布式網(wǎng)絡(luò)主動防御系統(tǒng)的設(shè)計(jì)和開發(fā)

1、重慶大學(xué)碩士學(xué)位論文ODD_NAD分布式網(wǎng)絡(luò)主動防御系統(tǒng)的設(shè)計(jì)和開發(fā)姓名：蔡罡申請學(xué)位級別：碩士專業(yè)：計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)指導(dǎo)教師：廖曉峰20041110重慶大學(xué)碩士學(xué)位論文中文摘要摘要在當(dāng)今計(jì)算機(jī)領(lǐng)域中，網(wǎng)絡(luò)安全是最熱門的課題之一，而網(wǎng)絡(luò)主動防御則是網(wǎng)絡(luò)安全重要的一環(huán)。網(wǎng)絡(luò)主動防御系統(tǒng)是一種智能化的網(wǎng)絡(luò)保護(hù)手段，它可以讓網(wǎng)絡(luò)管理員減輕負(fù)擔(dān)，而提高網(wǎng)絡(luò)的安全性能。因此，網(wǎng)絡(luò)主動防御系統(tǒng)成為市場的新熱點(diǎn)。越來越多的網(wǎng)絡(luò)安全公司致力于網(wǎng)絡(luò)主動防御系統(tǒng)（）的開發(fā)，但大多數(shù)的產(chǎn)品并不能讓人十分滿意。基于這種背景下，我們提出了開發(fā)的構(gòu)想。是一個(gè)開放的、動態(tài)的、分布式的主動防御系統(tǒng)，它通過檢測網(wǎng)絡(luò)中的數(shù)據(jù)流來判

2、斷入侵事件，并根據(jù)用戶預(yù)先定義的規(guī)則對入侵事件進(jìn)行處理，可以實(shí)時(shí)地保護(hù)內(nèi)部網(wǎng)絡(luò)。它有使用方便、靈活性好、可擴(kuò)展性強(qiáng)等優(yōu)點(diǎn)。本文重點(diǎn)介紹了的特點(diǎn)、體系結(jié)構(gòu)（包括物理結(jié)構(gòu)、邏輯結(jié)構(gòu)和軟件結(jié)構(gòu)）與本階段原型的實(shí)現(xiàn)，并演示了該系統(tǒng)的一些應(yīng)用。本文的第一章，著重介紹了網(wǎng)絡(luò)安全防御系統(tǒng)的分類和表現(xiàn)形式。比較了各種防御手段的優(yōu)缺點(diǎn)；分析了各種防御手段在新攻擊手段中的不適應(yīng)性。在此基礎(chǔ)上，分析了系統(tǒng)產(chǎn)生的背景和意義及其普遍特點(diǎn)。本文的第二章，概括了系統(tǒng)的設(shè)計(jì)要求。提出了系統(tǒng)的開放、動態(tài)、分布式、主動防御的四大特性。本文的第三章，分系統(tǒng)邏輯結(jié)構(gòu)、系統(tǒng)物理結(jié)構(gòu)、系統(tǒng)軟件結(jié)構(gòu)等三個(gè)主要方面介紹了系統(tǒng)的構(gòu)成，以及系統(tǒng)

3、各個(gè)部分之間是如何協(xié)同工作的。描述了系統(tǒng)各個(gè)部分之間的作用和功能。本文的第四章，從系統(tǒng)的總體設(shè)計(jì)入手，在系統(tǒng)方案選擇、系統(tǒng)總體模型、系統(tǒng)主要管理器的設(shè)計(jì)模型和設(shè)計(jì)模式以及系統(tǒng)分布式設(shè)計(jì)等諸方面介紹了系統(tǒng)設(shè)計(jì)的思想和模型，以及系統(tǒng)的主要架構(gòu)。本文的第五章，著重介紹了的部分主要的功能模塊。從分析這些功能模塊的算法及數(shù)據(jù)流程，分析了系統(tǒng)是如何完成對網(wǎng)絡(luò)的學(xué)習(xí)和狀況的了解，并實(shí)現(xiàn)這部分主動防御功能的。本文的第六章，主要從分布式系統(tǒng)、協(xié)議分析有窮狀態(tài)自動機(jī)和通信加密算法等幾方面介紹了系統(tǒng)的算法。從而從一個(gè)側(cè)面論證了系統(tǒng)的可靠性、安全性和實(shí)用性。重慶大學(xué)碩士學(xué)位論文中文摘要本文的第七章，主要介紹了系統(tǒng)的部

4、分測試方法以及該系統(tǒng)在某海關(guān)中的應(yīng)用狀況。關(guān)鍵詞：網(wǎng)絡(luò)主動防御，系統(tǒng)，分布式系統(tǒng)，混雜式網(wǎng)絡(luò)，基于有窮狀態(tài)機(jī)的協(xié)議分析，加密算法，算法，算法，動態(tài)負(fù)載分配，智能學(xué)習(xí)重慶大學(xué)碩士學(xué)位論文英文摘要，【，仃（），（，），：重慶大學(xué)碩士學(xué)位論文英文摘要，：，（），重慶大學(xué)碩士學(xué)位論文前言月吾隨著信息技術(shù)的不斷發(fā)展，已經(jīng)越來越深入到社會的每一個(gè)角落。政府、企業(yè)逐步建立起自己的計(jì)算機(jī)網(wǎng)絡(luò)，形成各個(gè)結(jié)構(gòu)復(fù)雜、相對獨(dú)立的內(nèi)聯(lián)網(wǎng)絡(luò)。由于政務(wù)或是業(yè)務(wù)的需要，這些或多或少都不可避免地與有多種形式的接入，包括直接的或間接的。據(jù)年度美國網(wǎng)絡(luò)安全狀況調(diào)查報(bào)告統(tǒng)計(jì)資料顯示，美國家主要企業(yè)中近的網(wǎng)絡(luò)安全事件均是由于內(nèi)部原因造

5、成。各種網(wǎng)絡(luò)攻擊、病毒的泛亂等造成了計(jì)算機(jī)的癱瘓和網(wǎng)絡(luò)的阻塞，嚴(yán)重影響了正常的網(wǎng)絡(luò)通訊，造成了很大的經(jīng)濟(jì)損失。然而傳統(tǒng)的網(wǎng)絡(luò)安全防御思想是一種被動式的防御思想，不能很好的解決各種網(wǎng)絡(luò)安全問題，特別是網(wǎng)絡(luò)病毒出現(xiàn)以后，這種情況日益突出。所以，原有的網(wǎng)絡(luò)安全思路已經(jīng)不能適應(yīng)迅速發(fā)展的網(wǎng)絡(luò)應(yīng)用要求，必須從解決網(wǎng)絡(luò)安全的思路上入手，變被動式的防御為主動防御，從整體上解決網(wǎng)絡(luò)安全問題。因而加強(qiáng)對內(nèi)部網(wǎng)絡(luò)的監(jiān)控管理，基于內(nèi)部網(wǎng)絡(luò)安全監(jiān)控管理、能提供更細(xì)粒度的、整體性的安全防范手段的信息安全策略正越來越受到重視。與傳統(tǒng)的網(wǎng)絡(luò)信息安全產(chǎn)品不同，小（網(wǎng)絡(luò)主動防御】系統(tǒng)”體現(xiàn)了將安全防范從以往的被動防御變?yōu)椴扇≈?/p>

