（计算机科学与技术专业论文）基于bs架构的ngn安全态势评估系统关键技术研究与实现.pdf

北京邮电人学硕1 j 研究生毕业论文 川删f f f | f f f y 17 5 8 独创性声明 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成果。 尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包含其他人 已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他教育机构的学位 或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 塑幺日期：童里包! ：么篁 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保留并向国 家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借阅；学校可以 公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它复制手段保存、汇 编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论文注释：本学位 论文不属于保密范围，适_ h j 本授权书。 本人签名： 导师签名： 日期：趔竺兰：! 日期： = 兰! 竺：兰翌： 北京邮电人学硕i ：研究生毕业论文独创性声明 i i k 北京邮电人学硕1 j 研究生毕业论文 摘要 摘要 随着下一代网络( n g n ) 的发展，各种协议、设备及业务的种类数量 不断激增，网络环境变得越来越复杂，不安全因素越来越多，n g n 网络 的安全问题成为n g n 领域的研究热点和重点问题。为了避免n g n 网络 受到威胁和攻击，对网络进行风险评估是了解网络面临的风险状态并及 时处理的重要手段之一。 构建n g n 安全评估系统，帮助运营商实现网络的安全运营具有重要 的意义。n g n 安全风险评估系统是电信级应用系统，将包括安全数据采 集、安全数据分析、网络状态展示、系统维护管理等核心功能，需要满 足威胁事件上报的实时性要求，安全数据分散的分布式采集要求以及运 营商管理员维护管理的便捷性要求。为了满足电信级应用业务系统的分 布式、实时性、可管理、可维护的需求，论文提出了采用基于b s 架构 的n g n 安全态势评估系统的设计思想。在该设计思想的指导下，针对 n g n 安全态势评估系统特点和具体需求，基于现有b s 架构的主流技术， 进行比较、分析和优化，完成了基于b s 架构的n g n 安全态势评估系统 的设计和实现工作。 7 本论文依据n g n 安全态势评估系统的要求，深入研究分析基于b s 架构的n g n 安全态势评估系统关键技术，具体包括适应的开发语言的选 择、基于m v c 模式的开发技术、框架技术选择和优化、数据持久性技术 选择和优化等。本论文为相关问题的研发工作进行了系统化的分析、总 结，提出的优化方法具有普遍适用性和指导价值。 关键词：n g n 安全态势评估b s 架构框架技术 i i i n g n s e c u r i t ya s s e s s m e n ts y s t e mi sv e r yi m p o r t a n tt oh e l po p e r a t o r s a c h i e v et h es a f eo p e r a t i o no ft h en e t w o r k n g ns e c u r i t yr i s ka s s e s s m e n t s y s t e mi s ac a r r i e r - g r a d ea p p l i c a t i o n s ，w i l li n c l u d es a f e t yd a t ac o l l e c t i o n ， s e c u r i t y ，d a t aa n a l y s i s ，n e t w o r ks t a t u sd i s p l a y ，s y s t e mm a i n t e n a n c ea n d m a n a g e m e n ta n do t h e rc o r ef u n c t i o n s ，n e e dt om e e tt h et h r e a t so fr e a l t i m e r e p o r t i n gr e q u i r e