校园网流量管理及异常行为侦测
VIP免费
摘 要
随着校园网络建设的不断发展,许多高校的校园网络都已经具有了一定的规模,
基于网络的教学与办公等应用的广泛开展,使得用户对网络的依赖性越来越强。日
益增长的网络用户和接入设备都给校园网络的安全、稳定和速度带来了压力,网络
管理人员必须充分了解网络的运行状况,及时确定网络中的故障点,争取在网络问
题还没有完全大范围、严重显现之前就做出判断和响应。
近来,因特网上的蠕虫病毒多如牛毛,网络用户的电脑一不小心便会中毒,
而此类病毒大多都具有强大的攻击行为及感染行为,于是上海海洋大学校园网络
这种开放的局域网络架构便首当其冲。上海海洋大学校园网络便常苦于无法有效
迅速的实时解决病毒的破坏行为,一旦有病毒发作,产生攻击行为或是破坏行为,
与遭受攻击之计算机同网段或是同楼层之使用者们都会遭受影响,轻者网络缓慢,
重则整栋大楼网络瘫痪,发作情况不胜枚举。在这种情况下,设计一套高效的网
络性能监测及异常行为侦测防御系统就显得尤为必要。
网络管理协议是实现网络监测和管理功能的必不可少的部分,如今最重要的
网络管理协议是基于OSI的公共管理信息协议(CMIP)、基于TCP/IP的简单网络管
理协议(SNMP)和思科的NetFlow,简单网络管理协议(SNMP)由于其简单性,协议容
易更新,并且可以方便地扩展功能以满足用户未来的管理需求,而被众多厂商支
持。但是SNMP也有其自身的缺陷,它只能提供比较粗糙和简略的网络信息,这些
信息只能让管理者发现部分问题,难以进一步对出现的问题采取相应的解决措施。
为了克服上述存在的问题,本文在研究SNMP协议基础上,结合NetFlow技术,设
计并实现了一个针对高校校园网应用的网络性能监测及异常行为侦测防御系统。
该系统采用PHP结合Perl语言进行编写,能监测和分析网络流量,侦测异常流量,
发现异常时及时报告网络管理人员。
关键词:网络管理 病毒 网络监控 SNMP NetFlow PHP Perl MySQL
ABSTRACT
With the continuous development of the campus network construction, there has
been a certain scale of campus network in many colleges and universities, where
network-based applications such as teaching and office to carry out, enable users
increasingly dependent on networks. The growing users of network and devices have
put pressure on the security, stability and speed of campus network. Therefore, network
managers must fully understand the operation conditions of the network, assign the
failure points of network, and strive to make the judgment and response before network
problems seriously occurs on a completely large scale.
Recently, viruses going round among the internet are plentiful as blackberries that
computers will be poisoned accidentally. Meanwhile ,most of these viruses have a
strong attack and infection behavior, which will make the campus network of Shanghai
Ocean University, such an open network architecture, bear the brunt. As a result, the
campus network at Shanghai Ocean University has often been hard-pressed to solve the
virus’ acts of destruction efficiently and effectively in real time. Once a virus attacks a
computer, resulting in aggressive behavior or acts of sabotage, the users who are on the
same floor or whose computers are in the same segment as the attacked computer, will
be affected. If the computer is affected to a lesser extent, the net speed will just be slow,
but some serious cases can lead to paralysis of networks at the whole building, with a
variety of attacks. In this case, the design of a highly efficient network performance
monitoring and defense system to detect abnormal behavior is particularly necessary.
Network Management Protocol is an essential part of the achievement for network
monitoring and managing. Today, the most important network management protocol is
based on OSI's Public Management Information Protocol (CMIP), the Simple Network
Management Protocol (SNMP) in the TCP / IP and Cisco's NetFlow. Simple Network
Management Protocol (SNMP) is supported by many manufacturers because it is simple,
easy to update, and it can easily scale to meet the users’ managing needs in the future.
However, SNMP has its own shortcomings. It only provides rough and brief network
information, from which the managers could only find out some of the issues, so that
further problems are difficult to be taken corresponding measures to resolve. In order to
overcome the above problems, in this study based on the SNMP protocol, combined
with NetFlow technology, the author designs and implements a campus network
application for network performance monitoring and defense system to detect abnormal
behavior. The system uses PHP, combining with the Perl language, can monitor and
analyze network traffic, detect abnormal traffic, and warn management staff of
abnormal network in real time.
