（计算机软件与理论专业论文）windows平台下国税网络监控与分析系统的设计与实现.pdf

原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进 行研究所取得的成果。除文中已经注明引用的内容外，本论文不包含任何 其他个人或集体已经发表或撰写过的科研成果。对本文的研究作出重要贡 献的个人和集体，均已在文中以明确方式标明。本声明的法律责任由本人 承担。 论文作者签名：洒蔓 日 期：2 啦芏，2 1 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学校保 留或向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅 和借阅；本人授权山东大学可以将本学位论文的全部或部分内容编入有关 数据库进行检索，可以采用影印、缩印或其他复制手段保存论文和汇编本 学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：粒导师签名：甍乓4 乇少期：一 山东大学硕士学位论文 摘要 本文通过分析目前网络监听及网络流量分析技术的发展、针对目前国 税网络管理的现状和需求，提出了一个针对国税系统局域网络的w i n d w o s 平 台下的网络监控与分析系统。系统通过对网络流量进行实时的监控，了解局 域网内用户之间进行的何种性质的访问，网络中那些机器进行了服务器的访 问操作，对整个网络的运行状况有了实时的掌握。通过进行不同时间段的流 量统计分析，对网络中各网络设备及服务器的运行负载量、资源配置的合理 性有一个全面的了解。通过对i p 地址和m a c 地址的绑定，实现对网络中设 备的管理和保护，防止i p 盗用现象的发生。 开发该系统的主要目的是了解目前网络监控的发展现状，学习网络监 控的新技术，结合国税系统网络管理的现状和需求，进行网络监控与分析系 统的开发和研究。本文首先介绍了关于网络管理的一些基本概念和原理，然 后，结合国税网络的实际，具体介绍了利用w i n p c a p 进行网络监控的设计和 实现方法，探讨了一些网络监控与分析中可以利用的新的方法和思路，并对 网络监控与分析系统的发展进行了展望和总结。 本文设计和实现的国税网络监控与分析系统由两个子系统组成：网络 监控与分析子系统、基于w e b 的数据库管理子系统。在网络监控与分析子系 统中，网络监控中的数据采集模块通过把网卡设为混杂模式监听网络上的数 据包，并扑获到用户缓冲区；协议分析模块通过拆分数据包获取所需各种数 据流量，并存储到流量数据库中。在网络分析中，流量统计模块对流量按预 定条件进行流量统计，得出网络的各种日常运行参数；流量异常检测模块和 i p 盗用检测子模块则对网络运行中的异常进行判断并报警。基于w e b 的数据 库管理子系统主要进行监控结果的查询和显示，同时进行i p 地址的管理绑 定和系统日志文件的维护。系统设计则采用浏览器界面，完成与管理员的信 息交互。系统在w i n d o w s 平台下，网络监控与分析子系统采用v c + + 6 0 进行 开发，基于w e b 的数据库管理子系统界面采用a s p 设计，数据库采用s q l s e r v e r2 0 0 0 。 系统的结构设计清晰，适于系统的模块化，分别为数据的捕获、数据 的分析、数据的统计，数据的检测，数据的显示，便于系统的扩展。流量数 据的采集采用网络监听方式，对网络的运行没有任何影响。在数据库的统计 中，充分利用存储过程，提高数据库的访问速度和系统的运行效率。数据的 山东大学硕士学位论文 显示采用a s p 的浏览器界面设计，方便操作，界面友好。 关键词：网络管理流量分析监听混杂模式w ：i n p c a p 山东大学硕士学位论文 a b s t r a c t t h isp a p e rm a i n l yi n t r o d u c ean e t w o r kt r a f f i cc h e c ka n da n a l y s i s s y s t e mb a s e do n w i n d o w so p e r a t i n gs y s t e ma c c o r d i n gt on a t i o n a l t a x n e w o r ko fm e d i u ma n dl i t t l es c a l e f i r s t ，t h e t h e s isa n a l y z et h e d e v e l o p m e n t o fn e t w o r km a n a g e m e n ta n dt r a f f iea n a l y s i s t e c h n i q u e t h iss y s t e misb u i l to nt h et h e o r y a c c o r d i n gt om o n i t o r i n gi t st r a f f i c i nr e a lt i m e t h es y s t e mk n o w st o t a lr u n n i n gc o n d i t i o