6、動防御的思想，并將安全防范的焦點(diǎn)主要集中在內(nèi)部網(wǎng)絡(luò)，對內(nèi)部各予網(wǎng)、關(guān)鍵主機(jī)等末端系統(tǒng)提供更細(xì)粒度安全保護(hù)，并提供靈活、方便的管理和控制手段，彌補(bǔ)了其他常見網(wǎng)絡(luò)安全系統(tǒng)（如硬件邊界防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)等）被動、不實(shí)時(shí)，以及防外不防內(nèi)的固有弱點(diǎn)，從而在整體上提高了內(nèi)部網(wǎng)絡(luò)的安全性。（網(wǎng)絡(luò)主動防御）系統(tǒng)”，針對目前國內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)際狀況（如帶寬、協(xié)議類型、拓?fù)浣Y(jié)構(gòu)、網(wǎng)管方式等）作了優(yōu)化設(shè)計(jì)和處理，在開放性、動態(tài)性、分布式處理等方面具有顯著的優(yōu)點(diǎn)。同時(shí)，（網(wǎng)絡(luò)主動防御）系統(tǒng)”還很好地解決了目前其他網(wǎng)絡(luò)安全系統(tǒng)無法適應(yīng)交換式網(wǎng)絡(luò)的難題，為、等基于數(shù)據(jù)包偵聽技術(shù)的系統(tǒng)開辟了一個(gè)新的方案解決途

7、徑【。重慶大學(xué)碩士學(xué)位論文概述概述被動式防御系統(tǒng)的特點(diǎn)本文主要是對主動防御系統(tǒng)進(jìn)行分析和介紹，那不可避免的就會涉及到被動防御系統(tǒng)。何為被動防御系統(tǒng)昵？顧名思義，便是那些使用已有的規(guī)則，來判斷一個(gè)行為是否非法的系統(tǒng)。其主要有以下幾種主要的表現(xiàn)形式：防火墻防火墻是一種行之有效的網(wǎng)絡(luò)安全機(jī)制，被用來在內(nèi)部網(wǎng)絡(luò)的邊界上建立安全檢查點(diǎn)。通過在因特網(wǎng)和內(nèi)部網(wǎng)絡(luò)之間提供路由功能，防火墻檢查所有在這兩個(gè)網(wǎng)絡(luò)間的通信，根據(jù)這些通信是否匹配，以編好的安全策略規(guī)則來決定通過或斷開通信。防火墻作為一種有效的網(wǎng)絡(luò)安全機(jī)制，所能起到的作用一般是：限制人們進(jìn)入一個(gè)被嚴(yán)格控制的點(diǎn)；防止進(jìn)攻者更接近其他的防御設(shè)備；限制人們離開

8、一個(gè)被嚴(yán)格控制的點(diǎn)。防火墻所遵循的基本準(zhǔn)則是：一切在已有知識庫中未被允許的就是禁止的。一切在已有知識庫中未被禁止的就是允許的。通常防火墻技術(shù)存在以下一些無法回避的問題：（）防外不防內(nèi)。（）嚴(yán)重影響網(wǎng)絡(luò)效能。（）基于已有的知識庫，升級維護(hù)麻煩，對于瞬時(shí)攻擊缺乏必要的保證【“。入侵檢測系統(tǒng)入侵檢測（），便是對入侵行為的發(fā)覺。它通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（，簡稱）。雖然入侵檢測系統(tǒng)能夠很好的解決防外不防內(nèi)的問題，但是目前的入侵檢測系統(tǒng)也存在以下一些問題：（

9、）沒有考慮到通信協(xié)議的特點(diǎn)，在降低了判斷效能的同時(shí)，對采用連帶攻擊，數(shù)據(jù)包分片攻擊的方法顯得無能為力。（）計(jì)算負(fù)荷大，對一個(gè)滿負(fù)荷的兆以太網(wǎng)而言，所需的計(jì)算量是每秒億次計(jì)算。（）檢測準(zhǔn)確率低，使用固定的特征模式來檢測入侵只能檢測特定的特征，這將會錯(cuò)過對原始攻擊串作微小變形而衍生所得的攻擊。（）基于已有的知識庫，升級維護(hù)麻煩，對于瞬時(shí)攻擊缺乏必要的保證【。重慶大學(xué)碩士學(xué)位論文概述端口掃描類安全工具端口掃描是一種常見的網(wǎng)絡(luò)攻擊和防范手段，攻擊者可以通過這樣的手段收集目標(biāo)主機(jī)的信息；防御者可以通過這樣的手段收集自身的弱點(diǎn)，進(jìn)而進(jìn)行有效的改進(jìn)。其工作原理是向大范圍的主機(jī)連接一系列的端口，掃描軟件報(bào)告它

10、成功的建立了連接的主機(jī)所開的端口。并通過一些已有的信息庫向掃描者提供已經(jīng)打開端口的漏洞和缺陷。其主要弱點(diǎn)主要表現(xiàn)在：（）不是一個(gè)實(shí)時(shí)的防御系統(tǒng)，不能有效的對網(wǎng)絡(luò)每時(shí)每刻的狀態(tài)有深入的了解。（）掃描時(shí)會嚴(yán)重影響目標(biāo)機(jī)以及網(wǎng)絡(luò)性能。（）基于已有的知識庫，升級維護(hù)麻煩，對于瞬時(shí)攻擊缺乏必要的保證”。當(dāng)前攻擊行為趨勢趨勢一：攻擊過程的自動化與攻擊工具的快速更新攻擊工具的自動化程度繼續(xù)不斷增強(qiáng)。自動化攻擊涉及到的四個(gè)階段都發(fā)生了變化。（）掃描潛在的受害者：從年起開始出現(xiàn)大量的掃描活動。目前，新的掃描工具利用更先進(jìn)的掃描技術(shù)，變得更加有威力，并且提高了速度。（）入侵具有漏洞的系統(tǒng)：以前，對具有漏洞的系統(tǒng)的

11、攻擊是發(fā)生在大范圍的掃描之后的。現(xiàn)在，攻擊工具已經(jīng)將對漏洞的入侵設(shè)計(jì)成為掃描活動的一部分，這樣大大加快了入侵的速度。（）攻擊擴(kuò)散：年之前，攻擊工具需要一個(gè)人來發(fā)起其余的攻擊過程。現(xiàn)在，攻擊工具能夠自動發(fā)起新的攻擊過程。例如紅色代碼和病毒這些工具就在個(gè)小時(shí)之內(nèi)傳遍了全球。（）攻擊工具的協(xié)同管理：自從年起，隨著分布式攻擊工具的產(chǎn)生，攻擊者能夠?qū)Υ罅糠植荚谥系墓艄ぞ甙l(fā)起攻擊。現(xiàn)在，攻擊者能夠更加有效地發(fā)起一個(gè)分布式拒絕服務(wù)攻擊。協(xié)同功能利用了大量大眾化的協(xié)議如（）、（）等的功能。趨勢二：攻擊工具的不斷復(fù)雜化攻擊工具的編寫者采用了比以前更加先進(jìn)的技術(shù)。攻擊工具的特征碼越來越難以通過分析來發(fā)現(xiàn)，并且

