014-项目概要设计报告

1、哈尔滨工程大学信息安全研究中心 HEUISRC-RDT-014哈尔滨工程大学信息安全研究中心项目概要设设计报告告编号：HEEUISSRC-RDTT-0114版本：1.1密级：编 写：吕敬辉-郝郝建波-贺婷日 期：检 查：日 期：审 核：日 期：批 准：日 期：版本日 期作者修 订 要要 点1.02007-03-20杨武文件建立1.12007-03-21杨武内容及文档档结构修修订- PAGE III -目 录TOC o 1-3 h z u HYPERLINK l _Toc271048747 目 录 PAGEREF _Toc271048747 h I HYPERLINK l _Toc2710487

2、48 一、引言 PAGEREF _Toc271048748 h 1 HYPERLINK l _Toc271048749 1.1编写写目的 PAGEREF _Toc271048749 h 1 HYPERLINK l _Toc271048750 1.2项目目背景 PAGEREF _Toc271048750 h 1 HYPERLINK l _Toc271048751 1.3术语语 PAGEREF _Toc271048751 h 1 HYPERLINK l _Toc271048752 1.4参考考资料 PAGEREF _Toc271048752 h 1 HYPERLINK l _Toc27104875

3、3 二、任务概概述 PAGEREF _Toc271048753 h 1 HYPERLINK l _Toc271048754 2.1系统统描述 PAGEREF _Toc271048754 h 1 HYPERLINK l _Toc271048755 2.2开发发与运行行环境 PAGEREF _Toc271048755 h 1 HYPERLINK l _Toc271048756 2.2.11开发环环境的配配置 PAGEREF _Toc271048756 h 1 HYPERLINK l _Toc271048757 2.2.22运行环环境的配配置 PAGEREF _Toc271048757 h 1 HY

4、PERLINK l _Toc271048758 3环配 PAGEREF _Toc271048758 h 2 HYPERLINK l _Toc271048759 2.3需求求概述 PAGEREF _Toc271048759 h 2 HYPERLINK l _Toc271048760 2.4条件件与限制制 PAGEREF _Toc271048760 h 2 HYPERLINK l _Toc271048761 三、总体设设计 PAGEREF _Toc271048761 h 2 HYPERLINK l _Toc271048762 3.1系统统设计原原则 PAGEREF _Toc271048762 h

5、2 HYPERLINK l _Tocc271104887633 3.22系统网网络结构构 PAGEREF _Toc271048763 h 2 HYPERLINK l _Toc271048764 3.3实现现框架与与处理流流程 PAGEREF _Toc271048764 h 2 HYPERLINK l _Toc271048765 3.4结构构模块设设计 PAGEREF _Toc271048765 h 3 HYPERLINK l _Toc271048766 3.5功能能需求与与程序模模块的关关系 PAGEREF _Toc271048766 h 4 HYPERLINK l _Toc271048767

6、 3.6尚未未解决的的问题 PAGEREF _Toc271048767 h 4 HYPERLINK l _Toc271048768 四、接口设设计 PAGEREF _Toc271048768 h 4 HYPERLINK l _Toc271048769 4.1外部部接口 PAGEREF _Toc271048769 h 4 HYPERLINK l _Toc271048770 4.2内部部接口 PAGEREF _Toc271048770 h 4 HYPERLINK l _Toc271048771 五、数据结结构设计计 PAGEREF _Toc271048771 h 5 HYPERLINK l _To

7、c271048772 5.1逻辑辑结构设设计 PAGEREF _Toc271048772 h 5 HYPERLINK l _Toc27104887733 5.22物理结结构设计计 PAGEREF _Toc271048773 h 6 HYPERLINK l _Toc271048774 5.3数据据结构与与程序代代码的关关系 PAGEREF _Toc271048774 h 6 HYPERLINK l _Toc271048775 六、数据库库设计 PAGEREF _Toc271048775 h 6 HYPERLINK l _Toc271048776 七、用户界界面设计计 PAGEREF _Toc27

8、1048776 h 7 HYPERLINK l _Toc271048777 八、出错处处理设计计 PAGEREF _Toc271048777 h 7 HYPERLINK l _Toc271048778 8.1出错错输出信信息 PAGEREF _Toc271048778 h 7 HYPERLINK l _Toc271048779 8.2出错错处理对对策 PAGEREF _Toc271048779 h 7 HYPERLINK l _Toc271048780 九、安全保保密设计计 PAGEREF _Toc271048780 h 8 HYPERLINK l _Toc271048781 9.1数据据传输