no fan e t w o r k s u c ha sf i n d i n go u tw h a to p e r a t i n gt h eu s e r si sd o i n g h o wm u c ht h e t r a f f i eis ，e t c a c c o r d i n g t os t a t is t ict h et r a f f icc o u n t sin d i f f e r e n t s t a g e s ，w e c a n a c q u a i n t o u r s e v e l sw i t ht h e r u n n i n g e f f i c i e n c y o fn e t w o r kr e s o u r c e sa n dt h ea 1 1 一s i d e sn e t w o r k p e r f o r m a n c e a c c o r d in g t o b i n d i n gi p a d d r e s sw i t hh a r d w a r em a c a d d r e s s ，w ec a nc o n t r o lu s e r so fj n s i d en e t w o r ka c c e s s i n gt od e t w o r k t h ep u r p o s eo fd e v e l o p i n gt h es y s t e mist ob ea c q u a i n t e dw i t h c u r r e n td e v e l o p i n go fn e t w o r kc o n t r o la n dt os t u d yt h en e wt e c h n o l o g y o fn e t w o r kc o n t r 0 1 b a s e do nt h ee x i s t e n c ea n dn e e d s ，t h es y s t e mis t od e v e l u pn e t w o r kc o n t r o l in ga n da n a l y s i s i n g ，i nt h ep a p e r ，if i r s t l y i n t r o d u c es o m eb a s i c c o n e e p t s a n d p r i n c i p l e s o fn e t w o r k m a n a g e m e n t ，t h e n1 i n k i n gn a t i o n a l t a x n e t w o r k ，i n t r o d u c e a w a y t o p r o c e s sn e t w o r kc o n t r o lb a s e do nw i n p a c pa n dd is c u s ss o m en e wm e t h o d s a n d t h o u g h t f u l n e s s ，a t t h es a m et i m e p r o s p e c t n e t w o r k m a n a g e m e n t d e v e l o p m e n t t h en e t w o r kc o n t r 0 1a n d a n a l y s i s s y s t e m i nt h e p a p e r m a i n l y i n c l u d e st w op a r t s ：h e t w o r kc o d t r o la n da n a l y s iss y s t e ma n dd a t a b a s e m a n a g e m e n ts y s t e m b a s e do nw e b i nn e t w o r ke o n t r o la n d a n a l y s is s y s t e m ，t h ed a t ac 0 1 l e c t i o i lm o d u l eist oc a p t u r ep a c k e ta n ds t o r et o u s e rb u f f e ra c c o r d i n gt ot h ed e t e c t e do b j e c ta f t e rs e t t i n gt h en e t w o r k c a r di np r o m is c u o u sm o d e t h ep r o t o c o l a n a l y s i sm o d u l eist o s p l i t p a c k e t a n dr e q u i r et h e s y s t e mn e e d e dd a t ai n f o r m a t i o na n ds t o r e d a c q u ir e dd a t ain f o r m a t i o na n da n a y s isd