（计算机科学与技术专业论文）基于netflow的vpn流量分析系统设计与实现.pdf

独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 签名：日期：丝丝：2 ：竺 关于论文使用授权的说明 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 签名： 导师签名：主兰遣查至日期：趁：2 ：! 多 摘要 摘要 随着i n t e m e t 的飞速发展，i m e m e t 的影响已经渗透到我国国民经济和个人生 活的各个方面。i m e m e t 用户数量与同俱增，许多新的网络服务和应用如电子商 务、电子支付等被越来越多的人使用。而传统的i n t e m e t 从原理上无法保证通信 的安全性。随着网络开放性、共享性和规模的进一步扩大，网络安全问题变的越 来越严重。如何既能充分利用i n t e m e t 的便利，又能保证通信的安全，成为人们 关注的话题。在这种背景下，v p n ( s u a lp r i v a t en e t w o r k ) 以其独具特色的优 势应运而生。 在公共通信网络上，v p n 隧道内传输的数据可以安全可靠地传输。但是， 在接通v p n 后，原本独立的网络变成了一个互通的虚拟网络，假如经过认证的 终端用户一旦感染病毒或被攻击，利用这些终端用户可以感染内部网络或对内部 网络进行攻击。例如蠕虫病毒、d o s d d o s ( d e n i a lo f s e i c e d i s t 曲u t i o nd e n i a lo f s e i c e ) 以及网络滥用等。 在v p n 的应用过程中，为了保证v p n 系统高效、可靠、经济和安全的运行， 有必要对流经v p n 的网络流量进行监测并深入分析，及时地发现网络流量中的 异常情况。通过n e t f l o w 流量数据的采集，可以实时的监测流经v p n 的流量， 发现网络拥塞和病毒攻击，从而为用户提供高质量的服务。同时，利用这些流量 数据，可以精确地统计各个终端用户流经v p n 的流量情况，为准确的流量计费 提供依据。因此，提供一个完整的基于n e t f l o w 的v p n 流量分析系统具有十分 重要的意义。 本文对v p n 的概念及相关技术进行了分析，并结合华北科技学院图书馆数 字资源校外访问系统，介绍了基于s s l ( s e c u r es o c k e tl a y e r ) 协议的o p e n v p n 应用。另外，本文分析了各种流量采集技术的特点，并重点研究了n e t f l o w 技术 的原理与应用，结合图书馆v p n 系统，提出了基于n e t f l o w 的v p n 流量分析系 统的设计方案。在w i n d o w s 平台下，采用c 群的多线编程技术，实现了流经v p n 流量的实时采集与预处理、聚合与存储、查询与呈现等功能，并最终实现了一套 完整的v p n 流量分析系统。 关键词v p n ；n e t f l o w ；流量分析： 北京下业大学t 学硕十学位论文 i i a b s t r a c t a b s t r a c t w i t l lm er a p i dd e v e l o p m e mo fi n t e m e t ，i n t e m e t si n n u e n c eh a sp e m l e a t e dt h e n a t i o n a le c o n o m ya j l da na s p e c t so fp e r s o n a l l i f e g r o w i n gn 啪b e ro fi n t e m e tu s e r s ， m a n yn e wn e t w o r ks e i c e sa i l d 印p l i c a t i o n ss u c ha se c o m m e r c e ，e l e c t r d n i cp a y m e n t a n do t h e r s ，m o r ea j l dm o r ep e o p l eu s e t h e 仃a d i t i o n a lt l l e o 巧o nt t l ei n t e m e t 行o mt h e s a f e t yo fc o m m u i l i c a t i o nc a i ln o tb eg u a r 锄t e e d w i t ht 1 1 eo p e nn e “v o r k ，s h a r ea n d 如n 】k re x p a n dt h es c a l eo