1、本 科 毕 业 论 文网络安全监控系统Network Security Monitoring System姓 名: 学 号:学 院:软件学院系:软件工程专 业:软件工程年 级:指导教师: 年 月I摘 要随着Internet 的迅速发展和信息社会的到来,网络已经影响到社会的政治、经济、文化、军事和社会生活的各个方面。以网络方式获取信息和交流信息已成为现代信息社会的一个重要特征。互联网作为当代社会传播信息资源的工具已经越来越重要。网络已经成为当今社会人们生活中必不可少的一部分。而随着计算机网络越来越复杂,网络安全和管理己变得日益重要,不仅要求网络管理对网络变化做出快速反应,还要为管理大型网络提供必
2、要的手段等等。网络流量分析系统作为网络管理的一个重要的基础系统,对网络的流量进行实时的监控,为后续的网络管理工作,网络黑客攻击防范工作起到了最重要的作用。本文所设计的基于开放源代码的入侵检测系统 Snort 而设计的网络安全监控系统,其主要是应用 WinPcap 进行 IP 数据包捕获,采用VisualStudio2005 作为开发平台,MySQL 作为后台的数据库管理系统,提供良好的用户管理界面,可以实现对本地网络的实时监控和图表统计分析,并提供异常流量的选择查询和报警功能。关键词:网络监控;Snort;实时监控IIAbstractWith the rapid development of
3、Internet and the advent of the information society, the social network has already affected the political, economic, cultural, military and all aspects of social life. The way to obtain and exchange information through the Internet has become an important feature of the modern information society. I
4、nternet as a resource tool for the dissemination of information in contemporary society has become increasingly important. The network has become an essential part of societys life.As computer networks become more complex, network management has become increasingly important for the network to react
5、 quickly to changes in the management of the network, as well as for the management of large networks with the necessary means, and so on. Network flow analysis system, as an important foundation system of the network management, conducts a real-time monitoring to the network flow control, plays the
6、 most important role in the follow-up management of the network and network hackerscrime prevention.Based on the snort system with open source, Network Security Monitoring System is based on the WinPcap to develop, uses Visual Studio2005 as a development platform, MySQL as the background database ma
7、nagement system.It provides a good user management interface. At the same time, It can achieve on real-time monitoring and statistical analysis on Local network flow, and provide exceptional flow searching function, thus it is able to provide the choice of abnormal flow of inquiries and alarm to the
8、 AdministratorKey words: Network monitoring; snort; real-time monitoringIII目 录第一章 绪论 11.1 网络安全监控的研究背景和意义 11.2 本文研究内容 .21.3 论文组织结构 .2第二章 基本概念介绍 32.1 IP/TCP 协议 32.1.1 TCP/IP 整体构架概述 .32.1.2 TCP/IP 中的协议 .42.2 UDP 协议 .52.3 ICMP 协议 .62.4 WinPcap 协议介绍 72.4.1 Winpcap 的组成 .72.4.2 Winpacp 的功能 82.5 系统开发工具简介 .8
9、2.5.1 Visual Studio 2005 和 C#简介 .82.5.2 MySQL 简介 92.5.3 Snort 简介 102.5.4 Apache、 PHP、Adodb、BASE 简介 112.6 本章小 结 .12第三章 系统详细设计 143.1 系统开发目的及设计目标 143.2 系统整体设计思想 .143.3 数据包捕获分析 .15IV3.3.1 Winpcap 进行网络数据包的捕获和过滤的设计步骤 153.3.2 Snort 的配置 173.3.3 Snort 在 Mysql 中生成数据库 183.3.4 Snort 监控与报警日志记录 183.4 数据库的设计 .203.
