031肖妍—流异常自动检测网络监控系统.pdfVIP

流异常自动检测网络监控系统的设计 肖妍 李之棠 华中科技大学计算机学院 武汉 430074 E-mail:xyan@ 摘要 本文设计了一种FAAD 流异常自动检测 网络监控系统 介绍了这种FAAD 网 络监控系统的功能与结构 在文章的最后 作者讨论了网络流异常的分类及表示方法 关键词 Sniffer 流异常 知识库 专家系统 一 引 言 网络管理员的一个重要的任务是监控路由器和交换机的流异常行为 由于目前没 有精确的刻画网络流异常的指标参数 管理员检测网络异常行为通常是以多年的网络管 理经验为基础的 各种商业的网络流监控软件在网络管理的过程中起辅助的作用 但这 些工具需要管理员事先定义策略以触发报警 这就要求网络管理员不仅要有扎实的网络 知识 还要有从事网络管理的丰富经验 针对目前网络监控系统的不足 文章提出了一种FAAD 流异常自动检测网络监控系 统 它在现有流行的网络监控软件的基础上增加了FAAD 专家系统 管理员不用事先定 义网络管理策略 网络监控软件就能够自动检测流异常行为 它不需要管理员的过多参 与 就能实现自动网络监控 真正减轻了管理员的工作负担 二 流 异 常 自 动 检 测 网 络 监 控 系 统 的 功 能 和 结 构 1.流异常自动监测网络监控系统的功能 目前流行的网络监控工具有由Network General Corporation 出品的著名的网络管理工具 netXray, 由eEye Digital Security 出品的Iris以及 Windows 2000 自带的网络监视器等 等 它们都具有强大的网络管理功能 流异常自动监测 (Flow Anomalies Automatic Detection 以下简称FAAD) 网络监控系统与目前流行的网络监控系统所共有的功能包 括 1.监控网络活动 2.解码捕获数据 3.重组会话 4.探测连接企图 4.利用过滤器配置捕获会话 5. 显示网络统计数据 6.生成网络流 7.设置触发器 目前的网络监控软件能为网络管理员提供网络状况的最新数据 网络管理员根据这 些数据进行分析 得到关于网络运行状况的结论 [1] 管理员利用这些经验性结论设置 触发条件 当出现网络异常状况时 系统就能报告给管理员 不难看出网络运行状况结 论的得出是依赖于管理员的专业知识和从业经验的 不同的管理员可能的出不同的结 论 系统向管理员报告网络状况需要管理员事先作诸如数据分析 触发条件设置等大量 工作 基于这种现状 我们提出FAAD 网络监控系统 它在传统的网络监控系统的基础 上 内置FAAD 专家系统和FAAD 知识库 不需要管理员的过多干预 就能自动的报告 网络运行状况 真正实现了流异常自动监测 简化了管理员的工作 2. FAAD网络监测系统的结构 我们提出的FAAD 网络监测系统是在现有的网络监测系统的基础上增加了流异常指 标数据库 流数据处理模块及FAAD 专家系统和知识库 FAAD 网络监测系统通过 Sniffer 采集网络流的原始数据 根据过滤规则选取管理员感兴趣的流数据 利用流数据 处理模块对流数据进行处理 得到用于判断网络流异常的指标参数 保存在流异常指标 数据库中 FAAD 专家系统用知识库中的规则对流异常指标数据库中的数据进行有效的 审查和评测 得出合理的关于网络流异常状况的推论 从而为网络管理与优化提供重要 依据 图 3.2-1 显示了FAAD 网络监测系统的结构框图 以功能划分各个模块 图中主要 模块的含义和相互关系是 管理员 分 人机交互模块 析 管 FAAD 专家 理 主 系统 流数据处理模 机 流原始