m e n t s ，s a f e t y d a t ac o l l e c t i o nr e q u i r e m e n t sd e c e n t r a l i z e d d i s t r i b u t e d o p e r a t o r s ，m a i n t e n a n c e a n d m a n a g e m e n t ，a s w e l la st h e c o n v e n i e n c eo ft h ea d m i n i s t r a t o rr e q u i r e m e n t s i no r d e rt om e e tc a r t i e r - c l a s s b u s i n e s s s y s t e m s ，d i s t r i b u t e da p p l i c a t i o n s ， r e a l t i m e ， m a n a g e a b l e ， m a i n t a i n a b l ed e m a n d ，t h e s e sp u tf o r w a r db a s e do nb sa r c h i t e c t u r e ，n g n s e c u r i t yp o s t u r ee v a l u a t i o ns y s t e md e s i g n i nt h ed e s i g ni d e a su n d e rt h e g u i d a n c e o ft h e s e c u r i t y s i t u a t i o na s s e s s m e n t s y s t e m s f o r t h en g n c h a r a c t e r i s t i c sa n ds p e c i f i cn e e d s ，b a s e do nt h ee x i s t i n gb ss t r u c t u r eo ft h e m a i n s t r e a mt e c h n o l o g y ，c o m p a r e ，a n a l y s i s ，o p t i m i z ea n dc o m p l e t et h ed e s i g n a n di m p l e m e n t a t i o nw o r ko ft h en g ns e c u r i t ys i t u a t i o na s s e s s m e n t s y s t e m i nt h i s p a p e r ，b a s e do nn g ns e c u r i t y s i t u a t i o na s s e s s m e n ts y s t e m r e q u i r e m e n t s ，d e e p l yr e s e a r c ha n da n a l y s i st h ek e yt e c h n o l o g i e so fn g n s e c u r i t ys i t u a t i o na s s e s s m e n ts y s t e mw h i c hi sb a s e do nb sa r c h i t e c t u r e ， s p e c i f i c a l l yi n c l u d i n gt h ec h o i c eo fd e v e l o p m e n tl a n g u a g ea d a p t a t i o n ，b a s e d o nm v c p a t t e r nd e v e l o p m e n tt e c h n i q u e s ，f r a m e w o r k s ，t e c h n o l o g ys e l e c t i o n v v i 目录 目录 l 1 l 2 1 2 3 3 3 4 5 11 1l 13 1 4 第3 章 基于b s 架构的n g n s s a 系统的技术需求1 5 3 1 n g n s s a 系统技术需求分析1 5 3 2 现有b s 架构下的实现技术分析16 3 3 开发语言对比和选择18 3 3 1 基于b s 架构的开发语言简介1 8 3 3 2 开发语言比较和分析，l8 3 3 3 运行效率实验2 l 3 4 前台a j a x 框架比较和分析2 3 3 4 1 主流a j a x 框架技术简介一2 3 