計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)（論文）網(wǎng)絡(luò)監(jiān)測(cè)與安全保障系統(tǒng)的總體設(shè)計(jì)

1、目錄1 緒論111選題背景112論文組織結(jié)構(gòu)12 網(wǎng)絡(luò)監(jiān)測(cè)與安全保障系統(tǒng)概述33 網(wǎng)絡(luò)監(jiān)測(cè)與安全保障系統(tǒng)分析431功能需求描述432目標(biāo)系統(tǒng)要求44 網(wǎng)絡(luò)監(jiān)測(cè)與安全保障系統(tǒng)的總體設(shè)計(jì)實(shí)現(xiàn)64. 1數(shù)據(jù)包捕獲模塊分析6 4.1.1以太網(wǎng)數(shù)據(jù)包監(jiān)聽顧慮機(jī)制.6 4.1.2libpcap介紹.6 4.1.3數(shù)據(jù)包捕獲的實(shí)現(xiàn).6 4.1.4本部分總結(jié).94.2數(shù)據(jù)包分析模塊設(shè)計(jì)9 4.2.1netflow技術(shù).9 4.2.2netflow流量采集與聚合.11 4.2.3實(shí)際netflow流采集與流量監(jiān)測(cè).13 4.2.4本部分總結(jié).144.3數(shù)據(jù)管理模塊設(shè)計(jì)15 4.3.1mysql的安裝.15 4.

2、3.2數(shù)據(jù)導(dǎo)入和導(dǎo)出.16 4.3.3管理系統(tǒng)的設(shè)計(jì).174.4 數(shù)據(jù)包安全模塊設(shè)20 4.4.1網(wǎng)絡(luò)異常分類.20 4.4.2異常處理保障網(wǎng)絡(luò)安全.21 4.4.3本部分總結(jié).295 網(wǎng)絡(luò)監(jiān)測(cè)與安全保障系統(tǒng)測(cè)試306 網(wǎng)絡(luò)監(jiān)測(cè)與安全保障系統(tǒng)的不足及改進(jìn)思想327 結(jié)論33致謝34參考文獻(xiàn)35附錄361 緒論11選題背景隨著我國各高校校園網(wǎng)建設(shè)的逐步發(fā)展,校園網(wǎng)漸漸成為各學(xué)校信息化的一個(gè)重要的組成部分。它不僅有效的提高了各部門的工作效率,也為校園生活提供了便利。然而校園網(wǎng)絡(luò)日益膨脹,網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜,安全隱患和網(wǎng)絡(luò)檢測(cè)建設(shè)也越來越多,維護(hù)工作也越來越困難。然而當(dāng)今校園網(wǎng)的建設(shè)也隨著科學(xué)技術(shù)的

3、發(fā)展變的越來越迫切和需要。隨著需求不斷擴(kuò)大，大學(xué)生對(duì)于信息技術(shù)的要求和時(shí)效性也不斷提高，因此校園智能網(wǎng)的建設(shè)也應(yīng)運(yùn)而生。然而，所有網(wǎng)絡(luò)的建設(shè)必須要考慮到安全性，所以安全性也變得尤為重要，成了智能校園網(wǎng)建設(shè)的重中之重。要做到能更好的為學(xué)生老師服務(wù)，建設(shè)一個(gè)智能型的網(wǎng)絡(luò)檢測(cè)系統(tǒng)就不可或缺。因此，把校園網(wǎng)智能型網(wǎng)絡(luò)監(jiān)測(cè)與安全保障系統(tǒng)的設(shè)計(jì)和應(yīng)用選作我的畢業(yè)設(shè)計(jì)題目。大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的?？梢钥醋鞅ＷC網(wǎng)絡(luò)安全不僅僅是使它沒有變成錯(cuò)誤。他寶貨要防范那些聰明的，通常也是狡猾的、專業(yè)的，并且在時(shí)間和金錢上是很充足、富有的人。當(dāng)然校園網(wǎng)可能面臨的只是

4、學(xué)生出于好奇方面的錯(cuò)誤操作。這是網(wǎng)絡(luò)安全問題的根源。因此，要做到網(wǎng)絡(luò)安全。首先就必須要有一個(gè)智能的、合理的，從經(jīng)濟(jì)方面有相對(duì)劃算的網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)。本文將從智能型網(wǎng)絡(luò)監(jiān)測(cè)入手來保障校園網(wǎng)的安全。12論文組織結(jié)構(gòu)第一部分：緒論：介紹了論文的選題背景、系統(tǒng)概述等。第二部分：系統(tǒng)概述：簡述本課題的研究概況和存在的問題，以及本論文（設(shè)計(jì)）的指導(dǎo)思想、主要技術(shù)路線。第三部分：系統(tǒng)分析：需求分析、功能需求描述、目標(biāo)系統(tǒng)要求、系統(tǒng)平臺(tái)選擇、數(shù)據(jù)庫設(shè)計(jì)等。第四部分：總體設(shè)計(jì)及說明以及系統(tǒng)的功能實(shí)現(xiàn)，各功能模塊的具體設(shè)計(jì)與實(shí)現(xiàn)方法。第五部分：系統(tǒng)測(cè)試。第六部分：系統(tǒng)的不足及改進(jìn)設(shè)想。第七部分：結(jié)論。2 網(wǎng)絡(luò)監(jiān)測(cè)

5、與安全保障系統(tǒng)概述本文主要介紹了智能型校園網(wǎng)監(jiān)測(cè)與安全保障系統(tǒng)的設(shè)計(jì)和應(yīng)用。主要包括：數(shù)據(jù)包捕獲模塊，基于多模式的流量采集方式實(shí)現(xiàn)數(shù)據(jù)包級(jí)捕獲組件與netflow接受組件；數(shù)據(jù)包分析模塊設(shè)計(jì)，基于流的抽樣分析方法進(jìn)行流量數(shù)據(jù)檢測(cè)與處理，本文主要通過netflow技術(shù)來整合數(shù)據(jù)的檢測(cè)與處理；數(shù)據(jù)管理模塊設(shè)計(jì)，采用mysql數(shù)據(jù)庫的設(shè)計(jì)，實(shí)現(xiàn)對(duì)數(shù)據(jù)內(nèi)部物理調(diào)整，并選擇合理的存取路徑以提高數(shù)據(jù)庫訪問速度；數(shù)據(jù)安全模塊設(shè)計(jì)，根據(jù)捕獲到的數(shù)據(jù)異常情況進(jìn)行警告活禁止處理，保障網(wǎng)絡(luò)安全；最后是系統(tǒng)的測(cè)試，通過對(duì)網(wǎng)絡(luò)進(jìn)行流量監(jiān)測(cè)分析，建立網(wǎng)絡(luò)流量基準(zhǔn)；通過連接會(huì)話數(shù)的跟蹤、源目的地址對(duì)的分析、tcp流的分析，

6、及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量，進(jìn)行實(shí)時(shí)告警，保障網(wǎng)絡(luò)安全。例如，網(wǎng)絡(luò)中，如果網(wǎng)絡(luò)所接受的流量超過它實(shí)際的運(yùn)載能力或者有人利用惡意的arp攻擊軟件在校園網(wǎng)中影響到其他用戶的網(wǎng)絡(luò)流量，就會(huì)引起網(wǎng)絡(luò)性能下降。然而在實(shí)際的網(wǎng)絡(luò)中，如果對(duì)網(wǎng)絡(luò)流量控制得不好或者發(fā)生網(wǎng)絡(luò)阻塞，將會(huì)導(dǎo)致網(wǎng)絡(luò)吞吐量下降，網(wǎng)絡(luò)性能降低。通過流量測(cè)量不僅能反映網(wǎng)絡(luò)設(shè)備工作是否正常，而且能反映出整個(gè)網(wǎng)絡(luò)運(yùn)行的資源瓶頸，這樣管理人員就可以根據(jù)網(wǎng)絡(luò)的運(yùn)行狀態(tài)及時(shí)采取故障補(bǔ)救措施和進(jìn)行相關(guān)的業(yè)務(wù)部署，提高網(wǎng)絡(luò)的性能。通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒的種類越來越多，信息安全受到了普遍而嚴(yán)重的威脅，容易導(dǎo)致網(wǎng)絡(luò)阻塞甚至癱瘓。因而對(duì)網(wǎng)絡(luò)進(jìn)行流量監(jiān)測(cè)分析，可以