10、5 实时监控设计 .243.5.1 数字监控 .243.5.2 图形监控 .243.6 实时监控与报警设计 .273.6.1 历史数据查询与实时监控的设计 .273.6.2 报警设置 .293.7 本章小结 .30第四章 系统实现结果 314.1 实时监控 .344.1.1 数字监控 .344.1.2 图形监控 .344.2 历史数据显示 .354.3 报警数据查询 .364.3.1 报警信息 .364.3.2 清空数据 .374.4 本章小结 .39第五章 结束语 40参考文献 41致谢 43VContentsChapter1 Introduction .11.1 Research back
11、ground and significance of Network Security Monitoring 11.2 Contents of the paper .21.3 The organizational structure of paper2Chapter2 Introduction of the basic concepts .32.1 IP/TCP protocol 32.1.1 Outlined the overall framework of TCP/IP protocol32.1.2 Protocol in TCP/IP .42.2 UDP Protocol.52.3 IC
12、MP Protocol 62.4 Introductions with WinPcap protocol 72.4.1 Composition of Winpcap .72.4.2 Functions with WinPacp 82.5 Introductions with System development tools .82.5.1 Introductions with Visual Studio 2005 and C# 82.5.2 Introductions with MySQL 92.5.3 Introductions with Snort.102.5.4 Introduction
13、s with Apache,PHP,Adodb and BASE .112.6 Summary .12Chapter3 The detailed design of the system.143.1 The purpose of system development and design object 143.2 Overall design concept with system 143.3 Analysis of packet capture .153.3.1 WinPcaps Network packet capture and filtering steps of the design
14、15VI3.3.2 Configuration of the Snort173.3.3 Snort generated in Mysql database.183.3.4 Monitoring and alarm logging in Snort183.4 Database designing .203.5 Design of real-time monitoring243.5.1 Digital monitoring 243.5.2 Graphic monitoring 243.6 Design of real-time monitoring and alarm .273.6.1 Histo
15、rical data query and design of real-time monitoring273.6.2 Alarm settings 293.7 Summary .30Chapter4 achieve results with the system 314.1 Real-time monitoring344.1.1 Digital monitoring 344.1.2 Graphic monitoring 344.2 Historical data query354.3 Alarm Data Query 364.3.1 Alarm information364.3.2 Data
16、clearing 374.4 Summary .39Chapter5 Concluding remarks40References .41Acknowledgements .43厦门大学软件学院毕业设计论文 网络安全监控系统1第一章 绪论1.1 网络安全监控的研究背景和意义随着Internet 的飞速发展,网络规模的不断扩大,网络用户的成倍增加,网络传输速度和容量的快速增长以及网络应用和业务种类的快速发展,使得Internet 成为一个综合数据、语音、视频等多媒体服务的平台。同时,网络技术的快速发展,不断涌现的新的网络协议成指数倍的增长,网络的异构性特点也越来越明显,这使得网络管理十分困难,也