3 4 2 主流a j a x 框架技术对比和分析2 4 3 5 m v c 模式的框架技术分析2 6 3 5 1 m v c 模式的框架技术简介2 7 3 5 2 m v c 模式的框架技术对比和分析2 7 3 6 数据持久技术分析和选择2 9 3 6 1 数据持久技术简介一2 9 3 6 2 数据持久技术比较和分析3 0 3 6 3 数据访问性能实验3 2 3 7 本章小结3 3 第4 章b s 架构技术应用优化3 5 4 1 e x t j s 框架的应用优化3 5 4 1 1 e x t j s 框架性能优化3 5 4 1 2 e x t j s 框架的服务器推技术的扩展一3 6 4 1 3 e x t j s 框架事件机制优化3 8 4 2 h i b e r n a t e 应用优化。4 l 4 2 1 查询性能优化4 l 4 2 2 缓存优化4 2 v l i 北京邮i u 人学硕i j 研究生毕业论文 日录 4 3 本章小结4 4 第5 章基tb s 架构的n g n s s a 系统的设计与实现4 5 5 1 表现层4 6 5 1 1 p a n e l 组件4 6 5 1 2 g r i d 组件4 8 5 1 3 f o r m p a n e l 组件4 9 5 2 业务层5l 5 2 1 a c t i o n 类描述5 2 5 2 2 拦截器5 3 5 2 3配置文件。5 5 5 3 数据层二5 6 5 3 1 数据库配置。5 6 5 3 2 核，b 类描述5 6 5 4 系统测试5 8 5 4 1 测试环境5 8 5 4 2 测试用例。5 8 5 4 3 测试结果6 0 5 5本章小结6 1 第6 章结束语6 2 6 1 论文总结6 2 6 2 下一步工作计划6 2 缩l 咯语6 4 参考文献6 5 致谢工6 6 攻读学位期间发表的学术论文6 7 v i l l 北京邮电人擎硕一l ：研究生毕业论文第一章绪论 1 1 研究背景 第1 章绪论 下一代电信网【u ( n g n ) 基于i p 承载技术，融合了多种网络，其开放的网络架构， 控制、承载和业务分离的理念、设备和协议的变化都将带来有别于传统电信网的重大 安全隐患【2 j ，安全防护已是下一代电信网建设面临的巨大挑战。下一代电信网领域和 信息安全评估领域近年来一直都是国家政策重点倾向的关键研究领域。 在大规模部署下一代电信网的进程中，开展下一代电信网的安全测试与评估工作 已经是当务之急和重中之重。对n g n 安全态势评估系统的关键技术进行研究有利于 实现n g n 安全态势评估系统，有利于整个系统的风险管理，有利于对n g n 进行动 态的风险评估。它直接关系到网络运营商能否有效的监控网络上各种脆弱性和威胁， 直接关系到整个网络的安全运维。因此，研究n g n 安全态势评估系统( n g n s s a ) 关 键技术是非常必要的。 目前软件系统中存在b s 和c s 两种架构模式。与基于c s 架构的系统相比， b s 存在诸多优势更强的适应性、构件的重用、较低的系统维护成本、平台的无 关性。近年a j a x 技术的流行与普及，很好的弥补了b s 架构中浏览器端弱功能性、 弱交互性的不足，继承了c s 架构中的一些优点，因此基于b s 架构的n g n s s a 正逐 步成为领域内的研究热点。 本论文的研究属于国家8 6 3 重大项目“面向下一代电信网的安全测试评估技 术和工具”( 项目编号：2 0 0 6 0 1 0 1 2 4 0 4 9 ) 研究工作的一部分。该8 6 3 项目的主要研 究内容包括：构建面向下一代电信网的信息安全风险评估与等级保护体系模型，研究 下一代电信网安全层次划分和核心设备等级划分方法；研究下一代电信网安全测试评 估的关键技术并制定相应标准；在关键技术和相关测试标准的研究基础上，研发下一 代龟信网基础性安全风险测试评估工具，对核心设备、关键协议以及网络整体进行静 态的安全风险测试评估。结合国家基础电信网络和重要系统工程发展的需要，研发能 够对下一代电信网网络安全态势进行合理的动态评估及预测的分析技术，并开发相应 的网络安全态势评估与预测系统。 1 2 研究意义和目标 从整体上看，国际上对n g n 网络的安全评估研究目前尚处于起步阶段，而目前 市场上也还没有出现n g n 安全态势评估系统，针对n g n s s a 的技术研究更是处于 北京邮i 也人学硕i ：研究生毕业论义 第一章绪论 一片空白。 相比与c s 架构的软件，b s 架构存在诸多优势一使用方便、维护成本低、平 台无关等等，特别是a j a x 技术成熟后，也使得更多的软件能够直接使用b s 架构来 实现，因此对n g n s s a 的b s 架构关键技术进行研究有利于实现n g n s s a ，有利于 整个系统的风险管理，有利于对n g n 进行动态的风险评估。