基于网络流量日志的分析与安全审计-计算机应用技术专业论文.docxVIP

第1章引言1．1当前网络安全状况 第1章引言 1．1当前网络安全状况 互联网日益广泛的应用和快速发展，在给人们带来诸多便利的同时，也给许 多不法分子从事网上非法活动提供了可乘之机。Intemet无法真正约束人们的上网 的行为，在9：联网上发布、传播有害信息的问题日渐突出，利用互联网实施的违 法犯罪活动也逐渐增多。 目酊，网络上比较突出的问题有：1)法轮功的网上非法宣传，散布谣言’2) 网络传销诈骗3)网络非法侵入和非法窃取，进行金融犯罪和攻击计算机系统4) 网络色情传播5)网络交友作案6)故意制造和传播计算机病毒。 这些行为已经严重影响了互联网的健康发展，给国家和个人都造成了严重危 害。需要通过更进一步的法律法规和技术手段来保证互联网的发展。这也对从事 网管工作的人员提出了更高的要求。如何在不影响用户合法上网行为的前提下， 有效跟踪并且汜录用户上网活动，通过日志分析的方式来尽早发现用户的非法行 为进而规范之，已经成为现代网络管理的一个重要手段。 1．2选题背景 为了规范人们的上网行为，做到事后有据可查，也是为了响应公安部的号召， 大连海事大学网络中心逐步推行上网实名制一一即每个上网用户都是通过有效证 件注册上网19长号。 GS网关F1志系统，实现了AAA功能，主要包括用户认证、流量统计、黑白名 单、网络流量同志记录、费用计算等。它的主要功能主要是流量目志的记录。 目前GS网关日志系统已经在校网络中心稳定运行半年多，并且网络中心也积 极地与相关安全部门和公司联合推广该系统的改进版--GS网桥f：1志系统。 GS已经非常详细记录了流量F1志，但对于一个安全审计系统来说，是还不够。 对}_=j志的分析和安全审计是必不可少的，这方面还需要大量的工作。本论文正是 基于这 点展开，力图通过对臼志的后期详细处理，来补充和完善GS系统。 1．3论文概述网络流量H志是进行网络分析与安全审计的基础，它提供了最原始的数据。 1．3论文概述 网络流量H志是进行网络分析与安全审计的基础，它提供了最原始的数据。 本论文就是在己有的同志记录上进行分析与安全审计。本毕业设计的运用范围包 括：个人网络流量查询、上网单位的网管中心、行政级的网络安全监测中心。它 是作为GS这类系统的配套辅助部分。 主要分成3大模块完成，主要采用B／S模式： 1．基本的同志查询(基本实现)。 2．基本的f=1志分析与统计(基本实现)。 3．安全审计(研究重点)。 其中第3模块细分为两部分： 1)基于规则的自动报警 通过对网络流量同志进行实时监视或事后分析，基于规则库来判断，看是否 违反已制定的安全策略，与GS配合，然后按照预先定义的策略自动报警、阻断和 记录R志等。 2)基于数据挖掘的用户行为分析 通过基于特征化、聚类、关联规则分析等方式对数据库日志的数据挖掘，详 细分析用户行为，找出相关的行为特点、规则，辅助安全审计功能的进一步完善。 这部分是本人毕业设计的难点和重点! 第2章相关技术和背景的介绍与研究2．1 第2章相关技术和背景的介绍与研究 2．1 GS系统介绍 根据GS所实现的网络协议层不同，可分为GS网关版和GS网桥版。 GS网关版在网络层实现了AAA功能，而GS网桥版则在数据链路层实现。 在GS网关版和GS网桥版的日志中，GS网关版仅仅多出了Policy字段：计 费标识，而这个字段是无关紧要的。所以，两个版本的曰志无实质差异，本文对 H志的分析‘j安全审计与GS的版本无关。 针对这一特点，后面的分析设计全是以GS网关版的日志格式为准，而具体实 现时，文本同志查询、自动报警是基于GS网桥版的，其余是基于GS网关版。在 此特别给予说明。下面分别简单介绍一下GS网关版和网桥版。 2．1．1 GS网关版 计费网关系统是一套运行在Linux平台上，用纯c编写的网络应用软件，它 对用户在网络上的传输数据包大小进行精确的计费与控制。所有的用户数据包都 是在内核中作处理。图2一l即为计费网关系统的框架结构图。 下面结合计费网关结构示意图介绍一下该系统的工作流程。 现在假设Client有上网需求。首先，Client发送～个请求数据包给Server，该 信息包中含有本次上网的帐户和该Client的MAC地址的信息。Server通过查询后 台数据库得到该帐户的密码，该密码将作为传递公钥的加密密钥。 Server把加密以后的公钥和一个随机数传递给Client，Client在得到密文以后， 用它的帐户密钥解密，得到了公钥和一个Server传递过来的随机数。Client随后生 成一个随机数，作为本次会话的密钥，然后把会话密钥和Server传递过来的随机 数一起加密以后发送给服务器端。 Server得到Clien