校园计算机网络病毒检测系统设计与实现.pdf

校园计算机网络病毒检测系统设计与实现 945 校园计算机网络病毒检测系统设计与实现 张莲1，2钟诚2 1广西大学人事处南宁530004 2广西大学计算机与电子信息学院南宁530004 摘要：本文描述基于交换机日志分析技术的校园网络病毒检测算法和数据库的设计思想，并详细 介绍系统采用的MFC文档^阮图结构嫡程模式、ODBC数据库动态连接方法、序列化机制读写文件和 CStdioFile类操作文本文件的方法． ODBC 关键词：病毒检测日志分析MFC 随着计算机网络的不断发展和推广应用，因网络的开放性而带来的安全性问题也日益突出，计算机病 毒就是其中一个严重威胁计算机和网络系统正常运行的信息安全问题…。多年来，人们积极研究基于交换机 日志分析检测计算机和网络系统异常的方法口-7】，为确保计算机和网络系统的安全运行提供了技术基础。本 文介绍基于交换机日志分析技术的校园网络病毒检测系统关键算法和数据库的设计思想以及采用的有关程 序设计技术。 1基于交换机日志分析的病毒检测系统 校园计算机网络病毒检测系统包括异常检测子系统、病毒数据库管理子系统和电子邮件自动报警子系 统三大模块。其中，异常检测子系统生成标准日志，并通过检测算法完成对获取的网络交换机日志进行分 析以判断接入校园计算机网络的主机是否感染病毒；病毒数据库管理子系统负责更新与维护病毒特征数据 库等信息；电子邮件自动报警子系统完成通过Email向可能被怀疑遭受了病毒的主机发出警报并提供相应 的处理建议和措施。 检测校园网内主机是否可能被感染病毒的关键工作之一是对网络交换机日志数据进行分析。由3Csyslog 系统读取的交换机日志的结构如下： Time IPAddress Msg耐pe Message 项描述信息体(包括源主机IP地址和目的主机m地址)。 系统设计的日志数据表结构如表1所示。基于网络交换机日志数据分析以检测主机是否感染病毒的过 程如图1所示。 检测和判断主机是否感染病毒的方法是；如果某条记录MsgDpe项的值为“denied”，那么该数据包就 认为属于异常发包，通过Message项可以获得发送异常数据包的源口地址。网络中已经感染病毒的主机一 般会在很短的时间间隔内会向处于同一网段的主机大量发送可以感染病毒的数据包，以实现不断感染主机 机已经感染病毒。 946 计算机技术与应用进展·2006 1i I—— i曼曼量———●●●■—■■■——■|—曼量量量曼曼曼曼量曼皇量量量曼曼量量曼暑曼曼量量摹 图2给出的是检测系统运行的一个结果界面。 表1日志数据表 属性 数据类型 长度 可否空 描述 ID 长墅型 8 否 记录惟一标识 异常IP 字符串 15 否 该异常记录的IP地址。 来源IP 字符串 】5 否 H志记录的来源口地址。 首次时间 日期型 8 是 该异常记录第一次出现的时间 最后时间 日期型 8 是 该异常记录最近出现的时间 次数 整型 4 否 该异常记录出现的次数 囤l基于交换机日志分析的病毒检测算法 2系统实现的程序设计技术 (t)文档，视图结构设计模式 MFC的“文档，视图结构”设计模式可使得程序中数据与它的显示形式和用户的交互分离开来删。“文档 ，视图类结构”编程模式将程序