7、建立網(wǎng)絡(luò)流量基準(zhǔn)，通過連接會(huì)話數(shù)的跟蹤，源目的地址對(duì)的分析，tcp流的分析，能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量，進(jìn)行實(shí)時(shí)告警，保障網(wǎng)絡(luò)安全。該系統(tǒng)針對(duì)復(fù)雜的網(wǎng)絡(luò)流量分析，提出了一個(gè)基于多模式的流量采集技術(shù)。主要功能模塊在內(nèi)核中運(yùn)行，極大提高了系統(tǒng)效率。對(duì)數(shù)據(jù)的處理采用了兩層快取的方法，當(dāng)有突發(fā)流量時(shí)，能夠有效的保持?jǐn)?shù)據(jù)的完整性。同時(shí)能夠?qū)ΡO(jiān)測(cè)網(wǎng)絡(luò)的流量進(jìn)行各種協(xié)議分析并統(tǒng)計(jì)出各個(gè)通訊主機(jī)當(dāng)前帶寬的使用排名。方便管理員查看與維護(hù)。當(dāng)監(jiān)測(cè)到網(wǎng)絡(luò)中出現(xiàn)ip偽造、dos及的攻擊ddos等，系統(tǒng)能夠偵測(cè)到異常，并可以了解到該主機(jī)的詳細(xì)使用情況，保障了網(wǎng)絡(luò)的安全性。3 網(wǎng)絡(luò)監(jiān)測(cè)與安全保障系統(tǒng)分析31功能需求描述

8、 在網(wǎng)絡(luò)中，如果網(wǎng)絡(luò)所接收的流量超過它實(shí)際的運(yùn)載能力，就會(huì)引起網(wǎng)絡(luò)性能下降。然而在實(shí)際的網(wǎng)絡(luò)中，如果對(duì)網(wǎng)絡(luò)流量控制得不好或發(fā)生網(wǎng)絡(luò)擁塞，將會(huì)導(dǎo)致網(wǎng)絡(luò)吞吐量下降，網(wǎng)絡(luò)性能降低。通過流量測(cè)量不僅能反映網(wǎng)絡(luò)設(shè)備工作是否正常，而且能反映出整個(gè)網(wǎng)絡(luò)運(yùn)行的資源瓶頸，這樣管理人員就可以根據(jù)網(wǎng)絡(luò)的運(yùn)行狀態(tài)及時(shí)采取故障補(bǔ)救措施和進(jìn)行相關(guān)的業(yè)務(wù)部署，提高網(wǎng)絡(luò)的性能。通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒的種類越來越多，信息安全受到了普遍而嚴(yán)重的威脅，容易導(dǎo)致網(wǎng)絡(luò)阻塞甚至癱瘓。因而對(duì)網(wǎng)絡(luò)進(jìn)行流量監(jiān)測(cè)分析，可以建立網(wǎng)絡(luò)流量基準(zhǔn)，通過連接會(huì)話數(shù)的跟蹤，源目的地址對(duì)的分析，tcp流的分析，能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量，進(jìn)行實(shí)時(shí)告警，保障

9、網(wǎng)絡(luò)安全。該系統(tǒng)針對(duì)復(fù)雜的網(wǎng)絡(luò)流量分析，提出了一個(gè)基于多模式的流量采集技術(shù)。主要功能模塊在內(nèi)核中運(yùn)行，極大提高了系統(tǒng)效率。對(duì)數(shù)據(jù)的處理采用了兩層快取的方法，當(dāng)有突發(fā)流量時(shí)，能夠有效的保持?jǐn)?shù)據(jù)的完整性。同時(shí)能夠?qū)ΡO(jiān)測(cè)網(wǎng)絡(luò)的流量進(jìn)行各種協(xié)議分析并統(tǒng)計(jì)出各個(gè)通訊主機(jī)當(dāng)前帶寬的使用排名。方便管理員查看與維護(hù)。當(dāng)監(jiān)測(cè)到網(wǎng)絡(luò)中出現(xiàn)ip偽造、dos及的攻擊ddos等，系統(tǒng)能夠偵測(cè)到異常，并可以了解到該主機(jī)的詳細(xì)使用情況，保障了網(wǎng)絡(luò)的安全性。32目標(biāo)系統(tǒng)要求本論文通過對(duì)網(wǎng)絡(luò)流量的檢測(cè)。將檢測(cè)到的數(shù)據(jù)包信息導(dǎo)入到mysql數(shù)據(jù)庫中，在mysql數(shù)據(jù)庫中對(duì)數(shù)據(jù)進(jìn)行管理和集中處理，根據(jù)捕獲到的數(shù)據(jù)一場情況進(jìn)行警告或

10、者禁止處理保障網(wǎng)絡(luò)的安全。本項(xiàng)目通過對(duì)網(wǎng)絡(luò)進(jìn)行流量監(jiān)測(cè)分析，建立網(wǎng)絡(luò)流量基準(zhǔn)；通過連接會(huì)話數(shù)的跟蹤、源目的地址對(duì)的分析、tcp流的分析，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量，進(jìn)行實(shí)時(shí)告警，保障網(wǎng)絡(luò)安全。根據(jù)網(wǎng)絡(luò)流量在網(wǎng)絡(luò)運(yùn)行的各個(gè)環(huán)節(jié)中的關(guān)鍵地位，對(duì)網(wǎng)絡(luò)流量進(jìn)行研究，同時(shí)采取一定的方法，科學(xué)地測(cè)量和分析流量特征成為一項(xiàng)艱巨而有意義地工作。而fmonitor(flow monitor)流量監(jiān)測(cè)與安全保障系統(tǒng)能夠很好的解決校園網(wǎng)智能型網(wǎng)絡(luò)監(jiān)測(cè)和安全。該流量監(jiān)測(cè)與安全保障系統(tǒng)基于linux平臺(tái)，采用了層次化和模塊化的設(shè)計(jì)。fmonitor核心模塊為內(nèi)核流量捕獲模塊和流量分析模塊。內(nèi)核流量捕獲模塊和流量分析模塊同

11、時(shí)運(yùn)行在linux內(nèi)核中；流量捕獲模塊采用基于libpcap的包捕獲技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)上所有數(shù)據(jù)包的捕獲，將采集到的數(shù)據(jù)包，通過在內(nèi)存中建立數(shù)據(jù)表和通過mysql數(shù)據(jù)庫結(jié)合的方式存儲(chǔ)數(shù)據(jù)，提供給流量分析模塊完成流量統(tǒng)計(jì)的任務(wù)。該系統(tǒng)針對(duì)復(fù)雜的網(wǎng)絡(luò)流量分析，提出了一個(gè)基于多模式的流量采集技術(shù)。 主要功能模塊在內(nèi)核中運(yùn)行，極大提高了系統(tǒng)效率。對(duì)數(shù)據(jù)的處理采用了兩層快取的方法，當(dāng)有突發(fā)流量時(shí)，能夠有效的保持?jǐn)?shù)據(jù)的完整性。同時(shí)能夠?qū)ΡO(jiān)測(cè)網(wǎng)絡(luò)的流量進(jìn)行各種協(xié)議分析并統(tǒng)計(jì)出各個(gè)通訊主機(jī)當(dāng)前帶寬的使用排名。方便管理員查看與維護(hù)。當(dāng)監(jiān)測(cè)到網(wǎng)絡(luò)中出現(xiàn)ip偽造、dos及ddos的攻擊等，系統(tǒng)能夠偵測(cè)到異常，并可以了解

12、到該主機(jī)的詳細(xì)使用情況，保障了網(wǎng)絡(luò)的安全性。4 網(wǎng)絡(luò)監(jiān)測(cè)與安全保障系統(tǒng)的總體設(shè)計(jì)實(shí)現(xiàn)4. 1數(shù)據(jù)包捕獲模塊分析該部分主要是基于流的抽樣分析方法進(jìn)行流量數(shù)據(jù)檢測(cè)與處理。本文通過libpcap的數(shù)據(jù)包捕獲機(jī)制。網(wǎng)絡(luò)安全的主要技術(shù)之一是對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析，而網(wǎng)絡(luò)數(shù)據(jù)包捕獲有是網(wǎng)絡(luò)數(shù)據(jù)分析的基礎(chǔ)，其速度和捕獲能力直接影響到數(shù)據(jù)分析的效率和準(zhǔn)確率。本文在linux平臺(tái)上，研究了數(shù)據(jù)包捕獲函數(shù)庫libpcap并設(shè)計(jì)完成一個(gè)小型數(shù)據(jù)包捕獲器。4.1.1以太網(wǎng)數(shù)據(jù)包監(jiān)聽過濾機(jī)制傳統(tǒng)以太網(wǎng)的數(shù)據(jù)傳輸技術(shù)是ieee802.3標(biāo)準(zhǔn)定義的載波監(jiān)聽沖突檢測(cè)技術(shù)（csma/cd）。以太網(wǎng)上的所有主機(jī)是通過物理總線拓?fù)浠?/p>