ft h en e t 、o r ks e c u d t yi s s u e sb e c o m em o r es e r i o u s h o wc a i l 如l l yu s et h ec o n v e n i e n c eo fi n t e m e t ，b u ta l s oe n s u r e st h es e c u r i t yo fc o m m u n i c a t i o n ， b e c o m eat o p i co fc o n c e m i nt h i sc o n t e x t ，v p n ( s u a lp r i v a t en e t w o r k ) c 锄ei n t o b e i n g 谢t hi t su i l i q u ea d v a n t a g e s i nm ep u b l i cc o m m u i l i c a t i o nn e t w o r k ，v p nt u i l i l e lc a nb es e c u r ea i l dr e l i a b l e t r a n s m i s s i o no fd a t at o 仃a n s f e r h o w e v e r ，c o i u l e c t e dt ov p n ，m eo r i g i n a ln e t w o r k i m oas e p a u r a t ee x c h a n g eo fv i r t u a ln e 锄，o r k ，i ft h ec e r t i f i e de n d u s e r ，o n c et h ev i m so r a t t a c k ，u s eo ft h e s ee n d - u s e rc a ni n f e c tt h ei n t e m a ln e t 、v o r k o ri n t e m a ln e t 、 ，o r k 纰l c k s f o re x 砌p l e ，w o m s ，d o s d d o s ( d e n i a lo fs e n ，i c e d i s t r i b u t i o nd e i l i a lo f s e r v i c e ) a n dn e 铆o r l ( a b u s e ，e t c t h ea p p l i c a t i o np r o c e s si nt l l ev p n ，v p ns y s t e m st oe n s u r ee 箭c i e n t ，r e l i a b l e ， e c o n o m i c a la 1 1 ds a f eo p e r a t i o n ，i ti sn e c e s s a r ) rt on 咖o r kt r a 伍cn o w s 缸o u 曲t h e v p nm o n i t o r i n ga n di n - d e p ma n a l y s i s ，t i m et of i n da n o m a l i e si nn e t 、) ，o r kt r a m c b y n e t f l o wt r a f h cd a t ac o l l e c t i o n ，r e a l - t i m em o n i t o r i n go ft r a m cn o w st h r o u g ht h ev p n ， a n df o u l l dt h a tn e t w o r kc o n g e s t i o na n dv i n l sa t t a c k s ，s o 弱t op r o v i d eh i 曲q u a l 埘 s e i c e s m e a n 、h i l e ，t h eu s eo ft h e s ef l o wd a t a ，s t a t i s t i c s c a nb ea c c u r a t e l ya l l e n d u s e rt r a 伍cn o w st l l r o u 曲m ev p nc a s e ，嬲a c c u r a t e l yp r o v i d em eb a s i sf o rt r a f i c b i l l i n g t h e r e f o r e ，t op r o v i d eac o m p l e t et r 雄i c 锄a l y s i sb a s e do nn e t f l o w sv p n s y