12、越來越難以通過基于特征碼的檢測系統(tǒng)發(fā)現(xiàn)，例如防病毒軟件和入侵檢測系統(tǒng)。當(dāng)今攻擊工具的三個(gè)重要特點(diǎn)是反檢測功能，動態(tài)行為特點(diǎn)以及攻擊工具的模塊化。重慶大學(xué)碩士學(xué)位論文概述（）反檢測：攻擊者采用了能夠隱藏攻擊工具的技術(shù)。這使得安全專家想要通過各種分析方法來判斷新的攻擊的過程變得更加困難和耗時(shí)。（）動態(tài)行為：以前的攻擊工具按照預(yù)定的單一步驟發(fā)起進(jìn)攻?，F(xiàn)在的自動攻擊工具能夠按照不同的方法更改它們的特征，如隨機(jī)選擇、預(yù)定的決策路徑或者通過入侵者直接的控制。（）攻擊工具的模塊化：和以前攻擊工具僅僅實(shí)現(xiàn)一種攻擊相比，新的攻擊工具能夠通過升級或者對部分模塊的替換完成快速更改。而且，攻擊工具能夠在越來越多的平臺

13、上運(yùn)行。例如，許多攻擊工具采用了標(biāo)準(zhǔn)的協(xié)議如和進(jìn)行數(shù)據(jù)和命令的傳輸，這樣，想要從正常的網(wǎng)絡(luò)流量中分析出攻擊特征就更加困難了。趨勢三：漏洞發(fā)現(xiàn)得更快每一年報(bào)告給的漏洞數(shù)量都成倍增長。公布的漏洞數(shù)據(jù)年為個(gè)，年為個(gè)，年已經(jīng)增加至個(gè)，就是說每天都有十幾個(gè)新的漏洞被發(fā)現(xiàn)?？梢韵胂?，對于管理員來說想要跟上補(bǔ)丁的步伐是很困難的。而且，入侵者往往能夠在軟件廠商修補(bǔ)這些漏洞之前首先發(fā)現(xiàn)這些漏洞。隨著發(fā)現(xiàn)漏洞的工具的自動化趨勢，留給用戶打補(bǔ)丁的時(shí)間越來越短。尤其是緩沖區(qū)溢出類型的漏洞，其危害性非常大而又無處不在，是計(jì)算機(jī)安全的最大的威脅。在和其它國際性網(wǎng)絡(luò)安全機(jī)構(gòu)的調(diào)查中，這種類型的漏洞是對服務(wù)器造成后果最嚴(yán)重的

14、。趨勢四：滲透防火墻與入侵檢測我們常常依賴防火墻和入侵檢測系統(tǒng)提供一個(gè)安全的主要邊界保護(hù)。但是情況是：（）已經(jīng)存在一些繞過典型防火墻或入侵檢測系統(tǒng)配置的技術(shù)，如口（）和（）（）一些標(biāo)榜是“防火墻適用入侵檢測適用”的協(xié)議實(shí)際上設(shè)計(jì)為能夠繞過典型防火墻或入侵檢測系統(tǒng)的配置。（）特定特征的“移動代碼”（如控件，和）使得保護(hù)存在漏洞的系統(tǒng)以及發(fā)現(xiàn)惡意的軟件更加困難。趨勢五：攻擊連帶性增強(qiáng)另外，隨著網(wǎng)絡(luò)上計(jì)算機(jī)的不斷增長，所有計(jì)算機(jī)之間存在很強(qiáng)的依存性。一旦某些計(jì)算機(jī)遭到了入侵，它就有可能成為入侵者的棲息地和跳板，作為進(jìn)一步攻擊的工具。對于網(wǎng)絡(luò)基礎(chǔ)架構(gòu)如系統(tǒng)、路由器的攻擊也越來越成為嚴(yán)重的安全威脅“。重

15、慶大學(xué)碩士學(xué)位論文概述被動防御系統(tǒng)的面對新型攻擊的不適應(yīng)性通過以上對被動防御系統(tǒng)和當(dāng)前攻擊行為特點(diǎn)的簡單介紹，我們不難看出，被動防御系統(tǒng)的一個(gè)共同的弱點(diǎn)就是都是基于對已知的漏洞信息和攻擊特征作為異常事件的判斷依據(jù)。然而，這一弱點(diǎn)卻是致命的。因?yàn)椤八矔r(shí)攻擊”是新出現(xiàn)的，尚未披廣泛認(rèn)識的攻擊。所以在新的特征碼被開發(fā)出來，并且進(jìn)行安裝和配置等這些過程之前，它們就能繞過這些安全系統(tǒng)。實(shí)際上，僅僅需要對已知的攻擊方式進(jìn)行稍微的修改，這些系統(tǒng)就不會認(rèn)識這些攻擊方式了，從而給入侵者提供了避開基于特征碼的防御系統(tǒng)的手段。圖漏洞發(fā)現(xiàn)曲線從新的攻擊的發(fā)動到開發(fā)新的特征碼的這段時(shí)間，是一個(gè)危險(xiǎn)的帆會之窯”，許多的網(wǎng)

16、絡(luò)會被攻破。這時(shí)候許多快速的入侵工具會被設(shè)計(jì)開發(fā)出來，網(wǎng)絡(luò)很容易受到攻擊。圖典型說明了一個(gè)網(wǎng)絡(luò)攻擊的典型的生命周期。該曲線的波峰就在攻擊的首次襲擊之后，這是大多數(shù)安全產(chǎn)品晟終開始提供保護(hù)的時(shí)候。然而“瞬時(shí)攻擊”是那些最老練的黑客在最早期階段重點(diǎn)展開的。同時(shí)，現(xiàn)在那些快速進(jìn)行的攻擊利用了廣泛使用的計(jì)算機(jī)軟件中的安全漏洞來造成分布更廣的破壞。僅僅使用幾行代碼，他們就能編寫一個(gè)蠕蟲滲透到計(jì)算機(jī)網(wǎng)絡(luò)中，通過共享賬號克隆自己，然后開始攻擊你的同伴和用戶的網(wǎng)絡(luò)。使用這種方式，在廠商開發(fā)出特征碼并將其分發(fā)到用戶的這段時(shí)問內(nèi)，“尼姆達(dá)蠕蟲”僅僅在美國就傳播到了超過，的網(wǎng)絡(luò)站點(diǎn)。這些分發(fā)機(jī)制使“瞬問攻擊”像和兩