17、严重威胁到网络中服务器的安全。近年来国内外相关的研究大都是通过对大量的流量数据进行分析,找出能反映网络真实特性的数学模型,如自相似模型等,但仍然不能全面客观地反映网络的真实状态和面貌。可以说,Internet一直没有得到有效的检测,我们缺乏对网络性能的理解和预测。事实上,我们可以通过对本地进行网络安全监控,采用抓包工具获取真实的数据,并对这些数据进行细致充分的定性定量分析,也是一种较为有效的方法。网络安全是网络管理的基础和重要内容,特别是对于Internet这样大型复杂的骨干网络来说更为重要。网络监控还可以实现监测拥塞链路,预警拒绝服务攻击,实施流量工程,满足服务等级合约的QoS策略设计等功能
18、。因此,研究Internet的测量方法并且实现相应的测量系统是至关重要的。网络安全监控是保障计算机网络系统安全运行,防止各种恶意窃取,防止各种破坏性攻击的重要的安全技术。同时,网络监控也是网络管理的信息收集工具,它为网络管理提供必要的信息,对把握网络的发展方向以及发现网络故障都有一定的意义。基于snort系统的轻量级网络监控系统,就是在这样的背景下产生的。所有的有关于网络安全监控的系统及研究,都是以IP包的监控分析作为基础的。网络安全监控系统就是通过Snort系统进行到达本地服务器的所有数据包的截取和分析,掌握当前网络总IP数量,同时可以根据不同的需要对特定端口或特定外部地址进行监视,防止非法
19、入侵,以保障本地网络系统的安全和稳定。它的主要意义在于实现了网络监控。随着内部网络的规模与容量的日渐扩大,保持系统的正常运作将会变得越来越重要。网络监控能使系统及时地发现厦门大学软件学院毕业设计论文 网络安全监控系统2网络流量异常的现象,使服务器在发现非法入侵后能立即做出反应,来保护自己的服务器不被破坏,以求获得安全性的同时,提高网络性能。1.2 本文研究内容互联网络中,无论是应用业务种类还是流量规模都在飞速发展。不断变化的网络需要相应灵活的监控工具帮助网络管理者及时了解网络状态,以便于进行网络规划及故障排除。目前,网络安全监控系统正受到越来越多的关注,我们有必要认识它、了解它,并最终应用它,
20、让它帮助我们解决各种各样的网络问题。本文设计完成的网络安全监控系统是以监控用户网络流量情况、防范黑客攻击进行入侵检测为主要目的而进行开发的。基于Winpcap协议和Snort系统,来完成网络数据包的捕获,通过对所捕获数据包的内容进行统计分析,完成对网络流量的监控分析和对可能发生的拒绝服务攻击进行检测等功能。本系统是基于Winpcap协议进行开发的,采用Visual Studio2005作为开发平台,MySQL作为后台的数据库管理系统,提供良好的用户管理界面,可以实现对本地网络安全的实时监控、统计分析,并提供异常流量的报警功能,从而能对网络中可能存在的拒绝服务攻击进行进一步处理。整个系统使用C#
21、 语言编写后台数据包捕获程序,Visual Studio2005作为前台的界面显示,MySQL作为数据包分析系统的数据库管理系统,以MySQL数据库作为前后台交互的中间层,使后台数据包的捕获和前台的实时监控以及对历史数据查询得以很好的实现。1.3 论文组织结构基于Snort 系统的网络监控系统的论文组织结构如下:本文将从以下几个方面进行说明:第一章 绪论;第二章 介绍网络安全监控系统的基本概念和相关的技术知识;第三章 介绍系统的详细设计;第四章 介绍系统具体实现结果;第五章 结束语。厦门大学软件学院毕业设计论文 网络安全监控系统3第二章 基本概念介绍由于本系统是基于Winpcap协议的网络安全
22、监控系统,实现针对不同网络协议和不同网络服务的相关数据包的实时分析,并将检测数据保存到数据库。整个系统开发采用C#语言实现后台数据包捕获,Visual Studio2005实现前台界面显示,利用MySQL实现数据存储。所以在本章中主要对IP/TCP协议、UDP和ICMP协议、Winpcap 协议、 MySQL数据库以及系统开发工具做详细介绍。2.1 IP/TCP 协议TCP/IP 协议是在 60 年代由麻省理工学院和一些商业组织为美国国防部开发的。TCP/IP 协议是支持 Internet/Intranet 的基本通信协议。传输控制协议TCP(Transmission Control Prot
