（计算机应用技术专业论文）intranet网络安全智能监控系统的研究.pdf

摘要 摘要 随着i t 技术的不断发展，i n t r a n e t i n t e r n e t 技术得到广泛应用，计算机 数目不断增加。对于网络管理人员来说，管理和维护局域网大量的计算机越来 越困难。因此如何开发既能准确定位出错的机器，又能对一些机器防患于未然， 同时也能使管理人员快速掌控每个机器现在的状态的系统显得意义极其重大。 针对这种情况，本课题开了一个具有普遍性的基于i n t r a n e t 的网络安全智 能监控系统。本系统实现了对终端各类数据的实时采集，并对数据进行智能分 析，反映机器状态，对不安全状态进行报警，同时根据报警分析报告，对远程 终端进行反馈操作，及时解决问题。同时本系统以拓扑图的形式，显示局域网 机器，使管理员对网络结构和机器状态一目了然，便于定位问题点。数据采集 模块使用w m i 技术对数据进行采集，同时应用二分递归去噪法去掉噪音影响。 智能分析引擎模块对终端数据进行了实时的纵向分析，以得出机器的状态，其 具体分析包括c p u 分析、内存分析、进程分析、服务分析、端口分析、终端综 合状态分析、网络状态分析等等。报警部分采用了仿生报警动态抑制算法，有 效抑制了报警泛滥，降低了误报率。在数据通信中应用p e t r i 网建模分析技术 对数据传送协议进行了改进，使数据传送更加可靠。 本系统的成功开发可以有效的降低企业对机器维护上面的人力、物力及财 力，减少重复劳动，提高效率。因此本系统的设计与实现具有一定的理论意义 和理论应用价值。 关键词：网络监控；报警抑制；p e t ri 网 东北电力大学硕士学位论文 a b s t r a c t w i t ht h ed e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y , t h ei n t r a n e ta n di n t e r n e ta l e e x t e n s i v e l yu s e d a n dt h en u m b e r o f c o m p u t e r si so n t h er i s e t h a tb e c o m e sm o r ea n d m o r ed i f f i c u l t yt om a n a g ea n dm m n t a i nal o to fc o m p u t e r sf o rn e t w o r km a n a g e r s s o i ti sv e r yi m p o r t a n tt od e v e l o pas y s t e mf o ra l a r m i n gt h ea b n o r m a ls t a t e so fc o m p u t e r s a n dt ol o c a t et h ep o s i t i o no fe n d a n g e r i n gc o m p u t e r s i nr e s p o n s et ot h i ss i t u a t i o n ，t h a ta ni n t r a n e ti n t e l l i g e n tn e t w o r ks e c u r i t y m o n i t o r i n gs y s t e mh a sb e e nd e v e l o p e d i st h i sp r o j e c t t 【l i ss y s t e mc a i lc o l l e c t v a r i o u sd a t af o r mt e r m i n a l sr e a l - t i m e l y , a n da n a l y z et h o s ed a t at or e f l e c ts t a t e so f t e r m i n a l s w r l l e ni tf i n d st h eu n s a f es t a t e s ，t h es y s t e m 、杭ng i v ea l a r m st ot h e m n e t w o r km a n a g e r sm a yd e a lw i t ht h ep r o b l e m so ft e r m i n a l sr e m o t e l ya c c o r d i n gt ot h e r e p o r to fa l a r ma n a l y s i si no r d e rt os o l v ep r o b l e m si nt i m e a tt h es a m et i m e ，t h i s s y s t e mc a nd i s p l a ya l lt h ec o m p u t e r so fl a n i nt h ef o r mo ft o p o l o g y - g r a p h i ct h a t c a ne n a b l en e t w o r km