17、種病毒分別席卷了萬和萬的計(jì)算機(jī)，而不需要多少人為干預(yù)。其中有些攻擊甚至還通過安裝一個(gè)后門來為以后的破壞建立基礎(chǔ)，少人為干預(yù)。其中有些攻擊甚至還通過安裝一個(gè)后門來為以后的破壞建立基礎(chǔ)，重慶大學(xué)碩士學(xué)位論文概述該后門允許對手、黑客和其他未獲授權(quán)的用戶訪問一個(gè)組織重要的數(shù)據(jù)和網(wǎng)絡(luò)資源¨。主動式防御系統(tǒng)概述在面對“瞬時(shí)攻擊”引起的潛在代價(jià)和破壞時(shí)，商業(yè)組織無法容忍系統(tǒng)中繼續(xù)存在安全漏洞僅僅等待新的特征碼的開發(fā)。時(shí)間和信息對于一個(gè)組織在與“瞬時(shí)攻擊”的整體對抗中保持不敗是非常重要的。所以最有效的防御系統(tǒng)將直接瞄準(zhǔn)潛在的、新的攻擊，找出延遲其破壞的方法。這就提出了對于主動安全保護(hù)系統(tǒng)的需求。一般

18、而言，新型的主動防御系統(tǒng)一般具有以下一些特點(diǎn)和功能特征：對未知入侵的預(yù)測與預(yù)防對未知入侵的預(yù)測與預(yù)防是系統(tǒng)的核心，也是系統(tǒng)的亮點(diǎn)所在。其主要的思想是基于一般的內(nèi)部網(wǎng)在業(yè)務(wù)處理過程中的行為特征比較固定（如流量、訪問端口以及內(nèi)網(wǎng)的主機(jī)等），而黑客和病毒在入侵和信息竊取的過程中往往會采用許多非常規(guī)的手段，會留下大量與平時(shí)業(yè)務(wù)不相符合的行為特征。通過對這些特征與以往運(yùn)行特征的比對，我們往往能將許多入侵行為預(yù)防在開始階段，甚至還能有效的預(yù)防以前從未出現(xiàn)過的新型攻擊和新型病毒，有效的解決網(wǎng)絡(luò)運(yùn)行的安全問題。系統(tǒng)通過一段時(shí)間之內(nèi)對內(nèi)部網(wǎng)運(yùn)行狀況的學(xué)習(xí)與對數(shù)據(jù)的采集，達(dá)到對內(nèi)部網(wǎng)運(yùn)行特征的達(dá)到統(tǒng)計(jì)意義上的了解

19、。對于在內(nèi)網(wǎng)運(yùn)行過程中違反統(tǒng)計(jì)意義上的行為和特征，系統(tǒng)將分級別予以不同級別的處理，從而有效的維護(hù)網(wǎng)絡(luò)運(yùn)行的安全維護(hù)和預(yù)防問題?？疾炷壳八芯W(wǎng)絡(luò)系統(tǒng)的關(guān)鍵資源考察目前所有網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵資源，可以發(fā)現(xiàn)最關(guān)鍵的資源實(shí)際上就是駐留在主機(jī)和服務(wù)器上的數(shù)據(jù)。如果我們對這些數(shù)據(jù)進(jìn)行了強(qiáng)制性、全面的防護(hù)，并且對其操作系統(tǒng)進(jìn)行加固，對問題最多的超級用戶的超級權(quán)力進(jìn)行適當(dāng)?shù)南拗?，就可以達(dá)到相當(dāng)好的效果。這樣，不管攻擊者采用什么樣的攻擊方法，我們的防范方式總是能夠主動識別攻擊者的企圖，對于不合適的訪問予以拒絕。例如，如果一個(gè)入侵者利用一個(gè)新的漏洞獲取了操作系統(tǒng)超級用戶的口令，那么下一步他希望采用這個(gè)賬戶和密碼對服務(wù)

20、器上的數(shù)據(jù)進(jìn)行刪除和篡改。這時(shí)，如果我們利用主動防范的方式首先限制了超級用戶的權(quán)限，而且又通過訪問地點(diǎn)、訪問時(shí)間以及訪問采用的應(yīng)用程序等幾方面的因素予以了限制，入侵者的攻擊企圖就很難得逞。同時(shí)，這樣的系統(tǒng)會將訪問企圖記錄下來。這樣，采用這種主動的安全保護(hù)系統(tǒng)就達(dá)到了對未知攻擊方式的成功防范，為管理員處理這種新型的重慶大學(xué)碩士學(xué)位論文概述入侵方式爭取到了寶貴的響應(yīng)時(shí)間。對不受歡迎的行為進(jìn)行適當(dāng)記錄和反制對于網(wǎng)絡(luò)曾經(jīng)的運(yùn)行狀況和運(yùn)行中出現(xiàn)的問題，留有一定的記錄對于更充分的了解網(wǎng)絡(luò)運(yùn)行狀況和維護(hù)網(wǎng)絡(luò)安全是十分必要的。同時(shí)，對于一些不受歡迎的網(wǎng)絡(luò)行為進(jìn)行必要的反制，對于一些已經(jīng)感染了病毒或者正在發(fā)起攻

21、擊的主機(jī)進(jìn)行必要的行為限制甚至是阻止其訪問網(wǎng)絡(luò)也是對網(wǎng)絡(luò)進(jìn)行自動維護(hù)必要手段。根據(jù)需要對網(wǎng)絡(luò)行為詳細(xì)記錄并將其收集到系統(tǒng)監(jiān)控歷史檔案保存。對可能是惡意網(wǎng)絡(luò)行為產(chǎn)生告警，制止等功能已經(jīng)成為當(dāng)前主動防御系統(tǒng)必不可少的一個(gè)組成部分。對網(wǎng)絡(luò)進(jìn)行更細(xì)粒度的保護(hù)當(dāng)今的網(wǎng)絡(luò)主動防御系統(tǒng)對網(wǎng)絡(luò)的監(jiān)控更加細(xì)化是一個(gè)重要的發(fā)展趨勢。把防御系統(tǒng)的重點(diǎn)從網(wǎng)絡(luò)整體狀況的判斷轉(zhuǎn)移到將網(wǎng)絡(luò)整體狀況和網(wǎng)絡(luò)中各個(gè)單機(jī)行為相結(jié)合的判斷方式、把各種協(xié)議進(jìn)行分月類的管理、把業(yè)務(wù)數(shù)據(jù)和辦公數(shù)據(jù)進(jìn)行分類管理、把不同業(yè)務(wù)周期的不同業(yè)務(wù)數(shù)據(jù)進(jìn)行進(jìn)行分類管理等等新的設(shè)計(jì)思想和設(shè)計(jì)理念正明確的顯示著這一趨勢。相信在不久的將來，我們所看到的防御系

22、統(tǒng)的每個(gè)功能將會更加小巧但更加專注【。重慶大學(xué)碩士學(xué)位論文系統(tǒng)的設(shè)計(jì)要求系統(tǒng)的設(shè)計(jì)要求的全稱為，即是個(gè)開放的、動態(tài)的、分布式的主動防御系統(tǒng)。最基本的個(gè)特征是主動防御（）、：放（）、動態(tài)（）、分布式（）。下面將對這三個(gè)特征進(jìn)行詳細(xì)描述。主動生防御（）主動性防御是本系統(tǒng)的設(shè)計(jì)基本要求，其特征已經(jīng)在第一章第四節(jié)中有了充分的論述。其主要表現(xiàn)在對未知入侵的預(yù)測與預(yù)防、考察目前所有網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵資源、對不受歡迎的行為進(jìn)行適當(dāng)記錄和反制和對網(wǎng)絡(luò)進(jìn)行更細(xì)粒度的保護(hù)等四大方面。開放性（）的開放性是指：為了方便系統(tǒng)的擴(kuò)展，系統(tǒng)通過一系列開放的接口定義，實(shí)現(xiàn)系統(tǒng)的功能模塊化（）。不單的開發(fā)人員可以開發(fā)構(gòu)件模塊，用戶