a t at os q ls e r v e rd a t a b a s e t h ep a c k e ts t a t is t icm o d u leist od a t ar e a lt i m ea n a l y s i sa n dh is t o r i e d a t aa n a l y s i s ，w ea c q u i r en e t w o r kr u n n i n gd a t a ，w h ic hi st h et h e r e u n d e r 3 山东大学硕士学位论文 t 0d e t e c tn e t w o r ka b n o m l t y t h en e t w o r kc h e c km o d u l ea n di pc h e c k m o d u leist oc k e c kr e t w o r ka b n o m i t ya n dg iv eaa l a r m t h ed a t a b a s e m a n a g e m e n ts y s t e mm a i n l yq u e r ya n dd is p l a yt h e s ed a t a i tf i n i s ht o m a n a g ei p m a cd a t aa n dl o gm a i n t e n a n c e t h es y s t e md e s i g nu s e se x p l o r e r i n t e r f a c e s ，w h i c hs u p p l i e st h ei n t e r c o m m u n ic a t i o nb e t w e e nt h e m a n a g e ra n dt h es y s t e m t h es y s t e mis d e v e l o p du n d e rw i n d o w s ，u s i n g v e + 6 0 0a sd a t a c o l l e c t i n g p r o g r a m i n gt 0 0 1 ，u s i n ga s p a st h e in t e r c o m m u n ic a t i o np r o g r a m i n gt o o l ，w i t h t h ed b m sb e i n gs q ls e r v e r 2 0 0 0 t h is s y s t e mi sa r c h i t e c t u r ed e s i g nisi nf o c u sa n de a s yf o r t h e s ys t e mt ob ed e v e l o p e d t h et r a f f icd a t aa t e c o l l e c t e db yn e t w o r k m e n it o r i n g ，w h ic hh a sn o ta n yin f l u e n c eo nan e t w o r k i nt r a f f i cd a t a s t a ，u s 】n gs t o r a g es t r a t e g yist oi m p r o v ed a t a b a s ev is i t i n gs p e e da n d s y s te m e f f i c i e n c y d a t e d i s p l y is d e s i g n e d b ya s p ，e a s y e p e r a t in g ，f r i e n d l yin t e r f a c e k e y w o r d s ：n e t w o r km a n a g e m e n t ，t r a f f ic a n a l y s is ，m o n i t o r i n g ， p r o m js c u o u s m o d e ，w i n p c a p 山东大学硕士学位论文 1 引言 1 1 网络管理的现状 随着计算机和数据网络技术的迅猛发展，计算机设备和网络多样性的增 长，网络管理工作变得越来越繁巫。i n t e r n e t 与局域网的互联，更给人们 带来无尽的便捷，大大提高了工作效率。但高信息技术就象一把双仞剑，带 给我们无限的益处，同时也带给网络更大的管理要求和安全风险。 随着“政府上网”，“企业上网”工程的实施，国税网络信息化建设的不 断深入，税收业务的开展对网络的依赖性也越来越强，再加上与银行、工商、 地税等部门的网络互联，加强网络管理迫在眉睫。但目前还缺乏一套完善的 网络管理体系对网络进行有效的管理，i p 地址冲突、服务器非法访问时有发 生。要保证网络持续、稳定、安全、可靠的运行，就需要有效的网络管理工 具对网络进行管理。 为了加强网络管理，合理配置网络资源，建立一套灵活、完善的网络管 理体系以成为当务之急。 1 2 网络管理与网络监听 网络管理是随着计算机网络的发展而发展起来的。计算机网络是通过协 议和线路互联在一起的设备的集合，它的一个主要目的实现资源共享。