在，重置该条对应关系定时器，不进入下述步骤，循环处理下一个数据包；如不存在，则继续进行步骤2；

③系统构建一个模拟数据包A，包A目的MAC地址与包X的目的MAC相同，源MAC地址为步骤1中Y；包A源IP、目的IP、源Port、目的Port与X包中对应字段相同；包A应用层为X包中的源MAC、源IP、源Port和当前的日期和时间信息；包A IP头中的TTL字段设置为安全审计系统发送模拟数据包的物理接入点和模拟数据包的截获物理接入点之间路由器的个数再加1；

④安全审计系统使用适当的发送机制将步骤2中构建的模拟数据包A发送到内部网络的交换机；

⑤安全审计系统使用适当地数据包截获机制在NAT外部网络侧截获数据包，以TTL字段值为1作为包过滤条件，获取数据包A经过NAT转换后的数据包B；

⑥安全审计系统通过解析数据包B，获取NAT转换后IP、Port和应用层中NAT转换前的IP、Port和时间戳信息，即可获得被监控网络内部用户机器MAC、IP、Port与NAT转换后的公网IP、Port之间的映射关系及该映射关系产生的时间戳信息，将此条映射关系记录存入关系映射表中，并对该条记录设置合适定时器，并同时将此条记录写入到静态存储介质中；

⑦定时器到期后在映射关系表中删除定时器对应映射关系记录，同时将静态存储介质中此条记录设置为过期状态，并记录过期的时间戳信息。

本发明的原理是：

1)在各种NAT(Network Address Translation，网络地址翻译)技术中，NAPT(Network Address Port Translation)是当前使用最普遍的一种，它允许一组主机通过使用端口映射的方式来共享一个IP地址与Internet连接，很好地解决了目前IPv4地址短缺问题。根据RFC3489中的描述，对NAPT进行分类为Full Cone、Restricted Cone、Port Restricted Cone、Symmetric。前三种Full Cone、RestrictedCone、Port Restricted Cone都属于CONE NAT，也就是只要是同一个内部地址和端口出来的包，NAT都将它转换为同一个外部地址和端口。对于Symmetric，只要是从同一个内部地址和端口出来，且到同一个外部目标地址和端口，则NAT也都将它转换成同一个外部地址和端口。但如果从同一个内部地址和端口出来，是到另一个外部目标地址和端口，则NAT将使用不同的映射，转换成不同的外部目标地址和端口；

2)IP协议中的IP头部TTL(time-to-live)生存时间字段设置了数据报可以经过的最多路由器数。它指定了数据报的生存时间。TTL的初始值由源主机设置(通常为32或64)，一旦经过一个处理它的路由器，它的值就减去1。当该字段的值为0时，数据报就被丢弃，并发送ICMP报文通知源主机；

3)交换机的ARP地址表是通过解析各个端口收到的数据包中的源MAC地址来维护的，并根据解析得到的MAC地址来对ARP地址表进行添加、修改、删除各个操作。

a、当交换机收到一个新MAC地址时，将其添加到ARP地址表中并指明对应的哪个具体的物理端口；

b、当交换机收到一个MAC地址时，通过比较发现收到该数据包的物理端口并不是ARP地址表中所对应的那个物理端口，便更新ARP地址表中的这条记录；

c、对于动态ARP表，会定时删除那些过期的ARP表记录。

本发明应用于安全审计系统中。通过从NAT内部网络侧仿真用户发送一个模拟数据包和从NAT外部网络侧截获地址转换后的模拟数据包进行分析来实现获取内外网地址映射关系。通过设置模拟数据包的源IP、目的IP、源端口号和目的端口号与用户实际发送的数据包保持一致，保证了获取到的地址映射关系的正确性；通过在模拟数据包的应用层中带有时间戳信息，并采取定时器机制，保证了安全审计系统中内外网地址映射关系与NAT设备中映射关系的一致性和实时性；通过在模拟数据包中设置一个内部网络中不存在的源MAC地址，保证不对内部网络交换机的ARP地址表造成不良影响，避免影响内部网络正常数据包的传输；通过将模拟数据包IP头的TTL字段设置为一个合适的值，保证了该模拟数据包在到达因特网第一跳路由器时即被丢弃，不会对因特网造成影响。