23、和第三方也可以通過開放的接口開發(fā)適合本身需要的模塊構(gòu)件。讓系統(tǒng)有開放性的特征是基于以下的考慮：網(wǎng)絡(luò)安全是一個(gè)不斷發(fā)展的課題，網(wǎng)絡(luò)攻擊和檢測手段也是不斷在發(fā)展。這就要求任何網(wǎng)絡(luò)安全軟件都有很好的可擴(kuò)展性，對比一個(gè)封閉的系統(tǒng)，開放的系統(tǒng)有更好的可擴(kuò)展性；另一方面，不同的用戶有不同的要求，有不同的安全側(cè)重點(diǎn)，一個(gè)開放的系統(tǒng)容易靈活地滿足不同用戶的需要。因此，的開發(fā)重點(diǎn)很大程度上集中在開放性上。和開放性緊密相關(guān)的一個(gè)概念是模塊化。在本系統(tǒng)當(dāng)中，一個(gè)模塊就是一個(gè)功能（該功能有可能是用于檢測入侵事件，也有可能是在發(fā)現(xiàn)入侵事件后所采取的措施）。為同一類型的模塊提供統(tǒng)一的接口。開發(fā)人員根據(jù)接口開發(fā)模塊，并加入

24、到原有系統(tǒng)中。該接口是開放的，而且是盡量簡化的，因而第三方和用戶可以根據(jù)本身的需要方便開發(fā)新的功能。動態(tài)性（）動態(tài)性是系統(tǒng)的設(shè)計(jì)的基本原則之一（見第一章第四節(jié)），在本系統(tǒng)中它具體表現(xiàn)為：根據(jù)網(wǎng)絡(luò)運(yùn)行的狀況，動態(tài)地進(jìn)行學(xué)習(xí)與監(jiān)控。重慶大學(xué)碩士學(xué)位論文系統(tǒng)的設(shè)計(jì)要求的行為動態(tài)地取決于網(wǎng)絡(luò)運(yùn)行的狀況。它的動態(tài)性主要表現(xiàn)在，通過對網(wǎng)絡(luò)運(yùn)行狀況的實(shí)時(shí)學(xué)習(xí)，發(fā)現(xiàn)網(wǎng)絡(luò)中運(yùn)行的固定業(yè)務(wù)，并以此作為網(wǎng)絡(luò)行為是否為合法行為的判斷依據(jù)。同時(shí)可以根據(jù)網(wǎng)絡(luò)運(yùn)行的情況和用戶的需要?jiǎng)討B(tài)的實(shí)時(shí)的對網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行進(jìn)一步的學(xué)習(xí)和更新比如說，在系統(tǒng)的某次檢測中，系統(tǒng)發(fā)現(xiàn)一個(gè)網(wǎng)絡(luò)中只運(yùn)行有端口運(yùn)行的是服務(wù)。如果此時(shí)我們發(fā)現(xiàn)了端口的鄢服

25、務(wù)或者在端口上運(yùn)行的是非服務(wù)內(nèi)容，我們就將這個(gè)行為視為一個(gè)非法的網(wǎng)絡(luò)行為。如果我們現(xiàn)在的網(wǎng)絡(luò)中需要開放邱服務(wù)，那么我們就可以重新對網(wǎng)絡(luò)進(jìn)行學(xué)習(xí)，使端口的邱服務(wù)順利的成為我們的合法服務(wù)。分布式（）分布式系統(tǒng)的最大優(yōu)點(diǎn)就在于可以體現(xiàn)在第一章第四節(jié)中討論的更細(xì)粒度的保護(hù)網(wǎng)絡(luò)的能力。同時(shí)，采用分布式的設(shè)計(jì)，本系統(tǒng)提高效率和可靠性。采用分布式的設(shè)計(jì)，系統(tǒng)可以實(shí)現(xiàn)多點(diǎn)采集數(shù)據(jù)，一點(diǎn)進(jìn)行管理的工作方式。系統(tǒng)不僅得管理更加方便，而且也能讓系統(tǒng)深入到更基層的網(wǎng)絡(luò)，對網(wǎng)絡(luò)實(shí)現(xiàn)更細(xì)粒度的保護(hù)和監(jiān)控。與此同時(shí)，在系統(tǒng)的各個(gè)組成部分之間，通常會存在忙閑不一的狀況，這就可以采用一些成熟的分布式運(yùn)算算法，分擔(dān)系統(tǒng)不同部分之

26、間的負(fù)擔(dān)，從而從整體上提高系統(tǒng)的效率”瑚川”。重慶大學(xué)碩士學(xué)位論文的系統(tǒng)體系結(jié)構(gòu)的系統(tǒng)體系結(jié)構(gòu)系統(tǒng)物理結(jié)構(gòu)系統(tǒng)在物理結(jié)構(gòu)上包括三部分：監(jiān)控中心服務(wù)器；監(jiān)控代理；監(jiān)控探頭。其中：監(jiān)控中心服務(wù)器作為網(wǎng)絡(luò)管理員系統(tǒng)控制臺，對各監(jiān)控代理實(shí)施遠(yuǎn)程控制，完成參數(shù)配置、協(xié)議分析、故障查找等操作，并實(shí)時(shí)收集日志和告警，存儲在磁盤組中，同時(shí)統(tǒng)計(jì)分析、報(bào)表生成、打印輸出功能。該中心服務(wù)器可以是一臺普通服務(wù)器（如系列），或是可選擇增強(qiáng)型系統(tǒng)專用服務(wù)器。監(jiān)控代理童接連接、運(yùn)行于被監(jiān)控網(wǎng)絡(luò)，能同時(shí)并發(fā)、實(shí)時(shí)地對多個(gè)子網(wǎng)進(jìn)行監(jiān)控，接收由監(jiān)控中心傳來的命令，回送運(yùn)行結(jié)果。除了設(shè)置最基本的系統(tǒng)配置參數(shù)，監(jiān)控代理本身是免安裝、

27、免維護(hù)的，所有操作均通過監(jiān)控中心遠(yuǎn)程完成。該監(jiān)控代理為系統(tǒng)專有設(shè)備，可根據(jù)應(yīng)用環(huán)境需要（并發(fā)監(jiān)控的子網(wǎng)數(shù)）提供從個(gè)監(jiān)控端口的配置選擇。其產(chǎn)品形態(tài)如圖所示。機(jī)箱正面機(jī)箱背面圖形態(tài)圖重慶大學(xué)碩士學(xué)位論文的系統(tǒng)體系結(jié)構(gòu)監(jiān)控探頭大多數(shù)交換式以太網(wǎng)無法滿足基于數(shù)據(jù)包偵聽技術(shù)的系統(tǒng)苛刻的運(yùn)行環(huán)境要求，監(jiān)控探頭正是針對這一難題，在網(wǎng)絡(luò)交換機(jī)與監(jiān)控代理（或是其他系統(tǒng)，如、等）間提供外掛式端口鏡像功能，使任一鏡像端口可捕獲任意指定被鏡像端口的數(shù)據(jù)包，從而解決了在交換式以太網(wǎng)中端口連接相互隔離、無法偵聽的問題。同時(shí)，監(jiān)控探頭還可以開放、關(guān)閉任意物理端口，以控制相應(yīng)的網(wǎng)絡(luò)接入。該監(jiān)控探頭為本系統(tǒng)專有設(shè)備，可根據(jù)應(yīng)用