a n a g e r st oa c q u a i n tt h e m s e l v e sw i t ht h es t r u c t u r eo ft h e n e t w o r ka n df i n do u tt h ep o i n to fp r o b l e m sa l s s o o na sp o s s i b l e d a t ac o l l e c t i n g m o d u l eu s e sw m it e c m o l o g yt oc o l l e c td a t a , w h i c hi se m b e d d e da ne x c e l l e n t a l g o r i t h mt or e d u c et h ee f f c t so fn o i s e 功ei n t e l l i g e n te n g i n ea n a l y z e st h ed a t a c o l l e c t e df o r mt e r m i n a l sr e a l - t i m e l y , a n de x p o r t st h er e s u l t so fa n a l y s i sw h i c hi n c l u d e c p ua n a l y s i s ，m e m o r ya n a l y s i s ，p r o c e s s e sa n a l y s i s ，s e r v i c e sa n a l y s i s ，n e t p o r t a n a l y s i s ，i n t e g r a t e ds t a t e sa n a l y s i so ft e r m i n a l sa n dn e t w o r ks t a t e sa n a l y s i s ，a n ds oo n 1 1 1 em o d u l eo fa l a r mu s e st h eb i o n i ca l a r ma l g o r i t h mt od y n a m i c a l l ys u p p r e s sa l a r m i no r d e rt o r i s et h ea c c u r a c yo fa l a r m i n g p e t r i n e tt h e o r yi su s e di nt h ed a t a c o m m u n i c a t i o n p r o c e s s t o a n a l y z e a n d i m p r o v e t h e r e l i a b i l i t y o fd a t a c o m m u n i c a t i o n s 啊1 es u c c e s s f u ld e v e l o p m e n to ft h es y s t e mw o u l de f f c t i v e l yr e d u c ea l lk i n do f c o a s to fm a n a g i n ga n dm a i n t a i n i n gt h ei n t r a n e ta n dr a i s et h ee f f e c to fw o r k i nt h a t c a s e ，t h ed e s i g na n di m p l e m e n t a t i o no ft h es y s t e mh a v es o m es i g n i f i c a n c ei nt h e o r i e s a n dp r a c t i c e s k e yw o r d s ：n e t - m o n i t o r ：w i n s o o k ：p o t r i n e t i i 论文原创性声明 本人声明，所呈交的学位论文系在导师指导下本人独立完成的研究成果。 文中依法引用他人的成果，均已做出明确标注或得到许可。论文内容未包含法 律意义上已属于他人的任何形式的研究成果，也不包含本人已用于其他学位申 请的论文或成果。 本人如违反上述声明，愿意承担以下责任和后果： 1 交回学校授予的学位证书； 2 学校可在相关媒体上对作者本人的行为进行通报； 3 本人按照学校规定的方式，对因不当取得学位给学校造成的名誉损害， 进行公开道歉； 4 本人负责因论文成果不实产生的法律纠纷。 二 ， 一 论文作者签名：鸶圣璺 日期： 兰三呈年月- 二唑日 论文知识产权权属声明 本人在导师指导下所完成的论文及相关的职务作品，知识产权归属东北电 力大学。学校享有以任何方式发表、复制、公开阅览、借阅以及申请专利等权 利。本人离校后发表或使用学位论文或与该论文直接相关的学术论文或成果时， 署名单位仍然为东北电力大学。 