它直接关系到网络运营 商能否有效的监控网络上各种脆弱性和威胁，直接关系到整个网络的安全运维。因此， 本着防患于未然的原则，研究n g n 安全态势评估系统的关键技术是十分有必要的。 1 3 研究生期间主要工作 研究生期间主要参与了实验室的两个项目： 1 ) 面向下一代电信网的安全测试评估技术与工具。在该8 6 3 项目中本人参与通 用管理子系统的概要设计和详细设计、负责通用管理子系统部分开发工作( 代 码量约一万) 、负责系统测试部署环境搭建。另外本论文的撰写主要以该项目 研究工作为基础。 2 ) 唯美音乐平台。该项目中本人作为组长组织分配开发及测试任务、控制项目 进度、设计系统架构并搭建系统开发环境、编写核心基础代码( 代码量约两 万) 、组织优化提高系统性能。 在此期间，本人还负责管理维护安全组主要资产。 通过实验室的研究开发工作，不仅掌握了专业技能，而且提升了研究的理论水平， 使自己能够更加适应以后的工作环境。 1 4 论文的结构 本论文共分为六章。 第一章介绍了下一代网络所面临的安全问题，阐述了本论文研究的意义和目的。 第二章介绍了b s 软件系统开发架构的概念及与c s 架构的对比，另外从需求、 功能及软件架构三方面介绍了n g n 安全态势评估系统。 第三章通过分析系统技术需求，找出了系统所需的关键技术，并对这些关键技 术的实现技术做了对比分析，最终得出了系统所需的技术实现。 第四章介绍了系统所需关键技术在应用实现中的优化，包括e x o s 框架应用优化 和h i b e r n a t e 应用优化。 第五章从技术的角度介绍了基于b s 架构的n g n 安全态势评估系统的设计和 实现。 第六章结束语，包括个人工作的总结和下一步的研究工作展望。 2 北京邮电人学硕j j 研究生毕业论文 第二章相关知识介绍 2 1n g n s s a 系统 第2 章相关知识介绍 n g n 安全态势评估系统( n g n s s a ) 是国家8 6 3 项目“面向下一代电信网的安 全测试评估技术及工具 重点支持开发的工具。该系统主要通过对一个实际网络安全 态势评估的过程进行软件化，处理过程智能化，评估结果图形化来评估具体网络。 n g n 网络中的资产存在各种各样的脆弱性，容易遭受到的攻击，从而存在种种 风险。n g n s s a 就是要通过对目标网络的资产进行管理，对威胁和脆弱性进行分析， 从而得到网络中的安全风险态势。 2 1 1 总体需求 n g n s s a 是对n g n 安全态势评估的过程中的一个主要的工具，整个系统包括资 产、威胁和脆弱性信息采集，拓扑信息发现，资产价值计算，脆弱性分析，威胁分析， 风险分析，风险展示，报警，以及任意w e b 服务系统最基本的用户管理，日志记录。 需要根据整体网络视图进行风险评估，将资产、漏洞和威胁紧密结合，对网络设 备及结构的脆弱性、安全威胁水平进行量化评估，使用户能够清楚地看到单个设备资 产、整个网络资产存在的风险，还能够看到资产、脆弱性、威胁等的详细统计信息( 如 网络中漏洞的分布情况、风险级别排名较高的资产等) ，帮助用户对网络中存在的风 险有一个整体、直观的认识。并通过对安全信息的深度挖掘和信息关联，对网络攻击 行为进行预测，在网络安全事件发生之前，为用户提供一个比较准确的网络安全状态 发展趋势，使用户能够及早采取安全措施，防范于未然。 从宏观上来看，实时动态评估在功能上要体现出两个功能点：一个是时间连续性 要求，二是实时处理要求。下面主要从这两个角度来分析系统的功能属性。 ( 1 ) 时间连续要求 简单而言，动态的评估方法应该是一个连续的不断循环的评估过程。动态的风险 评估方法要求在进行完初次评估之后，在时间轴上继续收集风险数据，周期性重复风 险评估过程。动态评估方法的核心是实现评估方法的自反馈功能，要能够在不断的评 估过程中修正评估结果。 ( 2 ) 实时处理要求 实时处理能力要求整个系统的在进行数据处理时对时间高度敏感，评估流程要有 明显而严格的时间周期。 3 北京邮电人学硕i ：研究生毕业论文 第_ 二章相关知识介绍 从面向用户的角度，最基本的功能要求如下： 按层次结构显示整个系统中业务及相应资产的风险值。 系统参数必须能够显示，并为管理员修改系统参数提供支持。 