28、環(huán)境需要（并發(fā)監(jiān)控的子網(wǎng)數(shù)、被監(jiān)控網(wǎng)絡(luò)交換機(jī)端口數(shù)）提供從（鏡像端被鏡像端口）、等配置選擇，并可以菊鏈方式堆疊，以擴(kuò)展被鏡像端口數(shù)，滿足大型交換網(wǎng)絡(luò)需求。其產(chǎn)品形態(tài)如圖所示。圖系統(tǒng)物理連接關(guān)系“網(wǎng)絡(luò)警察系統(tǒng)（）”整體結(jié)構(gòu)由上述三部分通過一定拓?fù)潢P(guān)系連接組成，如圖所示。圖網(wǎng)絡(luò)應(yīng)用示意圖重慶大學(xué)碩士學(xué)位論文的系統(tǒng)體系結(jié)構(gòu)如圖所示，系統(tǒng)的控制中心處于整個(gè)系統(tǒng)的中心，其作用已經(jīng)在本章第一節(jié)中有了充分的說明。對于能夠和系統(tǒng)進(jìn)行交互的局域網(wǎng)交換機(jī)，監(jiān)控代理將直接接在交換機(jī)上，并實(shí)現(xiàn)對數(shù)據(jù)的采集和初步分析。如圖四中的左邊部分。對于不能與直接交互的交互的交換機(jī)，將通過監(jiān)控代理實(shí)現(xiàn)其數(shù)據(jù)交換功能。系統(tǒng)邏輯結(jié)構(gòu)圖

29、顯示了系統(tǒng)的邏輯連接關(guān)系監(jiān)控代理口廣數(shù)據(jù)流，監(jiān)控中心一卜控制流圖系統(tǒng)的邏輯連接關(guān)系重慶大學(xué)碩士學(xué)位論文的系統(tǒng)體系結(jié)構(gòu)從圖中可知，監(jiān)控代理和監(jiān)控中心之間是多對多的關(guān)系，一個(gè)監(jiān)控中心可以控制多個(gè)監(jiān)控代理，一個(gè)監(jiān)控代理可以跟多個(gè)監(jiān)控中心交互。用戶可以根據(jù)實(shí)際情況調(diào)整它們的比例關(guān)系。這樣設(shè)計(jì)的理由是：多個(gè)監(jiān)控代理同時(shí)運(yùn)行，不同的監(jiān)控代理可以執(zhí)行不同的功能、關(guān)注不同的事件以提高效率（實(shí)現(xiàn)分布式的功能）。而設(shè)置多個(gè)監(jiān)控中心則是出于完全的考慮，沒有一個(gè)系統(tǒng)是安全的。如果某個(gè)監(jiān)控中心失效了，由于有其它監(jiān)控中心存在而整個(gè)系統(tǒng)不至于崩潰。同樣，某個(gè)監(jiān)控代理失效了，監(jiān)控中心可以控制其它監(jiān)控代理替代失效監(jiān)控代理的功能

30、。監(jiān)控代理之間并不直接通信，而是通過監(jiān)控中心協(xié)調(diào)工作，目的是要提高系統(tǒng)的可靠性，減少監(jiān)控代理之間的互相影響。監(jiān)控中心之間要進(jìn)行通信，它們之間的通信是整個(gè)系統(tǒng)聯(lián)系的樞紐。它們除了要進(jìn)行一般的信息交換以外，還要互相通知各自控制的監(jiān)控代理的狀態(tài)。這樣做的目的在于，當(dāng)某個(gè)監(jiān)控中心出現(xiàn)問題而不能正常工作的時(shí)候，其它監(jiān)控中心可以根據(jù)以前的信息接管出現(xiàn)問題的監(jiān)控中心所控制的監(jiān)控代理，從而提高其可靠性。從圖五中我們也可以看到數(shù)據(jù)流和控制流的方向，我們再把數(shù)據(jù)流和控制流簡化，可得到圖、圖的數(shù)據(jù)流程圖與控制流圖。圖數(shù)據(jù)流圖圖控制流圖從圖中可以看到，監(jiān)控代理是整個(gè)軟件系統(tǒng)的數(shù)據(jù)源（當(dāng)然，監(jiān)控代理的數(shù)據(jù)來源是網(wǎng)絡(luò)硬件

31、）。監(jiān)控代理把數(shù)據(jù)送給監(jiān)控中心；監(jiān)控中心接收到監(jiān)控代理的數(shù)據(jù)后，可以往用戶報(bào)告，也可以選擇其它輸出，這取決于用戶的設(shè)置。從圖中可以看到，監(jiān)控代理是控制流的下游，用戶只能通過控制監(jiān)控中心間接控制監(jiān)控代理（基于網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程操作）。在實(shí)際應(yīng)用環(huán)境中，整個(gè)重慶大學(xué)碩士學(xué)位論文的系統(tǒng)體系結(jié)構(gòu)系統(tǒng)分布在一個(gè)較廣的區(qū)域內(nèi)，為了方便統(tǒng)一管理，網(wǎng)絡(luò)管理員一般不會直接控制單個(gè)的監(jiān)控代理，而是通過網(wǎng)絡(luò)間接地控制所有的監(jiān)控代理。系統(tǒng)軟件結(jié)構(gòu)軟件系統(tǒng)采用清晰的模塊化結(jié)構(gòu)，包括：協(xié)議分析模塊：網(wǎng)絡(luò)管理模塊；子網(wǎng)監(jiān)控模塊；流量監(jiān)控模塊；撥號上網(wǎng)監(jiān)控模塊、精簡模塊；日志告警模塊：統(tǒng)計(jì)分析模塊；通信模塊：自我保護(hù)模塊。如圖所示