论文作者签名： 导师签名：日期：塑翌年l 月生日吐一 中国优秀博硕士学位论文全文数据库 和 ：中国学位论文全文数据库投稿声明 研究生部： 本人同意中国优秀博硕士学位论文全文数据库和中国学位论文全文 数据库出版章程的内容，愿意将本人的学位论文委托研究生部向中国学术期 刊( 光盘版) 电子杂志社的中国优秀博硕士学位论文全文数据库和中国科 技信息研究所的中国学位论文全文数据库投稿，希望中国优秀博硕士学 位论文全文数据库和中国学位论文全文数据库给予出版，并同意在中 国优秀博硕士学位论文全文数据库和c n k i 系列数据库以及中国学位论文全 文数据库中使用，同意按章程规定享受相关权益。 ， 论文级别：曰硕士口博士 作者签名： 作者联系地址( 邮编) ： 作者联系电话： 指导教师签名：蜘 日期：趟吐月堕日 第1 章绪论 第1 章绪论 1 1 课题的背景及研究意义 随着计算机网络技术的发展，i n t e r n e t 已经在全世界范围得以普及，而且 很多学校、中小机构、企业也构建了自己的局域办公网，从而大幅度的提升了 工作效率，并且对计算机网络的依赖性也越来越强。然而随着信息化的快速发 展，网络安全隐患问题也日益突出，与外网的安全比起来，局域网的整体安全 越来越受到政府和众多大中型企业的重视。由于网络结构及使用设备日趋复杂， 如何在局域范围内有效地管理企业内部信息，提高局域网内机器的使用率，减 少管理人员对机器频繁的维护，已成为企业迫切需要解决的重要难题之一。 在相当长的一段时期，安全界的努力大部分集中在如何解决来自外部的威胁， 而忽视了来自内部的威胁。以前对局域网的安全主要是指阻止外部网络的威胁 和入侵，防止局域网内的资源被窃取和遭受病毒的侵袭1 。伴之发展的技术有防 火墙技术、虚拟专用网技术和网络攻击检测技术等，国内外的侧重点都是放在 这些方面。但是由于局域网与i n t e m e t 相比，速度更快、防范疏漏、安全措施简 单。局域网的用户往往有权直接对数据库、服务器进行操作，有对核心数据进 行误操作、有意窃取或者破坏的机会。局域网安全与外网安全有着很大的差别： 外网安全体现在以阻断攻击为主，是粗粒度的，而局域网安全属于细粒度的安 全，以主动加固为主。外网安全主要防范外部入侵或者外部非法流量访问，技 术上也以防火墙、入侵检测等防御角度出发的技术为主。局域网在安全管理上 比外网要细得多，同时技术上局域网安全通常采用的是加固技术，比如设置访 问控制、身份管理等。当然造成局域网不安全的因素很多，但归结起来不外乎 两个方面：管理和技术。造成局域网不安全的管理方面的因素主要是管理策略不 完善，技术上主要由于对一些安全产品的使用和维护没有特别重视。 而对局域网管理的核心目标是确保网络的最大可用性，为网络所承载的业 务提供优质的服务，对整个局域网系统，包括硬件，操作系统，数据库，运行 东北电力大学硕士学位论文 服务的整体性能管理和维护，而不是简单意义上的网络硬件设备的故障、性能、 配置、安全管理等功能。需要考虑建立网络运行的流程，明确网络管理的职责 分工，将管理人员与管理功能更好的有机结合起来；并对计算机整个系统的运 行状况、运行工作进行统计、分析和评估，从而做到对整个网络系统内所有计 算机的运行状况了如指掌，绝不能存在任何网络管理的孤岛和死角。 局域网是网络应用中的一个主要组成部分，其安全性在国内外都受到越来 越多的重视。据不完全统计，国外在建设局域网时，投资额的1 5 是用于加强局 域网的网络安全。在我国i t 市场中，安全厂商保持着旺盛的增长势头。运营商 在局域网安全方面的投资比例不如国外多，但依然保持着持续的增长态势。同 时，局域网安全产品和厂商短短几年内大量涌现。但是，令人担忧的是，虽然 众多的产品和厂商都以局域网安全的概念在提供服务，但其中包含的实际技术 和内容却千差万别。这样的情况，一方面对市场和用户形成了误导，不利于解 决用户的实际局域网安全问题，造成投资浪费；另一方面也不利于创造良性的 竞争环境，阻遏了局域网安全市场的发展。 随着控制理论的发展和计算机技术水平的提高，远程监控系统不仅仅是指 对网络设备的监控，它已成为企业信息管理系统的一个重要组成部分，最大限 度地将网络监控的控制过程集成到企业信息管理系统中。所以，对企业局域网 网络安全知道监控系统的研究具有非常现实的意义。 通过对各网络管理中心人员的调研，总结出在新型的管理模式下管理人员 更关心的是了解整个网络系统中机器当前的运行状态，并能对拓扑内的故障机 器快速定位，及时掌控机器的各种性能数据，根据各种实时数据对事前可能发 生故障能产生相应的预报警。同时需要一个方便的管理平台以减少对网络的外 出维护，使管理人员在管理室内就能保证局域网运行的稳定性、安全性，同时 也大大提高了管理人员的工作效率。 结合对局域网内管理人员的实际需求，我们提出了基于i n t r a n e t 的网络安 全智能监控系统。该系统更接近于管理人员的实际需要，同时也适用于各种局 域网环境，一目了然的网络拓扑图为管理人员提供方便的监控环境，而准确的 故障定位使管理人员能快速掌控故障机器，通过对机器实时数据的调取，可以 方便管理人员对故障类型进行分类，从而快速解决机器故障，提高了工作效率。 第l 章绪论 1 2 课题的研究现状及发展趋势 局域网安全问题的提出跟国家信息化的进程息息相关，信息化程度的提高 使得内部信息网络具备了以下三个特点： ( 1 ) 随着e r p 、o a 和c a d 等生产和办公系统的普及，企业日程的运作对内 部信息网络的依赖程度越来越高，局域网信息网络已经成各个单位的生命线， 对局域网的稳定性、可靠性和可控性提出更高的要求。 ( 2 )内部信息网络由大量的终端、服务器和网络设备组成，形成了统一有 机的整体，任何一个部分的安全漏洞或者问题，都可能引发整个网络的瘫痪， 对局域网各个具体部分尤其是数量巨大的终端可控性和可靠性提出前所未有的 要求。 ( 3 )由于生产和办公系统的电子化，使得内部网络成为单位信息和知识产 权的主要载体，传统的对信息控制的手段已不再实用，新的信息管理控制手段 成为关注的焦点。 上述三个问题，都是依赖于局域网，与局域网的安全紧密相连的，局域网 安全受到广泛的高度重视也就不以为奇。 自从局域网安全概念提出到现在，有众多的厂商纷纷发布自己的局域网安 全解决方案，由于缺乏标准，这些产品和技术各不相同，但是总结起来，应该 包括监控审计类、桌面管理类、文档加密类等。下面分别对这些产品做简单的 说明。 1 监控审计类 监控审计类产品是最早出现的局域网的安全产品，主要对计算机终端访问 网络、系统配置、文件操作以及外设使用等提供集中监控和审计功能，并可以 生成各种类型的报表。 2 桌面管理类 桌面管理类产品主要针对计算机终端，实现一定的集中管理控制策略，包 括外设管理、应用程序管理、网络管理、资产管理以及补丁管理等功能，这类 型产品通常跟监控审计产品有类似的地方，也提供了相当丰富的审计功能。 东北电力大学硕十学位论文 3 文档加密类 主要解决特定格式主流文档的权限管理和防泄密问题，可以部分解决专 利资料、财务资料、设计资料和图纸资料的泄密问题。 从前面的介绍可以看出，目前在计算机性能监控领域，基本上采取简单网 络管理协议技术和w m i 对网络设备和w i n d o w s 服务器进行性能监管，但对于综合 的i t 应用环境，国内的计算机性能监控软件基本上处于实验阶段，并普遍存在 几大缺陷：1 ) 不提供跨设备、跨平台监控功能，无法在同一界面上监控管理不 同种类的设备或不同操作系统的服务器；2 ) 只局限于性能监测结果的显示：3 ) 排除故障需手工处理。本课题构建安全智能监控系统以某电业局为实现对象， 在很大程度上弥补了以上不足。该系统能实时采集各项性能数据，包括来自网 络、操作系统、数据库和应用系统的运行状态，对超出阀值的性能指标进行分 析，确定导致性能下降的原因或故障根源，并根据预警策略通知系统的管理员， 同时进行简单的自动维护处理。 1 3 课题的研究内容 基于i n t r a n e t 的网络安全智能监控系统采用了c s 模式，本文首先研究了该 系统所使用的各种技术、一般开发步骤和实现方法，最后根据某电业局的具体 局域网环境，综合各种技术提出一种比较合理的安全智能监控系统。本课题采 用了多种目前比较成熟的计算机及监控技术，包括s o c k e t 、a c t i v e x 等网络技术， o d b c 、s q ls e r v e r 等数据库技术，p e t r i 网建模理论，并选择高效的开发工具， 采用软件工程思想开发完成。 论文第一章主要从宏观上分析了开展局域网监控系统研究的必要性及目前 研究状况，并结合网络管理人员的实际需求，说明开发一种新型的具有普遍性 的局域网监控系统对提高企业局域网的利用率的重要作用。第二章从网络监控 系统的总体设计出发，阐述了网络监控系统逻辑结构模型及所具有的功能及相 应的实现方法。第三、四、五章分别介绍了服务器端、客户端和通信模块所实 现的功能及用到的关键技术。在这些章节中重点阐述了智能分析引擎的设计， 以及在通信中遇到问题的解决方法。结论部分则对本课题的整体结构功能做了 第l 章绪论 总结。 1 4 课题的特色与创新 在基于i n t r a n e t 的网络安全智能监控系统中，智能性主要体现在整个模型 中所用到的两个智能算法。其中一个是针对报警模块中降低误报率的，另一个 则是针对系统实时采集来的数据进行二分递归去噪法进行过滤分析后，根据其 产生的结果进行分类报警。 几乎所有的监控系统中都会有报警模块的设计，通过设置各种各样的报警规 则后，监控系统会产生大量的报警信息，而对于管理人员来说，查看、分析这 些报警信息将占用大量时间，更主要的是这些报警信息中又有一大部分是误报 信息，所以在设计报警模块时，如何设计使报警模块中误报率得到较大的降低 成为重中之重。 ， 当前降低误报率的方法主要有基于模式匹配分析方法、基于异常发现分析方 法和一些基于单包检查的分析方法。这些方法是目前比较成熟的一些方法，同 时也有较大的伸缩空间。在本课题中提出了一种介于用户界面与报警系统之间 的中间层，即抑制系统。该系统主要以数学公式为依据，主要对持续的无响应 高频报警进行报警抑制，根据用户需求减少或抑制某段时间内对某个流量产生 的重复告警，提出了相应的迭代算法模型。经该模型处理后的报警信息会得到 较大程度的下降，从而很好的降低误报率的产生。 由于要使终端机器能够根据规则进行分类报警，因此在对机器进行实时数据 采集的时也要对采集起来的数据进行过滤分析，把分析出来的结果与规则库相 比对之后，再产生报警。在对数据进行过滤的过程中，就要对新采集来的数据 与旧数据进行整合，使新采集来的数据既能做一定的参考又不能因为新数据的 加入而产生较大的影响，因此采用了二分递归去噪法。