（通信与信息系统专业论文）校园网流量管理及异常监测系统的研究与实现.pdf

高校教师硕十学位论文 i i i 摘要 随着校园网络建设的不断发展，许多高校的校园网络都已经具有了一定的规 模，基于网络的教学与办公等应用的广泛开展，使得用户对网络的依赖性越来越 强。日益增长的网络用户和接入设备都给校园网络的安全、稳定和速度带来了压 力，网络管理人员必须充分了解网络的运行状况，及时确定网络r f l 的故障点，争 取在网络问题还没有完伞大范围、严重显现之前就做出判断和响应。 近来，因特网上的蠕虫病毒多如牛毛，网络用户的电脑一不小心便会中毒， 而此类病毒大多都具有强大的攻击行为及感染行为，于是青海大学校园网络这利， 开放的局域网络架构便首当其冲。青海大学校园网络便常苦于无法有效迅速的实 时解决病毒的破坏行为，一旦有病毒发作，产生攻击行为或是破坏行为，与遭受 攻击之计算机同网段或是同楼层之使用者们都会遭受影响，轻者网络缓慢，重则 整栋大楼网络瘫痪，发作情况不胜枚举。在这利，情况下，设计一套高效的网络性 能监测及异常行为侦测防御系统就显得尤为必要。 网络管理协议是实现网络豁测和管理功能的必不可少的部分，如今最重要的 网络管理协议是基于o s i 的公共管理信息协议( c m i p ) 、基于t c p i p 的简单网 络管理协议( s n m p ) 和思科的n e t f l o w ，简单网络管理协议( s n m p ) 由于其简 单性，协议容易更新，并且可以方便地扩展功能以满足用户未来的管理需求，而 被众多j 商支持。但是s n m p 也有其自身的缺陷，它只能提供比较粗糙和简略的 网络信息，这些信息只能让管理者发现部分问题，难以进一步对出现的问题采取 相应的解决措施。为了克服上述存在的问题，本文在研究s n m p 协议基础上，结 合n e t f l o w 技术，基于现有的开发平台和实验环境，详细设计和实现一个针对高校 校园网应用的网络性能监测及异常行为侦测防御系统，采用模块化设汁的思想把 整个系统分为三个了系统，并详细设计子系统之间的互联和数据接i j 。该系统采 用p h p 结合p e r l 语言进行编写，能监测和分析网络流量，侦测异常流量，发现异常 时及时报告网络管理人员。 关键词：网络管理；病毒；网络监控；s n m p ；n e t fio w 校同m 流帚：箭肿及异常哝测统系统的研究与。戈现 量曼量曼皇曼鼍曼曼曼皇曼曼蔓曼皇曼量曼曼曼曼鼍! 曼曼曼曼! 蔓曼曼曼曼曼曼曼曼曼曼曼! 曼曼舅皇曼皇曼毫曼! 鼍曼皇曼曼皇_ 一i i i 皇曼曼曼量曼曼曼曼曼皇皇皇曼舅 a b s t r a c t w i t ht h ec o n t i n u o u sd e v e l o p m e n to ft h ec a m p u sn e t w o r kc o n s t r u c t i o n ，t h e r eh a s b e e nac e r t a i ns c a l eo fc a m p u sn e t w o r ki nm a n yc o l l e g e sa n du n i v e r s i t i e s ， w h e r e n e t w o r k b a s e da p p l i c a t i o n ss u c ha st e a c h i n ga n do f f i c et oc a r r yo u t ，e n a b l eu s e r s i n c r e a s i n g l yd e p e n d e n to nn e t w o r k s t h eg r o w i n gu s e r so fn e t w o r ka n dd e v i c e sh a v e p u tp r e s s u r eo nt h es e c u r i t y ，s t a b i l i t ya n ds p e e do fc a m p u sn e t w o r k t h e r e f o r e ， n e t w o r km a n a g e r sm u s tf u l l yu n d e r s t a n dt h eo p e r a t i o nc o n d i t i o n so ft h en e t w o r k ， a s s i g nt h ef a i l u r ep o i n t so fn e t w o r k ， a n ds t r i v et om a k et h ej u d g m e n ta n dr e s p o n s e b e f o r en e t w o r kp r o b l e m ss e r i o u s l yo c c u r so nac o m p l e t e l yl a r g es c a l e r e c e n t