9、安安全性设设计 PAGEREF _Toc271048781 h 8 HYPERLINK l _Toc271048782 9.2应用用系统安安全性设设计 PAGEREF _Toc271048782 h 8 HYPERLINK l _Toc2710487783 9.33数据存存储安全全性设计计 PAGEREF _Toc271048783 h 8 HYPERLINK l _Toc271048784 十、维护设设计 PAGEREF _Toc271048784 h 8第26页 共 5 页一、引言写 对对网络数数据流异异常检测测系统的的整体开开发进行行概要设设计，为为系统编编程提供供基础支支持。目 项项目

10、名称称网络数数据流异异常检测测，该项项目主要要对网络络数据出出现大的的流量变变化，尤尤其对ssyn、ffin、ppingg、端口口和主机机不可达达事件进进行异常常检测并并报警。语缩写、术语语解 释libPccap捕包库函数数MySQLL数据库C+ bbuillderr界面编程ODBC数据库访问问接口标标准adsysstemm服务器端数数据库名名Newaddsysstemm本地绑定远远程数据据库的系系统数据据源变量量考 二、任务概概述统后台：1）本系统统能够对对网络出出入口的的数据包包进行分分析，统计出出TCPP、UDDP、IICMPP等协议议以及TTCP-SYNN事件、TTCP-FINN事件、

11、IICMPP_PIING事事件、IICMPP_3.1事件件（主机机不可达达事件）、ICMP_3.3事件（端口不可达事件）的包的数量。2）通过异异常检测测算法，对这些统计数量进行异常检测。根据统计结果用自回归模型对网络数据流量进行预测，当某时刻数据流和预测结果不同时触发报警事件。数据库：将将统计量量、异常常信息存存入数据据库中前台：1）进行通通讯：发发送给后后台登录录、检测测、关闭闭的标识识；接收收后台数数据，包包括登录录标识、流流量包统统计数及及异常报报警标识识。2）对数据据解析之之后，对对用户的的不同类类型检测测的要求求进行实实时动态态曲线的的描绘；3）对异常常事件进进行报警警4）对历史史流

12、量及及异常信信息进行行数据库库查询发行Linuxx操作系系统平台台C+ bbuillderr、MyySQLL数据库库提供各种端端口扫描描的机器器2.2.11开发环环境的配配置类别标准配置最低配置计算机硬件件计算机软件件Linuxx、Winddowss操作系系统、mmysqql数据据库管理理工具、cc+ buiildeer前台台开发工工具网络通信ODBC其它2.2.22运行环环境的配配置类别标准配置最低配置计算机硬件件计算机软件件Linuxx、Winddowss操作系系统、mmysqql数据据库管理理工具网络通信ODBC其它3环配计算机软件件：Linuux、WWinddowss操作系系统、mmy

13、sqql数据据库管理理工具网 络通 信：ODBBC求用户登录：用户输输入服务务器地址址、用户户名、密密码访问问，验证证用户权权限是否否正确用户其他操操作：用用户的其其他操作作需要并并行进行行。包括括四个部部分，介介绍如下下：1、动态实实时曲线线描绘：配置信息，用户可自己配置流量统计时间间隔，根据不同的流量类型，设置曲线图的数据显示高度，同时可设置曲线图的显示宽度（辅助设计）；对于各项值值，需要要提供默默认值，尤尤其数据据显示高高度，需需根据以以往的数数据流量量值给出出一个不不同类型型协议或或事件的的参考值值；完成信息的的配置，启启动检测测，则在在设置的的时间间间隔内开开始描点点；曲线的描绘绘：

14、曲线线为动态态波动、有有规律进进行的。2、异常检检测：当当后台检检测到异异常时，立立即发出出警报提提示。3、历史流流量数据据的查询询：用户可可根据协协议/事事件类型型及检测测的时间间范围完完成历史史流量查查询。4、异常流流量信息息查询：用户可可根据协协议/事事件类型型及检测测的时间间范围完完成异常常流量信信息查询询。件制 三、总体设设计统原 在在linnux环环境下进进行系统统后台的的编程，用libcap库函数进行抓包，并对包进行分析，统计出TCP、UDP、ICMP等协议以及TCP-SYN事件、TCP-FIN事件、ICMP_PING事件、ICMP_3.1事件（主机不可达事件）、ICMP_3.3