应该提供数据备份功能，包括自动和手动备份功能 对操作人员有授权限制，保证只有授权人员才能进行相应等级的操作 应提供打印设置和打印功能 系统应该对所有登陆及操作提供日志功能 当资产或业务或系统的风险值超过一定范围时应向系统管理员报警 应该对系统安全态势具有一定预测功能，为资产风险排序 2 1 2 功能划分 从软件功能上讲，整个评估系统提供资产管理、脆弱性分析、威胁性分析、风险 计算的功能；而从每个功能实现的角度上，可将系统在逻辑上分为采集层、分析层、 展示层和系统服务。 图2 一l 系统功能模块图 采集层 系统通过部署在网络中的威胁s e n s o r 、脆弱性s e n s o r 、资产s e n s o r 分别采集态 势评估过程中所需的威胁数据、脆弱性数据和资产信息数据。这三类s e n s o r 都受到 s e n s o r m a n a g e r 的统一管理，并通过s e n s o r m a n a g e r 将所得到的数据进行格式转换， 转换后的数据交给上层分析层处理。资产s e n s o r 包括主机信息采集s e n s o r 和网络拓扑 4 北京邮电人学硕：j ：研究生毕业论文第二章相关知识介绍 发现s e n s o r ，主要部署在具体的资产上。威胁s e n s o r 主要负责整个网段的威胁扫描， 一般部署在网段中的任意主机上或者网段交换机的镜象插口。而脆弱性s e n s o r 则部署 在本地。 分析层 根据系统对分析实时性的要求不同，分析可分为资产分析和数据分析。 数据分析又分为在线分析和离线分析。在线分析在系统中，又称之为一级分析， 主要用于威胁事件的和脆弱性的初级分析，另外，由于系统需要对紧急威胁事件进行 实时反应，所以在线分析需要实时上报威胁事件；离线分析又称二级分析，指的是对 威胁、脆弱性，风险，及其关联信息进行分析。威胁性关联分析，脆弱性关联分析以 及风险计算都是基于一级数据处理的基础上进行，因此采用离线的方式对一些为发生 的攻击事件进行预测。 资产分析是对采集到的原始主机信息和拓扑信息，进行分析处理，以供给用户展 示。 展示层 显示部分是整个系统与用户的接口，应该反映用户的需求，当然，同时也要满足 整个态势评估的流程。显示部分主要包括对资产的管理信息，威胁的分析结果，脆弱 性的关联关系，风险值的变化趋势和针对下一代网络的s i p 威胁和脆弱性的展示，并 将资产与脆弱性、威胁和风险进行联系，给用户以直观地综合信息的显示。 系统服务 系统服务是维持系统完整性和安全性不可或缺的部分，主要功能有用户管理、日 志管理、嗅探器配置等。 2 i 3 软件架构 结合按系统功能划分的模块，为了便于软件设计与开发工作，对系统功能进行了 重新组合和划分。首先，对于系统的软件结构如下图所示： 北京邮i 乜人学硕1 ：研究生毕业论文第一二章相关知识介绍 图2 2 系统软件架构图 上图体现了系统的软件架构，从软件实现的角度把系统划分为上述几个模块。按 照功能，将系统分为了通用管理子系统、资产分析子系统、数据分析子系统、数据采 集子系统。其中，通用管理子系统包括s y s t e mm a n a g es e r v e r ，提供用户使用本系统 的接口，并提供显示界面以供展示用户操作的反馈；资产分析子系统包括a s s e t s e r v e r ，提供把采集到的拓扑发现和主机信息进行相应分析的功能；数据分析子系统 包括a n a l y s es e r v e r ，相关威胁和脆弱性分析信息的存储与管理；数据采集子系统包 括s e n s o rm a n a g e r ，部署在网络中的各种s e n s o r 等。 2 1 3 1 通用管理子系统 通用管理子系统的功能是向用户提供w e b 访问的平台，完成接收用户指令、配 置，执行用户指定操作，调用其它后台程序工作，并以多种形式向用户展示操作结果。 6 北京邮f 乜人学硕十研究生毕业论文第- 二章相关知识介绍 通用管理子系统的按功能划分为7 个方面：资产，网络拓扑，态势评估，s i p 评估， 威胁，脆弱性和系统管理。 如下图所示i 通用管理子系统主要功能模块包括： 资产 在资产中向用户提供关于资产操作的能力。包括设置服务域，编辑业务属性，编 辑资产属性，设置资产业务关联关系，计算资产价值并向用户展示计算前后结果，发 起采集资产信息任务。 网络拓扑 在网络拓扑中向用户提供使用网络拓扑发现功能的能力。包括设置待拓扑发现的 网段信息，设置路由器与网段的关联关系，发起拓扑发现任务。 态势评估 在态势评估中向用户提供了查看系统结果的能力。包括查看网络安全态势图，查 看业务风险信息及业务风险变化趋势图，查看资产价值信息，查看系统最新安全警告， 资产警告和业务警告。 s i p 评估 在s i p 评估中向用户提供了针对s i p 评估信息查看的能力。包括查看s i p 流量图， 查看s i p 洪泛攻击图，查询s i p 流量信息，查看针对s i p 的威胁信息，查看针对s i p 的脆弱性信息。 