网络 管理就是指对网络中的各种设备进行检测、分析、或控制，从而保证整个网 络系统可靠、有效地运行。随着网络规模的扩大和i n t e r n e t 的介入，给 网络资源的管理、网络服务的质量提出了更高的要求。 网络监听。在网络安全上一直是一个比较敏感的话题，作为一种发展比 较成熟的技术，监听在协助网络管理员监测网络传输数据，排除网络故障等 方面具有不可替代的作用。通过监听，了解网络的运行状态、数据流动情况 以及网络上传输的信息。 作为一个网络管理者，为了排除网络故障、了解网络性能、需要主动监 听网络流量，另外，为了监测外界入侵，也需要监听网络数据并分析网络数 据包。如果能对网络中的流量进行实时的监控，了解网络中那些用户之间进 行信息访问，那些用户对服务器进行通信、通信的流量是多少等，就可以对 整个网络状况有一个动态的把握。如果把网络日常流量进行统计作为监控规 则，就能对网络中的异常作出反映。而且通过对日常通信量的统计，就能对 网络中资源的负载量、运行效率和资源配置的合理性有一个全面的把握。 进行网络监听，实现网络流量的监控与分析是实现网络管理的一个重要 山东大学硕士学位论文 手段，对于提高网络的运行效率和管理水平具有重要意义。 1 3 系统的功能和特色 课题通过分析网络管理和网络监控技术的发展，结合国税网络管理的实 际，进行了一个基于w i n d o w s 平台下的网络监控与分析系统的设计，该系统 分为两大部分，网络监控与分析子系统，基于w e b 的数据库管理子系统。 在网络监控与分析子系统中，根据其实现的功能的不同，划分为了五个 功能模块：数据采集模块、协议分析模块、网络流量统计模块、网络流量异 常检测模块、i p 盗用检测模块。 数据采集模块通过把网卡设为混杂模式监听网络上的数据包，并 扑获到用户缓冲区。 协议分析模块通过对获取的数据包进行协议分析，获取网络上运 行豹流羹信息，并存铹到原始流量信息库中。 - 刚络流量统计模块进行网络流量的实时统计和关键服务器流量的 统计分析，统计结果写入网络数据库中，同时建立网络的日常运行参数。 - 网络流量异常检测模块通过对关键服务器和网络中的流量进行采 样分析，按照系统已定的异常判断规则，进行系统流量异常的判断并报警。 i p 盗用检测模块根据系统1p 地址的绑定信息，进行流量数据库中 数据的扫描，发现是否有i p 的盗用现象，并采取相应的措施。 基于w e b 的数据库管理子系统主要进行网络数据库中信息的查询和显示 以及i p - m a c 地址的绑定和描述修改和日志文件的维护。 课题的特色和创新之处体现在以下几个方面： 系统的模块分析清晰数据的捕获、数据的分析、数据的警理，适 于系统的模块化，便于系统的扩展。 流量数据的采集采用网络监听方式，对网络的运行没有任何影响。 数据库的访问充分利用存储过程，提高数据库的访问速度和系统的 运行效率。 数据库的访问采用a s p 的浏览器界面设计，方便操作，界面友好。 山东大学硕士学位论文 2 网络管理概述 计算机网络简单地说”，是由两台以上计算机连在一起组成的”计算机 群“，再加上相应”通信设施”而组成的综合系统。它是随着社会对资源共享 和信息交换与及时传递的迫切需要而发展起来的，是现代计算机技术和通信 技术密切结合的产物。网络管理就是随着计算机网络的发展而发展起来的。 般说来，网络管理就是通过某种方式对网络状态进行调整，使网络能正常、 高效地运行。其目的很明确，就是使网络中的各种资源得到更加高效的利用， 当网络出现故障时，能及时作出报告和处理，并协调、保持网络的高效运行 等。目前随着网络规模的不断扩大，影响网络功能的因素也就越来越多，这 就给网络资源的管理、网络服务的质量提出了更高的要求。 2 1 网络管理功能 国际标准化组织( i s oi n t e r n a t i o n a lo r g a n iz a t io nf o r s t a n d a r d i z a t i o n ) 定义了网络管理的完美的功能模型。尽管这种功能的划 分是为o s i 环境开发的，但已被标准和非标准的网络管理系统所广泛接受， 国际标准化组织将网络管理功能分为5 个部分：“1 故障管理探测、隔离和修正o s i 环境下的不正常操作功能。要求网络 系统出现故障时，有必要尽快精确确定故障发生的位置：把其余的网络同故 障部分隔离丌来，使其余的网络不受干扰继续工作；不使用该组件，重新配 置或修改网络，尽量减少该操作的影响：修复或替换故障组件，恢复网络到 初始状态。 计费管理 建立对被管理对象的使用计费并识别使用被管理对象的功 能。在计费管理中，网络管理员要能设定在各种各样的节点上记录计费信里 息的种类、向上一级管理节点发送信息的时间问隔和在计算费用时所用的算 法。计费报表应该在网络管理控制下生成。 配置和名称管理 为辅助提供互连服务的连续操作，执行控制、识别、 从被管理对象采集数据以及向被管理对象提供数据的功能。现代数据通讯网 络由单个的组件和可配置成执行许多不同应用程序的逻辑子系统所组成。配 置管理的具体职责是网络的启动和关闭操作，是和初始化网络以及正常关闭 网络的一部分联系在一起的，它也和维护、添加、更新组件之间的关系以及 网络操作中组件本身的状态有关， 性能管理 对被管理对象的行为和通信活动的效率进行评价所需要的 山东大学硕士学位论文 功能。