l y ， v i r u s e sg o i n gr o u n da m o n gt h ei n t e r n e ta r ep l e n t i f u la sb l a c k b e r r i e s t h a tc o m p u t e r sw i l lb ep o i s o n e da c c i d e n t a l l y m e a n w h i l e ，m o s to ft h e s ev i r u s e sh a v e as t r o n ga t t a c ka n di n f e c t i o nb e h a v i o r ，w h i c hw i l lm a k et h ec a m p u sn e t w o r ko f s h a n g h a io c e a nu n i v e r s i t y ， s u c ha no p e nn e t w o r ka r c h i t e c t u r e ， b e a rt h eb r u n t a s ar e s u l t ，t h ec a m p u sn e t w o r ka t s h a n g h a io c e a nu n i v e r s i t y h a so f t e nb e e n h a r d p r e s s e dt os o l v et h ev i r u s a c t so fd e s t r u c t i o ne f f i c i e n t l ya n de f f e c t i v e l yi nr e a l t i m e o n c eav i r u sa t t a c k sac o m p u t e r ， r e s u l t i n gi na g g r e s s i v eb e h a v i o ro ra c t so f s a b o t a g e ，t h eu s e r sw h oa r eo nt h es a m ef l o o ro rw h o s ec o m p u t e r sa r ei nt h es a m e s e g m e n ta st h ea t t a c k e dc o m p u t e r ， w i l lb ea f f e c t e d i ft h ec o m p u t e ri sa f f e c t e dt oa l e s s e re x t e n t ，t h en e ts p e e dw i l lj u s tb es l o w ， b u ts o m es e r i o u sc a s e sc a nl e a dt o p a r a l y s i so fn e t w o r k sa tt h ew h o l eb u i l d i n g ， w i t hav a r i e t yo fa t t a c k s i nt h i sc a s e ， t h ed e s i g no fah i g h l ye f f i c i e n tn e t w o r kp e r f o r m a n c em o n i t o r i n ga n dd e f e n s es y s t e m t od e t e c ta b n o r m a lb e h a v i o ri sp a r t i c u l a r l yn e c e s s a r y n e t w o r km a n a g e m e n tp r o t o c o li sa ne s s e n t i a l p a r to ft h ea c h i e v e m e n tf o r n e t w o r km o n i t o r i n ga n dm a n a g i n g t o d a y ，t h em o s ti m p o r t a n tn e t w o r km a n a g e m e n t p r o t o c o li sb a s e do no s i sp u b l i cm a n a g e m e n ti n f o r m a t i o np r o t o c o l ( c m i p ) ，t h e s i m p l e n e t w o r km a n a g e m e n tp r o t o c o l( s n m p )i nt h et c p i pa n dc i s c o s n e t f l o w s i m p l en e t w o r km a n a g e m e n tp r o t o c o l ( s n m p ) i ss