1、 本 科 毕 业 论 文 网络 安全 监控系统 Network Security Monitoring System 姓 名: 学 号: 学 院:软件学院 系:软件工程 专 业:软件工程 年 级: 指导教师: 年 月I 摘 要 随着 Internet 的迅速发展和信息社会的到来,网络已经影响到社会的政治、经济、文化、军事和社会生活的各个方面。以网络方式获取信息和交流信息已成为现代 信息社会的一个重要特征。互联网作为当代社会传播信息资源的工具已经越来越重要。网络已经成为当今社会人们生活中必不可少的一部分。而随着计算机网络越来越复杂,网络 安全和管理 己变得日益重要, 不仅 要求网络管理对网络变化
2、做出快速反应 ,还要 为管理大型网络提供必要的手段等等。网络流量分析系统作为网络管理的一个重要的基础系统 , 对网络的流量进行实时的监控,为后续的网络管理工作,网络黑客攻击防范工作起到了最重要的作用。 本文 所设计 的基于开放源代码的入侵检测系统 Snort 而设计 的网络 安全监控系统 ,其主要 是 应用 WinPcap 进行 IP 数据包捕获 ,采用 VisualStudio2005作为开发平台, MySQL 作为后台的数据库管理系统,提供良好的用户管理界面,可以实现对本地网络的实时监控 和 图表 统计分析,并提供异常流量的选择查询 和报警 功能。 关键词 : 网络监控 ; Snort;
3、实时监控 II Abstract With the rapid development of Internet and the advent of the information society, the social network has already affected the political, economic, cultural, military and all aspects of social life. The way to obtain and exchange information through the Internet has become an importa
4、nt feature of the modern information society. Internet as a resource tool for the dissemination of information in contemporary society has become increasingly important. The network has become an essential part of societys life. As computer networks become more complex, network management has become
5、 increasingly important for the network to react quickly to changes in the management of the network, as well as for the management of large networks with the necessary means, and so on. Network flow analysis system, as an important foundation system of the network management, conducts a real-time m
6、onitoring to the network flow control, plays the most important role in the follow -up management of the network and network hackerscrime prevention. Based on the snort system with open source, Network Security Monitoring System is based on the WinPcap to develop, uses Visual Studio2005 as a develop
7、ment platform, MySQL as the background database management system.It provides a good user management interface. At the same time, It can achieve on real-time monitoring and statistical analysis on Local network flow, and provide exceptional flow searching function, thus it is able to provide the cho
8、ice of abnormal flow of inquiries and alarm to the Administrator Key words: Network monitoring; snort; real-time monitoring III 目 录 第一章 绪论 . 1 1.1 网络安全监控的研究背景和意义 . 1 1.2 本文研究内容 . 2 1.3 论文组织结构 . 2 第二章 基本概念介绍 . 3 2.1 IP/TCP协议 . 3 2.1.1 TCP/IP 整体构架概述 . 3 2.1.2 TCP/IP 中的协议 . 4 2.2 UDP协议 . 5 2.3 ICMP协议 .
9、 6 2.4 WinPcap协议介绍 . 7 2.4.1 Winpcap 的组成 . 7 2.4.2 Winpacp 的功能 . 8 2.5 系统开发工具简介 . 8 2.5.1 Visual Studio 2005 和 C#简介 . 8 2.5.2 MySQL 简介 . 9 2.5.3 Snort 简介 . 10 2.5.4 Apache、 PHP、 Adodb、 BASE简介 . 11 2.6 本章小结 . 12 第三章 系统详细设计 . 13 3.1 系统开发目的及设计目标 . 14 3.2 系统整体设计思想 . 14 3.3 数据包捕获分析 . 15 3.3.1 Winpcap 进行网
10、络数据包的捕获和过滤的设计步骤 . 15 IV 3.3.2 Snort 的配置 . 17 3.3.3 Snort 在 Mysql 中生成数据库 . 18 3.3.4 Snort 监控与报警日志记录 . 18 3.4 数据库的设计 . 20 3.5 实时监控设计 . 24 3.5.1 数字监控 . 24 3.5.2 图形监控 . 24 3.6 实时监控与报警设计 . 27 3.6.1 历史数据查询与实时监控的设计 . 27 3.6.2 报警设置 . 29 3.7 本章小结 . 30 第四章 系统实现结果 . 31 4.1 实时监控 . 34 4.1.1 数字监控 . 34 4.1.2 图形监控
11、. 34 4.2 历史数据显示 . 35 4.3 报警数据查询 . 36 4.3.1 报警信息 . 36 4.3.2 清空数据 . 37 4.4 本章小结 . 39 第五章 结束语 . 40 参考文献 . 41 致谢 . 43 V Contents Chapter1 Introduction . 1 1.1 Research background and significance of Network Security Monitoring . 1 1.2 Contents of the paper . 2 1.3 The organizational structure of paper.
