1引言

本文的研究目标主要是根据分布式网络的实际需要，设计分布式网络安全审计系统，发现入侵行为，监控内部网络用户的网络行为，威慑和警告潜在的非法入侵者，测试系统控制，及时调整相关政策，帮助管理员发现非法入侵和潜在的安全漏洞，确保网络安全和信息安全。基于此，分布式网络安全审计系统要求对内部网络用户的网络行为和访问用户进行合理有效的审计[1]，而不改变网络配置，不影响网络运行效率。

1.1系统需求分析

分布式网络安全审计系统要求网络配置不改变网络配置，不严重影响网络运行效率。资源消耗：不影响正常用户的日常操作CPU占用率小于1%；内存占用率小于50M；磁盘占用小于1000M。时间效率要求：响应时间小于5秒，数据转换和传输时间小于2秒。灵活性要求：运行环境适应主流Linux操作系统，包括Ubuntu，Fedora，CentOS，RedHat等等。后续改进:可以进一步完善系统的自我保护功能，提高程序的鲁棒性，响应各种异常操作，改进程序BUG，提高系统稳定性。

1.2系统可行性分析

分布式网络安全审计系统属于商业系统。为了使软件正常运行，具有高可靠性、易用性、高安全性等特点，主要特点如下：（1）界面简单，配置简单，不改变网络配置和运行效率。（2）能够适应当前的主流Linux操作系统，包括Ubuntu，Fedora，CentOS，RedHat等待。(3)软件经过多次调试，可靠性大大提高。(4)之后，RSA和AES混合加密确保了通信的安全性、可靠性和不可改变性。在设计、实现和测试过程中，分布式网络安全审计系统只需要有效的网络环境、开发机器、学校机房测试环境等，无需其他昂贵的软硬件设备，即可顺利实现并进行有效的测试。

22系统设计与关键技术研究

采用分布式网络安全审计系统C/S包括控制中心和控制中心、Agent主机采用集中监管和分布式控制框架。控制中心负责监控网络拓扑、审计查询、异常监控、系统设置等功能。Agent主机负责数据采集、数据审计等功能。审计策略库由控制中心分发，审计策略库由控制中心分发Agent主机执行，Agent主机记录各种违规行为，控制中心从主机处获取审计信息，根据审计信息调整审计策略。首先，Agent主机向控制中心发送初始化信息，包括主机IP和子网掩码。控制中心收到信息后，使用启发式拓扑算法生成网络拓扑。并不断重复此过程，监控网络拓扑图的实时动态变化。控制中心完成网络拓扑建设后，可对整个系统进行管理和控制，并启动分布式网络审计功能。审计开始时，Agent主机初始化任务列表，描述任务列表Agent主机的数据采集任务和数据审计任务。初始化完成后，Agent采用分布式协作算法，快速均衡地收集和审计处理任务，实现分布式系统的平衡负荷。数据采集和处理模块实现了数据包捕获、协议分析和数据还原功能。数据审计模块实现了关键词匹配等算法对网页内容的审计。当数据审计模块与不良信息和非法内容相匹配时，数据审计模块发出警报，控制中心迅速阻断Agent主机与远程服务器之间的数据交换。此外，该系统还可以通过SSLProxy对SSL审计和拦截加密数据。

实现分布式网络安全系统

3.1系统开发环境

本系统基于Linux平台，采用QT实现集成开发环境。详细的开发环境如表2所示。

3.2系统整体实现流程

分布式网络安全审计系统包括控制中心Agent主机、控制中心负责监控局域网，开启服务等流程，Agent主机负责内容审计、流量监控、SSL加密会话信息审计、控制中心和Agent主机采用Socket网络通信的方式。控制中心运行程序后，开始监控，从Agent处理主机收到的信息，形成网络拓扑图。并准备实时接收算法信息、审计结果等其他信息。Agent主机运行程序后，自动统计功能自动启动，设置SSL审计加密信息。输入控制中心的目的。IP然后建立连接，开始审计工作。分布式算法首先分配任务。读取分配信息后，对分配的任务进行审计，并将审计结果传输到控制中心，不断循环。同时，算法规定每10秒更新一次任务分配量。系统过程如图1所示。