u p p o r t e db ym a n y m a n u f a c t u r e r sb e c a u s ei ti ss i m p l e ， e a s yt ou p d a t e ， a n di tc a ne a s i l ys c a l et om e e t t h eu s e r s m a n a g i n gn e e d si nt h ef u t u r e h o w e v e r ，s n m ph a si t so w ns h o r t c o m i n g s i to n l yp r o v i d e sr o u g ha n db r i e fn e t w o r ki n f o r m a t i o n ， f r o mw h i c ht h em a n a g e r s c o u l do n l yf i n do u ts o m eo ft h ei s s u e s ，s ot h a tf u r t h e rp r o b l e m sa r ed i 佑c u l tt ob e t a k e nc o r r e s p o n d i n gm e a s u r e st or e s o l v e i no r d e rt oo v e r c o m et h ea b o v ep r o b l e m s ， i nt h i ss t u d yb a s e do nt h es n m p p r o t o c o l ，c o m b i n e dw i t hn e t f l o wt e c h n o l o g y ，t h e i l 高校教师硕士学位论文 a u t h o r d e s i g n s a n d i m p l e m e n t s a c a m p u s n e t w o r k a p p l i c a t i o n f o rn e t w o r k p e r f o r m a n c em o n i t o r i n ga n dd e f e n s es y s t e mt od e t e c ta b n o r m a lb e h a v i o ra n di t d i v i d e di n t ot h r e es u b s y s t e m s ，d e s i g n e dt h ed e t a i l e dd e s i g no ft h ei n t e r n e ta n dd a t a b e t w e e ns u b s y s t e m si n t e r f a c e t h es y s t e mu s e sp h p ， c o m b i n i n gw i t ht h ep e r l l a n g u a g e ， c a nm o n i t o ra n da n a l y z en e t w o r kt r a f f i c ，d e t e c ta b n o r m a lt r a f f i c ，a n d w a r nm a n a g e m e n ts t a f fo fa b n o r m a ln e t w o r ki nr e a lt i m e k e yw o r d s ：n e t w o r km a n a g e m e n t ，v i r u s ，n e t w o r km o n i t o r i n g ，s n m p ， n e t f l o w 校同h 流帚臀婵及丹常慨测统系统n 勺研究与炙观 插图索引 图2 1s n m p 通讯方式5 图2 2m i b 树形结构6 图2 3n e t f l o w 架构7 图2 。4l a m p 工作原理图一9 图2 5i p f i x 系统结构1 1 图3 1 系统总体架构1 5 图3 2 异常行为判断执行流程1 7 图3 3 异常流量分析流程1 9 图4 1 e c l i p s eg u i 2 5 图4 2 三大模块关系图2 6 图4 3 数据采集予系统线程2 7 图4 4 数据存储子系统功能图2 9 图4 5i p f i xf l o w 数据库3 1 图4 6t a b l e ：t e m p l a t es e t 3 2 图4 7t a b l e ：t e m p l a t es e t 3 2 图4 8t a b l e ：d a t ar e c o r d s 3 3 图4 图4 图4 图4 图4 9 t a b l e ：t r a n s _ p r o t o s t a t ( 1 ) 3 4 10t a b l e ：t r a n s _ _ p r o t o s t a t ( 2 ) 3 4 11 t a b l e ：t r a n s _ p o r t s t a t 3 4 12t w a v e r 功能结构3 6 1 3 测量显示端模型3 7 图5 1 系统测试环境3 9 图5 2 出l j 协议流量分布图4 0 图5 3 协议流量比例分布图4 0 图5 4i p 流量t o p n 图4 l 图5 5 网络设备及服务器状态图4 2 图5 6 网络设备端口流量图4 3 图5 7 服务器进程j l 控图4 3 i v 高校教师硕十学位论文 附表索引 表3 1 网络协议端口1 8 表3 2 用户表( u s e ra u t ) 2 0 表3 3 主机信息表( h o s t ) 2 0 表3 4 异常流量表( a b n o r m a lt r a f f i c ) 一2 1 表3 5 服务端口映射表( s e v i c ep o r t ) 2 1 表3 6 绘图颜色信息表( c o l o r s ) 2 1 表3 7 阈值警告表( t h o l dd a t a ) 2 2 表3 8 用户同志( u s e rl o g ) 2 2 表5 1 异常i p 列表图4 1 v 高校教师硕十学1 = ) = 论文 第1 章绪论 1 1 课题研究的目的和意义 近年来随着学校教育改革的持续推进，信息化建设已经成为改革进步的必要 因素之一。而随着信息化建设的持续发展所应运而生的问题足更多大学在网络管 理上面临着巨大挑战，因此如何在现有网络架构上，实现对网络带宽的优化管理 以及监控和分析网络流量，且能同时确保学校网络的安全性、稳定性和提高网络 运行效率，已经成为网络管理者共同的目标。青海大学在信息化建设的道路上， 主要面临着以下挑战： 一、网络堵塞问题发生次数频繁，致使关键性应用服务的稳定性无法保证。 由于高校的网络一般都是宽松式管理，对各种网络应用程序的使用不会加以限制， 这造成了大量网络带宽的不当使用，i m ，网络游戏，在线购物，在线音乐和视频 等占用了有限网络带宽的状况，导致网络堵塞，相对影响到关键性应用服务，例 如：对外发布的w e b 及m a i l 服务、网上资料的查询、网上课堂、在线教务、 视频会议等的使用不能正常进行。如何保障必要带宽，有效地维持各种关键性应 用服务的正常进行，是网络管理者面临的挑战之一。 二、p 2 p 等软件的大量使用，增加了网络管理者监控和管理网络流量的难度。 随着宿舍网络的全面推进，经过粗略统计，学生使用p 2 p 等网络下载软件和网络 电视软件( 如e m u l e 、b t 、p p s t r e a m ) 占用了网络将近6 0 7 0 的带宽资源。由 于这类软件使用了动态端口，同时将本身的文件传输流量伪装成h t t p 流量，这 些都很难被防火墙、路由器以及其它的过滤设备发现。尽管网络管理者知道在网 络上有此种应用服务在运行，但却无法进行有效的监控和管理这些流量。 三、异常流量( 如黑客攻击、病毒爆发所引起的异常流量) 的监控和管理。 当网络中的某台电脑感染病毒时，该电脑可能会持续不断的往外发送大量的数据 包，造成网络异常拥堵，这些流量大量占用了有限的带宽资源，致使整个校园网 反应缓慢、效能降低。更有一些电脑感染了a r p 木马，会致使所在的网段的网络 完全瘫痪。所以如何控制被感染的电脑对外发送数据包，并限制其连线次数或者 限制其上网功能就成为关键性问题。 青海大学校园网络没有有效迅速的实时解决异常流量的破坏行为，一旦有病 毒发作，产生攻击行为或是破坏行为，和被攻击的计算机在同一网段或是同楼层 的用户都会受到影响，轻者网络缓慢，重则整栋大楼网络瘫痪。由于本来在青海 大学负责网络运行保障工作，对校园网的网络环境比较了解，在这样的环境下， 对于本课题的研究就有了很好的帮助。 佼i 司l 硐流节霄理及异常监洲统系统的研究j 填现 本课题旨在建立一套适合高校中等规模的经济型网络流量监控管理系统，系 统通过分析网络中流量的管理以及对数据包的分析来快速阻断造成网络堵塞的黑 手，有效减少网络上不必要的流量，并减少不必要的人员支出，并通过有效分析 网络中即时的各种通讯协议的流量，做出相应的报表，以供网络管理人员使用。 让他们能通过本系统去针对异常行为做一些流量控制管理的措施，以保障学校网 络的稳定。 1 2 国内外的发展和现状 根据对网络异常流量的采集方式可将网络异常流量监测技术分为：基于 s n m p 的监测技术、基于网络流量全镜像的监测技术和基于n e t f l o w 的监测技术 三种常用技术。 一、基于s n m p 的流量监测技术【卜2 】：基于s n m p 的流量信息采集实质上是 通过提取网络设备a g e n t 提供的m i b ( 管理对象信息库) 中收集一些具体设备及 流量信息有关的变量。基于s n m p 收集的网络流量信息包括：输入字节数、输入 非广播包数、输入广播包数、输入包丢弃数、错误数、输入未知协议包数等。虽 然通过这种方式取得信息不会造成处理上过重的负担，但是s n m p 提供的只是粗 糙、简略的资料。