12、2 Chapter2 Introduction of the basic concepts. 3 2.1 IP/TCP protocol . 3 2.1.1 Outlined the overall framework of TCP/IP protocol . 3 2.1.2 Protocol in TCP/IP . 4 2.2 UDP Protocol . 5 2.3 ICMP Protocol . 6 2.4 Introductions with WinPcap protocol . 7 2.4.1 Composition of Winpcap . 7 2.4.2 Functions wi
13、th WinPacp . 8 2.5 Introductions with System development tools . 8 2.5.1 Introductions with Visual Studio 2005 and C# . 8 2.5.2 Introductions with MySQL . 9 2.5.3 Introductions with Snort . 10 2.5.4 Introductions with Apache,PHP,Adodb and BASE. 11 2.6 Summary . 12 Chapter3 The detailed design of the
14、 system . 13 3.1 The purpose of system development and design object . 14 3.2 Overall design concept with system . 14 3.3 Analysis of packet capture . 15 3.3.1 WinPcaps Network packet capture and filtering steps of the design . 15 VI 3.3.2 Configuration of the Snort . 17 3.3.3 Snort generated in Mys
15、ql database . 18 3.3.4 Monitoring and alarm logging in Snort . 18 3.4 Database designing . 20 3.5 Design of real-time monitoring. 24 3.5.1 Digital monitoring. 24 3.5.2 Graphic monitoring . 24 3.6 Design of real-time monitoring and alarm . 27 3.6.1 Historical data query and design of real-time monito
16、ring . 27 3.6.2 Alarm settings . 29 3.7 Summary . 30 Chapter4 achieve results with the system. 31 4.1 Real-time monitoring . 34 4.1.1 Digital monitoring. 34 4.1.2 Graphic monitoring . 34 4.2 Historical data query. 35 4.3 Alarm Data Query . 36 4.3.1 Alarm information. 36 4.3.2 Data clearing . 37 4.4
17、Summary . 39 Chapter5 Concluding remarks. 40 References . 41 Acknowledgements. 43 厦门大学软件学院毕业设计论文 网络安全监控系统 1 第 一 章 绪论 1.1 网络安全监控的研究背景和意义 随着 Internet 的飞速发展,网络规模的不断扩大,网络用户的成倍增加,网络传输速度和容量的快速增长以及网络应用和业务种类的快速发展,使得 Internet 成为一个综合数据、语音、视频等多媒体服务的平台。同时,网络技术的快速发展,不断涌现的新的网络协议成指数倍的增长,网络的异构性特点也越来越 明显,这使得网络 管理 十分
18、困难 ,也严重威胁到网络 中服务器 的安全 。 近年来国内外相关的研究大都是通过对大量的流量数据进行分析,找出能反映网络真实特性的数学模型,如自相似模型等,但仍然不能全面客观地反映网络的真实状态和面貌。可以说 , Internet一直没有得到有效的检测,我们缺乏对网络性能的理解和预测。事实上, 我们可以通过对本地进行网络安全监控 ,采用 抓包工具 获取真实的数据,并对这些数据进行细致充分的定性定量分析, 也 是 一种 较为有效的方法。 网络安全 是网络管理的基础和重要内容,特别是对于 Internet这样大型复杂的骨 干网络来说更为重要。 网络监控 还可以实现监测拥塞链路,预警拒绝服务攻击,实