23、ocol),负责数据的流量控制,并保证传输的正确性;网际协议 IP(Internet Protocol),负责将数据从一处传往另一处。TCP/IP 协议具有广泛的兼容性和可伸缩性,可连接不同的计算机网络协议和不同的网络设备。TCP/IP 已成为网络互连事实上的标准,并成为支持 Internet/Intranet 的协议标准 1。2.1.1 TCP/IP 整体构架概述TCP/IP 协议并不完全符合 OSI 的七层参考模型。传统的开放式系统互连参考模型,是一种通信协议的 7 层抽象的参考模型,其中每一层执行某一特定任务。该模型的目的是使各种硬件在相同的层次上相互通信。这 7 层是:物理层、数据链路
24、层、网路层、传输层、会话层、表示层和应用层。而 TCP/IP 通讯协议采用了 4 层的层级结构,每一层都呼叫它的下一层所提供的网络来完成自己的需求。这 4 层分别为: 应用层:应用程序间沟通的层,如简单电子邮件传输(SMTP)、文件传输协议(FTP)和网络远程访问协议( Telnet)等。 传输层:在此层中,它提供了节点间的数据传送服务,如传输控制协议(TCP)和用户数据报协议(UDP )等。TCP 和 UDP 给数据包加入传输数据并把它传输到下一层中,这一层负责传送数据,并且确定数据已被送达并接收。 互连网络层:负责提供基本的数据封包传送功能,让每一块数据包都能够到达目的主机(但不检查是否被
25、正确接收),如网际协议(IP)。 网络接口层:对实际的网络媒体的管理,定义如何使用实际网络(如厦门大学软件学院毕业设计论文 网络安全监控系统4Ethernet、Serial Line 等)来传送数据。2.1.2 TCP/IP 中的协议(1) IP 协议网际协议 IP(Internet Protocol)是 TCP/IP 的心脏,也是网络层中最重要的协议。网际协议(IP)是一个网络层协议,包含寻址信息和控制信息 ,可使数据包在网络中路由。IP 协议是 TCP/IP 协议族中的主要网络层协议,与 TCP 协议结合组成整个因特网协议的核心协议。IP 协议同样都适用于 LAN 和 WAN 通信。IP
26、协议结构包括头部和数据两部分,其头部包含有版本号、头部长度、服务类型、总长度、验证、标识、生命周期、源目的地址和目的地址等。协议结构如图 2.1 所示:图 2-1:IP 协议的结构(2) TCP 协议 传输控制协议 TCP(Transfer Control Protocol)是 TCP/IP 协议栈中的传输层协议,它通过序列确认以及包重发机制,提供可靠的数据流发送和到应用程序的虚拟连接服务。与 IP 协议相结合,组成了因特网协议的核心。关于流数据传输 ,TCP 交付一个由序列号定义的无结构的字节流。 这个服厦门大学软件学院毕业设计论文 网络安全监控系统5务对应用程序有利,因为在送出到 TCP
27、之前应用程序不需要将数据划分成块,TCP 可以将字节整合成字段,然后传给 IP 进行发送。TCP 通过面向连接的、端到端的可靠数据报发送来保证可靠性。 TCP 在字节上加上一个递进的确认序列号来告诉接收者发送者期望收到的下一个字节。如果在规定时间内,没有收到关于这个包的确认响应,重新发送此包。TCP 协议结构包括源端口、目的端口、顺序号、确认号、窗口和数据等协议结构如图 2-2 所示:图 2-2:TCP 协议结构2.2 UDP 协议用户数据报协议 UDP(User Datagram Protocol)是 ISO 参考模型中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务。 UDP
28、协议基本上是 IP 协议与上层协议的接口。 UDP 协议适用端口分辨运行在同一台设备上的多个应用程序。与 TCP 不同, UDP 并不提供对 IP 协议的可靠机制、流控制以及错误恢复功能等。由于 UDP 比较简单, UDP 头包含很少的字节,比 TCP 负载消耗少。UDP 适用于不需要 TCP 可靠机制的情形,比如,当高层协议或应用程序提供错误和流控制功能的时候。 UDP 是传输层协议,服务于很多知名应用层厦门大学软件学院毕业设计论文 网络安全监控系统6协议,包括网络文件系统(NFS)、简单网络管理协议(SNMP)、域名系统(DNS)以及简单文件传输系统(TFTP )。UDP 协议结构包含源端
29、口、目的端口、长度、确认号和数据。其协议结构如图 2-3:图 2-3:UDP 协议结构2.3 ICMP 协议Internet 控制信息协议 ICMP(Internet Control Message Protocol)是 IP 组的一个整合部分。通过 IP 包传送的 ICMP 信息主要用于涉及网络操作或错误操作的不可达信息。ICMP 包发送是不可靠的,所以主机不能依靠接收 ICMP 包解决任何网络问题。ICMP 的主要功能有:通告网络错误、通告网络拥塞、协助解决故障和通告超时。ICMP 协议结构包含类型、代码、确认号、标识、顺序号和地址网关。其协议结构如图 2-4:图 2-4:ICMP 协议结