这些信息只能够让管理者发现问题，却无法进一步解决问题。 综合基于s n m p 的流量监测技术的特点主要表现在：1 、监测效率高；2 、设备的 支持范围广；3 、网络层以上的信息无法获取。 二、基于网络流量全镜像的监测技术【弘5 】：网络流量全镜像采集是目前i d s 主要采用的网络流量采集模式，其原理是通过交换机等网络设备的端口镜像或者 通过分光器、网络探针( s n i f f e r ) 等附加设备，实现网络流量的无损复制和镜像 采集。这种方式能捕捉流过的数据包，并将数据包加以翻译，找出数据包头中字 段的相关信息，并进一步分析其内容以取得更详细的信息。虽然通过基于网络流 量全镜像的监测技术可以取得更详细的网络信息，但它通常专注在单一网络数据 包的内容，所以网络管理者很难从中得到的信息来掌握整体网络的状态。此外， 分析数据包非常耗费时间，而且数据包监听所存储并需要分析的数据量非常庞大， 对于资源和人员的消耗是惊人的。综合基于网络流量全镜像的监测技术的特点主 要表现在：1 、提供丰富的应用层信息；2 、对网络影响比较大；3 、监测的成本比 较高。 三、基于n e t f l o w 的流量监测技术【6 1 。n e t f l o w 流量信息采集是基于网络设 备提供的n e t f l o w 机制实现的网络流量信息采集，在此基础上实现的流量信息采 集效率和效果均能够满足网络流量异常监测的需求。这种方式不仅能提供更详细 的网络信息，而且避免了网络带宽及运算资源过重的负担。综合基于n e t f l o w 的 流量监测技术的特点主要表现在：1 、基于c i s c o 技术，配置简单：2 、监测效率 2 高校教师硕士学位论文 高；3 、可对网络层的信息比如i p 地址进行监测，对网络影响小。 随着网络异常流量监测技术的h 益成熟，异常流量的判断准确性闩益提高， 它也逐步与异常流量控制的技术紧密的结合在一起了。目自订可以通过提供a c l 过滤策略等方式与路由设备进行一定的交互，来有效的处理异常流量。 对于网络管理人员来说，要维持网络畅通和稳定是一个很大挑战【7 】。目前从 网络上可免费下载到一些关于s n m p 和n e t f l o w 的公开的小程序，这些程序主要 都是以l i n u x 下的p e r l 语言编写，通常需要网络管理人员根据自身的网络架构以 及具体需求加以修改才能适用自身环境【8 】。以台湾交通大学发展的n e t f l o w p l 程 序为例，该程序可以一同为单位统计当天的流量，可以针对不同网段、各种协议、 数据包的流入流出的i p 网段进行相关统计【9 】。 1 3 论文的主要工作和章节安排 论文首先概括介绍了网络测量的基本知识，包括网络测量的方法与分类，网 络测量的体系结构，以及网络测量的研究现状和国内外研究趋势，然后指出了课 题的研究背景是基于i p 网络测量的流量测量技术。论文主体以网络流量测量技术 为主线，分别就网络流量测量中使用的测量理论和技术做了总结和论述，然后围 绕i p 流量测量展开研究，包括i p 流量测量的标准协议研究，i p 流量测量的体系 结构和工作原理研究等。最后根据理论详细设计和实现了一个基于标准流输出协 议i p f i x 的流量测量系统。 第l 章，介绍本文的研究背景和与该课题有关的国内外的发展和现状，阐述 本文的主要工作和章节安排。 第2 章，为理论研究，对目前常用的网络管理协议进行研究。 第3 章，为本系统使用s n m p 结合n e t f l o w 技术，用来对校园网络作流量统计、 各种通讯协议分析及异常行为监控。系统设计分为以下几个层次：总体框架设计、 功能模块设计、常见异常流量特征定义设计、常见网络协议端口定义、n e t f l o w 流量监控流程和系统数据库设计等。 第4 章，基于现有的开发平台和实验环境，详细设计和实现一个基于i p f i x 协 议的校园网络流量测量系统。采用模块化设计的思想把整个系统分为三个子系统， 并详细设计了子系统之间的互联和数据接口。 第5 章，对校园网络流量测量系统的测试，验证系统的可行性并简单分析测量 结果。 第6 章，总结已完成的工作，并对下一步工作做出展望。 饺旧网流节管理及异常监洲统系统的研究j 实现 第2 章s n m p 、n e t f l o w 技术及其开发环境简介 2 1s n m p 介绍 2 1 1s n m p 概述 s n m p 是多种因特网通讯协议中的一种网络管理协议，它是简易网络管理协 议( s i m p l en e t w o r km a n a g e m e n tp r o t o c 0 1 ) 之简称，管理着i p 网络上各种设备的 i n t e r n e t 标准协议【10 1 。它让网络上不同的设备，产生具有共通的标准，还提供了 网络管理的数据。