19、施流量工程,满足服务等级合约的 QoS策略设计等功能。因此,研究 Internet的测量方法并且实现相应的测量系统是至关重要的。 网络安全监控是保障计算机网络系统安全运行,防止各种恶意窃取,防止各种破坏性攻击的重要的安全技术。同时,网络监控也是网络管理的信息收集工具,它为网络管理提供必要的信息,对把握网络的发展方向以及发现网络故障都有一定的意义。 基于 snort系统 的 轻量级 网络监控系统,就是在这样的背景下产生的。所有的有关于网络安全监控的系 统及研究,都是以 IP包 的监控分析作为基础的。 网络 安全 监控系统就是 通过 Snort系统进行到达 本地服务器的所有数据包 的截取和分析,掌
20、握当前网络总 IP数量 ,同时可以根据不同的需要对特定端口或特定外部地址进行监视,防止非法入侵,以保障本地网络系统的安全和稳定。 它的主要意义在于实现了网络监控。随着内部网络的规模与容量的日渐扩大,保持系统的正常运作将会变得越来越重要。网络监控能使系统及时地发现网络流量异常的现象,使服务器在发现非法入侵后能立即做出反应,来保护自己的厦门大学软件学院毕业设计论文 网络安全监控系统 2 服务器不被破坏 , 以求获得安全性的同时 , 提高网络性能。 1.2 本文研究内容 互联网络中,无论是应用业务种类还是流量规模都在飞速发展。不断变化的网络需要相应灵活的监控工具帮助网络管理者及时了解网络状态,以便于
21、进行网络规划及故障排除。 目前,网络 安全 监控系统正受到越来越多的关注,我们有必要认识它、了解它,并最终应用它,让它帮助我们解决各种各样的网络问题。 本文设计完成的 网络 安全 监控系统是以监控用户网络流量情况、防范黑客攻击进行入侵检测为主要目的而进行开发的。基于 Winpcap协议 和 Snort系统, 来完成网络数据包的捕获,通过对所捕获数据包的内容进行统计分析,完 成对网络流量的监控分析和对可能发生的拒绝服务攻击进行检测等功能。 本系统 是基于 Winpcap协议 进行开发的,采用 Visual Studio2005作为开发平台, MySQL作为后台的数据库管理系统,提供良好的用户管理
22、界面,可以实现对本地网络 安全 的实时监控、统计分析 ,并提供异常流量的 报警 功能,从而能对网络中可能存在的拒绝服务攻击进行 进一步处理 。 整个 系统使用 C# 语言编写后台 数据包捕获 程序, Visual Studio2005作为前台的界面显示, MySQL作为 数据包分析系统的数据库管理系统,以 MySQL数据库作为前 后台交互的中间层 ,使后台数据包的捕获和前台的 实时监控以及对历史数据查询得以很好的实现 。 1.3 论文组织结构 基于 Snort系统 的网络监控系统的论文组织结构如下: 本文将从以下几个方面进行说明: 第一章 绪论 ; 第二章 介绍 网络安全监控 系统 的 基本
23、概念和相关的技术知识 ; 第三章 介绍系统的详细设计 ; 第四章 介绍系统 具体实现 结果 ; 第五章 结束语 。 厦门大学软件学院毕业设计论文 网络安全监控系统 3 第二章 基本概念 介绍 由于本系统是基于 Winpcap协议的网络 安全 监控系统,实现针对不同网络协议和不同网络服务的相关数据包的实时分析,并将检测数据保存到数据库 。整个系统开发采用 C#语言实现后台数据包捕获, Visual Studio2005实现前台界面显示,利用 MySQL实现数据存储。所以在本章中主要对 IP/TCP协议 、 UDP和 ICMP协议 、 Winpcap协议、 MySQL数据库 以及 系统开发工具做详
24、细介绍。 2.1 IP/TCP 协议 TCP/IP 协议是在 60 年代由麻省理工学院和一些商业组织为美国国防部开发的。 TCP/IP 协议是支持 Internet/Intranet 的基本通信协议。传输控制协议TCP(Transmission Control Protocol), 负责数据的流量控制 ,并保证传输的正确性 ;网际协议 IP(Internet Protocol), 负责将数据从一处传往另一处。 TCP/IP 协议具有广泛的兼容性和可伸缩性 ,可连接不同的计算机网络协议 和 不同的网络设备。TCP/IP 已成为网络互连事实上的标准 , 并成为支持 Internet/Intranet 的协议标准1。 2.1.1 TCP/IP整体构架概述 TCP/IP 协议并不完全符合 OSI 的七层