32、。圖軟件模塊結(jié)構(gòu)其中：智能學(xué)習(xí)模塊在初次接入被監(jiān)控子網(wǎng)后的指定時(shí)間里，該模塊將自動學(xué)習(xí)并記錄其所在子網(wǎng)絡(luò)所有計(jì)算機(jī)地址，地址，運(yùn)行業(yè)務(wù)特征，運(yùn)行流量特征等眾多網(wǎng)絡(luò)特征信息。經(jīng)網(wǎng)絡(luò)管理員確認(rèn)后存檔。這些特征信息將作為今后網(wǎng)絡(luò)運(yùn)行的特征庫。并以此作為判斷一個(gè)網(wǎng)絡(luò)行為是否為不受歡迎的網(wǎng)絡(luò)行為的標(biāo)準(zhǔn)。關(guān)鍵主機(jī)保護(hù)模塊該模塊主要是針對網(wǎng)絡(luò)內(nèi)的關(guān)鍵主機(jī)進(jìn)行保護(hù)，其對象主要有以下幾類機(jī)器：網(wǎng)關(guān)、關(guān)鍵數(shù)據(jù)服務(wù)器、關(guān)鍵個(gè)人電腦等。其保護(hù)的內(nèi)容主要包括：保護(hù)主機(jī)地址不被占用；保護(hù)關(guān)鍵服務(wù)不被未授權(quán)電腦訪問；保護(hù)關(guān)鍵主機(jī)不被其他電腦重慶大學(xué)碩士學(xué)位論文的系統(tǒng)體系結(jié)構(gòu)掃描等。子網(wǎng)監(jiān)控模塊負(fù)責(zé)對所在子網(wǎng)實(shí)施具體反制操作

33、，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)有不受歡迎的網(wǎng)絡(luò)行為出現(xiàn)時(shí)，及時(shí)對這些情況作出反應(yīng)并根據(jù)控制中心的相應(yīng)規(guī)則作出適當(dāng)?shù)姆粗菩袨椤Ｈ绺婢?、切斷連接或者直接封堵出現(xiàn)不受歡迎主機(jī)，使其不能再對網(wǎng)絡(luò)進(jìn)行訪問等。協(xié)議分析模塊具有分布式協(xié)議分析功能，可自定義協(xié)議數(shù)據(jù)包過濾器，并針對中國網(wǎng)絡(luò)實(shí)際情況，精簡協(xié)議分析內(nèi)容，使之更高效，大大降低了丟包率。另外，該模塊還具有數(shù)據(jù)包內(nèi)容防泄密的功能，即在進(jìn)行協(xié)議分析時(shí)，僅對協(xié)議頭解碼，不顯示數(shù)據(jù)包內(nèi)容，避免、等以明文傳送的服務(wù)器帳號、密碼、口令等被截獲，導(dǎo)致泄密。網(wǎng)絡(luò)管理模塊為網(wǎng)絡(luò)管理員提供可視化工具界面，對分布在多個(gè)子網(wǎng)中的監(jiān)控代理進(jìn)行遠(yuǎn)程管理，顯示各代理主機(jī)在線工作狀態(tài)，集中配置系統(tǒng)

34、參數(shù)、相關(guān)規(guī)則庫、進(jìn)行系統(tǒng)版本升級。流量統(tǒng)計(jì)模塊依據(jù)協(xié)議過濾器設(shè)置，對被監(jiān)控子網(wǎng)數(shù)據(jù)包進(jìn)行明細(xì)流量統(tǒng)計(jì)，包括鏈路層、網(wǎng)絡(luò)層、傳輸層、常見應(yīng)用協(xié)議（、等）統(tǒng)計(jì)。撥號監(jiān)控模塊防止內(nèi)部網(wǎng)絡(luò)未授權(quán)主機(jī)通過撥號上網(wǎng)，接入外網(wǎng)（如），導(dǎo)致信息泄露或引入黑客程序及病毒。精簡模塊依據(jù)常見入侵規(guī)則對網(wǎng)絡(luò)行為進(jìn)行檢測，實(shí)時(shí)發(fā)現(xiàn)惡意入侵事件及網(wǎng)絡(luò)病毒（如、紅色代碼等）并產(chǎn)生日志和告警。該模塊為精簡系統(tǒng)，其規(guī)則庫定義包含了發(fā)生頻率較高的網(wǎng)絡(luò)攻擊行為特征。規(guī)則庫可隨時(shí)通過網(wǎng)絡(luò)被更新，以保持對最新網(wǎng)絡(luò)安全隱患的免疫能力。日志告警模塊詳細(xì)記錄系統(tǒng)及網(wǎng)絡(luò)事件，對惡意網(wǎng)絡(luò)行為產(chǎn)生告警，以提醒網(wǎng)絡(luò)管理員及時(shí)處理故障。其中日志、告

35、警分類明確，方便查閱及管理。所有日志告警均被收集到監(jiān)控中心，作為系統(tǒng)監(jiān)控歷史檔案保存。統(tǒng)計(jì)分析模塊對大量的日志告警信息進(jìn)行統(tǒng)計(jì)分析，依據(jù)時(shí)間、口地址、協(xié)議類型、告警重慶大學(xué)碩士學(xué)位論文的系統(tǒng)體系結(jié)構(gòu)類型等迸行詳細(xì)分類查詢，對相關(guān)數(shù)據(jù)進(jìn)行分析評估，并以豐富的圖表（直方圖、餅圖、曲線圖）表達(dá)統(tǒng)計(jì)分析結(jié)果，有助于網(wǎng)絡(luò)管理員直觀了解和進(jìn)一步分析網(wǎng)絡(luò)運(yùn)行狀況，便于制定和調(diào)整網(wǎng)絡(luò)規(guī)劃及安全防范策略。該模塊還具有報(bào)表打印輸出功能。所有圖表可以方式輸出。通信模塊負(fù)責(zé)監(jiān)控代理與監(jiān)控中心間的網(wǎng)絡(luò)通信，所有數(shù)據(jù)均采用特定算法加密，避免被截獲和破解。自我保護(hù)模塊在系統(tǒng)中提供進(jìn)程守護(hù)和防攻擊措施。每個(gè)系統(tǒng)主機(jī)中均有特殊

36、進(jìn)程守護(hù)程序，持續(xù)監(jiān)視各功能模塊的運(yùn)行狀況，一旦發(fā)現(xiàn)問題便自動啟動診斷程序，從新加載恢復(fù)模塊運(yùn)行【。重慶大學(xué)碩士學(xué)位論文系統(tǒng)的總體設(shè)計(jì)系統(tǒng)的總體設(shè)計(jì)系統(tǒng)方案的選擇系統(tǒng)控制中心操作系統(tǒng)的選擇基于目前國內(nèi)的現(xiàn)狀，和大多數(shù)用戶的操作習(xí)慣，我們在改系統(tǒng)的控制中心端選擇了系列操作系統(tǒng)。采用這一操作系統(tǒng)具有如下一些優(yōu)點(diǎn)：（）可靠性比較高系列操作系統(tǒng)，特別是作為新一代的網(wǎng)絡(luò)操作系統(tǒng)家族，無論在性能上還是可靠性上都有了質(zhì)的飛躍。在中，微軟已經(jīng)針對可能影響可靠性的軟硬件和系統(tǒng)管理問題專門進(jìn)行了加強(qiáng)。對操作系統(tǒng)來說，用戶的主要需求就是系統(tǒng)的可靠性。（）操作方便用戶容易接受作為老牌的可視化操作系統(tǒng)，對于一般的電腦用