15、事件（端口不可达事件）的包的数量。统计完成后将数据传递给异常检测算法和数据库，异常检测算法根据初始统计的正常数据包数量对以后到达的数据包进行预测分析，出现异常时调用socket函数传递给前台一个异常信号，c+ building来进行异常报警。另外pcap统计的包的数量也要传递给前台来建立一个正常流量模型。其中向前台传递正常数据和异常信息分别用一个分线程，还有一个分线程用来接收前台的命令。统结系统网络结结构如图图3.11所示：图3.1 系统网网络结构构图现与流1、系统总总体设计计流程如如图3.2所示示：图3.2 系统总总体设计计流程图图2、前台业业务流程程如图33.3所所示：图3.3 前台业业务

16、流程程图构设结构模块如如图3.4所示示：图3.4 系统结结构模块块模块一览表表模块名称标识符模块功能模块性能要要求登录模块Loginn与后台进行行连接通通讯；判判断字符符是否合合法；判判断登录录，登录录成功，开开启主线线程。能够及时返返回用户户登录信信息，提提供登录录或重登登录信息息。用户操作模模块Confiigurratiion对数据库操操作：保保存配置置信息，提提供检测测启动标标识；查查看历史史流量信信息；查查看异常常流量信信息。能快速的对对数据库库进行操操作，返返回用户户查询信信息多线程模块块TCommmuniicattionnThrreadd接收后台数数据，判判断数据据类型，解解析数据

17、据，启动动曲线描描绘函数数及异常常警报线线程。当用户进行行检测时时，应及及时的、有有规律的的描绘出出曲线数据包捕获获PCAP在网络数据据流里捕捕获数据据包并对对数据包包进行统统计，提提取出相相关的数数据信息息进行分分析并存存储于数数据库中中。对TCP、UUDP、IICMPP等数据据流量进进行统计计，检测测出相关关数据流流量的异异常。异常检测Anomaaly dettecttionn检测异常数数据流对不符合捕捕获数据据包正常常流量的的进行检检测并报报警通讯commuuniccatiion进行前后台台的通信信将统计得数数据包数数量直接接输送到到前台进进行显示示以及异异常检测测的显示示。能与模关需求

18、 代代码捕包模块异常检测模模块通讯登录模块用户操作模模块前台多线程程模块获取原始数数据流异常数据检检测存储数据查询数据库库接收数据发送数据显示结果未的 四、接口设设计部 部4.2.11 MyySQLL数据库库和前台台c+ buuildder的的连接1）连接步步骤第一步：使使用ODDBC数数据库访访问接口口标准，绑绑定服务务器addsysstemm数据库库建立一一个数据据源Neewaddsysstemm；第二步：使使用Daatabbaseesouurcee（一个能和远端端资料库库透过BBDE进进行连结结的元件件），绑绑定数据据源Neewaddsysstemm，可以以储存登入入资料库库所需的的身分

19、认认证资料料，包括括用户名名密码，确保以后的数据库操作中，不在需要确认；第三步：使使用Quueryy数据库库存取元元件，绑绑定Daatabbaseesouurcee；第四步：使使用Daatassourrce传传递元件件，将QQuerry取得得的值传传递给显显示元件件；第五步：使使用SttrinngGrrid元元件，将将获取到到的数据据显示。2）数据库库连接及及数据存存取示意意图如图4.11所示：图4.1 数据库库连接及及数据存存取示意意图4.2.22 MyySQLL数据库库和后台台Linnux的的连接主要是调用用APII函数，先先用myysqll_innit初初始化一一个sqql描述述符m_s

20、qll，再用用myssql_reaal_cconnnectt去连接接服务器器上的mmysqql，然然后用mmysqql_qquerry对数数据库进进行读写写操作，其其中读数数据库操操作还要要myssql_queery和和myssql_fettch_roww来读出出和存储储数据库库中的值值。4.2.33后台Liinuxx与前台台界面的的socckett连接套接字有两两套，分分别为后后台作为为socckett服务器器端前台台作为ssockket客客户端和和后台作作为soockeet客户户端前台台作为ssockket服服务器端端。也是是调用相相关的AAPI函函数来实实现套接接字连接接与通信信，其中中