s t e mi so f 伊e a ts i g n i f i c a n c e i nt h i sp a p e rt l l ec o n c e p to fv p na n dr e l a t e dt e c l m o l o g i e sa r ea i l a l y z e d ，a n d c o m b i n e dw i t ht h en o n hc h i n ai n s t i t u t eo ft e c h n o l o g ys c h o o lo fl i b r a r yd 谱t a l r e s o u r c e st oa c c e s st 1 1 es y s t e m ，i n t r o d u c e db a s e do ns s l ( s e c u r es o c k e tl a y e r ) p r o t o c o lf o ro p e n v p na p p l i c a t i o n i i la d d i t i o n ，t i l ep a p e ra n a l y z e st h ec h a r a c t e r i s t i c s o fv a r i o u st r a f i c a c q u i s i t i o n ，a j l dt h e nf o c u so nt h ep r i n c i p l e sa n da p p l i c a t i o no f n e t f l o wt e c h n o l o g y ，c o m b i n e dw i t hl i b r a r yv p ns y s t e mi sp m p o s e db a s e do nt h e v p nn e t f l o wt r a m ca n a l y s i ss y s t e md e s i g n i nt l l ew i n d o w sp l a t f o 肌，u s i n gc 捍 m u l t i l i n ep r o g r 撇m i n gt e c l m i q u e st or e a l i z er e a l - t i m et r a m cn o w st 1 1 r o u g ht h ev p n i i i 北京t 业大学下学硕十学位论文 c o l l e c t i o na i l dp r e t r e a t m e n t ，p o l y m e r i z a t i o na n ds t o r a g e ，q u e r ya n dp r e s e n t a t i o n c a p a b i l i t i e s ，a n du l t i m a t e l yac o m p l e t ev p n t r a f j f i ca n a l y s i ss y s t e m k e y w o rd ：v p n ；n e t f l o w ；t r a m ca n a l y s i s ； i v 日录 目录 摘要。i a b s t r a c t i i i 第1 章绪论1 1 1 研究背景1 1 2 国内外研究现状2 1 3 主要研究内容。3 1 4 论文章节安排3 第2 章相关技术研究5 2 1v p n 技术5 2 1 1v p n 技术概述5 2 1 2v p n 技术分析6 2 1 3v p n 技术分类7 2 1 4o p e n v p n 概述8 2 1 5o p e n v p n 在图书馆的应用8 2 2 网络流量采集技术10 2 2 1 网络流量的全镜像的数据采集方式1 0 2 2 2 基于实时数据抓包的网络流量采集方式1 1 2 2 3 基于s n m p 的网络流量采集方式1 1 2 2 4 基于探针p r o b e 的网络流量采集方式1 1 2 2 5 基于流( f l o w ) 的网络流量采集方式1 2 2 3 网络异常行为特征1 2 2 3 1 蠕虫一1 2 2 3 2d o s d d o s 攻击。