13、星型拓?fù)溟g接到一條共享信道上的。當(dāng)某個(gè)主機(jī)要發(fā)送數(shù)據(jù)包時(shí)，ethernet協(xié)議將數(shù)據(jù)以ethernet數(shù)據(jù)幀格式發(fā)送到共享信道上。正常狀態(tài)下各主機(jī)網(wǎng)絡(luò)接口對(duì)讀入數(shù)據(jù)幀進(jìn)行檢查，如果數(shù)據(jù)幀中攜帶的物理地址是自己的或者物理地址是廣播地址，那么就會(huì)將數(shù)據(jù)幀交給網(wǎng)絡(luò)層處理，否則，丟棄該數(shù)據(jù)包?？梢?，網(wǎng)卡只接受和自己的地址有關(guān)的信息包，網(wǎng)卡就必須設(shè)置成雜亂模式。linux下將網(wǎng)卡eth0設(shè)置成雜亂模式的命令如下：#ifconfig eth0 promise 。4.1.2 libpcap 介紹libpcap（libpcap for packet capture）即分組捕獲函數(shù)庫，是由勞倫斯伯克利國家實(shí)驗(yàn)室

14、開發(fā)的獨(dú)立于操作系統(tǒng)的一個(gè)在用戶級(jí)進(jìn)行實(shí)時(shí)分組捕獲的api函數(shù)接口，其函數(shù)庫中大約有24個(gè)通用的libpcap函數(shù)，2個(gè)win32中專有的函數(shù)。所有的libpcap函數(shù)均以pcap_為前綴。libpcap用于用戶組層次的數(shù)據(jù)包接獲工作，它為底層網(wǎng)絡(luò)監(jiān)控編程提供一個(gè)易于移植的應(yīng)用框架。它還可以按照用戶指定的要求（如：特定ip地址、特定網(wǎng)段地址、特定協(xié)議類型、特定端口等）對(duì)數(shù)據(jù)包進(jìn)行過濾，只捕獲用戶指定的數(shù)據(jù)信息包。4.1.3數(shù)據(jù)包捕獲的實(shí)現(xiàn) 要在linux平臺(tái)上使用libpcap函數(shù)庫來捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包，首先要在系統(tǒng)中安裝libpcap函數(shù)庫,下載后需要先解壓縮（此處下載的壓縮文件是libpc

15、ap-0.7.1.tar.gz），然后把它安裝到系統(tǒng)中才可以實(shí)用。步驟如下 #tar zxvf libpcap-0.7.1.tar.gz #,/configure #make #make install為實(shí)現(xiàn)數(shù)據(jù)包捕獲，實(shí)用vi編輯器編寫一個(gè)c語言文件（如：datacap.c），該文件的變成流程如下圖所示。其中利用pcap_compile()函數(shù)和pcap_setfilter()函數(shù)編譯和設(shè)置過濾策略。經(jīng)過濾，pcap_compile()函數(shù)只能捕獲滿足過濾策略要求的網(wǎng)絡(luò)數(shù)據(jù)包。為顯示捕獲的數(shù)據(jù)包詳細(xì)信息，我們可以采用網(wǎng)絡(luò)數(shù)據(jù)包分成協(xié)議處理方法，對(duì)捕獲的數(shù)據(jù)包按照協(xié)議格式進(jìn)行反的解析。call

16、back()函數(shù)是為了實(shí)現(xiàn)分層解析處理功能，如圖4-1、4-2。圖4-1 數(shù)據(jù)包捕獲流程圖圖4-2 網(wǎng)絡(luò)監(jiān)聽流程圖 數(shù)據(jù)包捕獲文件datacap.c的部分關(guān)鍵程序代碼如下：viod capture(char*filterstr) char errbufpcap_errbuf_size; pcap_t *descr; char * interface=capture_interface; bpf_u_int 32 maskp； bpf_u_int 32 netp; struct bpf_program fp; if (“pcap_lookupnet():%sn”,errbuf); exit(1)

17、; descr =pcap_open_live(interface,bufsiz,1,-1,errbuf); if(descr=null) printf(“pcap_open_live():%sn”,errbuf);exit(1);if(pcap_setfilter(descr,&fp)=-1)fprintf(stderr,”error setting filtern”);pcap_close(descr);exit(1); if(pcap_loop(descr,-1,callback,null)0) printf(“pcap_loop:%sn”,pcap_geterr(descr); pca

18、p_close(descr); exit(1); 數(shù)據(jù)爆捕獲設(shè)計(jì)完成后，要使libpcap功能函數(shù)起作用，還需要實(shí)用將datacap.c文件編譯成可執(zhí)行文件，并將把libpcap函數(shù)庫編輯到目標(biāo)文件中，方法如下：#gcc _ o datacap.o datacap.c lpcap。此處實(shí)用linux自帶的gcc編譯工具把數(shù)據(jù)包捕獲模塊的c語言文件datacap.c編譯成可執(zhí)行的二進(jìn)制目標(biāo)文件datacap.0。要運(yùn)行datacap.o文件可以在linux終端窗口中使用下面命令：.datacap.o。有些場合，我們需要設(shè)計(jì)一個(gè)捕獲程序并要求該程序在系統(tǒng)啟動(dòng)起來是，就能自動(dòng)運(yùn)行，而不需要管理員的干

19、預(yù)，要實(shí)現(xiàn)這個(gè)目的，可以采用下述方法實(shí)現(xiàn)。首先將datacap.o文件放在/etc/rc.d目錄下，然后用vi編輯器打開并編輯/etc/rc.d/rc.local文件（該文件在系統(tǒng)啟動(dòng)時(shí)會(huì)自動(dòng)執(zhí)行），在該文件末尾加上sh/etc.rc.d/datacap.o，這樣系統(tǒng)啟動(dòng)時(shí)就可以自動(dòng)執(zhí)行數(shù)據(jù)包捕獲程序。4.1.4 本部分總結(jié)高效而準(zhǔn)確的網(wǎng)絡(luò)數(shù)據(jù)包捕獲分析是進(jìn)行網(wǎng)絡(luò)安全檢測(cè)和網(wǎng)絡(luò)流量計(jì)費(fèi)的基礎(chǔ)和保障。隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)包捕獲分析必將收到越來越多用戶的重視，擁有關(guān)法的應(yīng)用前景。本文對(duì)網(wǎng)絡(luò)數(shù)據(jù)包捕獲機(jī)制進(jìn)行研究，分析了傳統(tǒng)以太網(wǎng)數(shù)據(jù)包監(jiān)聽過濾機(jī)制和libpcap分組捕獲函數(shù)庫，并在linux平

20、臺(tái)上設(shè)計(jì)實(shí)現(xiàn)了一個(gè)小型的網(wǎng)絡(luò)數(shù)據(jù)包的捕獲分析器，該捕獲分析器運(yùn)行簡單、高效、準(zhǔn)確。并能實(shí)現(xiàn)數(shù)據(jù)包級(jí)捕獲組件與netflow接受組件4.2數(shù)據(jù)包分析模塊設(shè)計(jì)該模塊采用基于多模式的流量采集方式實(shí)現(xiàn)數(shù)據(jù)包及捕獲組件與netflow接受組件4.2.1 netflow技術(shù) netflow是cisco公司提出的基于cisco ios系統(tǒng)的一種應(yīng)用。它用于提供網(wǎng)絡(luò)設(shè)備上數(shù)據(jù)包形成的“流”的統(tǒng)計(jì)信息，并逐漸演變成為網(wǎng)絡(luò)流量統(tǒng)計(jì)和安全分析的主要手段。目前利用：netflow可以實(shí)現(xiàn)網(wǎng)絡(luò)流量監(jiān)測(cè)，用戶應(yīng)用監(jiān)控，網(wǎng)絡(luò)安全，網(wǎng)絡(luò)規(guī)劃以及流量計(jì)費(fèi)等功能。 netflow有兩個(gè)核心的組件：netflow緩存，存儲(chǔ)ip流信