Key Words:network management,virus,network monitoring,SNMP,
NetFlow,PHP,Perl,MySQL
目 录
中文摘要
ABSTRACT
第一章 绪论 .......................................................... 1
§1.1 课题研究的目的和意义 ......................................... 1
§1.2 国内外的发展和现状 ........................................... 2
§1.3 论文的主要工作和内容 ......................................... 3
第二章 SNMP、NETFLOW 技术及其开发环境简介 ............................ 4
§2.1 SNMP 介绍 .....................................................4
§2.1.1 SNMP 概述 ................................................. 4
§2.1.2 SNMP 的工作原理 ........................................... 5
§2.1.3 MIB 和 OID ................................................ 5
§2.2 CISCO NETFLOW 介绍 ............................................. 6
§2.2.1 NetFlow 概述 .............................................. 6
§2.2.2 NetFlow 架构 .............................................. 7
§2.3 网络管理五大功能 ............................................. 7
§2.4 LAMP 架构简介 .................................................9
§2.5 RRDTOOL ....................................................... 9
§2.6 FLOW-TOOLS 介绍 ............................................... 10
§2.6.1 采集压缩存储程序 flow-capture ............................ 10
§2.6.2 数据输出相关程序 flow-print .............................. 11
§2.6 TCP 标志位 ...................................................11
第三章 系统设计 ..................................................... 13
§3.1 系统总体架构和功能模块设计 ...................................13
§3.2 常见异常流量特征定义 .........................................15
§3.3 常见网络协议端口定义 ........................................ 16
§3.4 NETFLOW 流量监控流程 ..........................................17
§3.5 数据库设计 .................................................. 18
第四章 系统的测试及技术实现 ......................................... 23
§4.1 开发和测试环境简介 .......................................... 23
§4.2 关键技术具体测试和实现 ...................................... 23
§4.2.1 flow 连接数异常的计算机筛选 .............................. 24
§4.2.2 服务器和网络设备监控 .................................... 24
§4.2.3 异常流量端口定位和关闭 .................................. 31
第五章 系统应用与分析 ............................................... 33
§5.1 出口协议流量分布情况 ........................................ 33
§5.2 协议流量比例分布情况 ........................................ 33
§5.3 TOPN 情况 ....................................................34
§5.4 异常流量情况查询 ............................................ 34
§5.5 网络设备及服务器的监控 ...................................... 35
第六章 结束语 ....................................................... 37
附录 ................................................................ 38
参考文献 ............................................................ 53
在读期间公开发表的论文和承担科研项目及取得成果 ...................... 54
致谢 ................................................................ 55
校园网流量管理及异常行为侦测防御系统的实现和应用
1
第一章 绪论
§1.1 课题研究的目的和意义
近年来随着学校教育改革的持续推进,信息化建设已经成为改革进步的必要
因素之一。而随着信息化建设的持续发展所应运而生的问题是更多大学在网络管
理上面临着巨大挑战,因此如何在现有网络架构上,实现对网络带宽的优化管理
以及监控和分析网络流量,且能同时确保学校网络的安全性、稳定性和提高网络
运行效率,已经成为网络管理者共同的目标。上海海洋大学在信息化建设的道路
上,主要面临着以下挑战:
一、网络堵塞问题发生次数频繁,致使关键性应用服务的稳定性无法保证。
由于高校的网络一般都是宽松式管理,对各种网络应用程序的使用不会加以限制,
这造成了大量网络带宽的不当使用,IM,网络游戏,在线购物,在线音乐和视频
等占用了有限网络带宽的状况,导致网络堵塞,相对影响到关键性应用服务,例
如:对外发布的 WEB 及MAIL 服务、网上资料的查询、网上课堂、在线教务、视
频会议…等的使用不能正常进行。如何保障必要带宽,有效地维持各种关键性应
用服务的正常进行,是网络管理者面临的挑战之一。
二、P2P 等软件的大量使用,增加了网络管理者监控和管理网络流量的难度。
随着宿舍网络的全面推进,经过粗略统计,学生使用 P2P 等网络下载软件和网络
电视软件(如 EMule、BT、PPStream)占用了网络将近 60-70%的贷款资源。由于
这类软件使用了动态端口,同时将本身的文件传输流量伪装成 HTTP 流量,这些
都很难被防火墙、路由器以及其它的过滤设备发现。尽管网络管理者知道在网络
上有此种应用服务在运行,但却无法进行有效的监控和管理这些流量。
三、异常流量(如黑客攻击、病毒爆发所引起的异常流量)的监控和管理。
当网络中的某台电脑感染病毒时,该电脑可能会持续不断的往外发送大量的数据
包,造成网络异常拥堵,这些流量大量占用了有限的带宽资源,致使整个校园网
反应缓慢、效能降低。更有一些电脑感染了 ARP 木马,会致使所在的网段的网络
完全瘫痪。所以如何控制被感染的电脑对外发送数据包,并限制其连线次数或者
限制其上网功能就成为关键性问题。
上海海洋大学校园网络便常苦于无法有效迅速的实时解决异常流量的破坏行
为,一旦有病毒发作,产生攻击行为或是破坏行为,和被攻击的计算机在同一网
段或是同楼层的用户都会受到影响,轻者网络缓慢,重则整栋大楼网络瘫痪。由
于本来在上海海洋大学负责网络运行保障工作,对校园网的网络环境比较了解,
第一章 绪论
2
在这样的环境下,对于本课题的研究就有了很好的帮助。
本课题旨在建立一套适合高校中等规模的经济型网络流量监控管理系统,系
统通过分析网络中流量的管理以及对数据包的分析来快速阻断造成网络堵塞的黑
手,有效减少网络上不必要的流量,并减少不必要的人员支出,并通过有效分析
网络中即时的各种通讯协议的流量,做出相应的报表,以供网络管理人员使用。
让他们能通过本系统去针对异常行为做一些流量控制管理的措施,以保障学校网
络的稳定。
§1.2 国内外的发展和现状
根据对网络异常流量的采集方式可将网络异常流量监测技术分为:基于 SNMP
的监测技术、基于网络流量全镜像的监测技术和基于 NetFlow 的监测技术三种常
用技术。
一、基于 SNMP 的流量监测技术:基于 SNMP 的流量信息采集实质上是通过
提取网络设备 Agent 提供的 MIB(管理对象信息库)中收集一些具体设备及流量
信息有关的变量。基于 SNMP 收集的网络流量信息包括:输入字节数、输入非广
播包数、输入广播包数、输入包丢弃数、错误数、输入未知协议包数等。虽然通
过这种方式取得信息不会造成处理上过重的负担,但是 SNMP 提供的只是粗糙、
简略的资料。这些信息只能够让管理者发现问题,却无法进一步解决问题。综合
基于 SNMP 的流量监测技术的特点主要表现在:1、监测效率高;2、设备的支持
范围广;3、网络层以上的信息无法获取[1, 2]。
二、基于网络流量全镜像的监测技术:网络流量全镜像采集是目前 IDS 主要
采用的网络流量采集模式,其原理是通过交换机等网络设备的端口镜像或者通过
分光器、网络探针(Sniffer)等附加设备,实现网络流量的无损复制和镜像采集。
这种方式能捕捉刘国的数据包并将数据包加以翻译,找出数据包头中字段的相关
信息,并进一步分析其内容以取得更详细的信息。虽然通过基于网络流量全镜像
的监测技术可以取得更详细的网络信息,但它通常专注在单一网络数据包的内容,
所以网络管理者很难从中得到的信息来掌握整体网络的状态。此外,分析数据包
非常耗费时间,而且数据包监听所存储并需要分析的数据量非常庞大,对于资源
和人员的消耗是惊人的。综合基于网络流量全镜像的监测技术的特点主要表现在:
1、提供丰富的应用层信息;2、对网络影响比较大;3、监测的成本比较高。
三、基于 NetFlow 的流量监测技术。
NetFlow 流量信息采集是基于网络设备提
供的 NetFlow 机制实现的网络流量信息采集,在此基础上实现的流量信息采集效
率和效果均能够满足网络流量异常监测的需求。这种方式不仅能提供更详细的网
摘要:
展开>>
收起<<
摘要随着校园网络建设的不断发展,许多高校的校园网络都已经具有了一定的规模,基于网络的教学与办公等应用的广泛开展,使得用户对网络的依赖性越来越强。日益增长的网络用户和接入设备都给校园网络的安全、稳定和速度带来了压力,网络管理人员必须充分了解网络的运行状况,及时确定网络中的故障点,争取在网络问题还没有完全大范围、严重显现之前就做出判断和响应。近来,因特网上的蠕虫病毒多如牛毛,网络用户的电脑一不小心便会中毒,而此类病毒大多都具有强大的攻击行为及感染行为,于是上海海洋大学校园网络这种开放的局域网络架构便首当其冲。上海海洋大学校园网络便常苦于无法有效迅速的实时解决病毒的破坏行为,一旦有病毒发作,产生攻击...
相关推荐
-
公务员思想政治教育研究VIP免费
2024-10-15 30 -
在线社会网络中用户行为的实证分析与机制建模研究VIP免费
2025-01-09 6 -
智能优化方法对神经网络的改进及应用研究VIP免费
2025-01-09 6 -
鲜切哈密瓜保鲜技术研究VIP免费
2025-01-09 8 -
小城镇道路网级配方法及应用研究VIP免费
2025-01-09 6 -
医学信息集成测试系统的研究与实现VIP免费
2025-01-09 7 -
余热驱动氨水吸收式制冷系统的理论及实验研究VIP免费
2025-01-09 7 -
喷雾降温技术适用性及热环境研究VIP免费
2025-01-09 9 -
收缩—扩张喷嘴的气泡雾化数值模拟VIP免费
2025-01-09 8 -
支持供应链的工作流系统结构及其计划与调度的研究与应用VIP免费
2025-01-09 11
作者:陈辉
分类:高等教育资料
价格:15积分
属性:57 页
大小:1.41MB
格式:PDF
时间:2024-11-19
相关内容
-
医学信息集成测试系统的研究与实现
分类:高等教育资料
时间:2025-01-09
标签:无
格式:PDF
价格:15 积分
-
余热驱动氨水吸收式制冷系统的理论及实验研究
分类:高等教育资料
时间:2025-01-09
标签:无
格式:PDF
价格:15 积分
-
喷雾降温技术适用性及热环境研究
分类:高等教育资料
时间:2025-01-09
标签:无
格式:PDF
价格:15 积分
-
收缩—扩张喷嘴的气泡雾化数值模拟
分类:高等教育资料
时间:2025-01-09
标签:无
格式:PDF
价格:15 积分
-
支持供应链的工作流系统结构及其计划与调度的研究与应用
分类:高等教育资料
时间:2025-01-09
标签:无
格式:PDF
价格:15 积分
