键函数 网络流量监控系统各模块的设计与实现 开发背景介绍 总体结构设计 流程图设计 各模块功能概述与实现 数据包采集中各类的关系 数据包捕获与分析模块 流量获取模块 数据统计模块 常见攻击分析功能 系统测试 测试环境 硬件环境 操作系统及软件运行环境 测试步骤 测试结果评价 结论 参考文献 引言 课题背景 随着构建网络基础技术和网络应用的迅速发展以及用户对网络性能要求的提 高使得网络管理成为迫切需要解决的问题有效的网络管理能够保证网络的稳 定运行和持续发展更重要的是随着网络规模的扩大和黑客技术的发展入侵 和攻击的案例日益增多对稳定的网络服务信息安全互联网秩序都提出了严 峻的挑战网络安全管理在整个网络管理系统里扮演起更为重要的角色。 网络安全管理的现状与需求 目前在网络应用不断深入和技术频繁升级的同时非法访问恶意攻击等 安全威胁也在不断推陈出新愈演愈烈。防火墙防病毒身份认证 数据加密安全审计等安全防护和管理系统在网络中得到了广泛应用。从网络安 全专业管理人员的角度来说最直接的需求就是根据分类在统的界面中监视网 络中各种运行性能状态获取相关数据信息日志信息和报警信息等并进行分 类汇总分析和审计同时完成攻击事件报警响应等功能。因此用户的网络 管理需要不断健全整体网络安全管理解决方案从统安全管理平台总体调控配 置到多层面分布式的安全系统实现对各种网络安全资源的集中监控策略管 理审计及多种安全功能模块之间的互动从而有效简化网络安全管理工作提 升网络的安全水平和可用性可控制性可管理性。 网络流量监控的引入 网络安全管理体系中流量监控和统计分析是整个管理的基础。 流量检测主要目的是通过对网络数据进行实时连续的采集监测网络流量对 获得的流量数据进行统计计算从而得到网络主要成分的性能指标。网络管理员 根据流量数据就可以对网络主要成分进行性能分析管理发现性能变化趋势并 分析出影响网络性能的因素及问题所在。此外在网络流量异常的情况下通过 扩展的流量检测报警系统还可以向管理人员报警及时发现故障加以处理。在网 络流量检测的基础上管理员还可对感兴趣的网络管理对象设置审查值范围及配 置网络性能对象监控实时轮询网络获取定义对象的当前值若超出审查值的正 常预定值则报警协助管理员发现网络瓶颈这样就能实现定程度上的故参考模型与体系结构 参考模型 开放系统互联参考模型是由国际标准化组织制定的标准化开放式的 计算机网络层次结构模型其结构如图所示。 可以看出该结构共有七层各层主要实现如下功能 物理层利用传输介质实现相邻节点间的物理连接主要对机械电气 功能和规程四个方面及信号传输速率方面进行规定 数据链路层完成管理数据的传输提供差错检测和恢复并且提供流 量控制最终实现向上层提供无差错高可靠性的传输链路 网络层执行路由算法和流量控制算法完成数据分组传输它是通信 子网的最高层 传输层提供端到端的无差错传输同时它也提供属于局通信网络接 口比如 会话层完成用户之间会话的组织协调分配用户名等 表示层解决数据格式问题规定编码方式 应用层的最高层利用应用进程提供网络访问手段。 图参考模型 体系结构 由于比其之前的模型更具体实现随着互联网的不断发展遵循 结构的网络不断普及因此现在通常采用代表体系结构。 的目的是在网络标准不同的情况下解决互联问题可以说网络互联是 的核心。的体系结构如图所示。 在设计时重点并没有放在具体通信的实现上所以对最后两层没有做 出具体规定同时表明它允许不同类型的通信网络参与通信。它的四个层次功能 如下。 图参考模型与结构 应用层提供常用的应用程序及自定义的应用程序数据传输时用 协议来进行 传输层提供端到端的应用程序之间的通信可以使用传输控制协议 或用户数据报协议 协议前者提供可靠传输传送单位是报文段后者提供不可靠服务 传输单位是数据报即分组。此外传输层另外个功能就是区别应用程序 网际层负责计算机之间的通信采用的协议是协议数据传送单 位是分组向上提供不可靠的传输服务 网络接口层负责接收数据报并实现发送或者接收帧提取数 据报交给互联网层。 模型与体系结构的区别 从前面的分析可以看出模型和体系有许多不同之处主要体现在 问题的处理上面例如 开始就考虑的是异构网络的互联问题并将看作是整个体 系的重要组成部分而并没有认识到网际协议的重要性导致最后只能单 独划分个子层来完成的作用 最开始只注意到了面向连接的服务而开始就注意了面向 连接和无连接的并重。相比起来更注重了数据传输的效率而则注 重了传输的可靠性 虽然分层但是调用关系并不像那样严格减少了不必要的 开销提高了传输效率。 传输层的编程接口套接字编程技术 套接字的概念 套接字是为系统开发的套标准通用支持网络协 议数据通信的它是网络通信的基础即的网络编程接口年被 定为网络编程标准后主要经历了和两种版本它产生最 终目的是可以适应应用程序开发者网络服务商的需求进程通过套接字的通信 域来完成通信。需要指出的是套接字主要负责控制数据的输入与输出主要在 传输层和网络层屏蔽了数据链路层和物理层。 套接字类型 根据通信性质把套接字主要分为流式套接字和数据报套接字两种。它们的区 别在于流式套接字提供双向有序无重复的数据流服务但相对于数据报套接 字来说系统开销较大。数据报套接字也支持双向数据流但并不注重传输可靠性 无重复性和有序性但它保留了记录边界由于数据报传输效率较高所以还是 得到了比较广泛的应用。 涉及的几个基本概念 字节顺序不同的计算机采用不同的自己顺序存储数据所以在这些数 据进行通信时需要进行字节顺序的转换所有传送给网络上套接字函数的地址 和端口号均按照网络顺序安排主要由这个结构规范。特别要注意 的是应用程序建立地址结构之前用户输入需要将主机序列转换为网络序列使 简论网络流量监控工具的实现 摘要 互联网迅速发展的同时网络安全问题日益成为人们关注的焦点病毒恶 意攻击非法访问等都容易影响网络的正常运行多种网络防御技术被综合应用 到网络安全管理体系中流量监控系统便是其中种分析网络状况的有效方法 它从数据包流量分析角度通过实时地收集和监视网络数据包信息来检查是否 有违反安全策略的行为和网络工作异常的迹象。 在研究网络数据包捕获原理的基础上采用面向对象的方法进行了 需求分析与功能设计。该系统在环境下进行开发综合采用了 注册表编程和助手等编程技术在系统需求分析的基础 上对主要功能的实现方案和技术细节进行了详细分析与设计并通过测试最 终实现了数据包捕获流量监视与统计主要功能达到了预定要求为网络管理 员了解网络运行状态提供了参考。 关键词网络管理数据采集流量统计 目录 论文总页数页 引言 课题背景 网络安全管理的现状与需求 网络流量监控的引入 本文的目的与任务 论文结构安排 相关的概念与技术 参考模型与体系结构 参考模型 体系结构 模型与体系结构的区别 传输层的编程接口套接字编程技术 套接字的概念 套接字类型 涉及的几个基本概念 原始套接字 网络数据的采集技术分析 下原始数据包捕获的实现 原始数据包捕获的关键函数 网络流量监控系统各模块的设计与实现 开发背景介绍 总体结构设计 流程图设计 各模块功能概述与实现 数据包采集中各类的关系 数据包捕获与分析模块 流量获取模块 数据统计