1 3 2 4 本章小结1 4 第3 章v p n 流量分析系统的总体设计1 5 3 1 系统需求分析1 5 3 2n e t f l o w 技术15 3 2 1n e t f l o w 的基本原理16 3 2 2n e t f l o w 的缓冲管理17 3 2 3n e t f l o w 的数据输出格式17 3 2 4n e t f l o w 的应用2 6 3 3 系统设计思想2 7 v 北京t 业入学t 学坝l ：学位论文 3 4 系统结构设计2 8 3 5 本章小结2 9 第4 章v p n 流量分析系统的详细设计31 4 1 流量采集与预处理模块31 4 1 1 流量采集与预处理模块的设计原则3 1 4 1 2 流量采集与预处理模块的功能设计3 1 4 2 流量聚合与存储模块4 0 4 2 1 流量聚合与存储模块的功能设计4 0 4 3 流量查询与呈现模块5 0 4 3 1 流量查询与呈现模块的功能设计5 0 4 4 本章小结5 0 第5 章系统的实现及测试51 5 1n e t f l o w 在c i s c oc a t a l y s t6 5 0 9 上的配置51 5 1 1 启用n e t f l o w 功能51 5 1 2 配置n d e 5 3 5 2 系统丌发环境5 3 5 2 1v i s u a ls t u d i o2 0 0 8 5 4 5 2 2s o ls e r v e r2 0 0 5 5 4 5 3 实验环境5 4 5 4 运行效果5 5 5 4 1 实时流量的呈现5 5 5 4 2 历史流量的查询5 5 5 5 测试结果5 6 5 6 对网络的影响5 6 5 7 本章小结5 7 结论5 9 参考文献6 l 攻读硕士学位期间发表的学术论文6 5 致谢6 7 第l 章绪论 1 1 研究背景 第1 章绪论 随着1 1 1 t e m e t 的飞速发展，i n t e m e t 的影响已经渗透到我国国民经济和个人生 活的各个方面。i n t e m e t 用户数量与日俱增，许多新的网络服务和应用如电子商 务、电子支付等被越来越多的人使用。而传统的i n t e m e t 从原理上无法保证通信 的安全性。随着网络开放性、共享性和规模的进一步扩大，网络安全问题变的 越来越严重。如何既能充分利用i n t e m e t 的便利，又能保证通信的安全，成为人 们关注的话题。在这种背景下，v p n ( v i r t u a lp r i v a t en e t w o r k ) 以其独具特色的 优势应运而生。 v p n 是一种利用隧道、认证、加密等技术手段，使用户可以利用公共通信 网络，随时随地安全地访问组织机构内部网络资源的网络系统| 2 l 。 对于高校图书馆，随着数字化校园进程的加快，服务模式逐渐从传统图书馆 模式向数字图书馆模式转变【3 】。国内许多高校近年来购买了大量数字资源以满足 师生员工的教学科研需求。然而，数据供应商出于版权和经济利益的考虑，高校 图书馆所购买的数字资源只有在被限定的i p 地址范围内才能访问，这个被限定 的p 地址范围一般为校园网的出口i p 。所以校园网内用户可以正常使用这些数 字资源。但是，随着高校后勤社会化的深入发展，越来越多的教师和学生在校外 居住，他们需要访问校园网内的数字资源，另外，大量的校友、客座教授和外聘 教师也需要随时随地地访问校园网内的数字资源。显然，这些访问者的i p 地址 不在校园网范围内，无法访问校园网内的数字资源。为了解决这个问题，目前， 国内大部分高校利用v p n 技术建立了远程访问系统，实现了校园网外用户对校 园网内数字资源的合法访问1 4 j 。 在公共通信网络上，v p n 隧道内传输的数据可以安全可靠地传输。但是， 在接通v p n 后，原本独立的网络变成了一个互通的虚拟网络，假如经过认证的 终端用户一旦感染病毒或被攻击，利用这些终端用户可以感染内部网络或对内部 网络进行攻击。例如蠕虫病毒、d o s d d o s ( d e n i a lo f s e i c e d i s t m u t i o nd e n i a lo f s e i c e ) 以及网络滥用等【川。 在v p n 的应用过程中，为了保证v p n 系统高效、可靠、经济和安全的运行， 防止蠕虫病毒、d o s d d o s ( d e n i a lo f s e i c e d i s t r i b u t i o nd e n i a lo f s e i c e ) 以及 网络滥用对v p n 系统造成的影响，有必要对流经v p n 的网络流量进行监测并深 入分析，及时地发现网络流量中的异常情况。目前，采集网络流量的方法主要有 基于网络流量全镜像的数据采集方式，基于实时数据抓包的网络数据采集方式， 北京t 业大学t 学坝十学位论文 基于s n m p ( s i m p l en e t w o r km a n a g e m e n tp r o t o c 0 1 ) 的网络流量采集方式，基于 探针p r o b e 的网络流量采集方式和基于流( f l o w ) 技术的网络流量采集方式5 种。其中，前4 种方式提供的流量数据过于底层，很难满足应用层流量统计功能， 而由c i s c o 提出的n e t f l o w 技术，作为一种成熟的网络流量统计方法，可满足日 益增长的流量分析、网络监测、异常监控等各个方面的要求1 6j 。