网络流量异常检测界面与研究与设计.ppt

项目编号：2009D2505 泰安市大学生科技创新行动计划项目结题材料  网络流量异常的检测界面的研究与设计 项目负责人： 课题组成员： 指导教师： 所在系院： 完成时间：2011年6月14日 目录 1.工作总结 2.技术总结 3.部分源代码 4.相关光盘 一、网络流量异常的检测界面研发工作总结 1.项目的基本情况 （1）项目来源： 泰安市大学生科技创新行动计划项目，项目编号：2009D2050 （2）项目研究起止时间： 2010年1月——2011年6月 （3）项目主要研究内容 本项目主要研究如何设计网络异常流量检测系统的界面，其更为直观、准确地提供有关的网络信息，在此基础上开发实现一个小型的入侵检测系统。 （4）项目经费支出情况： 市拨经费3千元，项目支出经费3千元。 2.项目的组织实施情况 该项目自获得立项起，项目负责人就在指导教师鞠培军、朱峰的指导下，对本项目的研究思路进行了分析和研究，并在局域网内做了大量的数据采集与分析工作，在此基础上结合所学专业知识，在现有网络异常流量检测系统的基础上设计并开发出一个简洁直观、交互性较好的网络流量监测系统界面，同时又对网络入侵监测技术做了较深入的学习。最终在项目组和指导老师的共同努力下，按时完成了本项目的研究工作。 3.项目内容的完成情况 本项目设计了一种基于网络流量的异常检测系统。该系统的设计首先基于网络行为学的研究结果。网络行为学认为网络的流量行为具有长期特征和短期特征。网络的长期特征表现在网络行为具有一定的规律性、稳定性；而短期特征表现出一定的偶然性和突发性。在对校园网络流量（包括各种协议成份的流量）进行长期监测的曲线可以看出，网络流量的变化既有周期性又有突发性特征。在一个较长的时间段内，网络流量呈周期性特征（主要受作息时间的影响）；而在某个较短时间段内，网络流量会发生突发性变化（主要是网络用户的偶然行为）。如果除去Dos/DDos，蠕虫等入侵行为所造成的网络流量异常增大的影响，正常网络流量曲线应该是趋于连续变化的。 本项目完成了一个小型的基于Windows的网络异常流量检测系统的开发，整个系统主要分为两个部分，即检测模块和响应模块。检测模块主要是通过监听网络，捕获该网段上的数据包并对其进行分析，从而剥离出一些与入侵特征相关的标志。响应模块则负责将检测模块剥离出的标志与现有的入侵特征进行模式匹配，从而侦测出存在于网络中的入侵活动，并且利用一些响应手段向网络管理员发出告警信息并采取相应的行动。本系统将两部分的功能模块集中于中央控制台，给系统的使用者提供方便的操作界面，并显示系统输出的各项数据。 检测模块完成了数据采集、数据存储、数据呈现、数据分析四大功能。（1）数据采集模块：软件能够根据管理员的需求自动获取计算机内部的硬件或软件的信息，如网卡的MAC地址、端口等有效信息；（2）数据存储模块：将测试的数据进行保存（包含时间的记录和数据的记录），便于以后的查阅和进行数据的比较；（3）数据呈现模块：显示变化的网络流量的曲线图，能更直接、更方便的将变化的流量展现出来，并且根据曲线的变化判断网络流量的变化趋势及目前网络中可能存在的问题；（4）数据分析模块：在捕获数据包后，完成对数据包的分析过程。该过程从链路层开始分析，然后是网络层、传输层、应用层。 响应模块完成了（1）规则库的建立：结合校园局域网的特点，以数据包的报头信息为特征数据建立相应的规则库；（2）匹配算法：TCP规则匹配，UDP规则匹配，ICMP规则匹配，IP规则匹配等方法；（3）响应输出：根据规则动作的内容把入侵的警告信息忽略、警告或警告并存入数据库；（4）日志的保存：日志数据库主要是存储需要记录的重要入侵记录，其作用是为了对入侵事件的分析和取证。 通过系统测试，得出的结果表明，本项目完成的网络流量异常检测系统对于网络扫描、Dos/DDos、蠕虫等类型的网络攻击和入侵具有明显的检测效果。但是，相对于纷繁变化的网络攻击手段，限于软硬件环境和统计分析技术的缺陷，系统的异常检测能力还不是很完善，存在着一些不足之处还有待改进。项目组成员将继续深入学习入侵检测技术，争取将更高效的检测方法融合进来，使得该网络流量异常检测系统进一步完善，向着高性能、高可靠性、实时、快速、智能化的方