这些信息可进一步由网络管理应用程序来读取或是进行监控； 也就是说，只要网络设备上具有s n m pa g e n t 之机制，我们就可以使用网络管理 软件，通过这些s n m pa g e n t ，我们可以检查或监控其设备上的相关信息。 s n m p 自1 9 9 0 制定至今一共发展有3 个主版本，分别为s n m p v l 、s n m p v 2 和s n m p v 3 t 】。其中s n m p v 2 又分为若干个子版本，其中s n m p v 2 c 应用最为广 泛，三个版本定义如下： s n m p v l ：是第一个正式协议版本，在r f c l l 5 5 r f c l l5 8 中定义，该版本采用 了基于“团体( c o m m u n i t y ) 名称形式的安全认证机制i i z | 。 s n m p v 2 c ：它和s n m p v l 差距不大，比起s n m p v l 来，s n m p v 2 c 包含了其他 协议操作，操作方面有了新的扩充，由r f c l 9 0 1 r f c l 9 0 6 定义引。 s n m p v 3 ：这个协议版本采用更高的安全机制，其安全机制是在s n m p v 2 u 和 s n m p v 2 * 基础上进行大量的评议以后进行更新，并且对协议逻辑功能模块进行了 划分，因而保证了良好的可扩充性，由r f c 2 2 7 1 r f c 2 2 7 5 所定义【i4 1 。 由于s n m p 是在t c p i p 网络环境中发展出来的管理通讯协议，因此s n m p 在应用上必须使用t c p i p ，被管理的机器必须设置i p 地址，同时必须确保线路 的连接与正确的路由。由于校园面积大，网络上的各个节点分散在各个楼宇，因 此比较实际的作法便是利用网络来管理网络。这表示我们需要一种能够让管理者 对不同网络节点进行读取并可能写入各种状态信息的协议【l5 1 。s n m p 不是一种面 向连接的协议，它通过使用请求报文和返回响应的方式，在s n m p 代理和管理器 之间传送信息。s n m p 实际上是一个特殊的“要求响应”协议，可支持两种请求 信息：g e t 和p u t 。前者是用来从某些节点取出状态信息，而后者则是用来在某些 节点上储存一份新的状态信息。这种机制减轻了s n m p 代理的负担，提供了一种 独有的方式来处理可靠性和故障检测方面的问题。 s n m p 的使用过程大致如下【l 乱1 。7 】：系统管理者与一个能显示网络信息的客户 端程序进行交互。该客户端程序通常都具有一个图形接口。每当网管人员想要获 4 高校教师硕十学位论文 取的某个信息时，客户端程序便利用s n m p 技术向特定的节点要求信息传送。节 点上运行的s n m p 服务会按照要要求找到对应的信息，并将其传回给客户端程序， 最后呈现给网管人员参考 1 8 】。 2 1 2s n m p 的工作原理 s n m p 定义了五类m a n a g e r 端和a g e n t 端之间的通讯形式【1 9 _ 2 2 1 。 g e t r e q u e s t ：m a n a g e r 端向a g e n t 端发送读取信息的请求； g e t n e x t r e q u e s t ：m a n a g e r 端向a g e n t 端发送读取信息的请求； g e t r e s p o n s e ：a g e n t 端对m a n a g e r 端请求的响应； s e t r e q u e s t ：m a n a g e r 端向a g e n t 端发送设备设置信息，a g e n t 端可以根据设 置信息来改变设备状态； t r a p ：在a g e n t 端，当发生了某些事件时，它会主动向m a n a g e r 端发送陷阱 信息，如关机事件【23 1 。 s n m p m a n a g e r g e t - r e q u e s t g e t - r e s p o n s e e t _ 。n e x t - 。r e q u e s g e t r e s p o n s e t r a p s n m p a g e n t 图2 1s n m p 通讦l 方式 前三项都是属于从m a n a g e r 端向a g e n t 端发出信息，后两项则属于a g e n t 端 向m a n a g e r 端发出信息。 每个a g e n t 都是一个执行程序，它负责将该a g e n t 所在的网络节点的配置数 据以及运作现状以数据结构的方式进行储存，那客户端程序如何来表示到底需要 获取何种信息，以及服务器如何能知道到底应该读取内存中的哪个变量才符合要 求? 答案就是s n m p 是根据一个称为管理信息库m i b ( m a n a g e m e n ti n f o r m a t i o n b a s e ，) 的管理组群来限定的 2 4 - 2 5 】。