21、息；netflow的數(shù)據(jù)導(dǎo)出或傳輸機(jī)制，netflow利用此機(jī)制將數(shù)據(jù)發(fā)送到網(wǎng)絡(luò)管理采集器。（1）流(flow)的定義 一條流由一個(gè)源主機(jī)與一個(gè)目的主機(jī)間的單方向傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)包組成，其中，源和目的主機(jī)由各自的ip地址和端口號(hào)來標(biāo)識(shí)。一條流一般由以下七個(gè)關(guān)鍵字段惟一標(biāo)識(shí)： 源地址 目的地址 源端口號(hào) 目的端口號(hào) 第3層協(xié)議類型(如tcp，udp) 服務(wù)類型 入邏輯接口標(biāo)示符（2）流(flow)格式 啟動(dòng)netflow的設(shè)備會(huì)輸出其緩沖區(qū)里的信息，以u(píng)dp包的形式傳送給netflow流量采集器。包由包頭和若干流記錄組成。常用的netflow輸出包格式共有5個(gè)版本，它們分別是version 1，v

22、ersion 5，ver-sion 7，version 8和version 9，其中v5是最為流行和成熟的版本，目前得到最廣泛的使用。最新的v9已經(jīng)被列入ietf的標(biāo)準(zhǔn)，并有待進(jìn)一步研究和規(guī)范。v9采用了模板技術(shù)與流記錄相結(jié)合的方式，使netflow輸出包的格式具有動(dòng)態(tài)和可擴(kuò)展的特性。netflow v9的輸出格式主要由三部分構(gòu)成： 包頭部(packet header)：包括版本號(hào)、包中數(shù)據(jù)流總數(shù)、系統(tǒng)時(shí)間、數(shù)據(jù)流序列、數(shù)據(jù)源id等。 模板流集(template flowset)：包含一個(gè)或多個(gè)模板，模板是用于描繪數(shù)據(jù)流中各個(gè)數(shù)據(jù)段的含義，可以在路由器上根據(jù)需要自行設(shè)置模板。 數(shù)據(jù)流集(。da

23、ta flowset)：包含多個(gè)數(shù)據(jù)流，每個(gè)數(shù)據(jù)流集通過模板id對(duì)應(yīng)某個(gè)模板。數(shù)據(jù)采集端根據(jù)模板來解析數(shù)據(jù)流。4.2.2 netflow流量采集與聚合（1）系統(tǒng)概述 根據(jù)netflow的特點(diǎn)，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng)，其系統(tǒng)結(jié)構(gòu)如圖4-3所示。圖4-3 netflow網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)圖當(dāng)netflow采集器接收到從路由器發(fā)送來的net-flow數(shù)據(jù)包后，采集器將進(jìn)行數(shù)據(jù)包的解析和數(shù)據(jù)流聚合，形成多種適合統(tǒng)計(jì)分析需要的數(shù)據(jù)，再分門別類地存入數(shù)據(jù)庫。分析器則根據(jù)前端不同的查詢請(qǐng)求，依照一定的查詢策略從數(shù)據(jù)庫不同的表中提取相應(yīng)數(shù)據(jù)進(jìn)行分析展現(xiàn)。 本系統(tǒng)的后臺(tái)采集器和聚合處理部分用java編寫實(shí)現(xiàn)

24、，數(shù)據(jù)庫采用開源的mysql，而netflow流量分析利用tomcat服務(wù)器通過web方式展現(xiàn)，前臺(tái)部分用jsp編寫實(shí)現(xiàn)。工作的重點(diǎn)即在于數(shù)據(jù)采集、數(shù)據(jù)聚合以及數(shù)據(jù)庫設(shè)計(jì)部分。（2） netflow流采集 采集器的設(shè)計(jì) 數(shù)據(jù)采集模塊是整個(gè)系統(tǒng)的基礎(chǔ)。由于。netflow數(shù)據(jù)流量非常大，為防止丟包系統(tǒng)采用緩沖區(qū)和線程池結(jié)構(gòu)，如圖4-4所示。圖4-4 netflow流量采集模型當(dāng)采集器監(jiān)聽到一個(gè)netflow數(shù)據(jù)包時(shí)，將該數(shù)據(jù)包接收到緩沖區(qū)，并從包解析線程池中取出一個(gè)線程，根據(jù)相應(yīng)的netflow的報(bào)文格式解析出數(shù)據(jù)流信息，將該原始流信息放入緩沖區(qū)，然后將原始流存入數(shù)據(jù)庫，同時(shí)采用相應(yīng)的聚合策略聚

25、合原始流生成聚合流并存入相應(yīng)的數(shù)據(jù)庫中。 netflow數(shù)據(jù)包接收與解析 由于netflow數(shù)據(jù)是借助于udp數(shù)據(jù)報(bào)來傳送，因而倘若后續(xù)的處理速度跟不上數(shù)據(jù)包到達(dá)的速度，則會(huì)出現(xiàn)嚴(yán)重丟包的現(xiàn)象。為解決高速大流量數(shù)據(jù)的及時(shí)接收及較低丟包率問題，采用了多線程的方式來實(shí)現(xiàn)。用獨(dú)立的兩個(gè)線程分別完成數(shù)據(jù)接收和解析操作：接收數(shù)據(jù)的線程在特定的ip地址監(jiān)聽相應(yīng)的udp端口，接收到的數(shù)據(jù)暫存在緩沖區(qū)中；解析線程從緩沖區(qū)提取數(shù)據(jù)，按照相應(yīng)的報(bào)文格式進(jìn)行解析。由于接收線程和解析線程共享同一個(gè)臨界資源，即接收的緩沖區(qū)，需要對(duì)臨界資源進(jìn)行加鎖操作。 下面為部分實(shí)現(xiàn)多線程采集的java代碼實(shí)例，其中packet為接收

26、的netflow數(shù)據(jù)包對(duì)象，linkedlst為linkedlist容器，利用synchronized進(jìn)行線程間同步 接收線程netflow流聚合 netflow的原始數(shù)據(jù)數(shù)據(jù)量非常龐大，保存每一條流數(shù)據(jù)的原始記錄將會(huì)使對(duì)數(shù)據(jù)進(jìn)行查詢分析時(shí)產(chǎn)生效率低下的問題，在絕大部分應(yīng)用中也沒有必要把數(shù)據(jù)粒度設(shè)計(jì)得如此之小。所謂流量聚合，是指對(duì)符合netflow數(shù)據(jù)格式的原始流記錄根據(jù)一定條件進(jìn)行流量合并，實(shí)現(xiàn)多條流合并為一條的過程，以實(shí)現(xiàn)原始流的壓縮整理。（1） 聚合策略 流量聚合有三個(gè)關(guān)鍵要素：聚合條件(f)、時(shí)間粒度(t)和聚合項(xiàng)(c)。滿足相同聚合條件和時(shí)間粒度的流進(jìn)行流量疊加，并保留聚合項(xiàng)。三元組

27、聚合策略：，其中： 按照實(shí)際流量分析的需要，從f，t，c中各取出一個(gè)值組成一個(gè)聚合策略。對(duì)于t的粒度要根據(jù)實(shí)際監(jiān)控的時(shí)間長短和監(jiān)測(cè)精度來設(shè)置，一般來說t3 min適合于當(dāng)天實(shí)時(shí)流量的監(jiān)測(cè)；t30 min用于一周流量的分析；t3 h用于一月內(nèi)流量的分析。（2） 聚合的實(shí)現(xiàn) 對(duì)于一個(gè)新采集的原始流，必須能根據(jù)其所攜帶的聚合條件信息快速匹配是否已存在與其相同聚合條件的聚合流，若有則做流量疊加，若沒有則創(chuàng)建一條新的聚合流。hash表具有從key快速映射到value的特點(diǎn)，這種特點(diǎn)對(duì)于實(shí)時(shí)性較高的聚合非常有意義。圖4-5為流量聚合的iash表設(shè)計(jì)。圖4-5 流量聚合hash表設(shè)計(jì)在圖5中聚合條件(f)作