n e t f l o w 流的概 念，使对网络流量各种粒度的分析成为可能。 有了通过n e t f l o w 采集的流量数据，就可以实时的监测流经v p n 的流量， 发现网络拥塞和病毒攻击，从而为用户提供高质量的服务。同时，利用这些流量 数据，可以精确地统计各个终端用户流经v p n 的流量情况，为准确的流量计费 提供依据。因此，提供一个完整的基于n e t f l o w 的v p n 流量分析系统具有十分 重要的意义。 1 2 国内外研究现状 目前，国内外对流量分析的研究比较活跃，但对v p n 流量分析的研究相对 比较匮乏。 国外艾德威特公司推出的m a n a g e e n g i n en e t f l o w a n a l y z e r 是一个基于w e b 的流量分析工具【7 】。通过将收集c i s c oi o sn e t f l o w 数据，n e t f l o w a n a l y z e r 能够 提供网络利用的相关情况，如哪些应用在占用网络、谁在使用、使用多长时间等。 n e t f l o w a n a l v z e r 还能查看网络使用模式并生成涵盖l a n 和w a n 链路的报表。 n e t f l o w a n a l v z e r 具有3 0 多种不同的图表和报表，并带有能深入分析特定明细的 选项，便于用户直接访问重要的信息，用户可以在线查看不同时段的图表，并将 其输出为p d f 格式。n e t f l o w a n a l y z e r 能帮助用户将n e t f l o w 输出设备分组到不 同的组别，以便进行针对性监控，以及向用户授予访问权限。n e t f l o wa n a l y z e r 能自动识别多数企业的应用，如0 r a c l e 、p e o p l e s o r 等，另外结合所用的特定端 口和协议还能轻易识别自定义的应用。n e t f l o wa n a i y z e r 允许创建许多用户，通 过赋予不同的访问权限，可以选择性地允许访问并查看流量图表，及生成流量报 表等。n e t f l o w a n a l y z e r 提供了w e b 用户界面，因此用户仅需一个w e b 浏览器 即可从网络中的任何地方轻易查看到w a n 链路的流量报表和即时快照。n e t f l o w a n a l y z e r 可以在w i n d o w s 和l i n u 】【平台上运行。 另外，国外福禄克公司推出的网络流量分析仪r e p o r t e r a n a l y z e r 能够提供网 络历史和实时网络性能数据，通过收集c i s c oi o sn e t f l o w 信息，r e p o n e r a n a l y z e r 能够查看广域网和局域网的端口速率。另外，r e p o n e r a n a l y z e r 能够通过业务单 位、地理位置、i p 子网等计算网络流量，并对网络上的每个端口提供实时测试 报告和告警。r e p o n e r a n a l y z e r 包括病毒扫描向导，可以对潜在病毒进行快速告 第1 章绪论 警。 以上产品是n e t f i o w 流量分析领域具有代表性的产品，但均未对v p n 流量 分析提供支持，因此，本文提供一种v p n 流量分析系统的实现方法。 1 3 主要研究内容 本文主要研究了以下几个方面的内容： 研究了v p n 相关技术与应用领域。介绍了基于s s l 协议的o p e n v p n 在 华北科技学院图书馆的应用。 研究了目前常用的流量采集技术，包括基于网络流量全镜像的数据采集方 式，基于实时数据抓包的网络数据采集方式，基于s n m p 的网络流量信息采集 方式，基于探针p r o b e 的网络流量采集方式和基于流( f l o w ) 技术的网络流量 采集方式5 种。 研究了网络异常行为的特征。 重点研究了n e t f l o w 的基本原理与n e t f l o w 缓冲管理，并深入分析了 n e t f l o w 各个版本的数据导出格式，介绍了n e t f l o w 的应用领域。 在研究分析了v p n 的特点和n e t f l o w 技术原理的前提下，根据华北科技 学院图书馆应用需求，提出了基于n e t f l o w 的v p n 流量分析系统的功能需求与 结构设计，介绍了系统的详细设计，并在w i n d o 、s 平台下利用c 撑实现了该系统。 1 4 论文章节安排 本文根据图书馆的实际应用需求，给出了一个基于n e t f l o w 的v p n 流量分 析系统设计与实现方案。