当a g e n t 收到网络管理机所发出的s n m p g e t r e q u e s t 、g e t n e x t r e q u e s t 、s e t r e q u e s t 时，便以相对应的m i b 数据通过s n m p g e t r e s p o n s e 方式响应。m i b 定义了可以从网络节点取得的特定信息。此外，还有 一种特殊的s n m p 命令，称为t r a p ，可允许a g e n t 在特殊的情况下( 如关机等) 主动通知网络管理机。 2 1 3m i b 和o i d 在复杂的网络环境中，网络设备的类型是多种多样的，它们的设备信息也因 设备类型不同而不同，为了将这些信息能通过网络管理系统进行统一管理，必须 5 校i 列网流带管用及异常监测统系统的研究j 实现 采用一套标准来描述这些设备的信息，所以s n m p 定义一个可供管理数据的标准， 它定义了网络设备各种信息的储存结构，这种结构是以树状结构为基础，每种变 量分支都是唯一的，即m i b ( 2 6 】。目前所使用的版本是m i b i i ，定义于r f c - 1 2 1 3 。 m i b 分为标准m i b 和私有m i b ，标准m i b 适用于所有的网络设备，而私有m i b 则由设备厂家向有关国际标准机构申请后自行定义，以反映其设备的独特变量 值。m i b 采用树状结构，每个节点每个结点分配了一个字符串和一个小整数作为 标号，即o i d ( o b j e c ti d e n t i f i e r ) 2 7 - 2 8 】。结构如下图所示： 尹? | | c c i n ( o )i s 。( 1 )j 。i m i s o c c i t t ( 2 ) o r g ( 3 ) d 0 | d ( 6 ) d i r e c t o r y ( 1 ) m g r p t ( 2 ) e x p e r i m e n t a l ( 3 ) p r i v a t e ( 4 ) m i b ( 1 ) s y s t e m ( 1 ) i n t e r f a c e ( 2 ) a t ( 3 ) i p ( 4 ) i c m p ( 5 ) t c p ( 6 ) u d p ( 7 ) i s o o r g d o d i n t e r n e t m g m t m i b - 2 i n t e r f a c e s i f n u m b e r 0 1 2 6 1 2 1 2 1 0 2 2c i s c on e t f l o w 介绍 图2 2m i b 树形结构 为了方便校园网络的管理以及更有效利用好现有网络带宽，了解网络实时的 使用情况是非常必要的，网管人员都希望在网络性能突然下降的时候找到问题所 在，并迅速解决问题。 利用n e t f l o w 技术可以提供某段时间内的流量、应用趋势分析，可非常直观 的看到网络流量是否有突然增长或突然下降的现象，并进一步分析出是哪些用户 产生了最多的流量、使用了哪些应用以至于网络运转出现性能问题。根据最终分 析结果，网络管理人员可快速的解决网络异常问题的同时，也可以通过观察避免 网络中的带宽滥用行为，保证网络正常的运行。 6 高校教师硕士学f _ 奇：论文 2 2 1n e t f l o w 概述 n e t f l o w 是由思科公司的d a r r e nk e r r 和b a r r yb r u i n s 在19 9 6 年开发的一套网 络流量监测技术，现在这个技术被有效的使用在网络规划、管理上，n e t f l o w 技 术目前己内建在大部分c i s c o 路由器上，同时也被其它一些知名网络设备厂商所 支持，使其逐渐成为大家都能接受的标准 2 9 。0 1 。f l o w 指的是特定源和目的的单 向流量资料，也就是源i p 地址、目地i p 地址、源端口、目地端口、协议种类、 服务类型、设备输入端口共七个属性【3 1 1 相同的封包之资料传送量总和为一个 f l o w 。 2 2 2n e t f l o w 架构 n e t f l o w 架构共可分为四部分，如图2 3 所示。 n e t f l o wd a t ae x p o r t 支持 n e t f l o w 的设备，如r o u t e r 、s n if f e r 、n t o p 3 2 】。 n e t f l o wf l o wc o l l e c t o r 提供快 速、准确与便利的资料收集方式，接收u d p 协议的n e t f l o w 封包，并储存到 n e t f l o ws e r v e r 。n e t f l o ws e r v e r 可同时由多个f l o wc o l l e c t o r s 收集d a t af i l e s ，但 无法每次由单一f l o wc o l l e c t o r 。取得一个以上的d a t af i l e ，以避免相互间的干扰 致使n e t f l o wf l o wc o l l e c t o r 受到影响，并降低硬盘与c p u 的负载。