威胁 在威胁中向用户提供关于威胁操作的能力。包括配置威胁规则，查看威胁信息， 查看威胁关联图，发起威胁扫描任务。 脆弱性 在脆弱性中向用户提供关于脆弱性操作的能力。包括选取脆弱性插件，查看脆弱 性信息，发起脆弱性扫描任务。 系统管理 在系统管理中向用户提供关于管理和配置系统的能力。包括配置嗅探器，查看同 志信息，查看当前登录用户信息，修改当前登录用户密码，增加删除用户。 7 北京邮电人学顾l j 研究生毕业论文 第二章相关知识介绍 回回回匦回圆圈 l 囤 ；回| | 囤ll 叵ii 匝圃l 区圃 | 囤 臣虿困ii 匝而口i ；网ii 圊il 隔丽研ii 阿 ；n 磊订j l 业务编辑| ：jl 拓扑编辑：jl 威胁评估i ：il 洪泛攻击图l ：；i 脆弱性评估i ：厂一亚雾萍石 ：r 1 五季i 砸 j 一l 一 i l 一 i l - 一 l 一 一 i 一 | i 童生塑| ；| i 塑塑i | | ! 壁口川墅苎垒塑匝藕蜀；l 臣而妇；ln 丽钉； 。- - o _ _ - - - - - - l - _ - - - - - _ h - _ - - - _ 一i 。1 。1 。l l_。iil一j l 圈 ；囤 ；回 囤；网司i。一 l 婴i 里 熙j i 资产信息采集i ： 2 1 3 2 资产分析子系统 资产是网络中所有网络设备及其上运行的程序的总称。资产实际上是我们评估过 程中的一个纽带。资产分析子系统主要完成把采集到的原始拓扑和主机信息进行相应 分析，以向用户展示。 如下图所示，系统的主要功能模块包括： 拓扑发现分析 拓扑发现分析是把采集模块采集到的原始拓扑信息进行进一步处理，使其满足展 示的需求，并保存至数据库。 主机信息分析 设备信息分析是把采集模块采集到的原始主机信息进行进一步处理，使其满足展 示的需求，并保存至数据库。 2 1 3 3 数据分析子系统 d a t a b a s e 图2 _ 4 资产分析子系统软件框图 数据分析子系统是整个系统最关键的部分。对采集到的数据进行有效的分析是对 评估方法进行有效验证的关键。该部分主要负责对目标网络的脆弱性，威胁性和风险 的分析和计算，并将结果展现出来。 数据分析子系统如下图所示，根据分析子系统的动态与静态特性，系统的主要功 能模块包括： 在线分析 在线分析模块的主要功能是对收到的脆弱性数据和威胁数据进行分析，实时地得 到威胁事件，并进行有效的预警。 离线分析 离线分析模块主要完成的功能是对威胁事件进行关联分析，对脆弱性进行关联分 析得到攻击匹配以预测攻击的预测，并对评估网络风险态势进行分析和预测。 9 北京t t t gm1 1 人学硕1 ：研究生毕业论文 第二章相关知识介绍 d a t a b a s e 图2 5 数据分析子系统软件框图 数据采集子系统是系统收集评估所需信息的部分，主要负责对评估对象信息的采 集，对s e n s o r 进行实时地监控和管理。 数据采集子系统的如下图所示，主要的功能模块包括： t h r e a ts e n s o rm a n a g e 本模块主要负责系统威胁数据的提取，威胁扫描策略的具体实施，威胁s e n s o r 的监控工作。 v u l ns e n s o rm a n a g e 本模块主要负责系统脆弱性信息的获取，脆弱性扫描策略的执行，脆弱性s e n s o r 的监控与管理。 a s s e ts e n s o rm a n a g e 本模块主要负责系统资产信息的采集，资产更新策略的执行，资产s e n s o r 的监 1 0 北京邮电大学硕j 二研究生毕业论文第二章相关知识介绍 控与管理任务。 m a n a g e a n a l y s e a s s e t s e r v e rs e r v e rs e r v e r s e n s o rm a n a g e r t h r e a tv u l na s s e t s e n s o r s e n s o rs e n s o r m a n a g e ，m a n a g e m a n a g e 彩”t j 獭 笏夥”。= 形磁 髯印。j 嘲”嬲”嘞 墓s e n s o r4 ；s e n s o r 麓萋s e n s o r 。i k 。幺t ，l 。i 缓 ! ，蠢 i 锰。缸? 瘟，缸，商穗缓磁，。荔：。，。磊。篇 图2 - 6 数据采集子系统软件框图 d a t a b a s e 2 2 软件系统开发架构 ， c s 架构和b s 架构是当今世界开发模式技术架构的两大主流技术。 