30、构厦门大学软件学院毕业设计论文 网络安全监控系统72.4 WinPcap 协议介绍Winpcap 是一个免费公开的软件系统。它用于 windows 系统下的直接的网络编程。大多数网络应用程序访问网络是通过广泛使用的套接字。这种方法很容易实现网络数据传输,因为操作系统负责底层的细节(比如协议栈,数据流组装等)以及提供了类似于文件读写的函数接口。如图 2-5 所示:图 2-5: WinPcap 的内部结构2.4.1 Winpcap 的组成第一个模块 NPF(Netgroup Packet Filter),是一个虚拟设备驱动程序文件。它的功能是过滤数据包,并把这些数据包原封不动地传给用户态模块,这个
31、过程中包括了一些操作系统特有的代码。第二个模块 packet.dll 为 win32 平台提供了一个公共的接口。不同版本的Windows 系统都有自己的内核模块和用户层模块。Packet.dll 用于解决这些不同。调用 Packet.dll 的程序可以运行在不同版本的 Windows 平台上,而无需重新编译。第三个模块 Wpcap.dll 是不依赖于操作系统的。它提供了更加高层、抽象的函数。packet.dll 直接映射了内核的调用。 Wpcap.dll 提供了更加友好、功能厦门大学软件学院毕业设计论文 网络安全监控系统8更加强大的函数调用。2.4.2 Winpacp 的功能Winpcap 可
32、以为 Win32 应用程序提供访问网络底层的能力。它提供了以下的各项功能:a. 捕获原始数据包,包括在共享网络上各主机发送/接收的以及相互之间交换的数据包;b. 在数据包发往应用程序之前,按照自定义的规则将某些特殊的数据包过滤掉;c. 在网络上发送原始的数据包;d. 收集网络通信过程中的统计信息。Winpcap 的主要功能在于独立于主机协议(如 TCP-IP)而发送和接收原始数据报。也就是说,Winpcap 不能阻塞,过滤或控制其他应用程序数据报的发收,它仅仅只是监听共享网络上传送的数据报。目前基于 Winpcap 的应用主要有:Snort 、WinDump、Analyzer 以及 Ether
33、eal,这些软件能够捕捉网络通信、读取并翻译来自其他系统的 tcpdump 类型二进制数据包。另外还有Sniffer,Project URL Snooper,Hidownload 等有特定实际用途的网络软件。2.5 系统开发工具简介网络安全监控系统是基于 WINPCAP 和 Snort 进行开发的,采用 Visual Studio 2005 作为开发平台,系统使用 C# 语言编写后台监控程序,Visual Studio 2005 作为前台的界面显示,MySQL 作为安全监控系统的数据库管理系统,以MySQL 数据库作为前后台交互的中间层。2.5.1 Visual Studio 2005 和 C
34、#简介C# 语言是近年来在国内外得到迅速推广应用的一种计算机语言,C# 语言功能丰富,表达能力强,使用灵活方便,应用面广,目标程序效率高,可移植性好,既具有高级语言的优点,又具有低级语言的许多特点。因此,C# 语言特别适合于编写系统软件。Miscrosift Visual Studio 是微软公司出品的创建高性能解决方案的最有效的工具之一 214。Visual Studio 主要包括 Visual C+,Visual Bacic,Java,C# 等。其中,C#厦门大学软件学院毕业设计论文 网络安全监控系统9是微软公司研究员 Anders Hejlsberg 的最新成果。C# 看起来与 Java
35、 有着惊人的相似;它包括了诸如单一继承、接口、与 Java 几乎同样的语法和编译成中间代码再运行的过程。但是 C#与 Java 有着明显的不同,它借鉴了 Delphi 的一个特点,与 COM(组件对象模型)是直接集成的,而且它是微软公司.NET windows 网络框架的主角。C# 语法表现力强,而且简单易学。C# 的大括号语法使任何熟悉 C、C+ 或 Java 的人都可以立即上手。了解上述任何一种语言的开发人员通常在很短的时间内就可以开始使用 C# 高效地进行工作。C# 语法简化了 C+ 的诸多复杂性,并提供了很多强大的功能,例如可为 null 的值类型、枚举、委托、lambda 表达式和直