通过该算法对数据进行 过滤分析后，使得机器在对性能方面报警的精确度提高了很多。 东北电力大学硕十学位论文 皇曼曼曼曼曼皇曼i i i ii 笪曼曼曼皇曼曼曼曼曼曼曼皇皇曼量量曼曼曼鼍曼曼曼曼曼皇皇曼曼皇曼舅舅曼曼曼皇曼曼曼皇笪曼曼曼曼曼曼寰 第2 章监控系统总体设计 网络安全智能监控系统是对控制技术和网络通信技术的综合应用，分为客户 端和服务端模块4 1 。客户端模块实现对被控计算机的控制、信息的获取和信息的 过滤分析；服务器端模块主要负责网络通信的处理和数据库的操作脚。系统硬件 的网络布局规化图如图2 1 所示。 图2 - i 系统网络硬件规化布局图 第2 章监控系统总体设计 2 1系统功能概述 这一节将介绍系统的功能结构，即系统要实现的功能。本节功能的描述是 基于用户需求进行的设计，而不具体考虑其功能的实现技术、细节以及其逻辑 结构。 监视功能 作为监控系统，首先要有监视功能。根据用户需求，该系统的监视功能主 要包括在线状态监视、c p u 占用率监视、内存占用率监视、终端健康状态监视 等。其结构功能图如下图2 2 。 图2 - 2 监视功能图 显示功能 监视功能已经能监视终端信息，那么它也可以以合适的方式显示出来，以 方便用户查看和操作。在本系统中，提供了三种显示功能供用户操作，即树形 方式，列表方式，拓扑图方式。每种方式各有自己的特点，以适应用户的不同 需求。树形方式采用资源管理器的树形目录结构，简单明了，一目了然；列表 方式采用了数据库的二维表格形式，能查看所有的静态信息和部分动态信息， 并能对部分静态信息进行修改；拓扑图方式是以图的形式，显示出了整个网络 的拓扑结构，非常利于管理员了解网络结构，方便了其管理维护网络，同时在 该方式下，能查看终端的所有信息，并能执行系统大部分的功能。其结构功能 图如下图2 3 。 图2 3 显示功能图 报警功能 报警功能是对终端异常状态和网络异常状态的报警。它能及时提醒管理员 i n t r a n c t 中的异常状态，以便排除隐患。报警功能包括c p u 报警、内存报警、综 合报警、网络报警。c p u 内存报警是对c p u 内存长时间高占用率的报警，综合 报警是对终端综合状态的报警，网络报警是对网络健康状态的报警。其结构功 能图如下图2 - 4 。 图2 - 4 报警功能图 控制功能 作为监控系统，远程控制功能是必不可少的。它可以使管理员不必到达现 场就能远程解决一些问题。本系统控制功能包括远程桌面操作、进程操作、服 务操作等。其结构功能图如下图2 - 5 。 第2 章监控系统总体设计 图2 5 控制功能图 分析功能 分析功能是对终端状态的分析和对网络状态的分析。它对管理员远程操作 提供了执行参考。分析功能包括c p u 占用率分析、内存占用率分析、进程分析、 服务分析、端口分析、综合分析、网络状态分析等。其结构功能图如下图2 - 6 。 图2 - 6 分析功能图 维护功能 维护功能是对系统数据库的维护和管理。为了减少管理员负担，其中一部 分数据库是由系统自动维护的，其余部分需要管理员手动维护。维护功能包括 终端信息库管理、c p u 内存库管理、规则库管理、综合状态库管理。其结构功 能图如下图2 7 。 东北电力大学硕：卜学位论文 图2 7 维护功能图 系统功能结构 将以上各部分组合，即可得到系统总体的功能结构图。如图2 - 8 。 1 0 第2 章监控系统总体设计 图2 - 8 系统功能结构图 东北电力大学硕士学位论文 2 2 系统逻辑模型建立 网络安全智能监控系统，是以监控的终端计算机为主体，加上数据采集、 分析与被监控的其它设备对象构成一个整体。在该系统中计算机实现了对其它 终端机器与设备的监测和控制功能，因此系统的逻辑结构模型如图2 - 9 所示： 从逻辑功能上分，整个系统分为七个模块，分别是数据采集模块、数据编码 解码模块、数据传送模块、智能分析引擎、报警模块、反馈模块、综合数据库。 鬻 麟蠢 溅鬻赣 蒸缀戮蘸 7 篡墨鬻徽鬃传送二豢妻雾譬? 缪 “， 一 ， 薹j 。j 爹鬻赫豢函纛藤鬻攀溪笺 埘霉 一、，。8 蕈鬈一 7薹蘩簿薹蓦 ，“t 1 j | |荔毫善，游戮i 参斡i + 鬻 镛疆 数据采集 图2 - 9 网络安全智能监控系统逻辑结构模型 数据采集模块负责收集前端数据，提供给系统分析。该模块是整个系统的 基础。数据编码解码模块功能之一是编码，即对要传送的数据进行格式化处理， 然后将格式化之后的数据交给数据传输层来传输；另一个功能是解码，即将传 第2 章监控系统总体设计 过来的数据进行解码翻译，以便系统识别和分析。数据传送模块通过网络等媒 介来传送格式化后的数据。数据传送模块是连接整个系统的桥梁。智能分析引 擎是整个系统的核心，负责推理分析格式化的数据，并产生报警和反馈。报警 模块主要任务是将可能的危险通知管理员。反馈模块的功能是执行智能分析引 擎针对危险情况所做出的响应。综合数据库用来存储收集到的数据和智能分析 引擎分析后的数据，以便管理员日后管理。 数据采集层是对网络安全智能监控系统所需的各种信息进行采集，实现对 下属的各个分机( 客户机) 收集上层所需的各种信息或根据上层发送的指令来 完成相应数据的采集。