b s ( b r o w 酬s e 神架构【3 1 是w e b 技术兴起后的一种网络结构模式，也是当前十 分流行的软件开发模式，而c s ( c l i e n t s e r v e r ) 架构是传统的网络软件开发模式。目前 随着b s 架构的成熟，有进一步取代c s 架构成为主流软件开发模式的趋势。 2 2 1基本概念 c s ( c l i e n t s e r v e r ) 架构，即大家熟知的客户机和服务器的架构。它是软件系统 体系结构，通过它可以充分利用两端硬件环境的优势，将任务合理分配到c l i e n t 端和 s e r v e r 端来实现，降低了系统的通讯开销。目前大多数应用软件系统都是c l i e n t s e r v e r 形式的两层结构，由于现在的软件应用系统正在向分布式的w e b 应用发展，w e b 和 c l i e n t s e r v e r 应用都可以进行同样的业务处理，应用不同的模块共享逻辑组件；因此， 内部的和外部的用户都可以访问新的和现有的应用系统，通过现有应用系统中的逻辑 可以扩展出新的应用系统。这也就是目前应用系统的发展方向b s 架构。 b s ( b r o w s e r s e r v e r ) 架构即浏览器和服务器架构，是随着i n t e r n e t 技术的兴起， 对c s 结构的种变化或者改进的结构。在这种结构下，用户工作界面是通过w w w 北京邮电人学硕l ：研究生毕业论文第一二章相关知识介绍 浏览器来实现，极少部分事务逻辑在前端( b r o w s e r ) 实现，但是主要事务逻辑在服 务器端( s e r v e r ) 实现，形成所谓三层3 - t i e r 结构。这样就大大简化了客户端电脑载 荷，减轻了系统维护与升级的成本和工作量，降低了用户的总体成本。 c l i e n t s e r v e r 是建立在局域网的基础上的，b r o w s e r s e r v e r 是建立在广域网的基础 上的。它们存在如下区别： 1 ) 硬件环境不同 c s 一般建立在专用的网络上，小范围里的网络环境，局域网之间再通过专门服 务器提供连接和数据交换服务。b s 建立在广域网之上的，不必是专门的网络硬件环 境，例如电话上网，租用设备，信息自己管理，有比c s 更强的适应范围，一般只要 有操作系统和浏览器就行。 2 ) 对安全要求不同 c s 一般面向相对固定的用户群，对信息安全的控制能力很强。一般高度机密的 信息系统采用c s 结构适宜，可以通过b s 发布部分可公开信息。b s 建立在广域网 之上，对安全的控制能力相对弱，面向是不可知的用户群。 3 ) 对程序架构不同 c s 程序可以更加注重流程，可以对权限多层次校验，对系统运行速度可以较 少考虑。b s 对安全以及访问速度的多重的考虑，建立在需要更加优化的基础之上。 比c s 有更高的要求，b s 结构的程序架构是发展的趋势，从m s 的n e t 系列的 b i z t a l k 2 0 0 0 e x c h a n g e 2 0 0 0 等，全面支持网络的构件搭建的系统。s u n 和i b m 推的 j a v a b e a n 构件技术等，使b s 更加成熟。 4 ) 软件重用不同 c s 程序可以不可避免的整体性考虑，构件的重用性不如在b s 要求下的构件的 重用性好。b s 对的多重结构，要求构件相对独立的功能。能够相对较好的重用。就 如买来的餐桌可以再利用，而不是做在墙上的石头桌子。 5 ) 系统维护不同 系统维护是软件生存周期中，开销大，相当重要。c s 程序由于整体性，必须整 体考察，处理出现的问题以及系统升级难，可能是再做一个全新的系统。b s 构件组 成方面构件个别的更换，实现系统的无缝升级。系统维护开销减到最小，用户从网上 自己下载安装就可以实现升级。 6 ) 处理问题不同 c s 程序可以处理用户面固定，并且在相同区域，安全要求高的需求，与操作系 统相关，应该都是相同的系统。b s 建立在广域网上，面向不同的用户群，分散地域， 这是c s 无法作到的，与操作系统平台关系最小。 北京邮l 乜人学硕- j ：研究生毕业论文第二章相关知识介绍 7 ) 用户接口不同 c s 多是建立在w i n d o w 平台上，表现方法有限，对程序员普遍要求较高。b s 建立在浏览器上，有更加丰富和生动的表现方式与用户交流，并且大部分难度减低， 降低开发成本。 8 ) 信息流不同 c s 程序一般是典型的中央集权的机械式处理，交互性相对低。b s 信息流向可 变化，b b 、b c 、b g 等信息流向的变化，更象交易中心。 