36、接内存访问,这些都是 Java 所不具备的。C# 支持泛型方法和类型,从而提供了更出色的类型安全和性能。C# 还提供了迭代器,允许集合类的实施者定义自定义的迭代行为,以便容易被客户端代码使用。在 C# 3.0中,语言集成查询 (LINQ) 表达式使强类型查询成为了一流的语言构造 3。C#是微软为 .net 量身定做的语言,是基于托管平台的面向对象的语言。一般的情况下,C#用于做应用系统,因为 C#是目前开发效率最高的语言!2.5.2 MySQL 简介MySQL,出自瑞典小公司 MySQL 公司的开放源码的数据库软件,目前对数据库老牌厂商 Oracle, IBM, Microsoft 以及 Sy
37、base 等公司产生威胁。它同样具有良好的可靠性、安全性和易用性,是大规模联机事务处理、数据仓库和电子商务应用程序的优秀数据库平台 4。MySQL 提供了其它数据库少有的编程工具,而且 MySQL 对于商业和个人用户是免费的。MySQL 是大规模联机事务处理、数据仓库和电子商务应用程序的优秀数据库平台 15。MySQL 数据库最主要的两大特点就是开源和免费,此外,它还具有以下主要特点:(1). 同时访问数据库的用户数量不受限制;(2). 可以保存超过 50000000 条记录;(3). 是目前市场上现有产品中运行速度最快的数据库系统;(4). 用户权限设置简单、有效。由于 MySQL 本身并不
38、像 MS SQL Server 那样提供图形化显示界面,所以厦门大学软件学院毕业设计论文 网络安全监控系统10为了在开发过程中显示方便,我们还可以装上一些 MySQL 的插件,比如MySQL Front,这是一款小巧的管理 MySQL 的应用程序。主要特性包括多文档界面,语法突出,拖拽方式的数据库和表格,可编辑/可增加/ 删除的域。可编辑/可插入/删除的记录,可显示的成员,可执行的 SQL 脚本,提供与外程序接口,保存数据到 CSV 文件等 16。2.5.3 Snort 简介Snort 是常见的支持分布式的网络入侵检测系统(NIDS),能够进行实时网络流量分析并记录各类攻击行为和相关网络数据包
39、。Snort 有三种工作模式:嗅探器、数据包记录器和网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的 5。我们可以让 Snort 分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。1、嗅探器。所谓的嗅探器模式就是 Snort 从网络上读出数据包然后显示在你的控制台上。如果你只要把 TCP/IP 包头信息打印在屏幕上,只需要输入下面的命令:./snort v2、数据包记录器。如果要把所有的包记录到硬盘上,你需要指定一个日志目录,Snort 就会自动记录数据包:.
40、/snort -dev -l ./log3、网络入侵检测系统。Snort 最重要的用途还是作为网络入侵检测系统(NIDS),使用下面命令行可以启动这种模式:./snort -dev -l ./log -h 192.168.1.0/24 -c snort.confsnort.conf 是规则集文件。 snort 会对每个包和规则集进行匹配,发现这样的包就采取相应的行动。如果你不指定输出目录,Snort 就输出到/var/log/snort 目录。Snort 使用一种简单的,轻量级的规则描述语言,这种语言灵活而强大。在开发 Snort 规则时要记住几个简单的原则。大多数 Snort 规则都写在一个
41、单行上,或者在多行之间的行尾用/分隔。Snort 规则被分成两个逻辑部分:规则头和规则选项。规则头包含规则的动作,协议,源和目标 IP 地址与网络掩码,以及源厦门大学软件学院毕业设计论文 网络安全监控系统11和目标端口信息;规则选项部分包含报警消息内容和要检查的包的具体部分 6。2.5.4 Apache、PHP、Adodb、BASE 简介(1)、Apache 是世界使用排名第一的 Web 服务器软件。它可以运行在几乎所有广泛使用的计算机平台上。Apache 服务器的设置文件位于 /usr/local/apache/conf/目录下,传统上使用三个配置文件 httpd.conf,access.c
42、onf 和 srm.conf,来配置Apache 服务器的行为。在新版本的 Apache 中,所有的设置都被放在了httpd.conf 中,因此只需要调整这个文件中的设置。Apache 的特点是简单、速度快、性能稳定,并可做代理服务器来使用 7。Apache web 服务器软件拥有以下特性 8:1). 支持最新的 HTTP/1.1 通信协议2). 拥有简单而强有力的基于文件的配置过程3). 支持通用网关接口4). 支持基于 IP 和基于域名的虚拟主机5). 支持多种方式的 HTTP 认证6). 集成 Perl 处理模块7). 集成代理服务器模块8). 支持实时监视服务器状态和定制服务器日志9)