计算机网络性能管理在功能上包含两大类一监视和控制，监视功能是 指跟踪网络活动控制功能是使性能管理可以为提高网络性能做一些调节。 与网络管理员相关的性能管理方面的问题有容量利用等级、流量大小、瓶颈 问题、响应时间的增加等。 安全管理正确搡作网络管理和保护管理对象等基本的安全方面的功 能。安全管理包括管理信息保护和访问控制工具，其中包括密钥的生成、分 发和存储。必须维护并分发密码和其他一些授权或访问控制信息。它同样也 关心监视和控制计算机网络访问以及从网络节点上对网络管理信息的访问。 2 2 网络管理协议s n m p 协3 在网络管理系统中，最重要的莫过于各种各样的网络协议了。网络能 有序安全运行的一个很重要原因，就是它遵循一定的规范，网络里的这个规 范就是通汛协议。换句话说，通讯协议是网络社会中信息在网络的计算机之 m 、网络设备之澍及其相互之问”通行”的交通规则。它规定信息交流的方式， 信息在哪条通道间交流，什么时i d 】交流，交流什么信息，信息怎样交流，这 就是网络中通讯协议的几个基本内容。 当前，有两种网络管理协议在计算机网络管理中占主导地位，种是开 放系统互连组织( o s i ) 提出的公共管理信息及协议( c m i s c m i p ) ，另一种 是in t e r n e t 工程任务组( i e t f ) 提出的简单网管协议( s n m p ) 。其实这两种 协议分别对应了两种不同的管理方案，o s i 的方案虽然功能详尽，但实现起 来过于复杂，在实际应用中没有得到太多厂家的支持。另一方面，i e t f 指定 豹s n m p 协汉显得筒单实用，因而被迅速建推广开来，得到了广泛的支持。 s n m p 最大的特点是简单性，容易实现且成本低。此外，它的特点还有： 可伸缩性一一s n m p 可管理绝大部分符合i n t e r n e t 标准的设备：扩展性一一 通过定义新的“被管理对象”，可以非常方便地扩展管理能力；“健壮性” ( r o b u s t ) 一一即使在被管理设备发生严重错误时，也不会影响管理者的正 常工作。它具有以下优点：与s n m p 相联系的s m i ( 管理信息结构) 及其m i b ( 管理信息库) 都相当简单，因而很容易快速实现：s n m p 是基于s g m p ( s i m p l e g a t e w a ym o n i t o r i n gp r o t o c o l ，简单网关监视协议) 的，因而能从中得到 许多操作经验。 s n m p 从被管理设备中收集数据有两种方法：一种是轮询 ( p o l l i n g o n l y ) 方法，另一种是基于中断( i n t e r r u d t b a s e d ) 的方法。 使用嵌入到网络设施中的代理软件来收集网络的通信信息和有关网络设各 山东大学硕士学位论文 _ _ 一一 的统计数据。代理软件不断地收集统计数掘并把这些数据记录到一个管理 信息库( mt b ) 中。网管员通过向代理的m i b 发出查询信号可以得到这些信 息，这个过程就叫轮询( p o l l i n g ) 。当有异常事件发生时，基于中断的方法 可以立即通知网络管理工作站，实时性很强。 近年来，s n m p 发展很快，已经超越传统的t c p i p 环境，受到更为广泛 的支持，s n m p v 3 已成为网络管理方面事实上的标准。 2 3 网络管理系统的发展趋势1 多厂家、多技术的融合随着计算机技术、网络技术和通讯技术的融合 统一的、综合的网管正日益显示出重要性。用户和运营商都要求通过一个控 制台能对多个互联的网络进行管理，只有建立起多厂商的、多技术领域的综 合两管体系，才能符合需要， 基于w e b 的网管基于w e b 的网络管理的实现有两种方式。第一种方式 是代理方式，网络管理软件作为操作系统上的一个应用，它介于浏览器和网 络设备之间。在管理过程中，网络管理软件负责将收集到的网络信息传送到 浏览器( w e b 服务器代理) ，并将传统管理协议( 如s n m f ) 转换成w e b 协议 ( 如h t t p ) 。第二种实现方式是嵌入式。它将w e b 功能嵌入到网络设备中，管 理员可通过浏览器直接访问并管理该设备。在这种方式下，网络管理软件与 网络设备集成在一起。网络管理软件无须完成协议转换。所有的管理信息都 是通过h t t p 协议传送。 面向业务的网管这种网管思想把网络服务、业务作为网管对象，通过 实时监测与网络业务相关的设各、应用，通过模拟客户实时测量网络业务的 服务质量，通过收集网络业务的业务数据，实现全方位、多视角监测网络业 务运行情况的目的，从而实现网络业务的故障管理、性能管理和配置管理。 基于c o r b a 技术的网管c o r b a 最初的提出是为了满足异构平台上分布 式计算的需要。它有以下优点：可在一个分布式应用中混用多羊中语言、支持 分布对象、提供高度的互通性等。可以预见，c o r b a 将在网络管理和系统管 理中占有越来越重要的位置。 2 4 实现网络管理的几项重要技术 随着网络规模的不断扩大，网络业务类型不断增大，使得网络管理变的 更加复杂。