21、服务器器端先用用socckett函数初初始化一一个soockeet描述述符soock_fd，对对socckadddr_in结结构体的的成员变变量进行行赋值，其其中siin_ffamiily为为 AFF_INNET，sinn_poort =为440055，地址址是本地地地址，完完了以后后用bzzeroo函数将将结构体体其余空空间清零零，然后后用biind函函数进行行端口与与本地地地址绑定定，用llistten函函数来监监听是否否用连接接，用连连接是用用accceptt函数生生成一个个连接ssockket描描述符nnew_fd，用用reccv函数数来接受受前台传传来的数数据。五、数据结结构设计计辑

22、设1）后台TCP tyypeddef strructt tccp_nnodee/存存储TCCP 流流量的循循环链表表，结构构体初始始化 iint vallue; /TCPP流量大大小 sstruuct tcpp_noode *neext;/定定义指针针tcp_nodde;tcp_nnodee *hheadd,*ttaill;/TCPP循环链链表头尾尾指针typeddef strructt tccpsyyn_nnodee/存存储TCCPSYYN 流流量的循循环链表表，结构构体初始始化 iint vallue; /TCCPSYYN流量量大小 sstruuct tcppsynn_noode *nee

23、xt;/定定义指针针tcpssyn_nodde;tcpsyyn_nnodee *hheadd,*ttaill;/TCPPSYNN循环链链表头尾尾指针typeddef strructt tccpfiin_nnodee/存存储TCCPFIIN 流流量的循循环链表表，结构构体初始始化 iint vallue; /TTCPFFIN流流量大小小 sstruuct tcppfinn_noode *neext;/定定义指针针tcpffin_nodde;tcpfiin_nnodee *hheadd,*ttaill;/TCPPFINN循环链链表头尾尾指针typeddef strructt uddp_nnodee

24、/存存储UDDP 流流量的循循环链表表，结构构体初始始化 iint vallue; /UDPP流量大大小 sstruuct udpp_noode *neext; /定义义指针tcpuudp_nodde;udp_nnodee *hheadd,*ttaill;/UDPP循环链链表头尾尾指针typeddef strructt iccmp_nodde/存储IICMPP 流量量的循环环链表，结结构体初初始化 iint vallue; /IICMPP流量大大小 sstruuct icmmp_nnodee *nnextt;/定义指指针icmpp_noode;icmp_nodde *heaad,*taiil;

25、/ICCMP循循环链表表头尾指指针typeddef strructt iccmpppingg_noode/存储储ICMMPPIING 流量的的循环链链表，结结构体初初始化 iint vallue; /IICMPPPINNG流量量大小 sstruuct icmmppiing_nodde *nexxt;/定义义指针icmpppinng_nnodee;icmpppingg_noode *heead,*taail;/IICMPPPINNG循环环链表头头尾指针针typeddef strructt iccmp331_nnodee/存存储ICCMP331 流流量的循循环链表表，结构构体初始始化 iint v

26、allue; /IICMPP31流流量大小小 sstruuct icmmp311_noode *neext;/定定义指针针icmpp31_nodde;Icmp331_nnodee *hheadd,*ttaill;/ICMMP311循环链链表头尾尾指针typeddef strructt iccmp333_nnodee/存存储ICCMP333 流流量的循循环链表表，结构构体初始始化 iint vallue; /IICMPP33流流量大小小 sstruuct icmmp333_noode *neext;/定定义指针针icmpp33_nodde;Icmp333_nnodee *hheadd,*ttai

27、ll;/ICMMP333循环链链表头尾尾指针2）前台实现登录功功能，创创建的类类函数，主主要完成成用户登登录及通通讯。classs TLLogiinFoorm : ppubllic TFoorm_pubblisshedd: 系统自自定义的的控件privaate:/ Useer ddecllaraatioonspubliic:/ Useer ddecllaraatioons _ffasttcalll TTLogginFFormm(TCCompponeent* Owwnerr); /登录录表单的的构造函函数 AnssiSttrinng JJudggemeent(AnssiSttrinng EEdi

28、ttConntennt); /非法法字符判判断函数数 AnssiSttrinng GGetLLLtiime ; /保保存获取取到的系系统时间间的变量量 AnssiSttrinng SServviessAdddresss; /保存存服务器器地址的的变量;实现流量检检测，包包括异常常流量报报警，正正常流量量曲线模模型的绘绘制；实实现历史史流量及及异常流流量的历历史数据据查询操操作，对对数据库库进行取取操作。classs TCConffiguurattionnForrm : puubliic TTForrm_pubblisshedd: /声明明系统的的控件及及方法函函数privaate:/ Usee