有益效果

本发明的有益效果是，解决现有安全审计系统中存在的不足之处，提出一种安全审计系统中获取内外网地址映射关系的方法，包括映射关系的发现和映射表的维护方法，避免对被检测网络和因特网产生不良影响的方法，进一步完善安全审计系统的功能，为国家安全机关和企事业单位的安全审计提供更好的保障。此方法不会对现有内部网络和因特网产生任何不良的影响，并且不需要增加很高的硬件及软件成本，方便现有安全审计系统的升级。

附图说明

图1为目前安全审计系统网络结构图，接入方式采用TAP方式。

图2为目前安全审计系统网络结构图，接入方式采用交换机端口镜像方式。

图3为使用本发明方法的安全审计系统网络结构图，针对网络接入采用TAP方式的情况。

图4为本发明实施例的NAT内部网络侧数据数据处理的流程图。

图5为本发明实施例的NAT外部网络侧数据处理流程图。

图6为本发明实施例的定时器超时处理流程图。

具体实施方式

本发明的实施：如图3所示，此网络结构图是针对目前采用TAP做为网络接入方式的安全审计系统。下面举例来说明获取地址映射关系的整个过程：

1、安全审计系统首先开一个足够大的缓存区来存放映关系表，此表中每条记录将存放内部网络中用户机器的源MAC、源IP、目的IP、源Port和目的Port，以及经过NAT映射后的IP和Port；同时打开Eth0和Eth2，进入混杂模式监听状态；

2、通过Eth0截获用户机器上网的数据包，通过对上行数据包源MAC地址过滤，源MAC不为00:00:00:00:00:01的数据包继续进行步骤3；否则循环处理下一个数据包；

3、对接收到的上行数据包取出其中的源MAC(0E:3F:45:65:3A:38)、目的MAC(0E:3F:45:65:3A:34)、源IP(192.168.6.3)、目的IP(61.45.195.66)、源Port(1028)和目的Port(80)，使用192.168.6.3、61.45.195.66、1028和80四元组在系统内的映射关系表中进行查询，如果查询结果表示此存在映射关系记录，则重置该映射关系对应的定时器，跳过以下步骤继续处理接收到的下一个数据包；否则将源MAC、目的MAC、源IP和源Port、目的IP和目的Port作为一组数据发送到单独的消息队列1中；

4、可以使用一个独立的线程用于读取消息队列1，并利用这些信息构建出一个完整的模拟数据包，源MAC可设置为00:00:00:00:00:01(网络不会出现该MAC地址)，目的MAC为0E:3F:45:65:3A:34、源IP为192.168.6.3、目的IP为61.45.195.66、源Port为1028和目的Port为80，应用层数据为“0E:3F:45:65:3A:38\r\n192.168.6.3:1028\r\n61.45.195.66:80\r\n2007-3-1516:56:45\r\n\r\n”；

5、通过原始套接字方式直接将步骤3中构建的数据包从Eth1发送到交换机；

6、系统在Eth2截获所有经NAT转换后的数据包，并通过使用“TTL等于1”做为过滤条件丢弃不符合该条件的数据包。对于符合条件的数据包，继续步骤6。

7、读取消息队列2中的数据包，并逐层进行解析，从网络层获得NAT转换后的IP地址220.104.32.56，传输层获得端口号20001，并从应用层中获取到内部机器的源MAC 0E:3F:45:65:3A:38、源IP 192.168.6.3和源Port 1028、目的IP 61.45.195.66和目的Port 80以及时间戳信息2007-3-15 16:56:45，将这些信息添加到映射关系表中，并为其设置一个定时器，同时将这些信息写入到数据库中存储下来

8、步骤6中设置的定时器到期后，将映射关系表中对应的记录删除，并将数据库中对应记录的到期时间写入当前时间，记录标志设置为已过期状态；

9、当再需要追踪某个IP:Port在某个时间段是由哪个用户使用时，只需要以IP、Port和时间点作为条件查询数据库即可精确找到某个内部用户机器的MAC、IP和Port。

虽然通过实施例子描述了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。