28、為key，聚合項(xiàng)(c)作為hash函數(shù)的映射值，時(shí)間粒度(t)作為hash表導(dǎo)出到數(shù)據(jù)庫的時(shí)間。這樣可以滿足實(shí)時(shí)流量監(jiān)測(cè)的需要，同時(shí)也壓縮數(shù)據(jù)減少存儲(chǔ)空間，提高數(shù)據(jù)的查詢效率。4.2.3 實(shí)際netflow流采集與流量監(jiān)測(cè) 在本系統(tǒng)設(shè)計(jì)的數(shù)據(jù)采集器的支持下，系統(tǒng)數(shù)據(jù)庫為前端分析提供了充足且多樣化的數(shù)據(jù)準(zhǔn)備，前端程序只需通過簡單的查詢語句即可得到所需的數(shù)據(jù)集，簡化了查詢的工作量。利用該系統(tǒng)采集netflow數(shù)據(jù)包50 000個(gè)，時(shí)間持續(xù)約7 h，時(shí)間粒度為3 min，主要檢驗(yàn)丟包情況，以及聚合后壓縮效率。這次采集無丟包發(fā)生，表1為該系統(tǒng)采集的數(shù)據(jù)結(jié)果。 圖6是系統(tǒng)由所采集的數(shù)據(jù)生成的該時(shí)段的流量

29、監(jiān)測(cè)圖4-6。圖4-6 局域網(wǎng)某時(shí)段網(wǎng)絡(luò)流量4.2.4結(jié) 語 netflow數(shù)據(jù)流的海量特征使得服務(wù)器程序的效率至關(guān)重要，因此基于netflow的流量監(jiān)測(cè)的主要任務(wù)是如何根據(jù)應(yīng)用保存最重要的網(wǎng)絡(luò)流特征以及如何更高效地實(shí)現(xiàn)數(shù)據(jù)檢索?；趎etflow特點(diǎn)，提出了一套適用于大流量網(wǎng)絡(luò)的流量采集與聚合存儲(chǔ)方案。流量采集通過多線程和緩沖區(qū)機(jī)制實(shí)現(xiàn)，有效提高了流量采集的可靠性。采集的原始流經(jīng)聚合，并通過合理的分級(jí)存儲(chǔ)策略進(jìn)行存儲(chǔ)組織，為前端的數(shù)據(jù)分析提供了全面支持。本系統(tǒng)在實(shí)際應(yīng)用中取得了良好效果。下一步還將對(duì)采集和多級(jí)聚合存儲(chǔ)方案進(jìn)行改進(jìn)，以豐富系統(tǒng)對(duì)網(wǎng)絡(luò)流量統(tǒng)計(jì)分析功能，并力爭為異常流量分析提供較為

30、完善的數(shù)據(jù)支持。具體如圖4-7。圖4-7 netflow流量分析系統(tǒng)結(jié)構(gòu)4.3數(shù)據(jù)管理模塊設(shè)計(jì)4.3.1 mysql的安裝本模塊采用mysql數(shù)據(jù)庫的設(shè)計(jì)，實(shí)現(xiàn)對(duì)數(shù)據(jù)內(nèi)部物理調(diào)整，并選擇合理的存取路徑以提高數(shù)據(jù)庫訪問速度。（1）mysql 數(shù)據(jù)庫的安裝mysql是一個(gè)可以跨平臺(tái)的數(shù)據(jù)庫系統(tǒng)，一個(gè)真正支持多用戶、多現(xiàn)成的sql數(shù)據(jù)庫系統(tǒng)，也是具有客戶服務(wù)器體系結(jié)構(gòu)的分布式數(shù)據(jù)庫管理系統(tǒng)。同時(shí)，也是linux系統(tǒng)中實(shí)用最為簡單的數(shù)據(jù)庫系統(tǒng)，安裝、實(shí)用和管理都較為簡單，且數(shù)據(jù)庫系統(tǒng)的穩(wěn)定性也相當(dāng)不錯(cuò)。要安裝mysql必須獲得它的安裝文件，可以再linux安裝盤獲得，幾乎所有的linux發(fā)行版都內(nèi)置了

31、mysql數(shù)據(jù)庫。如果不知道系統(tǒng)是否安裝了postgresql或已經(jīng)安裝了何種版本，可以通過實(shí)用下面的命令進(jìn)行查詢。root9 zq # rpm qa | grep mysql 程序運(yùn)行結(jié)果如下。 root zq #rpm qa | grep mysqlmysql-server-5.0.22-2.1.0.1mysql-connector-odbc-3.51.12-2.2mysql-5.0.22-2.1.0.1libdbi-dbd-mysql-0.8.1a-1.2.2上面表示mysql服務(wù)器已經(jīng)安裝，版本為mysql-server-5.0.22-2.1.0.1。假如linux系統(tǒng)還沒安裝mysq

32、l服務(wù)程序，mysql服務(wù)程序在rpm安裝包文件可以通過red hat enterprise linux 5 系統(tǒng)的安裝盤（dvd版第一張）進(jìn)行安裝，加載光驅(qū)后在光盤的server目錄下找到mysql對(duì)應(yīng)的安裝包文件進(jìn)行安裝。要想用數(shù)據(jù)庫，必須要啟動(dòng)數(shù)據(jù)庫服務(wù)，可以通過一下方式來啟動(dòng)postgresql服務(wù)。實(shí)用mysql腳本啟動(dòng)postgresql。root zq #/etc/init.d/mysqld start若希望mysql在下次系統(tǒng)啟動(dòng)時(shí)自動(dòng)啟動(dòng)，可以運(yùn)行ntsysv命令，在打開的service菜單中將mysql選中。4.3.2 數(shù)據(jù)的導(dǎo)入和導(dǎo)出（1）mysql的命令行模式的設(shè)置：桌

33、面-我的電腦-屬性-環(huán)境變量-新建-path=;path/mysql/bin; 其中path為mysql的安裝路徑。（2）命令行進(jìn)入mysql的方法：c:mysql -h hostname -u username -p按enter鍵，等待然后輸入密碼，這里hostname為服務(wù)器的名稱，如localhost，username為mysql的用戶名，如root.進(jìn)入命令行就可以直接操作mysql了。（3）從數(shù)據(jù)庫導(dǎo)出數(shù)據(jù)庫文件：將數(shù)據(jù)庫mydb導(dǎo)出到e:mysqlmydb.sql文件中：打開開始-運(yùn)行-輸入cmd進(jìn)入命令行模式c:mysqldump -h localhost -u root -p

34、mydb e:mysqlmydb.sql然后輸入密碼，等待一會(huì)導(dǎo)出就成功了，可以到目標(biāo)文件中檢查是否成功。將數(shù)據(jù)庫mydb中的mytable導(dǎo)出到e:mysqlmytable.sql文件中：c:mysqldump -h localhost -u root -p mydb mytable e:mysqlmytable.sql將數(shù)據(jù)庫mydb的結(jié)構(gòu)導(dǎo)出到e:mysqlmydb_stru.sql文件中：c:mysqldump -h localhost -u root -p mydb -add-drop-table e:mysqlmydb_stru.sql/-h localhost可以省略，其一般在虛

35、擬主機(jī)上用。4.3.3管理系統(tǒng)的設(shè)計(jì)網(wǎng)絡(luò)管理協(xié)議（simple network management protocol,snmp）的體系結(jié)構(gòu)是圍繞著一下四個(gè)概念和目標(biāo)進(jìn)行設(shè)計(jì)的：保持管理代理的軟件成本盡可能低；最大限度的保持遠(yuǎn)程管理的功能，以便充分利用internet的網(wǎng)絡(luò)資源；體系結(jié)構(gòu)必須有擴(kuò)充的余地；保持snmp的獨(dú)立性，不依賴于具體的計(jì)算機(jī)、網(wǎng)關(guān)和網(wǎng)絡(luò)傳輸協(xié)議。在最近的改進(jìn)中，又加入保障snmp體系本身安全性的目標(biāo)。實(shí)用snmp進(jìn)行通信的實(shí)體被稱作snmp應(yīng)用實(shí)體。snmp代理與一系列snmp應(yīng)用實(shí)體的集合稱作snmp共同體（snmp community）。標(biāo)示每一個(gè)snmp共同體的字符

