隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)的安全性也逐漸受到關(guān)注。如何在受到攻擊時及時保存重要數(shù)據(jù)、如何實(shí)時記錄導(dǎo)致系統(tǒng)損壞的操作變得至關(guān)重要，針對上述問題，本文提出了網(wǎng)絡(luò)黑匣子的概念。文中首先介紹了國內(nèi)外對此技術(shù)的研究現(xiàn)狀，分析了實(shí)現(xiàn)該系統(tǒng)所需的相關(guān)技術(shù)，最后給出了網(wǎng)絡(luò)黑匣子系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)方案。
關(guān)鍵詞：網(wǎng)絡(luò)黑匣子；網(wǎng)絡(luò)安全；數(shù)據(jù)包捕獲；數(shù)據(jù)挖掘
在飛機(jī)上有一種裝置俗稱為“黑匣子”，它能記錄飛機(jī)處于運(yùn)行狀態(tài)時的各種參數(shù)，一旦飛機(jī)發(fā)生事故，人們通過分析這個“黑匣子”，就能查出飛機(jī)失事的原因。在這個想法的啟發(fā)下，設(shè)計(jì)一個安裝在計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)中類似的裝置，記錄系統(tǒng)實(shí)時信息以及網(wǎng)絡(luò)數(shù)據(jù)的存儲情況。針對上述問題的提出，國內(nèi)外許多機(jī)構(gòu)已經(jīng)開始投入對“黑匣子”系統(tǒng)的研究工作。概括其研究成果及已發(fā)布的產(chǎn)品，在功能上只是單一的實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的監(jiān)視，沒有涉及到事后的事件分析功能；設(shè)計(jì)原理上，對事件的記錄也僅僅是簡單的日志記錄和系統(tǒng)流量的監(jiān)視；作為網(wǎng)絡(luò)系統(tǒng)的安全監(jiān)控設(shè)備，尚未實(shí)現(xiàn)獨(dú)立分離于受監(jiān)控系統(tǒng)，存在安全隱患。
由此本文提出黑匣子新的設(shè)計(jì)方案：與其他領(lǐng)域的各種“黑匣子”記錄的內(nèi)容都是模擬量不同，本項(xiàng)目是專用于計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)的數(shù)字信息設(shè)備，因此為其取名為“網(wǎng)絡(luò)黑匣子”。它不僅能記錄系統(tǒng)的鍵盤敲擊過什么字符，屏幕顯示過什么信息，還能記錄系統(tǒng)打開過哪些應(yīng)用程序，執(zhí)行的瞬間現(xiàn)場狀態(tài)、讀寫磁盤情況、網(wǎng)絡(luò)發(fā)送與接收數(shù)據(jù)報(bào)和連接建立情況。當(dāng)系統(tǒng)崩潰或是受到意外災(zāi)害事故時，可以通過分析“黑匣子”，回放系統(tǒng)事故發(fā)生瞬間和發(fā)生前一段時間的系統(tǒng)運(yùn)行記錄、相關(guān)參數(shù)和運(yùn)行現(xiàn)場，為事故分析、責(zé)任分析、系統(tǒng)恢復(fù)、系統(tǒng)運(yùn)行中斷接續(xù)、避免同樣事故的發(fā)生提供輔助手段。
這個裝置無論對于軍用的災(zāi)備計(jì)劃還是民用的網(wǎng)絡(luò)取證及數(shù)據(jù)恢復(fù)都具有不言而喻的重
大意義。