本论文的章节安排如下： 第1 章，绪论。介绍了v p n 系统面临的问题，从而提出了建设v p n 流量分 析系统的意义。 第2 章，相关技术研究。介绍了v p n 与流量采集相关技术，并分析了网络 异常行为特征。 第3 章，v p n 流量分析系统的总体设计。分析了v p n 流量分析系统需求， 重点研究了n e t f l o w 技术，从而提出了系统设计思想并设计了系统结构。 第4 章，v p n 流量分析系统的详细设计。介绍了v p n 流量分析系统的详细 设计。 第5 章，系统的实现及测试。介绍了系统的实现以及系统的测试。 第6 章，总结与展望。总结全文，提出了下一步工作的重点。 北京t 业大学t 学硕十学位论文 4 - 第2 章相关技术研究 2 1v p n 技术 2 1 1v p n 技术概述 第2 章相关技术研究 v p n 的全称是v i n u a lp r i v a t en e 觚o r k ，即虚拟专用网。通俗的讲，v p n 就 是利用共享的公共通信网络建立特定用户的数据传输通道，将用户的远程分支办 公室、商业伙伴、移动办公人员等连接起来，提供端到端的、有一定安全和服务 质量保证的数据通信服务的网络技术峭j 。如图2 1 所示。利用v p n 连接起来的可 以是网络，也可以是单点设备。与传统的语音公司利用共享资源提供专用的语音 消息服务的思想类似，v p n 希望利用受保护的共享的数据网络服务提供专用数 据服务。 总部i n t r a n e t 图2 1v p n 示意图 f i g u r e2 - lv p nd i a g r a m 日 耋雾萎 远程访问 v p n 目前应用广泛，主要集中在以下领域【9 j ： 远程访问 远程移动用户通过v p n 技术可以在任何时间、任何地点采用拨号、i s d n ( i n t e g r a t e ds e i c e sd i g i t a ln e 帆o r k ) 、d s l ( d i g i t a ls u b s c r i b e rl i n e ) 、移动i p 和电缆技术与公司总部、公司内联网的v p n 设备建立起隧道或加密信道，实现 访问连接。推而广之，远程用户可与任何一台主机或网络在相同策略下利用公共 通信网络实现远程访问。这种应用类型也叫a c c e s sv p n ，这是基本的v p n 应用 类型。不难证明，其他的类型都是a c c e s sv p n 的组合、延伸和扩展。 组建内联网 北京丁业大学t 学硕十学位论文 一个组织机构的总部或中心网络与跨地域的分支机构网络在公共通信网络 上采用隧道技术等v p n 技术构成组织机构“内部”的虚拟专用网络，当其将公司 所有权的v p n 设备配置在各个公司网络与公共网络之间( 即连接边界处) 时， 这样的内联网还具有管理上的自主可控、策略集中配置和分布式安全控制的安全 特性。利用v p n 组建的内联网也叫i n t r a n e tv p n 。i n t r a n e tv p n 是解决内联网结 构安全和连接安全、传输安全的主要方法。 组建外联网 使用v p n 技术在公共通信网络上将合作伙伴或有共同利益的主机或网络与 内联网连接起来，根据安全策略、资源共享约定规则实施内联网内的特定主机和 网络资源与外部特定的主机和网络资源的相互共享，这在业务机构和具有相互协 作关系的内联网之间具有广泛的应用价值。这样组建的外联网也叫e x t r a n e t v p n 。e x t r a n e tv p n 是解决外联网结构安全和连接安全、传输安全的主要方法。 2 1 2v p n 技术分析 v p n 技术涉及到通信技术、密码技术、认证技术，是一项涉及面较广且非 常复杂的技术【1 引。 隧道技术 隧道技术是v p n 的核心技术。它的基本过程是在源局域网与公网的出口处 将数据作为负载封装在一种可以在公网上传输的数据格式中，在目的局域网与公 网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过 的逻辑路径被称为“隧道”。数据的封装、传输及解封是由隧道协议完成的。 身份验证 在任何通信被称为私有通信以前，每一方都必须确定对方的身份。在私有网 络通信中，一个网络系统必须确定与其通信的另一个网络系统或主机是指定的通 信者。这个验证的过程被称为身份验证。当建立v p n 连接时，两个端点必须彼 此进行身份验证。 身份验证方法分为双方身份验证和可信的第三方身份验证。双方身份验证， 往往是依赖于两个验证实体知道他人不知道的一条或多条信息，对于用户来说这 些信息是身份的证据。常用的双方身份验证方案有：口令，询问应答，一次性 口令，智能卡等。