作为一个完善的网络管理系统，首先知道网络上流动的什么数据 那些用户进行交互，那些设备进行了数据访问，这就需要网络流量分析：通 过对r 常的流量信息分析，我们可以建立网络运行的流量模型，精确的网络 山东大学硕士学位论文 流量模型可以帮助人们设计更好的网络协议、更合理的拓扑结构、更智能的 网络监控系统，保证网络高效、稳定、高性能、安全地运行。 网络流量分析吲川7 1 3 网络流量分析主要分为两种：基于用户的流量分析和一般的流量实时、 历史统计分析。 基于用户的流量分析对网内各个用户的流量进行统计，比如国内流量、 国外流量，一般用于网络管理的计费功能的实现。 一般的流量实时、历史统计分析包括网络区段的错误信息、流量负荷、 各个应用的流量、主机的流量，比如特定服务器的流量。般用于帮助管理 员了解网络运行状况和网络性能的长期发展趋势，有助于网络的性能、故障 管理，以及网络的规划。 另外，如果对捕捉的数据包进行内容方面的细致分析，可以对网络用户 传输内容是否合法进行监控。如果按照各种黑客攻击模式或病毒的特点捕获 的数据包进行分析，则可以起到网络安全的作用。协议、应用分析对判定网 络的运行状况、是否存在异常也有借鉴作用。 建立网络流量模型5 1 7 1 建立网络流量模型指采集网络流量的样本，并按照一定的算法计算出网 络流量模型，这是较为深层次的技术。精确的流量模型对设计高性能网络协 议及高效的网络拓扑结构、业务量预测与网络规划、设计高性能价格比的网 络设备与服务器、精确的网络性能分析与预测、拥塞管理与流量均衡都有重 要意义。精确的性能分析与预测会大大增强网络的性能管理。 比较传统的流量模型的建立首先假设数据包到达的过程是泊松过程，数 据包的长度为指数分布的，并把该模型应用与a r p a n e t ，理论模型精确地描 述了实际的流量特征。但随着网络规模扩大、q o s 保证技术以及新的应用的 出现，出现了比较经典p o is s o n 模型和自相似流量模型。在p o i s s o n 模型中， 假设数据源产生数据包的间隔时间为指数分布的，数据包的程度服从指数分 布，数据包的到达过程和数据包的长度相互独立。通过对网络流量长期测试 的基础上，利用该模型可以预测特定时刻的流量大小。 本课题主要针对流量的实时、历史统计分析方面的研究，结合国税系统 的网络的实际，进行网络监控与分析系统的设计。 网络流量异常检测与报警”刚”州叫 随着网络规模的越来越大，计算机和网络技术越来越复杂，导致网络出 山东大学硕士学位论文 现各种问题的可能性增大，而且传播的更为广泛，所以，对网络流量进行实 时检测，及时发现网络流量异常，对提高网络的可靠性和可用性有重要的意 义。 目前，我们把网络异常的检测方法归结为以下四类：闽值检测方法、统 计检测方法、基于小波的检测方法、面向网络安全的检测方法。在闽值检测 方法中一般是根据历史数据建立一个正常的参数基线，在一个容许的范围内 ( 这个容许范围是两个或三个标准差) ，一旦超出此范围就判断为异常，如 m a x i o n ，f e a t h e r ，l a w r e n c eh o ；统计检测方法在实际中有许多算法，如g l r ( g e n e r a l iz e dl i k e l ih o o dr a t i 0 ) 测试。在基于小波的方法中，利用小波 变化把流量观测值序列分解成近似系数和细节系数，流量中的奇异性可以在 细节系数中检测出束。面向网络安全的检测方法，则是通过过程模型来描述 所期望的网络特征，即f 常行为特征，如果当前特征与所期望的特征有显著 偏差时产生报警。 通过异常检测，当网络中出现异常时，系统能够及时发现，采取有效措 施，同时进行报警。目前，报警的主要方式包括发送电子邮件、声卡发声、 弹出式窗口等。 在本系统中，主要针对网络中用户相互访问、关键服务器访问情况及关 键设备的流量进行统计，采用简单的阈值方法进行异常检测，同时进行报警 处理。 山东大学硕士学位论文 3 局域网及t o p i p 目前大多数的政府机关、企业采用的局域阀络，而t c p i p 协议则是局域 网络运行的最主要的协议。本章主要论述局域网络及t c p i p 协议的相关知 识。 3 1 局域网 3 1 1 局域网概述1 m 幻 将一组在物理地址上相隔不远计算机和其他数据通讯设备组成的，以允 许用户相互通讯和共享诸如打印机和存储设备之类的计算资源的方式互连 在一起并受网络操作系统监控的计算机系统，称之为局域网。 按i e e e ( i n s t i t u t eo f e l e c t r i c a la n de l e c t r o n i c se n g i n e e r s ，电器和电子工程师协 会) 8 0 2 标准，局域网体系结构由物理层、介质访问控制( m a c ，m e d i e a c c e s s c o n t r 0 1 ) 子层和逻辑链路( l l c ，l o g i c a ll i n kc o n t r 0 1 ) 予层组成。 物理层物理层的主要作用是确保二进制位信号的正确传输，包括位流 的正确传送与正确接收。 逻辑链路控制子层逻辑链路控制子层是数据链路层的一个功能子层， 主要功能包括：数掘帧的组装与拆卸、帧的收发、差错控制、数据流控制和 发送顺序控制等功能。