网络黑匣子系统设计与实现

随着计算机网络的普及，网络的安全性也逐渐受到关注。如何在受到攻击时及时保存重要数据、如何实时记录导致系统损坏的操作变得至关重要，针对上述问题，本文提出了网络黑匣子的概念。文中首先介绍了国内外对此技术的研究现状，分析了实现该系统所需的相关技术，最后给出了网络黑匣子系统的设计与实现方案。
关键词：网络黑匣子；网络安全；数据包捕获；数据挖掘
在飞机上有一种装置俗称为“黑匣子”，它能记录飞机处于运行状态时的各种参数，一旦飞机发生事故，人们通过分析这个“黑匣子”，就能查出飞机失事的原因。在这个想法的启发下，设计一个安装在计算机或网络系统中类似的装置，记录系统实时信息以及网络数据的存储情况。针对上述问题的提出，国内外许多机构已经开始投入对“黑匣子”系统的研究工作。概括其研究成果及已发布的产品，在功能上只是单一的实现网络系统的监视，没有涉及到事后的事件分析功能；设计原理上，对事件的记录也仅仅是简单的日志记录和系统流量的监视；作为网络系统的安全监控设备，尚未实现独立分离于受监控系统，存在安全隐患。
由此本文提出黑匣子新的设计方案：与其他领域的各种“黑匣子”记录的内容都是模拟量不同，本项目是专用于计算机及其网络系统的数字信息设备，因此为其取名为“网络黑匣子”。它不仅能记录系统的键盘敲击过什么字符，屏幕显示过什么信息，还能记录系统打开过哪些应用程序，执行的瞬间现场状态、读写磁盘情况、网络发送与接收数据报和连接建立情况。当系统崩溃或是受到意外灾害事故时，可以通过分析“黑匣子”，回放系统事故发生瞬间和发生前一段时间的系统运行记录、相关参数和运行现场，为事故分析、责任分析、系统恢复、系统运行中断接续、避免同样事故的发生提供辅助手段。
这个装置无论对于军用的灾备计划还是民用的网络取证及数据恢复都具有不言而喻的重
大意义。