43、. 支持服务器端包含指令(SSI)10). 支持安全 Socket 层(SSL)11). 提供用户会话过程的跟踪12). 支持 FastCGI13). 通过第三方模块可以支持 Java Servlets14).如果你准备选择 Web 服务器,毫无疑问 Apache 是你的最佳选择。(2)、PHP,一个嵌套的缩写名称,是英文超级文本预处理语言(PHP:Hypertext Preprocessor)的缩写 9。PHP 是一种 HTML 内嵌式的语言,PHP 与微软的 ASP 颇有几分相似,都是一种在服务器端执行的嵌入 HTML 文档的脚本语言。PHP 的特性包括 10:1). 开放的源代码:所有的
44、 PHP 源代码事实上都可以得到。厦门大学软件学院毕业设计论文 网络安全监控系统122). PHP 是免费的。3). php 的便捷性:php 十分便捷,学习简单4). 基于服务器端:由于 PHP 是运行在服务器端的脚本,可以运行在UNIX、LINUX 和 WINDOWS 下。5). 嵌入 HTML:因为 PHP 可以嵌入 HTML 语言,所以学习起来并不困难。6). 简单的语言:PHP 坚持脚本语言为主,与 Java 和 C+不同。7). 效率高:PHP 消耗相当少的系统资源。8). 图像处理:用 PHP 动态创建图像9). 面向对像:在 php4,php5 中,面向对象方面都有了很大的改进
45、,现在php 完全可以用来开发大型商业程序。10).PHP 相对于其他语言,编辑简单,实用性强,更适合初学者。(3)、ADODB 是用于 PHP 的数据库连接插件,因为它是基于 php 的,所以只需要将软件包复制到 WEB 发布目录下。后面在配置 BASE 时会需要设定这个目录进行调用。它是 PHP 中一个对象导向的数据库封包链接库,它提供了共通的应用程序接口来跟所有支持的数据库沟通,简化了你的程序的数据库移植性操作(4)、BASE(Basic Analysis and Security Engine),即基础分析和安全引擎是基于PHP 的广泛使用的一种高效 Snort 分析查询系统。用于分析
46、 Snort 警报的网页形式的引擎。2.6 本章小结基于 Snort 和 BASE 的入侵检测系统通常采用 “传感器数据库分析平台”的三层架构体系。传感器即网络数据包捕获转储程序。WinPcap 作为系统底层网络接口驱动,Snort 作为数据报捕获、筛选和转储程序,二者即可构成 IDS 的传感器部件。为了完整覆盖监控可以根据网络分布情况在多个网络关键节点上分别部署 IDS 传感器。Snort 获得记录信息后可以存储到本地日志也可以发送到Syslog 服务器或是直接存储到数据库中,数据库可以是本地也可以是远程的,Snort 支持 MySQL、MSSQL 、PostgreSQL、ODBC 和 Or
47、acle 等数据库接口,扩厦门大学软件学院毕业设计论文 网络安全监控系统13展性非常好。Snort 的日志记录仅仅包含网络数据包的原始信息,对这些大量的原始信息进行人工整理分析是一件非常耗时而且低效率的事情,我们还需要一个能够操作查询数据库的分析平台。无论是从易用性还是平台独立性考虑,WEB 平台都是首选。BASE(ACID 的升级版)是 Snort 最近最流行的分析平台,以 Apache 作为服务器,使用 PHP 开发的。这样,部署 IDS 传感器就成功了。可以进一步进行入侵检测系统的运行检测与监控。厦门大学软件学院毕业设计论文 网络安全监控系统14第三章 系统详细设计前面我们对基于 Sno
48、rt 的网络监控系统进行了简要分析,并对相关的技术和开发工具进行了介绍,在本章中我们将给出详细的设计方案。3.1 系统开发目的及设计目标本网络监控系统将用来动态检测子网内的网络异常数据,实现针对不同网络协议和不同网络服务的相关数据包进行实时分析,提供图形化分析工具,把分析所得的结果通过图形化(比如折线图)的界面显示出来,并将检测数据保存到数据库。在监视网络流量的基础上,通过制定一定的监控策略,对网络环境中出现的流量异常情况,对用户发出警报提示,使用户能及时的采取相应的预防或补救的措施。3.2 系统整体设计思想根据网络监控分析系统的开发目的及设计目标,将系统定位于一个包含数据包捕获分析、数据存储、实时监控和数据查询与报警三个模块。其中,捕获分析模块是系统的后台运行程序,主要负责的是,通过使用WinPcap 协议,对通过所监听的网络适配器的所有数据包进行捕获。这一部分属于一些底层的操作,并没有对所捕获的数据进行显示,而是通过前台用户界面调用数据库数据实现数据的实时监控功能。数据存储是基于前一个捕获分析模块所捕获并且分析过的数据包,对得到分析结果的数据包进行分类统计(基于不同网络协议或者不同网络服务),并把统计的结果存入到 MySQL 数据库中,以供前台显示程