该层是整个模型的基础。数据采集模块主要应用了 w i n d o w sm a n a g e m e n ti n s t r u m e n t a t i o n 技术对信息进行采集。 数据编码解码模块的编码功能是将收集层收集到的数据进行编码处理，然 后交给数据传输层来传输，再就是将反馈层发送的指令编码，交给传输层传输； 数据编码解码模块的解码功能是将网络层传过来的数据进行解码，将数据翻译 成系统可识别的信息或指令。该模块关键问题是对指令编码的设计，编码设计 要用尽可能少的编码包含尽量多的内容。 数据传送模块是整个系统相互连接的桥梁，它的功能一是将反馈端输出的指 令经数据编码模块编码后，传送给数据解码模块，解码模块译码后，由客户端 执行；另一个功能是将采集端采集的数据经数据编码模块编码后，传送给数据 解码模块，解码模块译码后，解释成智能分析引擎可识别的信息数据，来进行 推理分析。数据传送模块用到的主要技术是w i n s o c k 通信技术。数据传送模块 在设计时要考虑传送的数据对实时性的要求高，还是对准确性的要求高，根据 不同数据传送的要求可相应的选择不同的协议。如果可以确定接受数据一方身 份可以，而且对数据只是要求对方接收，这时可以选择u d p 协议。 智能分析引擎是整个程序的核心。它调用规则库中的规则对采集层收集的数 据进行分析，并根据规则进行反馈，对出现的危险状况进行处理，同时向管理 员报警，及时采取应急措施。规则库包括进程规则库、服务规则库、端口规则 库、报警规则库、综合状态规则库等部分。在分析功能上还做上了客户机的c p u 及内存的分析，这两部分采用的是用图形的方式来表达分析结果。在c p u 和内存 分析中采用了静态图和动态图两种分析方法，静态图上标有时间，能查看对应 东北电力大学硕上学位论文 的具体时间，动态图对静态数据再次模糊削峰。 报警模块可以对机器的c p u 、内存、综合状态和网络状态分别进行报警，并 且可以在报警规则库中配置不同的报警级别。同时报警模块与反馈模块联动， 可以给出相应的处理建议及采取相应的措施。同时针对“报警泛滥 现象，在 报警模块中开发了报警抑制仿生算法，该模型是处于报警层与用户界面层之间 的一个中间层，当报警层产生报警后，报警的结果先经过该抑制模型，经过抑 制后再决定是否反应给用户界面。该模型降低无动作信息的频率，实现了报警 系统的低误报率，减少了报警信息的产生，同时便于管理人员进行报警信息的 查看与处理。 反馈模块的功能是执行智能分析引擎针对危险情况所做出的响应。反馈模 块包含服务端整个系统的显示框架和相应的响应功能。反馈模块的相关功能包 括对客户端发送相关指令，执行相应操作，或对管理员给出处理提示和建议。 反馈模块可以结束或挂起特定进程，停止、暂停或开启指定服务，更改服务的 启动模式等，还可以封堵特定端口，结束端口相关进程，还能更改指定机器的 网络配置和系统设置。反馈模块提供了拓扑图产、树形、表格三种显示模式， 可以根据不同需要调用不同的界面。 综合数据库包括两大部分，一是数据库本身，另一部分是数据库管理和维护 模块。数据库部分包括进程规则库、服务规则库、端口规则库、综合状态规则 库、机器信息库、c p u 内存占用率表、临时进程表、临时服务表、临时端口扫描 表等。数据库管理和维护模块则包含与数据库部分相对应的的模块，进程规则 库管理模块、服务规则库管理模块、端口规则库管理模块、综合状态规则库管 理模块、机器信息库管理模块、c p u 内存占用率表管理模块。同时为了提高管理 员的效率综合数据库部分设有自动维护模块。临时进程表、临时服务表、临时 端口扫描表均可由系统自动维护模块来管理。 2 3 面向对象数据流设计 传统的软件工程方法中的需求分析对问题域的认识和描述不是以问题域中 的固有事物为基本单位，所以不能直接映射问题域，与后续开发衔接也比较困 第2 章监控系统总体设计 难1 。同时，传统软件工程中的设计文档很难与分析文档对应，因为数据流图与 模块结构图是两种不同的表示体系，这种不一致被称作“分析与设计的鸿沟 。 而面向对象的软件工程方法很好的解决了这些问题。面向对象的分析 ( o b j e c t o r i e n t e d a n a l y s i s ，简称o o a ) 强调直接针对问题域中的客观存在的事物 设立o o a 模型。对象的属性和服务分别描述事物的表态特征和行为。所以o o a 模型能很好的映射问题域。面向对象的设计( o b j e c t o r i e n t e dd e s i g n ，简称o o d ) ， 是在o o a 的基础上对o o a 模型进行进一步完善与详细设计。由于o o a 与o o d 采 用相同的表示法和模型结构，所以从o o a 至u o o d 不存在转换，消除了传统方法 中的分析与设计的鸿沟p 1 。 基于以上优点，本系统采用了面向对象的软件工程方法进行开发。分析过 程采用了面向对象的设计，建立了系统的o o a 模型图，见图2 1 0 。 其中方框表示一个类，下面的栏是该类所具有的属性，即静态特性，再下面 的栏是该类所具有的服务，即动态特性。 类名前面的“ 表示该类是主动类。 服务前面的“ 表示该服务是主动服务。 