n e t f l o wf l o w a n a l y z e r 是网络流量传输分析工具，可以利用n e t f l o ws e r v e r 中的资料做统计分 析，如各i p 地址流量、协议分布、流量包的大小分布、异常流量侦测等【3 3 】。 n e t f l o w d a t ae x p o r t i i i n 融f l o w f f l o w c o l l e c c o r s n e t f i o w s e r v e r 图2 3n e t f i o w 架构 f i o w a n a l y z e r e n d - u s e r 卸p s 校吲网流埘管理及异常峪测统系统的研究j 实现 2 3 网络管理五大功能 网络管理目的在于维持良好的网络品质，及时排除网络障碍，进一步作为提 供网络升级扩展的参考。网络管理有五大功能p 4 j ： l 、配置管理 ( c o n f i g u r a t i o nm a n a g e m e n t ) 主要包含网络拓扑的管理，搜寻网络设备，路由信息管理与配置信息管理。 网络拓扑信息是网络管理的第一步，只有清楚网络的拓扑之后，才能明确范围进 一步管理与监控。就像设备资产管理，网络管理人员可管理设备的数量，设备的 软硬件相关配备及设备上的配置、路由等信息；而通过网络管理系统就可自动搜 寻网络中的设备，管理路由信息与配置信息。 2 、故障管理( f a u l tm a n a g e m e n t ) 故障管理是网络管理人员最关心的核心模块，它可以通过多种手段如s n m p 、 s y s l o g 、n e t f l o w 等技术发现故障，并支持多厂家、多设备；根据告警时间、 类别、重要性的多种组合设定条件，进行故障过滤；故障管理分为侦测，隔离及 修复等，主要包含告警监视，故障定位和错误处理功能等【35 1 。告警监视是以即时 方式，经由网络监视重要网络设备并将相关信息传到相应的系统，以判断该故障 是属一般还是严重的故障。当障碍发生的同时，系统还需要即时判断发生故障的 设备是否有关联事件，进而将其隔离，从而让其余系统能正常运作。如何找出故 障所在，主要是依据告警监视或例行性维护时所发现的异常现象加以分析。网络 管理系统需要分析许多网络设备的相关故障信息，据以判断故障位置所在，执行 隔离或修复工作。在多重故障的情况下，还需借助其他系统进行故障定位。 3 、安全管理( s e c u r i t ym a n a g e m e n t ) 安全性一直是网络的薄弱环节，而用户对网络安全的要求又相当高，因此网 络安全管理非常重要。网络安全管理包括对授权机制、访问控制、加密和加密关 键字的管理，另外还要维护和检查安全日志。配合单位的营运需要来制定适合的 安全政策( s e c u r i t yp o l i c y ) ，并依此制定安全法则( s e c u r i t yr u l e ) 及建立信息 管理系统，并随时审查，以杜绝各种非法活动。一般的安全管理包括机房管理， 文件管理，s e r v i c e 管理，密码管理，防火墙管理【3 n 3 7 j 等。 4 、性能管理( p e r f o r m a n c em a n a g e m e n t ) 主要指网络性能信息的收集与分析，报表的产生，问题通告与性能提升的规 划。包含网络流量监测，统计分析与报表产生，服务器性能监控，性能告警与网 络性能及可靠性的提升。网络流量监测可随时知道网络的使用状况与性能，管理 者收集流量数据并进行统计分析产生管理报表，除了可作为提升网络性能的参考， 还可针对特殊的使用情况加以控制和管理。另外当网络流量达到预设的阂值时， 需及时提出告警，让管理者能及时处理以维持网络正常运作。 5 、计费管理( a c c o u n t i n gm a n a g e m e n t ) 8 高校教师硕十学位论文 曼i 一一一一一一一一一一i i ! 曼! 蔓蔓曼皇曼曼曼曼曼曼曼曼! 曼曼! 寡 计费管理记录网络资源的使用，目的是控制和监测网络操作的费用和代价。 它对一些公共商业网络尤为重要。它可以估算出用户使用网络资源可能需要的费 用和代价，以及已经使用的资源【3 8 】。网络管理员还可规定用户可使用的最大费用， 从而控制用户过多占用和使用网络资源。这也从另一方面提高了网络的效率。因 此计费管理系指对信息资源的使用情形的记录，一般来说，计费管理主要着重于 网络带宽及服务器相关关键资源使用率的管理。 2 4l a m p 架构简介 l i n u x 、a p a c h e 、m y s q l 和p h p ( 或p e r l ) 是许多w e b 应用程序的基础， 从t o - d o 列表到b l o g ，再到电子商务站点。w o r d p r e s s 和p l i g g 是两个支持大容 量w e b