论文部分内容阅读
随着计算机网络的迅速发展,网络管理人员不仅要防范外网用户对企业内网的入侵,还要避免内网用户对网络性能造成严重的影响。由于缺乏科学而高效的基于内网用户数据流的审计系统,在网络性能出现异常时,网管人员只能借助类似SolarWinds等软件将网络流量导出,进行逐行查看分析后,找出可疑的主机,给网络管理工作造成极大的不便。本论文为解决上述问题,讨论了网络中异常流量的种类及相关的审计方法,并设计实现了基于用户数据流的分布式网络安全审计系统。论文在确定了网络中的异常流量范围以及对网络安全审计方法进行研究的基础上,提出了两种用于检测异常流量的方法:指标统计检测和特征匹配检测。根据异常流量的工作原理和特征定义了异常检测指标,并结合中心极限定理和统计分析给出了用户数据流的抽样统计算法。最后,提出了一个基于用户数据流的分布式网络安全审计系统的框架,保证了服务器的处理能力和审计系统的扩展性能,并设计与实现了系统的各个模块。系统分为流量采集模块、审计模块、查询与报警模块,其中核心程序使用C语言编写,执行效率较高。系统采用的是分布式审计和数据集中存储的结构,提高了系统的扩展性,避免了网管人员对多个不同异常流量信息显示页面的切换操作。Web显示页面中含有异常流量统计图形,方便网管人员对网络中异常流量分布情况的了解,提高了处理的速度。该系统已在北京市西城区教育城域网中运行测试,审计结果得到了网管人员的认可。