可信任的第三方身份验证使用一个特殊实体，他的职责是辅助 进行身份验证，当需要验证用户身份时，可信任的第三方能够证明用户的身份或 者提供在身份验证中使用的信息。可信任的第三方身份验证方案有：公钥基础设 施、k e r b e r o s 、p g p ( p r e t t yg b o dp r i v a c y ) 信任模型等。 访问控制 第2 审相关技术研究 访问控制允许对限定资源的授权访问，它也可以保护资源，防止那些无权访 问资源的用户的恶意访问或偶然访问。通常访问控制过程在隧道的端点进行。访 问控制是策略和机制的集合。访问控制策略是一组规则，定义了如何保护一种或 多种资源。访问控制机制是应用这些策略的具体方法。 数据安全 数据安全包括两个方面：数据完整性和数据机密性。数据完整性确保报文在 传输过程中不能被修改。在t c p i p 中使用的简单校验对于使数据免受主动攻击 来说是不够强壮的。通常使用一个简短的信息摘要验证信息的完整性，保证信息 完整性的技术还有数字签名、信息鉴别码等。数据机密性保证没有密钥的其他任 何人都不能读取报文内容。对于那些非常敏感的数据有必要使用加密技术保证其 机密性。 2 1 3v p n 技术分类 v p n 技术可在t c p i p 协议簇的不同层次上实现。根据v p n 的实现技术不 同，可将v p n 分为以下几种：链路层v p n 、网络层v p n 、传输层和应用层v p n l l l l 。 链路层v p n 链路层v p n 是使用传输系统和网络平台形成物理层和链路层的连接，从而 在公共网络上构建隔离网络。链路层v p n 通常采用二层隧道协议，即在数据链 路层实现对数据的封装。二层隧道协议主要有p p t p ( p o i n tt op o i n t1 、m n e l i n g p r o t o c 0 1 ) 、l 2 f ( l e v e l2f o r w a r d i n gp r o t o c 0 1 ) 和l 2 t p ( l a y e r2t u 皿e l i n gp r o t o c 0 1 ) 。 其中l 2 t p 是使用最广泛的v p n 链路层隧道协议，它结合了前两个协议的优点， 具有更优越的特性。m i c r o s o r 已将l 2 t p 集成到w i n d o w s 操作系统中，i b m 和 c i s c o 也在它们的路由器产品中支持该协议。l 2 t p 对p p p ( p o i n tt op o i n tp r o t o c 0 1 ) 协议作了延伸，使得远程主机和企业网内部的网关之间建立起一个虚拟的p p p 连接，好像处于同一子网中。但是。l 2 t p 将不安全的口包封装在安全的i p 包 内，它们用口数据报在两台计算机之间创建和打开数据通道，一旦通道打开， 源和目的用户身份就不再需要，这样可能带来安全隐患，还需要由网络层的协议 为该通道提供进一步的保护1 1 2 j 。 网络层v p n 在t c p i p 模型中，网络层是可能实现端到端的安全通信的最低层。在i p 层 上提供安全服务，具有较好的安全一致性和共享性。这是因为i p 层可为上层协 议无缝地提供安全保障，各种应用程序可以享用i p 层提供的安全服务和密钥管 理，而不必设计自己的安全机制，因此减少密钥协商的开销，也降低了产生安全 漏洞的可能性。然而，i p 协议本身没有内建的安全措施。目前，构建网络层v p n ， 北京t 业大学t 学硕十学位论文 大多利用i p s e c 协议。它是定义在网络层的安全协议集，是i e t f 的i p s e c 工作 组制订的一个开放的标准框架，现今和将来的任何密码学算法都可用于该体系结 构，i p v 6 要求必须支持i p s e c 。使用i p s e c 构建v p n ，是将i p 报文封装在i p s e c 报文中，从而形成安全隧道。口s e c 还定义了如何协商隧道端点间的安全联盟以 及如何产生加密密钥i l 引。 传输层和应用层v p n 与网络层v p n 相比，传输层的v p n 技术起步较晚。在传输层构建v p n 安 全通信，可以为t c p i p 中的通信提供细粒度的安全传输控制方法。此外，传输 层v p n 的部署和管理更为简单。n e t s c 印e 提出的位于传输层和应用层之间的s s l 协议，及后来i e t f 的t l s 工作组开发的t l s ( 1 r a n s p o i r tl a y e rs e c u r i t ) ，) 协议是 传输层v p n 产品的主要协议。这两个协议被广泛用于w r e b 浏览器和w 曲服务器 之问，提供对等的身份认证和应用数据的加密。