实线表示实体联系，虚线表示消息联系。 “耷 表示整体部分关系。 类名 属性 服务 m ：n 表示实体之间的联系关系。比如1 ：n 是1 对多关系，m ：n 是多对多 关系，l ：l 是l 对l 关系。 东北电力大学硕士学位论文 客户端 服务器l p 自启动状态 配置服务器i p 刷新在线 收集监控信息 格式化数据 发送 接收指令 执行 返回结果 接受远程操作 自启动配置 报警 c p u 占用率 内存占用率 网络延迟时间 c p u 报警 内存报警 网络报警 c p u 报警建议 内存报警建议 网络报警建议 服务器 报警阈值 自启动状态 显示在线 接收监控信息 智能分析 报警处理 发送指令 接收结果 分析处理 请求远程操作 自启动配置 数据库管理 报警配置 服务器 子网号 i p 树形显示 智能分析引擎 输入缓冲区 输入 智能分析 输出 机器名 i p 网关 在线状态 刷新时间 表格显示 修改部门 报警配置 ：- - 一 c p u 高报警值 c p u 中报警值 c p u 低报警值 内存高报警值 内存中报警值 内存低报警值 更新报警值 图2 1 0 智能监控系统o o a 模型图 1 6 数据库管理 服务器 i p 网关 在线状态 部门 机器状态 详细信息 拓扑图显示 c p u 分析 内存分析 进程分析 服务分析 端口扫描 远程操作 总体分析 收集详细信息 可疑进程库 标准服务库 可疑端口库 计算机信息库 c p u 内存库 增删改可疑进程 增删改可疑服务 增删改可疑端口 查询计算机信息 i - i i i i i i j 第3 章服务器端功能实现 第3 章服务器端功能实现 3 1智能分析引擎的实现 3 1 1主动分析及被动分析 分析引擎主要采用了主动分析和被动分析两种方法对终端采集的数据进行 分析。主动分析主要是分析由采集层送来的实时数据，以得出终端的状态数据， 并将状态数据交给报警模块以决定是否报警；被动分析模块则是取终端状态的 详细数据，对终端状态的详细数据进行分析，并给出处理建议。 3 1 1 1主动分析 主动分析主要是分析终端的实时刷新数据，得出终端的状态数据，用以判 断终端是否健康。实时数据包括终端的c p u 利用率、内存利用率、i p 地址、机 器名等信息。引擎在分析终端状态，判断系统状态是否健康时，所依据的最根 本的一个原则是用户的感受度，即用户对终端的满意度。而用户感受度的最根 本的一条就是终端对用户指令或操作的响应程度。试想如果终端半天才能响应 用户的请求，用户肯定不会满意。归结到最后可以得出决定用户满意程度的是 终端的响应时间。这是一个简单而有效的判定原则。而判定终端对用户响应程 度的两个非常重要的数据就是c p u 占用率和内存占用率。 设用户指令的运算量是w ，c p u 现在的占用率是w ，则完成用户指令的时 间( 即对用户的响应时间) 是t = m ( 1 。 即c p u 占用率w 越小，对用户的响应时间越小，用户的感受度就越好，终 端状态就越好。反之如果c p u 长时间全负荷或高负荷运行，则会增加响应时间， 使用户感受度下降，即终端状态处于不利的状况。 对内存占用率的分析会有同样的结果。内存占用率越高，终端在为用户任 东北电力大学硕十学位论文 务分配内存空间时，产生调页的可能性就越高。而一旦产生调页，就要与外界 产生交互。大家熟知，内存与外存的响应时间不是一个数量级的，所以调页会 加大终端对用户的响应时间。从而得出的结论就是内存占用率越小，对用户的 可能的响应时间越小，用户的感受度就越好，终端状态就越好。反之如果内在 长时间运行在高占用率的情况下，则很可能会增加终端的响应时间，使用户感 受度下降，即终端状态处于不利的状况。 在最终判定终端状态时，是c p u 占用率为主内存占用率为辅呢? 还是以内 存占用率为主c p u 占用率为辅? 或者两者平均? 由理论分析得知，虽然内存与 外存的响应时间差别很大，但内存调页分配管理系统中，内存的命中率是很高 的，所以它对终端状态的影响应该不如c p u 占用率明显。由试验得出的数据也 很好的证明了这一点，即终端的状态主要取决于c p u 的占用率，内存占用率不 如c p u 占用率对终端的响应时间敏感。所以引擎在判断系统状态时，主要以c p u 占用率为主，内存占用率为辅。其详细说明请见分级报警一节。 有人可能要说，黑客木马程序不会明显的增加c p u 占用率，当终端被安装 木马后，终端也就处于不安全状态，但c p u 占用率没有明显增加，这是不是会 产生漏报? 答案是肯定的。但因为本系统不是专业的杀毒软件，所以没有将重 点放在这一方面。本系统主要是着重于监视和控制终端的可用性和整个网络的 可用性。 主动分析功能还包括对网络状态的监控。对网络状态的判断主要是考虑能 否进行正常通信。能否进行正常通信的一个最基本的标准就是能不能连通到对 方以及通信的响应时间。如果不能连通到其它机器，网络肯定是不能用了。再 者，如果通信响应时间过长，网络也是不好用的，即网络的状态不好。根据这 个基本要求，本系统采用i n t e r a c tc o n t r o lm e s s a g e sp r o t o c o l ( i c m p ，网际控制报 文协议) 来测定网络能不能连通和连通的响应时间。