并为网络层提供两种类型的服务，面向连接的服务和 无连接服务。 介质访问控制子层介质访问控制子层是数据链路层的一个功能子层， 主要功能是进行合理的信道分配，解决信道竞争问题。它为不同的物理介质 定义了介质访问控制标准。目前，i e e e 8 0 2 已规定的介质访问控制标准有著 名的带冲突检测的载波监听多路访问( c s m a c d ) 、令牌环( t o k e n r i n g ) 和 令牌总线( t o k e n b u s ) 等。 在几种常用的局域网技术中如：以太网技术、令牌环网等，本课题着重 进行基于以太网环境下的技术探讨。 3 1 2 以太网技术 3 1 2 1 以太网概述2 1 2 2 1 所谓以太网( e t h e r n e t ) 即是指基带总线局域网，2 0 世纪7 0 年代中期 由x e r o xp a l oa l t or e s e a r c hc e n t e r ( b o bm e t c a l f e ) 提出，是数字设备公 司i n t e l 和x e r o x 在1 9 7 3 年开发的，是第一个获得广泛承认的局域网，是 最成功的也是当前应用最广泛的一种局域网。很多以太网的开发与 t n t e r n e t 协议研究相一致，结果许多基于t c p i p 的互连网络包含了以太网 山东大学硕士学位论文 段。一般的底层局域网技术采用以太网，特别是国内更是如此。从它的应用 领域来看，以太网不仅是局域网的主流技术，而且采用以太网技术组建城域 网也已成熟。以太网采用总线拓扑结构，其关键技术是c s m a c d 介质访问控 制。 以太网具有如下技术特征： 1 以太网是基带网，采用基带传输技术。 2 以太网的标准是i e e e 8 0 2 ，3 ，使用c s i a c d 访问方法。 3 以太网是一种共享型网络，网络上的所有站点共享传输媒体和带 宽。当利用率到达4 0 时，网络的响应速度明显降低。 4 以太网是广播式网络，具有广播式网络的全部特点。 5 以太网支持传输介质类型有5 0 q 基带同轴电缆、无屏蔽双绞线和 光纤。 6 以太网所构成的拓扑结构主要是总线型和星型，其中总线网络应 用最广泛。 7 以太网是可变长帧，长度范围为6 4 字节到1 5 1 4 字节。 8 以太网技术成熟，价格低廉、易扩展、易维护、易管理。 3 1 2 2 以太网体系结构 i e e e 8 0 2 3 以太网体系结构包括m a c 子层和物理层。物理层又分为物理 信令子层p l s 和物理娱体链接子层p m a 两个子层。 物理信令子层p l s 提供的功能包括向m a c 层提供服务、发送与接收时对 比特流进行编译码和载波监听；物理媒体链接子层p m a 的功能包括向p l s 子层提供服务、向媒体上发送或接收比特信号和冲突检测功能。 以太网框架格式对帧格式进行了定义，如图1 所示： 字节8662o - 1 5 0 0 o - 4 64 i 先导字段目的地址源地址类型 数据k 充字段检查和 图1e t h e r n e t 帧结构 其中先导字段做收发、收同步之用，为l o l0 1 0 1 0 序列；目的地址和源 地址为6 字节全局范围地址，即网卡地址，其中首位为0 表示普通地址，为 1 表示组地址；类型域用作高层协议标志，如0 8 0 0 1 t ( i p ) ，0 8 0 6 h ( a r p ) ， 0 x 8 0 3 5 ( r a r p ) 等；数据字段包含l l c 数据帧，如果帧少于4 6 字节就用填 山东大学硕士学位论文 充字段，使之达到最短要求；检查和长4 字节，采用c r c 一3 2 多项式生成。 应该注意的是网络接口卡的驱动程序会负责计算校验和，并取走帧中的前先 导字段和检查和字段，因此，在链路层接收到以太帧仅是其中的帧头和载荷 部分。 3 2t c p ip 参考模型”陋们 与作为理论标准的0 s i 模型形成对比的是作为实际工业标准的t c p i p 模型。t c p i p 是一个工业标准协议套件，是为跨广域网( w a n ) 的大型互连 网络而设计的，1 9 6 9 年由美国国防部高级研究计划局( d e p a r t m e n to f d e f e n c ea d v a n c e dr e s e r c hp r o j e c ta g e n c y 简称) 开发。t c p i p 的目标是 提供高速网络通信链路。 t c p i p 对应于一个4 层概念模型，称为d a r p a 模型。该模型的4 层分 别为：应用层、传输层、网际层和网络接口层，在d a r p a 模型中的每层对应 】。七层的开放系统互连( o s i ) 模型中的一层或几层，下图2 描述了t c p i p 协议的体系结构，并将其与o s i 模型对比。 一t c p i p 协议套件 回困圈曰 图2t c p i p 协议体系结构 网络接口层( n e t w o r ka c c e s sl a y e r ) 又称为网络访问层，对应于 o s i 模型的物理层和数据链路层，它负责把t c p i p 包放到网络传输介质上和 从网络传输介质上接收t c p i p 层。