s s l 只要在客户和服务器上实现， 而不需要在中间节点上实现，可以保护任何t c p i p 通信，n e t s c a p e 和m i c r o s o r 在其浏览器中都支持s s l t l s 协议引。 2 1 40 p e n v p n 概述 o p e n v p n 是一个基于s s l 协议的v p n 软件，且其源代码开放。o p e n v p n 功能丰富，可配置性强： 可实现站点到站点的内联网v p n ； 可实现远程访问v p n 的连接； 只需打开一个t c p 端口或u d p 端口，即可连入v p n ； 可将一台机器配置成v p n 服务器，也可由多台机器组成服务器组，进行 负载平衡，以处理上千客户的同时连接； 通过数据的压缩，提高数据传输的速度； 支持动态i p 和内部网络i p ； 可使用由o p e n s s l 库支持的任何认证、证书及加密算法保护传输隧道的 安全； o p e n v p n 可以运行在多种操作系统中，包括：“n u ) 【，w i n d o 、珊2 0 0 0 x p 及以上版本，o p e i 出s d ，f r e e b s d ，n e t b s d 等。 2 1 50 p e n v p n 在图书馆的应用 根据图书馆的实际功能需求，图书馆利用o p e n v p n 建立了图书馆数字资源 校外访问系统，其结构如图2 2 所示。 第2 章相关技术研究 应用服务器群 图2 2 图书馆数字资源校外访问系统结构图 f i g u r e2 2l i b r a 叮d i g i t a lr e s o u r c e so 界c a m p u sa c c e s st ot h es y s t e md i a g r a m 将v p n 服务器放置在防火墙之后，在防火墙上打开v p n 服务器上的4 4 3 端 口( s s l 协议默认端口) ，可以保证v p n 服务器自身的安全。v p n 服务器上安 装u b u n t u 操作系统并运行o p e n v p n a c c e s ss e e r ( o p e n v p n a s ) 。o p e n v p n a s 是一套简单快速部署远程解决方案的安装配置工具，它基于流行的o p e n v p n 开 源软件。o p e n v p n a s 运行界面如图2 3 所示。 北京t 业大学t 学硕十学位论文 蝴匿团一 ：c o _ n fig “r eh e t o r j 荔s e tl i 辑e z o n e( c u r r e n 电：u l c u s er r r o 埘冀e 9 st on a v i g 矗t e 矗n d 嚣抖i e 异 t ds e l e c t 譬o u pc h o i c e ， 图2 3o p e n v p n a s 运行界面 f i g u r e2 3o p e n v p n a so p e r a t i n gs y s t e mi n t e r f a c e 2 2 网络流量采集技术 在网络技术发展速度不断加快的今天，对网络流量采集和分析有着极其重要 的意义f 1 6 。通过采集并分析较短时间内的网络流量数据，可以检测出网络资源利 用率、滥用，以及各种恶意的攻击行为；而对长期的数据进行采集和分析，可以 帮助实施流量工程以及流量计费等。可以说，对网络流量进行采集，无论对于网 络安全或者是网络管理领域都是很有意义的j 。 目i j 网络流量采集方式主要有：基于网络流量全镜像的数据采集方式，基于 实时数据抓包的网络数据采集方式，基于s p 的网络流量采集方式，基于探 针p r o b e 的网络流量采集方式和基于流( f l o w ) 技术的网络流量采集方式。 2 2 1 网络流量的全镜像的数据采集方式 基于网络流量全镜像的监测技术其原理是通过交换机等网络设备的端口镜 像或者通过分光器、网络探针等附加设备，实现网络流量的镜像采集和无损复制。 流量镜像采集的最大特点是能够提供丰富的应用层信息，但由于其采集的信息丰 富，处理起来需要占用较多的资源，因此其镜像数据若直接为流量采集及分析设 备所接收则会因受限于系统的处理速度而不适用于高速交换网络【1 8 1 。 第2 章相关技术研究 2 2 2 基于实时数据抓包的网络流量采集方式 基于实时抓包的分析技术提供详细的从物理层到应用层的数据分析。但该方 法主要侧重于协议分析，而非用户流量访问统计和趋势分析，仅能在短时间内对 流经接口的数据包进行分析，无法满足大流量、长期的抓包和趋势分析的要求。 常用的能获得最详细信息的方法是采用操作系统底层提供的功能，即基于系 统接口，如l i b p c a p ，w i n p c a p ，b p f