在系统的功能实现中是直接 调用的o s 的p i n g 功能来实现的。 对网络响应时间的测定还面临一个问题，即p i n g 哪台或哪些机器得出的响 应时间作为判定标准。还有就是如果p i n g 的是某台机器，那么，如果某台机器 忙，对p i n g 的响应时间就长，但这时，网络可能是正常的，也就是可能把机器 的延迟时间误加在网络延迟上，这里是这样来处理这个问题的。我们p i n g 的是 第3 章服务器端功能实现 各个子网的网关。现在大多数网关都是路由器，这样就避免了上述情况。同时 p i n g 的是各个子网的网关，所以也避免了单凭某一个网关p i n g 响应时间来判断 网络状况所产生的偶然性失误。 3 1 1 2 被动分析 被动分析的主要内容是管理员对终端进行的详细分析，包括对终端的进程 进行的详细分析、对终端的服务进行的详细分析、对终端所开放的网络端口进 行的详细分析、对终端一定时期内e p u 和内存的利用率进行的分析等。大部分被 动分析遵循下面的行为框架，见图3 1 图3 - 1 被动分析行为框架图 在进程分析过程中，首先取终端的进程信息，包括进程名称、进程i d 、进 程占用的内存空间、进程的c p u 占用率等信息。信息取过来之后交给被动分析 引擎，先与正事件集比较，正事件集中存放的是一些常见的安全进程及安全行 为的信息，如果发现当前进程是安全的，则记录分析结果，并对下一个进程进 行分析。如果当前进程与正事件集不匹配，则继续与反事件集进行匹配。反事 件集中存放的是一些常见和已知的危险进程信息和不安全行为信息。如果当前 进程与反事件集相匹配，则记录分析结果并对一个进程进行分析。如果当前进 程与反事件集不匹配，则用未知事件集的规则来处理该进程。未知事件集会根 据进程的c p u 占用率、内存占用率、运行时间等信息来判断当前进程是趋向于 正事件还是反事件，并记录分析结果。 在对终端所开启的服务和端口进行分析时，也是遵循这样的步骤进行处理 的。首先取信息然后与正事件集匹配，匹配成功则记录分析结果并分析下一条 信息，如果失败则与反事件集匹配，匹配成功则记录分析结果并分析下一条信 息，如果失败则与未知事件集进行匹配，最后给出分析结果。 东北电力大学硕七学位论文 在信息高速发展的今天，正例事件与反例事件都会不断的变化，特别是反 例事件，例如每天都会有新病毒产生。在系统更新时，也可能会产生新的正例 事件。为了应对这种事件集可能过时的情况，系统中专门设立了相应模块来处 理这种情况。为了便于管理，正事件集与反事件集都设立了与之对应的数据库， 同时在综合数据库部分设立了相应的的维护管理模块，管理员可以手动修改规 则库中的部分规则以适应不断变化的新情况。 还有一项分析就是系统综合状态分析。它根据一定时期之内( 通常是三天 以上的一段时间) ，终端的c p u 占用信息、内存占用信息、进程信息、服务信息、 端口信息等等，并依据其所配置的硬件环境得出的预期值，与以上信息进行比 较，对系统进行综合评价。在综合分析结果中对系统的健康状况给出一个评价 得分，及各项分析的详细结果，甚至可以给出对硬件升级的提示。同时可以以 曲线图表的形式查看e p u 内存占用情况的历史记录。 3 1 1 3 主动分析与被动分析的合作模式 主动分析与被动分析的合作模式图，如图3 2 ： 图3 - 2 主动分析与被动分析合作模式图 系统实时刷新的数据交给引擎的主动分析模块，并将分析结果交给报警模 块。如果产生报警，管理员可以根据报警的严重程度来决定是否进一步分析。 如果要进一步分析，则调用引擎的被动分析模块，对终端进行分析。 将分析引擎分成主动分析与被动分析的好处是在不太影响准确率的情况 下，大大减少内存的用量，节省系统资源。由前面的叙述已经知道，主动分析 第3 章服务器端功能实现 量鼍皇詈曼量曼曼皂皇量皇曼舅量曼曼曼曼曼曼曼i i 曼曼量皇曼皇曼曼皇舅量曼曼舅皇曼曼皇曼曼皇曼曼皇皇曼皇曼曼曼 的运算量比较少，适合作实时分析；被动分析的运算量比较大，不适合做实时 分析。如果将被动分析也做成主动分析，虽然准确率会有所提高，但很明显系 统会吃不消。所以这里采用了分析与被动分析相结合的模式。 3 1 2 二分递归去噪算法 在智能分析引擎中，除了对服务、进程、端口进行与规则库的对比分析外， 还需要对每台机器的性能进行综合性的分析，这里应用的是对计算机的主要参 数进行的评估，其中包括了c p u 和内存的占用率。熟悉计算机的人都了解，当 机器受到外来入侵或已经处于入侵状态时，比如说木马病毒，最常见的表现形 式就是c p u 的占用率明显提高或内存已被全部占用。这时候的机器基本上表现 为对用户的操作没有任何的反应。对于这种情况服务器的操作界面会进行声音 报警，以提醒操作人员是否进行一些必要的操作。但是如果单单只根据c p u 和 内存的占用率进行报警的话，就会出现大量的误报警的情况。例如用户的计算 机正在用迅雷下载东西或正在在线观看一些视频等情况下，也会使内存或c p u 的占用率高达9 0 9 6 以上，所以本系统为了尽量避免这种情况的发生，但又不至于 漏报真正的报警，所以采用了一种二分递归去噪算法。 在采集数据时可能会采集到系统偶然出现的峰值，而这个偶然的峰值对系 统来