t c p i p 的设计独立于网络访问方法、帧 格式和传输介质，通过这种方法，t c p i p 可以用来连接不同类型的网络。 酱巍 bk#o。_，+，：曩隧 山东大学硕士学位论文 网际层( i n t e r n e tl a y e r )也称为互联网层，对应于o s i 模型的网络 层，它负责寻址、打包阱及从一台计算机通过一个或多个路由器到最终目标 的包转发机制。网际层的核心协议有：网际协议( i n t e r n e tl a y e r ，简称i p ) 、 地址解析协议( a d d r e s sr e s o l u t i o np r o t o c o l ，简称a r p r a r p ) 、i n t e r n e t 消息控制协议( i n t e r n e tc o n t r o lm e s s a g ep r o t o c o l ，简称i c m p ) 、i n t e r n e t 组管理协议( i n t e r n e tg r o u pm a n a g e m e n tp r o t o c o l ，简称i g m p ) 。 传输层( t r a n s p o r tl a y e r ) 对应于o s i 模型传输层与部分会话层功能， 它负责给应用层提供会话和数据包通讯服务。传输层的核心协议是传输控制 协议( t r a n s m is s i 0 1 3c o n t r o lp r o t o c o ，简称t c p ) 和用户数据报协议( u s e r d a t a g r a mp r o t o c o l ，简称u d p ) 。 应用层( a p p l i c a t io nl a y e r ) 对应于o s i 模型的应用层，它给应用程 序提供访问其他层服务的能力并定义应用程序用于交换数据的协议。应用层 的常用协议有：域名系统( d o m m nn a m es y s t e m ，简称d n s ) 、路出选择信息 协议( r o u t i n gi n f o r m a t i o np r o t o c o l ，简称r i p ) 、简单网络管理协议( s i m p l e n e t w o r km a n a g e m e n tp r o t o c 0 1 ，简称s n m p ) 、网络文件系统( n e t w o r kf i l e s y s t e m ，简称n f s ) 、超文本传输协议( h y p e r t e x tt r a n s f e rp r o t o c o l ，简 称h t t p ) 、文件传输协议( f i l et r a n s f e rp r o t o c o l ，简称f t p ) 、简单邮件 传输协议( s i m p l em a i lt r a n s f e r p r o t o c o l 简称s m t p ) 、终端仿真协议 t e l n e t 。 3 2 1 网际层ip 协议”“ 网际层是通讯子网的最高层，对传输层提供统一格式的数掘报，是异种 网络互连的基础。i p 协议是该层的核心协议。 i p 协议采用无连接的数据报机制，对数据进行“尽力传输”，即只负责 将分组发送到目的主机，不管传输正确与否，不作验证，不发确认，也不保 证分组的到达顺序，将纠错重传问题交由传输层来解决。它的特点是快速、 简单、效率高。 为了克服网络的异构性，网际层定义了种与硬件无关的包格式， t c p i p 使用i p 数据报( i pd a t a g r a m ) 来命名这种网际层的包，一个数据报 携带的数据量不固定，发送方根据特定的用途选择合适的数据量。大小可变 的数据报使得i p 可适应各种应用。 i p 数据报由报头( 2 0 b y t e s 的固定部分和变长的可选部分，变长部分 最长4 0 字节) + t c p 数据组成。i p 数据报格式如图3 山东大学硕士学位论文 i 、0i t l s i t z 5 1 6 l 2 0 i 2 4 12 8 ；l 】 v e r s i 。q i h l l t y p co f s e r v j c c t o t a ll e n g t h i d e n t i f i c a t i o n f l a g s f r a 舯e n t a t i o no f f s e t “”。o “” | p o o 。0 1 h e a d e ro k e c k s u p t l 图3i p 数据报结构 i p 数据报以4 位的协议版本号( v e r s io n ，当前版本号4 ) 和4 位的头 部长f 建( i l l i ) 丌始，头部长度指出以3 2 位字长为单位的头部长度。 服务类型( t y p eo fs e r v i c e ) 域包含( | 勺值指明发送方足否希望以一条 低延迟的路径或是以一条高吞吐率的路径来传送该数据报，当一个路由器知 道多条通往目的地的路径时，就可以靠这个域对路径加以选择，但事实上目 f m 几乎所有路由器都忽略服务类型域。 总长( t o t a ll e