29、r ddecllaraatioonspubliic:/ Useer ddecllaraatioons _ffasttcalll TTConnfigguraatioonFoorm(TCoompoonennt* Ownner);/配置窗窗口的构构造函数数 intt _fasstcaall connnecct_ddataabasse1(AnssiSttrinng IIp); /SSockket通通讯函数数 AnssiSttrinng PPotoocollTyppe; /记记录时间间间隔值值 intt wWWidtth; /坐标宽宽度变量量int WWHigght; /坐标标高度变量量 voiid D

30、DrawwDott (iint DottVallue,intt coountt); /描绘曲曲线函数数函数 intt TCCtimme; /保存存配置信信息时间间差int SSummmitMMesssagee; /保存存配置完完成标识识符 voiid CChecckHiistooryDDataabasss(); /历史流流量数据据库查询询函数AnsiSStriing HisstorryTyype; /所需查查询的历历史流量量类型int SSumCCounnt; /记录录从历史史流量表表查询到到的记录录数 intt AEEReccorddCouunt; /记录从从异常流量量数据库库中获取取到的记

31、记录数 intt soock_fd, nuumbyytess; /通通讯端口口使用的的全局变变量 chaar rrecvvbuff1000; /接接收后台台数据 chaar ssenddbuff1000; /发发送数据据 chaar ccommmandd200; /发送关关闭值;主线程类函函数，用用于保持持接收后后台数据据，并且且进行数数据解析析，曲线线绘制函函数的调调用及异异常报警警线程的的调用。classs TCCommmuniicattionn : pubblicc TTThreead privaate:proteecteed: voiid _faastccalll Exxecuute(

32、voiid); /线线程的执执行方法法函数 /iint CommmunnicaatioonSeelecct;publiic: _fasstcaall TCoommuuniccatiion(); /线程的的构造函函数 AAnsiiStrringg _fasstcaall Connnecct(); /连连接函数数;从线程类函函数，用用于实现现异常报报警。classs TWWarnninggThrreadd : pubblicc TTThreead privaate:proteecteed: voiid _faastccalll Exxecuute(voiid); /报报警线程程的执行行方法函函数p

33、ubliic: _ffasttcalll TTWarrninngThhreaad(); /报警警线程的的构造函函数 /AAnsiiStrringg TeempMMesssagee;理设据与代关 代模块strucct eetheer_hheadderstrucct iin_aaddrrstrucct aarp_heaaderrstrucct iip_hheadderstrucct uudp_heaaderrstrucct ttcp_heaaderrstrucct iicmpp_heeadeerstrucct LLinkklisstclasss TLLogiinFoormclasss TCConf

34、figuurattionnForrmclasss TCCommmuniicattionnclasss TWWarnninggThrreadd六、数据库库设计常表a_yicchanng（对对异常时时间段内内异常包包的信息息进行统统计）。其其中Ypprottocool表示示包出现现异常的的协议类类型，YYeveent表表示包出出现异常常的事件件类型，YYtimme表示示统计异异常事件件发生的的时间，YYnummberr表示异异常事件件还有此此类型事事件的个个数。表6.2 异常信信息表（a_yicchanng）字段含义字段名称数据类型长度空备注IDIDInt11否主键，自增增协议类型Yprottoc

35、oolVarchhar10时间类型YevenntVarchhar10检测时间YtimeeDatattimee异常包个数数YnumbberInt10量a_liuuliaang（对对包中的的tcpp等协议议流量以以及tccp-ssyn等等事件流流量进行行统计）。其中Ltcp表示单位时间内捕获的tcp协议的包的数量，Ludp表示单位时间内捕获的udp协议的包的数量，Licmp表示单位时间内捕获的icmp协议的包的数量，Lsyn表示单位时间内捕获的含有syn事件的包的数量，Lfin表示单位时间内捕获的含有fin事件的包的数量，Lping表示单位时间内捕获的含有ping事件的包的数量，Lzhu表示单位时间内捕获的含有主机不可达事件的包的数量，Lduan表示单位时间内捕获的含有端口不可达事件的包的数量。表6.1 流量表（a_liuuliaang）字段含义字段名称数据类型长度空备注IDIDInt11否主键，自增增Tcp包数数量LtcpInt10Udp包数数量LudpInt10Icmp包包数量LicmppInt10Syn包数数量LsynInt10Fin包数数量LfinInt10Ping包包数量LpinggInt 10Icmp_3.11包数量量LzhuInt10Ic