36、串被稱謂snmp共同體名。如果snmp應(yīng)用實(shí)體接收到的snmp報(bào)文源自與之同處一個(gè)snmp共同體的snmp應(yīng)用實(shí)體，則該報(bào)文被稱作可靠snmp報(bào)文。鑒別報(bào)文在snmp共同體中是否可靠的規(guī)則集合被稱作鑒別機(jī)制。利用一種或幾種鑒別機(jī)制鑒別一個(gè)snmp報(bào)文是否可靠的訪問被稱作鑒別訪問。與特定網(wǎng)絡(luò)元素相關(guān)的mib對(duì)象子集被稱作該網(wǎng)絡(luò)元素的snmp mib視圖。（1）設(shè)計(jì)的目標(biāo)和原則系統(tǒng)應(yīng)具有良好的可移植性和跨平臺(tái)性，在系統(tǒng)的開發(fā)中不需要考慮特定的操作系統(tǒng)和特定的運(yùn)行環(huán)境。不同的用戶有不同的操作權(quán)限，在系統(tǒng)中可以簡歷不同層次的用戶組，在登錄到系統(tǒng)后，不同的用戶可以看到不同的視圖。規(guī)范的數(shù)據(jù)庫設(shè)計(jì)，減少數(shù)

37、據(jù)冗余，合理的數(shù)據(jù)庫設(shè)計(jì)有利于降低有數(shù)據(jù)的存儲(chǔ)空間和提高體統(tǒng)的執(zhí)行效率。本系統(tǒng)提供了同意的圖形用戶界面和有強(qiáng)大的數(shù)據(jù)庫管理功能。實(shí)用mysql數(shù)據(jù)庫配合php程序存儲(chǔ)一些變量數(shù)據(jù)并對(duì)變量數(shù)據(jù)進(jìn)行調(diào)用，如：主機(jī)名、主機(jī)ip、snmp團(tuán)體名、端口號(hào)、模板信息等變量。實(shí)用rrd環(huán)狀數(shù)據(jù)庫管理網(wǎng)絡(luò)流量數(shù)據(jù)和生成力量分析圖標(biāo)。在圖像管理上，系統(tǒng)采用了樹狀結(jié)構(gòu)的查看界面，對(duì)收集到的網(wǎng)絡(luò)性能數(shù)據(jù)以圖形的方式表現(xiàn)出來，通過不同的顏色的曲線來反應(yīng)不同的性能數(shù)據(jù)。在用戶管理上，能對(duì)用戶的權(quán)限進(jìn)行細(xì)致的劃分，不同用戶具有不同的操作權(quán)限和用戶視圖。通過設(shè)置閥值的方式，以圖形顏色的變化和聲音來對(duì)異常流量進(jìn)行預(yù)警，實(shí)現(xiàn)網(wǎng)

38、絡(luò)流量的負(fù)載均衡。系統(tǒng)總體架構(gòu)采用分層的方法，將整體分為三層：第一層是用戶界面模塊，第二層是功能模塊，第三層是通信模塊。根據(jù)系統(tǒng)的不同功能及其面向?qū)ο蟮牟煌址譃?個(gè)模塊。 系統(tǒng)的總體架構(gòu)如圖4-8所示。圖4-8 數(shù)據(jù)庫系統(tǒng)的總體架構(gòu)（1） 系統(tǒng)的工作流程系統(tǒng)運(yùn)行的主要流程如下圖所示，簡要說明如4-9：圖4-9 系統(tǒng)通訊流程圖snmp通信模塊定時(shí)向snmp設(shè)備發(fā)送網(wǎng)絡(luò)數(shù)據(jù)采集令，snmp設(shè)備將相關(guān)數(shù)據(jù)反饋給snmp通信模塊。snmp通信模塊將采集到的數(shù)據(jù)發(fā)送給圖形處理模塊，圖形處理模塊按相關(guān)規(guī)則整理好數(shù)據(jù)并將其存放到環(huán)狀數(shù)據(jù)庫中。在圖形處理模塊的系統(tǒng)用戶通過圖形的用法如下：系統(tǒng)用戶通過圖形用戶

39、接口程序查看某臺(tái)設(shè)備的流量等運(yùn)行情況。圖形用戶接口程序向mysql數(shù)據(jù)庫查詢?cè)撛O(shè)備的主機(jī)名、ip地址、snmp團(tuán)體名、端口號(hào)等信息。圖形用戶接口程序利用剛才查到的該設(shè)備的相關(guān)信息在圖形處理模塊中查詢，圖形處理模塊生成該設(shè)備性能情況的圖形。圖形用戶接口程序?qū)⒃撛O(shè)備運(yùn)行情況的圖形返回給用戶功能模塊的劃分系統(tǒng)的設(shè)計(jì)遵循軟件工程的規(guī)律，運(yùn)用模塊化的設(shè)計(jì)思想，非常方便以后對(duì)軟件的修改和維護(hù)。本系分為6大模塊，分別是用戶管理認(rèn)證模塊、設(shè)備管理模塊、接口管理模塊、流量管理模塊、流量分析與圖標(biāo)處理模塊和流量一場處理模塊。本文重點(diǎn)介紹數(shù)據(jù)分析與圖形處理模塊圖形處理模塊主要是餓瘦來自流量管理模塊的接口流量等網(wǎng)絡(luò)性

40、能數(shù)據(jù)，并以rrd環(huán)狀數(shù)據(jù)庫格式存儲(chǔ)。在用戶需要查看某個(gè)或某些設(shè)備的性能狀況時(shí)，按照用戶的要求將數(shù)據(jù)以圖標(biāo)的方式現(xiàn)實(shí)給用戶。以方便用戶能直觀的了解設(shè)備乃至整個(gè)網(wǎng)絡(luò)的隱形情況。本系統(tǒng)不僅會(huì)每5分總就自動(dòng)生成所有的bmp圖像，而是僅當(dāng)用戶發(fā)生請(qǐng)求時(shí)，才從rrd數(shù)據(jù)庫里取出數(shù)據(jù)，然后調(diào)用rdd數(shù)據(jù)庫的繪圖函數(shù)，生成bmp圖像并現(xiàn)實(shí)在前臺(tái)。這種方式打打的增加了系統(tǒng)5分鐘內(nèi)可處理的端口個(gè)數(shù)。除此以外，前臺(tái)還提供了豐富的歷史查詢功能及權(quán)限管理功能。由于rrs能夠管理大的數(shù)據(jù)量，在其中可能存儲(chǔ)多年的詳細(xì)記錄，可以供網(wǎng)絡(luò)管理員分析實(shí)用。系統(tǒng)可以長期存儲(chǔ)收集道德網(wǎng)絡(luò)流量數(shù)據(jù)，并可根據(jù)用戶的要求，以圖標(biāo)的方式表現(xiàn)

41、出1年、1個(gè)月、1個(gè)星期一級(jí)任意時(shí)間短的網(wǎng)絡(luò)流量狀況。snmp是一種廣泛應(yīng)用于tcp/ip網(wǎng)絡(luò)的管理協(xié)議，php是具有良好跨平臺(tái)的網(wǎng)絡(luò)變成語，這兩者的結(jié)合為網(wǎng)絡(luò)管理提供了強(qiáng)大的技術(shù)支持。本系統(tǒng)實(shí)用的操作系統(tǒng)為linux，web服務(wù)器為apache，編程語言為php，數(shù)據(jù)庫系統(tǒng)為mysql，這些開源團(tuán)建可以說是網(wǎng)絡(luò)應(yīng)用開發(fā)的最佳組合，所以實(shí)用這套開源系統(tǒng)平臺(tái)開發(fā)的應(yīng)用系統(tǒng)可移植性好、執(zhí)行效率高、實(shí)時(shí)交互性好、易于修改和維護(hù)，并且極大的降低了開發(fā)成本。實(shí)用本系統(tǒng)可以對(duì)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備和服務(wù)器等一切基于snmp的網(wǎng)絡(luò)硬件進(jìn)行監(jiān)控，通過定時(shí)采集網(wǎng)絡(luò)設(shè)備各端口的流量來得到該網(wǎng)絡(luò)設(shè)備的總流量，對(duì)于服務(wù)器而

