网络信息安全监测系统的研究.docVIP

网络信息安全监测系统的研究 　　【 摘 要 】 针对当前网络信息不断受到攻击而无法有效进行防范的问题，论文设计出网络信息安全监测系统来解决该难题。首先对设计系统的日志和入侵检测技术进行了详细的描述；其次对系统的总体设计和数据库设计进行了分析，给出了系统的功能架构；最后对系统的部分实现进行了分析。论对于网络信息管理人员和安全检测人员有着一定的研究价值。 中国论文网 /8/view-7178078.htm 　　【 关键词 】 网络；监测安全；信息安全 　　1 引言 　　在传统的网络安全体系中，防火墙、数字签名等技术对于当前日益发展的网络来说，已经无法满足网络信息安全的需要。网络信息安全监测系统可以为网络的安全提供更加全面的保护。 　　2 系统技术 　　2.1 系统日志 　　计算机系统会对操作事件进行记录并按照事件的时间戮写入到日志中，一个日志文件描述一个单独事件，所有的操作系统和大部分应用软件都会产生日志文件，日志文件的数量比较庞大，对于日志文件命名一般都采用日期和时间相结合的方式来命名。另外，由于应用软件的多样性，对日志文件的记录采用的格式也不尽相同，国内外对于日志文件的存取格式没有一个统一的标准，各家软件企业都根据自身应用程序的特点进行存放，所以很多日志文件不易读懂。 　　2.2 入侵检测 　　入侵检测是对网络中的关键信息点的数据进行收集和分析，可以及时发现不正常的操作事件和违反安全策略的行为，从而保证系统的安全性和完整性。对于入侵检测技术，可以分为基于行为和基于知识两种。 　　（1）基于行为的入侵检测技术。该技术对系统的正常行为和用户的行为进行比较，寻找两者之间的偏差。该检测技术的思想是首先在系统中建立完善的行为特征库，如果使用者的行为与特征库中的记录行为差异性较大，则认为系统遇到安全隐患。当前的专家系统和神经网络系统等采用的是行为入侵检测技术，其不足是前期需要建立完善的行为特征库，这对于未知的网络操作来说是个十分巨大的挑战。 　　（2）基于知识的入侵检测技术。该技术是通过收集网络中的入侵攻击和自身软件系统的不足建立相应的知识特征库，进而对网络的攻击进行分析，是一个不断完善的过程。对网络攻击事件有着准确的判断，但对于首次遇到的攻击事件，在知识库中没有记录的事件，则认为是正常的。因此，该技术对于可疑事件的判断性相对较差。 　　3 系统设计 　　3.1 总体设计 　　网络信息安全监测系统要具有较强的监测功能和数据分析能力。为了更好地网络进行管理，采用B/S结构，管理者可以随时通过互联网对所监测的网络进行处理，而无需专门的软件安装。根据网络信息安全监测系统的功能，对系统的进行模块化设计，主要分为入侵检测、日志审计、数据还原、控制中心和数据库五大模块。其功能结构如图1所示。 　　控制中心是以Web界面的形式与用户进行交互，对信息进行收集和数据分析通过入侵检测、数据还原和日志管理三个模块与数据库中存放的特征库进行交互。 　　3.2 数据库设计 　　数据库主要存放系统相关的管理信息和特征库，为了确保系统的完整性和可靠性，本文所设计的数据库主要包含几个数据表：（1）数据包表――存放收集的数据包的基本信息，主要包含的字段有源MAC、目标MAC、源IP、目标IP、源端口、目标端口、时间、长度、协议字段、URL等；（2）日志表――存放系统和应用软件创建的日志，主要包含的字段有日志名、创建日期时间、创建序号、优先级、日志内容及危险等级等；（3）用户信息表――存放用户的基本信息，主要包含的字段有用户名、密码、权限等级、用户真实姓名、部门、电话等；（4）报警信息表――存放入侵事件的基本信息，主要包含的字段有事件名、报警级别、报警点、处理人员、时间等。 　　在数据库的设计中，还需要有TCP、UDP、ICMP、IP及IPv6等相关字段的描述，通过头文件可以分析出不同的协议，进而处理来自不同协议的数据包。在此，不再对该内容进行具体的描述。 　　4 具体实现 　　3.1 报警功能 　　在系统中，网络遇到攻击的可能性非常大，当网络遇到危险时，很多情况下，系统不可能自动将所有的攻击都堵绝在网络之外，需要用户的人工干预才可以。无论是否需要人工的操作，对于外来的攻击，系统都要进行报警操作。对于报警信息，需要将时间、源地址、目标地址、协议、攻击类型等展示给用户。对于有些过期的报警信息或者无用的报警信息可以对其进行删除操作，其核心如下所示： 　　$.messager.confirm（’确定’，’ 确定要删除该记录？’，function（d）{ 　　if（d）{ var ids = []； 　　for（var i = 0；irows.length；i++）{ 　　ids.push（rows[i].id） 　　} 　　$.