目前国内外的网络行为监控系统的分类方法很多，按照运行原理分为旁路模式和网关模式两种。如果采用网关模式，所有数据流都必须经过该网关，实现控制非常方便 ，但是这种模式会对数据传输造成影响。而采用旁路模式，通过交换机镜像端口获得数据包的拷贝不会对数据传输造成任何影响，但是要实现对网络行为的控制有一定的困难。现有的大部分网络行为监控系统都是采用旁路模式来实现的，但是这些系统基本停留在旁路监视层面上，没有很好地实现对网络行为的旁路控制。有网络行为控制功能的系统大都需要安装客户端软件进行远程控制。

　　会话劫持不同于用网络侦听来窃取密码的被动式攻击方式(它可以用S/KEY加密技术予以防御)，而是一种主动攻击方式。本文提出的系统将会话劫持技术应用于网络行为的旁路控制中，从而既解决了基于网关的监控系统影响正常网络数据传输的缺点，又克服了旁路监控系统缺乏控制手段的难题。

　　旁路监控系统框架

　　本系统主要由数据包捕获、分析子系统和行为控制子系统组成。数据包捕获分析子系统运行在包捕获分析服务器上，该服务器的网卡与中心交换机的镜像端口连接；行为控制子系统运行在行为控制服务器上，它接收包捕获解析子系统的信息对网络行为进行控制。

　　数据包捕获分析子系统

　　系统主要完成网络数据包的捕获、存储和对捕获的数据包进行初步的协议分析和统计，并显示在用户界面上，在提取特征的同时与访问规则进行比对，如果是非法数据，则转发给旁路控制子系统，见图1。

图1 数据包捕获分析子系统

　　旁路控制子系统

　　旁路控制子系统接收非法数据包并采取一定的手段，利用会话劫持方式实现对非法主机网络行为的旁路控制，见图2。

图2 旁路控制子系统

　　非法网络行为的旁路控制

　　本系统正是扮演了攻击者的角色，劫持并中断非法会话，从而对非法网络行为进行控制。在监听到客户机发出的SYN报文时，如果发现这个报文的目标主机是非法主机，则立即伪装成非法目标主机发送FIN-SYN-ACK报文给客户机。假设客户机发出的SYN报文的序列号为x，则我们伪造的FIN-SYN-ACK报文的序列号为y，确认号为x+1。并且将FIN标志置1，意味着服务器准备结束这次连接。由于我们的系统是运行在网络的出口处，所以伪造的报文会比真正的服务器发出的包先到达客户机，而客户机会先处理我们发送的伪造报文，并认为服务器要结束本次连接而发送一个ACK报文来结束这次连接。当真正的服务器发送的报文到达以后，因为它的序列号为z，确认号为x+1，所以客户机认为已经接受过该报文，就会抛弃它。至此，我们已经成功中断了客户机与服务器之间的TCP连接。

　　旁路网络行为控制原理：（1）主机A试图访问主机B，B中有非法内容，为非法主机。（2）非法请求数据包被捕获并转发到网络行为控制主机。（3）网络行为控制主机发送伪造应答数据包。（4）主机A接收伪造数据包完成会话。（5）主机B的数据包被丢弃。

　　基于会话劫持的网络行为旁路监控系统很好地解决了现存的部分问题，而且还可以在禁止P2P下载、禁止流媒体、不良信息过滤、恶意网站隔离等方面有着广泛的应用空间。今后，将针对这些问题进一步展开研究。

　　会话劫持：当用户连接远程机器时，攻击者接管用户的连线，使得正常连线如同经过攻击者中转一样，攻击者能任意对连线交换的数据进行修改，冒充合法用户给服务器发送非法命令或冒充服务器给用户返回虚假信息。

　　(北京市教委教改项目 专项号6019；作者单位为北方工业大学信息工程学院）