课件：CERNE国际出口监测系统.pptVIP

* 分析处理的策略是，首先将数据接口单元传来的新记录在超过阈值的双向链表中查找，如果发现有该IP的记录，那么视情况修改一些相关信息；如果列表中没有该IP的记录，那么继续在另一个双向链表中查找，并按不同情况进行处理：如果队列中已有该地址的记录，那么其命中次数加1并将其对应节点放在对头；如果队列中没有该地址的记录，并且队列空间也没满，则新增一个节点并将其放在对头，否则用新的记录取代队尾节点原先的记录，并将队尾改成队头；如果命中次数达到阈值，即认为可能进行了扫描，就将其加入到超过阈值的链表中，并把其在本链表中的节点放置到对尾。 采用这种策略将每一条新的记录都放在队头，这样出现频率高的IP始终保持在队列的前部而不会被其他IP替代掉，直到它超过阈值被加入到另一个链表中，而出现频率低的IP会逐渐后退到队尾并被新的IP取代。这样可以很有效的发现出现频率高的地址，也就是进行了大规模扫描的地址。 * 目的地址处理单元通过对目的地址的分析，找出可能受到攻击的地址。其分析处理的方法与源地址处理单元完全相同，所以不再赘述。 * 数据经过源地址处理单元和目的地址处理单元处理后，需要把结果送入到数据库中，供WEB使用。 在开始设计程序时曾考虑将结果排序的问题，如果数据量比较大，在送入数据库前就先用冒泡排序或者快速排序算法进行排序；如果需要送入的数据量比较小，数据可以直接送入到数据库，排序问题可以由sql语句解决。经过程序实际运行测试，记录攻击情况的链表长度不到四十，被攻击的链表内更是只有一两个数据，考虑到系统本身处理的对象是几百兆的海量数据，系统负荷很大，而排序问题又完全可以交给sql语句来完成，没有必要额外增加系统的负担，所以取消了排序的过程。 * 送进数据库的数据可以通过WEB的形式显示成图表供管理员参考使用。这两幅图是依据五月八号中午十二时到十三时这一个小时内的流量数据画出的，左图是扫描IP包数和非扫描IP包数所占的比例，右图是流量的比例。可以看到在黑客大战的高峰时刻，扫描的包数占到总包数的69.98%，而由于扫描发出的都是流量很小的包，所以其流量仅占总流量的19.7%。但由于需要处理的包数量太多，使网络总体性能大幅度下降，表现为包的数量很大达到网络处理能力的极限，而占用线路的带宽却比平时还要小很多，所以可以看出大规模扫描严重影响了网络的性能。 * * * * CERNET国际出口扫描监测系统 作者：王若伟 指导教师：李星 张辉 CERNET国际出口扫描监测系统 项目背景 入侵检测系统 系统设计 黑客攻击 目前网络安全的主要威胁，也是网络安全中最为引人关注的一个问题 世界上至少有20多万个黑客网站，黑客技术逐渐的被越来越多的人掌握和发展 黑客攻击的隐蔽性好，“杀伤力”强 目前对黑客攻击的解决方案 防火墙、安全扫描软件、入侵检测系统 入侵检测系统是近年来发展比较快的一个方向 BACK 入侵检测系统 定义:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。 主要功能: 监测并分析用户和系统的活动； 核查系统配置和漏洞； 评估系统关键资源和数据文件的完整性； 识别已知的攻击行为； 统计分析异常行为； 操作系统日志管理，并识别违反安全策略的用户活动。 入侵检测方式 基于网络 1.低拥有成本。 2.攻击者转移证据更困难。 3.实时检测和应答。 4.能够检测未成功的攻击企图。 5.操作系统独立。 基于主机 1.非常适用于加密和交换环境。 2.近实时的检测和应答。 3.不需要额外的硬件。 入侵检测技术 网络型入侵检测系统通常使用两种基本的检测技术 一、是分析数据流量，找出异常的网上交通 二、是分析数据内容，找出黑客攻击的表征 BACK 系统设计 系统设计概述 系统结构图 数据接口单元 源地址和目标地址处理单元 数据库单元 WEB显示和处理结果 系统设计概述 网络攻击的一个通常特征是：在短时间内发送大量的IP包 共同的弱点:同一个源地址或目的地址的IP包在网上频繁出现。 采用基于网络的对数据流量进行分析的技术 BACK 系统结构图 数据接口单元 源地址处理单元 目的地址处理单元 数据库单元 WEB显示 BACK 数据接口单元 对