42、言，則是定時(shí)采集服務(wù)器的cpu、內(nèi)存、系統(tǒng)負(fù)載、網(wǎng)卡流量等數(shù)據(jù)，來全面了解網(wǎng)絡(luò)的運(yùn)行情況。然后系統(tǒng)把采集的數(shù)據(jù)進(jìn)行整理、加工并存儲(chǔ)于rrd環(huán)狀數(shù)據(jù)庫中，根據(jù)用戶的需要對(duì)流量數(shù)據(jù)進(jìn)行分析，以圖標(biāo)的方式展現(xiàn)出來，比如可以展現(xiàn)給用戶每小時(shí)、每天、每月、每年網(wǎng)絡(luò)流量的分析圖表，可以同濟(jì)任意時(shí)間段流量的最大值、最小值、平均值等等。網(wǎng)絡(luò)管理者可以對(duì)網(wǎng)絡(luò)短期和長期的性能進(jìn)行分析，從整體上了解網(wǎng)絡(luò)的運(yùn)行情況，合理實(shí)用這些網(wǎng)絡(luò)流量數(shù)據(jù)資料對(duì)發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)行中的問題、網(wǎng)絡(luò)的升級(jí)改造都有重要的意義。對(duì)于網(wǎng)絡(luò)流量的監(jiān)控還可以有效的安排網(wǎng)絡(luò)中大量數(shù)據(jù)的傳輸工作，通過掌握網(wǎng)絡(luò)流量的高峰期和低谷期，使大量的數(shù)據(jù)的傳輸工作避開網(wǎng)

43、絡(luò)流量的高峰期，從而可以提高網(wǎng)絡(luò)的利用率，防止大量數(shù)據(jù)的傳輸工作導(dǎo)致的網(wǎng)絡(luò)擁塞問題。進(jìn)而保障網(wǎng)絡(luò)的安全性能。4.4 數(shù)據(jù)包安全模塊設(shè)該模塊主要同過以上對(duì)數(shù)據(jù)的采集、分析、管理、處理等根據(jù)捕獲到的數(shù)據(jù)異常情況進(jìn)行警告或禁止處理來保障網(wǎng)絡(luò)的安全。4.4.1 網(wǎng)絡(luò)異常分類網(wǎng)絡(luò)流量異常的產(chǎn)生有多種原因造成，總結(jié)起來產(chǎn)生網(wǎng)絡(luò)流量異常的主要原因有：（1）網(wǎng)絡(luò)設(shè)備自身發(fā)生的故障，例如在網(wǎng)絡(luò)中由于路由器或者是交換機(jī)的故障導(dǎo)致網(wǎng)絡(luò)拓?fù)浣Y(jié)果的變化或是網(wǎng)絡(luò)的中斷都會(huì)發(fā)生網(wǎng)絡(luò)流量的變化，導(dǎo)致某些鏈路的流量異常增加，某些鏈路流量異常減小。在校園網(wǎng)內(nèi)部結(jié)構(gòu)的it支撐系統(tǒng)包括多種支撐服務(wù)，如數(shù)據(jù)庫服務(wù)器，郵件服務(wù)器，web

44、服務(wù)器等等，當(dāng)這些服務(wù)器出現(xiàn)故障的時(shí)候也會(huì)導(dǎo)致網(wǎng)絡(luò)流量出現(xiàn)異常的變化。（2）當(dāng)網(wǎng)絡(luò)中存在惡意攻擊的時(shí)候，網(wǎng)絡(luò)也會(huì)出現(xiàn)異常流量，例如當(dāng)it系統(tǒng)中某臺(tái)主機(jī)感染了蠕蟲病毒，導(dǎo)致該主機(jī)瘋狂的進(jìn)行主機(jī)探測(cè)，這時(shí)候網(wǎng)絡(luò)中會(huì)出現(xiàn)具有蠕蟲病毒特征的icmp ping 包和 tcp syn，fin , rst及ack包。當(dāng)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)中的部分主機(jī)感染這種病毒的時(shí)候，網(wǎng)絡(luò)就會(huì)大量充斥著這種包，導(dǎo)致其他業(yè)務(wù)數(shù)據(jù)丟失，網(wǎng)絡(luò)流量過載，或是網(wǎng)絡(luò)擁塞。根據(jù)網(wǎng)絡(luò)異常流量引起的不同原因可以把網(wǎng)絡(luò)異常分為三類：網(wǎng)絡(luò)故障引起的異常、瞬間大量訪問異常和網(wǎng)絡(luò)攻擊異常。網(wǎng)絡(luò)故障異常是指由于網(wǎng)絡(luò)設(shè)備的故障或是連接到網(wǎng)絡(luò)上的承載一些關(guān)鍵業(yè)

45、務(wù)的服務(wù)器的故障，從而引起的網(wǎng)絡(luò)流量異常。例如在校園網(wǎng)內(nèi)部構(gòu)建的it支撐系統(tǒng)中，由于某個(gè)運(yùn)行一項(xiàng)支撐服務(wù)的服務(wù)器發(fā)生故障，導(dǎo)致這項(xiàng)服務(wù)暫停，可以很清楚的看到企業(yè)網(wǎng)絡(luò)由于郵件服務(wù)的停止會(huì)使網(wǎng)絡(luò)流量大幅度下降，導(dǎo)致流量的異常減小。再例如校園網(wǎng)內(nèi)部網(wǎng)絡(luò)由兩個(gè)核心路由器組成和外界信息交互的消息轉(zhuǎn)發(fā)，當(dāng)某一個(gè)路由器發(fā)生故障的時(shí)候，另一個(gè)路由器上的端口會(huì)比平時(shí)接到更多的數(shù)據(jù)發(fā)送和接受的請(qǐng)求，有可能導(dǎo)致網(wǎng)絡(luò)過載和擁塞，從而使得網(wǎng)絡(luò)服務(wù)質(zhì)量變差，關(guān)鍵業(yè)務(wù)數(shù)據(jù)丟失等等。這種情況會(huì)導(dǎo)致觀測(cè)路由器端口轉(zhuǎn)發(fā)的數(shù)據(jù)流量會(huì)突然大幅增加，導(dǎo)致流量異常變大。瞬間大量訪問異常是指由于在短時(shí)間內(nèi)對(duì)網(wǎng)絡(luò)中某個(gè)服務(wù)器請(qǐng)求的大量發(fā)起導(dǎo)

46、致服務(wù)器過載，業(yè)務(wù)不能處理，響應(yīng)不及時(shí)等情況導(dǎo)致的異常。這種異常跟網(wǎng)絡(luò)故障異常引起的網(wǎng)絡(luò)流量異常增大有相似的地方，但是它們屬于不同的分類。網(wǎng)絡(luò)故障導(dǎo)致的網(wǎng)絡(luò)流量異常增大是由于硬件設(shè)備的故障使得網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的改變從而引起的異常，而瞬間大量訪問則是由于用戶行為的變化導(dǎo)致了網(wǎng)絡(luò)流量異常，例如,過年期間的短消息發(fā)送量較平時(shí)會(huì)有幾倍甚至幾十倍，幾百倍的增長，這種可以預(yù)期的用戶行為導(dǎo)致網(wǎng)絡(luò)異常和硬件故障引起的異常需要不同的區(qū)分和解決。網(wǎng)絡(luò)攻擊異常是指網(wǎng)絡(luò)中出現(xiàn)惡意的對(duì)網(wǎng)絡(luò)中某個(gè)目標(biāo)進(jìn)行攻擊。例如dos攻擊和蠕蟲病毒端口掃描攻擊。這種網(wǎng)絡(luò)異常情況的出現(xiàn)是由于校園網(wǎng)內(nèi)部網(wǎng)絡(luò)感染病毒造成。當(dāng)部分主機(jī)感染者個(gè)病毒

47、以后，會(huì)導(dǎo)致這些主機(jī)大量不斷向內(nèi)網(wǎng)中其他主機(jī)發(fā)送端口掃描數(shù)據(jù)包，由于網(wǎng)絡(luò)的承載設(shè)備不能區(qū)分網(wǎng)絡(luò)中的業(yè)務(wù)組成所以會(huì)將病毒飽和正常的業(yè)務(wù)數(shù)據(jù)包做相同的處理，即在網(wǎng)絡(luò)設(shè)備負(fù)載過重的情況下丟棄大量的數(shù)據(jù)包。當(dāng)這種情況出現(xiàn)以后，業(yè)務(wù)質(zhì)量將會(huì)大幅度下降，網(wǎng)絡(luò)會(huì)由于大量存在于網(wǎng)絡(luò)中的病毒數(shù)據(jù)包而擁塞和過載，嚴(yán)重的損害了校園網(wǎng)和業(yè)務(wù)的運(yùn)行。4.4.2 異常處理保障網(wǎng)絡(luò)安全（1）ddos攻擊處理ddos早已成為網(wǎng)絡(luò)公害，他通過暴力手段淹沒目標(biāo)網(wǎng)絡(luò)，從而使害者無法處理合法的請(qǐng)求。在多種表現(xiàn)形式中主要是流量擁塞、貸款消耗、反應(yīng)緩慢和應(yīng)用中斷等。一個(gè)比較完善的ddos攻擊體系層次結(jié)構(gòu)如圖4-10所示：圖4-10 dd