37、戶對于這一操作系統(tǒng)都不會陌生，對于操作系統(tǒng)的操作習(xí)慣和操作風(fēng)格都比較熟悉。采用這一操作系統(tǒng)，用戶容易上手。（）部署管理方便經(jīng)過多年的發(fā)展，系統(tǒng)已經(jīng)滲透到了我們生活中的方方面面，這為部署我們的控制中心也提供了很大的方便。與此同時(shí)，系統(tǒng)也開發(fā)出了許多方便的遠(yuǎn)程管理方案和遠(yuǎn)程管理工具，在控制中心端使用這一操作系統(tǒng)，也帶來了很多方便。監(jiān)控代理的操作系統(tǒng)的選擇在監(jiān)控代理端，我們具有多種選擇，目前主流的嵌入式操作系統(tǒng)如、“、系統(tǒng)等都可以作為我們合理的選擇。在這個(gè)設(shè)計(jì)中，我們采用了使用具有內(nèi)核的系統(tǒng)。采用，主要是因?yàn)楝F(xiàn)在中國的跟中國的經(jīng)濟(jì)一樣正經(jīng)歷大建設(shè)、大發(fā)展時(shí)代。另外，由于監(jiān)控代理在部署時(shí)的大量性，相對

38、其它操作系統(tǒng)，不失為一個(gè)低費(fèi)用的選擇。同時(shí)，是基于開發(fā)的，在上編制的程序很容易就能移植到上。而其他操作系統(tǒng)上的許多模塊，也是直接從上移植而來，要想讓本程序移植到這些操作系統(tǒng)的環(huán)境中，難度也不會太大】。接入層交換機(jī)的選擇本次設(shè)計(jì)，選擇了港灣網(wǎng)絡(luò)的千兆智能以太網(wǎng)交換機(jī)作為重慶大學(xué)碩士學(xué)位論文系統(tǒng)的總體設(shè)計(jì)我們的接入層交換機(jī)。千兆智能以太網(wǎng)交換機(jī)基于高性能的，采用靈活的模塊化結(jié)構(gòu)，提供個(gè)固定的自適應(yīng)以太網(wǎng)端口和一個(gè)擴(kuò)展插槽，可靈活選擇不同的或擴(kuò)展模塊，提供高密度的用戶接入能力。硬件支持七層流分類，保證完善的應(yīng)用級和靈活多樣的訪問控制。支持業(yè)界最新的基于端口的用戶安全控制協(xié)議，實(shí)現(xiàn)對用戶的身份驗(yàn)證和授

39、權(quán)，從接入層保證網(wǎng)絡(luò)的安全性。系列產(chǎn)品采用港灣公司擁有自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)操作系統(tǒng)。網(wǎng)絡(luò)操作系統(tǒng)專門針對智能交換機(jī)而設(shè)計(jì)，將控制和數(shù)據(jù)轉(zhuǎn)發(fā)功能分離，將軟件的靈活性和硬件處理的高速有機(jī)結(jié)合，保證了系統(tǒng)的高性能和穩(wěn)定性，同時(shí)為系統(tǒng)的安全提供了保證。同時(shí)，改款交換機(jī)提供了較好的交互接口和比較穩(wěn)定的數(shù)據(jù)鏡像接口，為系統(tǒng)的運(yùn)行提供了保障”。捕包方案的選擇如前所述，本軟件的核心功能是對運(yùn)行狀態(tài)分析，實(shí)現(xiàn)這樣的目的基礎(chǔ)就是要實(shí)現(xiàn)對包的捕獲。如何選擇一個(gè)高效、可靠的捕包方案對本軟件的實(shí)現(xiàn)有著極其重要的意義。（）常見包捕獲技術(shù)及技術(shù)簡介在包捕獲技術(shù)中，實(shí)現(xiàn)的關(guān)鍵是需要采用一種機(jī)制，使得該機(jī)制可以提供一種接口，該接

40、口可以繞過操作系統(tǒng)的協(xié)議棧（通常的網(wǎng)卡都是把接收到的數(shù)據(jù)包交給操作系統(tǒng)協(xié)議棧），即提供一種數(shù)據(jù)鏈路層接口（）。從而達(dá)到獲得通過該網(wǎng)卡的所有數(shù)據(jù)包的目的。由于在系統(tǒng)中須嚴(yán)格區(qū)分核心地址空間和用戶地址空間，用戶的應(yīng)用進(jìn)程不能訪問核心地址空間。但是一般的捕包程序都是作為用戶層進(jìn)程運(yùn)行，而網(wǎng)卡驅(qū)動程序工作在核心地址空間中，所以需要提供一種用戶層的數(shù)據(jù)接口，該接口可以把數(shù)據(jù)從核心地址空間復(fù)制到用戶地址空間。由于這種接口需要同網(wǎng)卡的驅(qū)動程序和操作系統(tǒng)內(nèi)核打交道，所以現(xiàn)在比較流行的操作系統(tǒng)中一般都有人開發(fā)了這一類專門的軟件包，這些軟件包提供了與網(wǎng)卡的驅(qū)動程序和操作系統(tǒng)內(nèi)核打交道的用戶接口，常見的操作系統(tǒng)及其

41、所提供的這類接口如表所示。在系統(tǒng)中比較常用的是、及等幾種機(jī)制。比較上述幾種機(jī)制，是把數(shù)據(jù)直接從核心地址空間復(fù)制到用戶地址空間。這樣做系統(tǒng)負(fù)擔(dān)很大，當(dāng)網(wǎng)絡(luò)太忙或機(jī)器速度太慢時(shí)會發(fā)生丟包。重慶大學(xué)碩士學(xué)位論文系統(tǒng)的總體設(shè)計(jì)并且效率低下（因?yàn)槭盏降拿恳粋€(gè)包都要進(jìn)行復(fù)制），所以其不是一種理想的方案。表各種捕包方案的比較包捕獲機(jī)制系統(tǒng)平臺備注系列，用于竊聽系統(tǒng)丟棄的包在和兩種機(jī)制中使用的方法基本相同，都是采用在內(nèi)核中設(shè)置過濾器（）和緩沖區(qū)（）的方法，其模型如下圖所示：圖、模型圖采用這一方案，一方面通過減少丟包率，同時(shí)通過在內(nèi)核中的把有用的數(shù)據(jù)包拷貝到用戶地址空間，從而避免了用戶地址空間的浪費(fèi)。所不同重慶

42、大學(xué)碩士學(xué)位論文系統(tǒng)的總體設(shè)計(jì)的是的過濾器采用的是布爾表達(dá)樹方案（）。而的過濾器采用的是有向無圈控制流圖（簡稱），這兩種算法的單元結(jié)構(gòu)如圖所示：算法算法圖、模型圖如圖，算法比較算法的主要的缺點(diǎn)主要產(chǎn)生比較的過程中。在算法中，不論在任何情況下都要比較口和；而在算法中，則是根據(jù)協(xié)議的層次進(jìn)行比較，如果確定了協(xié)議使用的是口則就不必去較了。算法通過這樣大大提高了程序的執(zhí)行效率，在網(wǎng)絡(luò)流量大的時(shí)候，這一優(yōu)勢體現(xiàn)得相當(dāng)明顯，根據(jù)相關(guān)資料，算法比算法快倍。因而，在衡量過濾器的一個(gè)重要指標(biāo)丟包率上，比較有很大的改善。與此同時(shí)，的緩沖機(jī)制在專門作為過濾器使用時(shí)也相當(dāng)出色，其在同一硬件上的運(yùn)行比的快約倍。通過以上的比較，可以