2 2 2 两种架构优劣势对比 b s 架构最大的优点是可以通过浏览器在任何地方进行系统操作而不用安装任 何专门的软件，客户端可以做到零维护，系统容易扩展。目前b s 架构的使用越来越 多，特别是由需求推动了a j a x 技术的发展，它的程序也能在客户端电脑上进行部分 处理，从而大大的减轻了服务器的负担，并增加了交互性，能进行局部实时刷新。 具体而言，b s 架构相比于c s 架构有如下特点： 1 ) 维护和升级方式简单 目前，软件系统的改进和升级越来越频繁，b s 架构的产品明显体现着更为方便 的特性。对一个稍微大一点单位来说，系统管理人员如果需要在几百甚至上千部电脑 之间来回奔跑，效率和工作量是可想而知的，但b s 架构的软件只需要管理服务器就 行了，所有的客户端只是浏览器，根本不需要做任何的维护。无论用户的规模有多大， 有多少分支机构都不会增加任何维护升级的工作量，所有的操作只需要针对服务器进 行；如果是异地，只需要把服务器连接专网即可，实现远程维护、升级和共享。所 以客户机越来越“瘦 ，而服务器越来越“胖”是将来信息化发展的主流方向。今后， 软件升级和维护会越来越容易，而使用起来会越来越简单，这对用户人力、物力、时 间、费用的节省是显而易见的，惊人的。因此，维护和升级革命的方式是“瘦”客户 机，“胖服务器。 2 ) 成本降低，选择更多 大家都知道w i n d o w s 在桌面电脑上几乎一统天下，浏览器成为了标准配置，但 在服务器操作系统上w i n d o w s 并不是处于绝对的统治地位。现在的趋势是凡使用 b s 架构的应用管理软件，只需安装在l i n u x 服务器上即可，而且安全性高。所以服 务器操作系统的选择是很多的，不管选用那种操作系统都可以让大部分人使用 w i n d o w s 作为桌面操作系统电脑不受影响，这就使得最流行免费的l i n u x 操作系统快 速发展起来，l i n u x 除了操作系统是免费的以外，连数据库也是免费的，这种选择非 常盛行。 3 ) 应用服务器运行数据负荷较重 1 3 北京邮电人学硕1 ：研究生毕业论文第二章相关知识介绍 由于b s 架构管理软件只安装在服务器端( s e r v e r ) 上，网络管理人员只需要管 理服务器就行了，用户界面主要事务逻辑在服务器( s e r v e r ) 端完全通过w w w 浏览 器实现，极少部分事务逻辑在前端( b r o w s e r ) 实现，所有的客户端只有浏览器，网 络管理人员只需要做硬件维护。但是，应用服务器运行数据负荷较重，一旦发生服务 器“崩溃”等问题，后果不堪设想。因此，许多单位都备有数据库存储服务器，以防万 2 3 本章小结 本章主要介绍了n g n s s a 系统和b s 架构相关概念。首先阐述了n g n s s a 系统 总体需求、功能划分及软件架构，接着介绍了软件系统开发架构，包括b s 架构和 c s 架构，然后对比分析了这两种架构的优劣势。 通过对比分析，b s 架构相对c s 架构有诸多优势，特别是在a j a x 技术成熟以 后极大的完善了b s 前后台通信方式，也使得基于b s 架构的软件模式更加成熟，因 此本文的研究重点放在了基于b s 架构基础上的软件开发技术。 1 4 北京邮电大学硕士研究生毕业论文第三章b s 架构关键技术分析 第3 章基于b s 架构的n g n s s a 系统的技术需求 3 1n g n s s a 系统技术需求分析 根据上一章对n g n s s a 系统的需求分析及功能要求，总结得出n g n s s a 系统的 技术要求： 1 ) 跨平台支持 由于系统的部署环境是很难确定的，如果只支持某一类平台，必然会限制系统将 来的应用，因此系统需要能够支持跨平台。 2 ) 运行速度快 系统后台需要不断的对实时采集到的大量威胁信息进行分析处理，因此对开发语 言、运行环境等有较高的要求。 3 1 扩展丰富 系统需要绘制动态拓扑图、威胁关联图，生成实时数据图表、处理分析大数据等 等，这些都是企业级应用，所选择的开发语言必须存在实现这些应用的扩展技术。 4 1 良好的用户体验 系统的使用客户并非内部用户，而是面向一个庞大的网络运营商用户群，因此良 好的用户体验很重要。 5 ) 功能强大的客户端 系统需要呈现多种图表以及d a t a g r i d ，需要使用u i 足够强大丰富的前端开发技 术。 6 ) 易于测试 系统需要测试的功能点很多，如果所使用技术不便于测试，将会拖延项目工程进 度。 7 ) 数据可移植性好 将来系统部署环境的不确定性要求它所使用的数据库也能够平滑的迁移而无需 改变程序或者改动很少。 8 ) 高并发处理能力 n g n s s a 系统是