48、os攻擊體系層次結(jié)構(gòu)dos造成的異常主要是在服務(wù)器端，是服務(wù)器拒絕服務(wù)。對(duì)于網(wǎng)絡(luò)帶寬的影響也集中在服務(wù)器端，特別是ddos攻擊時(shí)很可能將服務(wù)器端的帶寬耗盡。dos和ddos攻擊的報(bào)文只有一些比較特殊的容易被攔截，像制造錯(cuò)誤日志、某些腳本攻訐或者分布式攻擊中單純的syn攻擊等，與正常報(bào)文有很多相似之處，分離出來較困難。不同時(shí)段的syn數(shù)據(jù)包的出現(xiàn)頻率是相似的。當(dāng)目標(biāo)機(jī)受到攻擊時(shí)，syn數(shù)據(jù)包的出現(xiàn)頻率會(huì)產(chǎn)生明顯變化。當(dāng)ddos攻擊一個(gè)目標(biāo)主機(jī)時(shí)，會(huì)出現(xiàn)明顯超出該網(wǎng)絡(luò)正常工作時(shí)極限流量的現(xiàn)象；網(wǎng)絡(luò)連接中大量不屬于正常連接通訊的茶廠icmp、tcp、udp的高序列端口數(shù)據(jù)包會(huì)出現(xiàn)；布爾擬定的邊開鏈接

49、和可以連接增多，這主要是因?yàn)楸豢刂鳈C(jī)控制傀儡主機(jī)進(jìn)行對(duì)目標(biāo)主機(jī)的無效連接增加所致。本文根據(jù)netflow的v5原始數(shù)據(jù)統(tǒng)計(jì)計(jì)算流的多維屬性信息；然后根據(jù)其特征和端口掃描、ddos網(wǎng)絡(luò)攻擊的異常流量特征分析比較，研究異常流量的時(shí)空特性，主要包括計(jì)算流量特征屬性、分析流量統(tǒng)計(jì)結(jié)果、給出實(shí)時(shí)檢測(cè)算法、顯示告警信息。如圖4-11。圖4-11 攻擊程序流程圖（2）ip偽造處理當(dāng)檢測(cè)系統(tǒng)檢測(cè)到流量異常時(shí)首先分析來至這一異常的ip然后進(jìn)行端口掃描異常檢測(cè)。在局域網(wǎng)中實(shí)用地址為20.220.130.120，對(duì)局域網(wǎng)中的地址主機(jī)進(jìn)行端口掃描。由于該目標(biāo)機(jī)承載了一個(gè)輕量級(jí)的web服務(wù)器，所以它的流量和流的數(shù)目要高

50、于源主機(jī)。檢測(cè)服務(wù)器的80端口為可信目標(biāo)地址和端口，用戶終端和被攻擊者20.220.230.210為可信源主機(jī)。舍源地址端口發(fā)送的數(shù)據(jù)包的大小為（3060b），目的地址和端口的分布寬度（300+），數(shù)據(jù)包的發(fā)送頻率最低值為0.25，最大值為+，統(tǒng)計(jì)時(shí)時(shí)間間隔為5min。得到的可能是進(jìn)行端口掃描的源地址端口對(duì)總共有106對(duì)。再將這些地址和端口對(duì)進(jìn)行可信源過來可以得到疑似端口掃描的告警源地址端口。該實(shí)現(xiàn)的架構(gòu)圖如4-12圖4-12 某時(shí)段的網(wǎng)絡(luò)流量圖（3）網(wǎng)絡(luò)異常報(bào)警系統(tǒng)模型 基于netflow的網(wǎng)絡(luò)異常報(bào)警系統(tǒng)模型如圖4-13所示：圖4-13 基于netflow的網(wǎng)絡(luò)異常報(bào)警系統(tǒng)模型整個(gè)系統(tǒng)包括

51、三個(gè)服務(wù)器：netflow數(shù)據(jù)采集服務(wù)器，數(shù)據(jù)庫服務(wù)器一級(jí)數(shù)據(jù)處理服務(wù)器，系統(tǒng)功能實(shí)現(xiàn)時(shí)由網(wǎng)絡(luò)管理人員對(duì)路由器進(jìn)行配置，將采集到的數(shù)據(jù)俺netflow的格式發(fā)送到指定的netflow數(shù)據(jù)采集服務(wù)器，netflow數(shù)據(jù)采集服務(wù)器收集由路由器發(fā)送來的netflow數(shù)據(jù)包，并將數(shù)據(jù)分別發(fā)送給數(shù)據(jù)處理服務(wù)器，數(shù)據(jù)處理服務(wù)器對(duì)netflow數(shù)據(jù)進(jìn)行處理，其中，異常流量檢測(cè)模塊負(fù)責(zé)網(wǎng)絡(luò)異常流量的檢測(cè)，當(dāng)發(fā)現(xiàn)異常流量時(shí)將調(diào)用一場報(bào)警處理模塊；數(shù)據(jù)發(fā)送模塊將處理后的數(shù)據(jù)發(fā)送到數(shù)據(jù)庫服務(wù)器。目前，基于網(wǎng)絡(luò)流量的網(wǎng)絡(luò)報(bào)警機(jī)制主要是設(shè)定一些閥值，根據(jù)當(dāng)前網(wǎng)絡(luò)信息流的統(tǒng)計(jì)量與閥值的比較來分析判斷網(wǎng)絡(luò)的異常狀況。如:單

52、位時(shí)間內(nèi)的辦連接的技術(shù)、信息流包個(gè)數(shù)、單位時(shí)間內(nèi)flows個(gè)數(shù)等等，如果過多或超常即可基本確定為攻擊行為；而常見蠕蟲攻擊行為可通過其特征值的統(tǒng)計(jì)量來判斷，當(dāng)數(shù)據(jù)處理服務(wù)器中的異常流量檢測(cè)模塊檢測(cè)到網(wǎng)絡(luò)中異常發(fā)生時(shí)，則調(diào)用一場報(bào)警處理模塊，報(bào)警并采取相應(yīng)的處理。本文提出幾點(diǎn)處理方式：1）關(guān)閉端口斷掉故障主機(jī)：由內(nèi)網(wǎng)到外網(wǎng)的網(wǎng)絡(luò)異常，關(guān)閉原ip對(duì)應(yīng)的故障主機(jī)，介入交換機(jī)端口；2）防火墻規(guī)則阻斷故障主機(jī)：故障主機(jī)由外部共計(jì)內(nèi)網(wǎng)，則在防火墻訪問控制策略中添加相應(yīng)阻斷rules，阻止外部攻擊源到內(nèi)網(wǎng)的通訊；3）故障主機(jī)端口降速：內(nèi)網(wǎng)故障主機(jī)在反生網(wǎng)絡(luò)異常行為是，由于接入端口關(guān)閉而斷開網(wǎng)絡(luò)，使得用戶無法發(fā)

53、現(xiàn)自己的機(jī)器故障的相應(yīng)報(bào)警信息，為此采用降速策略，使故障主機(jī)連接到網(wǎng)絡(luò)的速率降到很小且網(wǎng)絡(luò)訪問重定向到報(bào)警主機(jī)的web頁面而提醒用戶，用戶即時(shí)采取安全措施或停止攻擊后，恢復(fù)原連接狀態(tài)。三種處理方法的比較：第一種比較簡單且容易實(shí)現(xiàn)，但是不符合網(wǎng)絡(luò)應(yīng)用服務(wù)的基本要求。第二種時(shí)間比較難，一般的硬件防火墻不會(huì)根據(jù)網(wǎng)絡(luò)使用情況而自動(dòng)添加策略；在本文所述系統(tǒng)實(shí)施過程中，采用的是在linux下義iptables+mysql為構(gòu)架的防火墻上實(shí)現(xiàn)，功能強(qiáng)且實(shí)現(xiàn)起來比較簡單，還可以將及時(shí)通訊中iptables的log進(jìn)行分析。第三種方法主要實(shí)現(xiàn)降速和定向報(bào)警的功能，其算法很簡單；在保證網(wǎng)絡(luò)通訊的前提下，一句策略羅有何網(wǎng)絡(luò)訪問重定向，使故障機(jī)器一旦有網(wǎng)絡(luò)請(qǐng)求，直接定向到故障報(bào)警機(jī)