【正文】 ...................................................... 37 系統(tǒng)測試 .................................................................................................................. 37 ......................................................................................................................... 40 總結 .......................................................................................................................... 40 展望 .......................................................................................................................... 41 1 緒論 課題背景 隨著計算機網(wǎng)絡的快速發(fā)展，給人們的工作和生活帶來了極大的便利。 1970年之后，網(wǎng)絡環(huán)境日益惡化，網(wǎng)絡信息安全第一次作為一個獨立的學科來進行研究，但是當時側重的是研究針對類似于訪問控制安全策略、訪問數(shù)據(jù)加密特定信息系統(tǒng)的一些控制手段。 1990年之后，網(wǎng)絡病毒、黑客攻擊事件泛濫，網(wǎng)絡非法入侵問題已經(jīng)在全球范圍內泛濫，并且呈現(xiàn)出越演越烈的趨勢。 雖然網(wǎng)絡非法入侵問題給各個企業(yè)帶來了不同程度的損害，但是計算機網(wǎng)絡搭建了一個互相溝通學習的環(huán)境，包括了 各個學科和不同領域的知識，能夠很大的提高員工的工作學習效率，因此在學習工作中應用計算機網(wǎng)絡得到了支持。由于網(wǎng)絡帶來了無可比擬的方便，許多員工不能正確使用網(wǎng)絡，這樣不能給企業(yè)帶來利益。并且，網(wǎng)絡除了提供學習交流的資料之外，還有很多不利于社會和個人正常發(fā)展的內容，尤其是對缺少基本判別能力的青少年的危害不小。 所以，這篇論文綜合了網(wǎng)址匹配、過濾技術和網(wǎng)絡監(jiān)測技術，提出了一個通過 Web訪問監(jiān)測途徑， 當學生或員工輸入無關網(wǎng)址時，管理員的服務器可以搶在其打開網(wǎng)頁前與其進行“握手”并發(fā)送管理員提前準備好的頁面，從而阻止了 其正常訪問，提高了學習工作效率。 通過該方法設計并實現(xiàn)了一個用戶上網(wǎng)行為監(jiān)控系統(tǒng)，該系統(tǒng)不僅能夠為員工過濾掉不健康的網(wǎng)址，還能夠記錄員工上網(wǎng)記錄，及時察覺并攔截他們的行為，一是能夠幫 助員工過濾掉不健康的信息，二是可以監(jiān)視員工的網(wǎng)絡上的行為動機，降低受到 攻擊幾率，從而保證工作環(huán)境的安全性。 國內外發(fā)展現(xiàn)狀 阻止非健康網(wǎng)頁一般有兩種方法：一是殺毒軟件，另一個是防火墻。殺毒軟件既 可以在本機上裝載也可以在本機上卸載，由于這種方法相對來說比較經(jīng)濟實惠，多適用于家長對于不太懂計算機技術的孩子防止他們?yōu)g覽不健康的網(wǎng)頁 ，對于年齡稍大并且有一部分計算機基礎的孩子，殺毒軟件這種方法基本沒有什么用，由于每臺設備都要安裝一遍，所以這種方法管理起來有些不方便。 20 世紀 90 年代，江民殺毒軟件遙遙領先于其他殺毒軟件。到了 21 世紀初，江民，瑞星，金山毒霸三足鼎立，再到現(xiàn)在的 360，可牛，東方微點等殺毒軟件的擠入，殺毒軟件的發(fā)展呈現(xiàn)多元化的趨勢。 一種方法是防火墻，他部署在受保護網(wǎng)絡的邊界，通過一些管理者設置的原則檢查通過網(wǎng)絡的流量，來決定是否允許還是拒絕訪問這個網(wǎng)頁。這種方法只需安裝在服務器上，所以管理起來比較方便，但是當上網(wǎng)人 數(shù)過多的時候，導致網(wǎng)絡延遲，成為網(wǎng)絡的瓶頸。 在 防止非法網(wǎng)絡入侵的領域 ， 有兩個人將永載史冊 。 一是俄羅斯的 eugene kaspersky。 從 1989 年， eugene kaspersky 進行有關 計算機病毒現(xiàn)象 的研究 。 20 世紀 90 年代 ，他在 莫斯科一個 大型計算機公司 kami的信息技術中心， 在助手的幫助下 研發(fā)出了 arginine vasopessin 反病毒 編程 程序。 kaspersky lab于 1997年成立， eugene kaspersky 是創(chuàng)始人之一。 20xx年 11月， avp更名為 kaspersky antivirus。 eugene kaspersky 是 caro 的成員，該協(xié)會 包括了國際頂級的反病毒大師 。avp 的反病毒引擎和病毒庫， 在業(yè)界有很好的殺毒口碑 。 另一位是 doctor soloman。他創(chuàng)建的 doctor soloman，這個公司曾經(jīng)是歐洲最領先的殺毒軟件公司 ， 接著就 被 mcafee 收購 ，成為安全托拉斯 nai 的一部分。 在早些時候 ， mcafee 與歐洲的 同行發(fā)生了不太愉快的合作 ，但是 由于 自身殺毒引擎并不 具備自己的特色 ，于是 mcafee 停用 之前的 殺毒引擎，轉而使用 兼并 來 自于 doctor soloman產(chǎn)品的 殺毒 引擎。 20xx 年 6 月，微軟開始正式 舉行了 Microsoft Security Essentials(簡稱 MSE)新版殺毒軟件的 測試。 此次測試版僅 對 Windows XP、 Vista 及 Windows 7 等微軟旗下的三大終端 Microsoft 操作系統(tǒng) 提供支持 ，首批測試版將僅支持 English、 Brazilian、 Portuguese語等三種語言種類。 本次 微軟 向用戶提供免費的殺毒軟件 ， 是因為微軟實行 市場擴張和正版推動策略 。這個舉動可能帶來殺毒軟件市場的震動，對于其他公司的殺毒軟件的研發(fā)產(chǎn)生巨大影響 。 本文所做的彌補了前兩種方法的缺陷，通過監(jiān)聽網(wǎng)絡上的數(shù)據(jù)，從而分析出哪些網(wǎng)址是不允許被訪問的，攔截這個網(wǎng)頁。這個方法的優(yōu)點是管理起來方便，不會導致網(wǎng)絡的延遲。 本文主要任務 本文的主要任務是維護一個良好、綠色的網(wǎng)絡學習辦公環(huán)境，面對日益猖獗的網(wǎng)絡攻擊以及非法網(wǎng)站的入侵，采取 Web 訪問監(jiān)控系統(tǒng)予以攔截。通過網(wǎng)絡監(jiān)聽模塊、IP 包過濾、網(wǎng)址匹配模塊等主要模塊實現(xiàn)其功能，然后進行了詳細的設計部分，最后是測試階段。 論文的組織結構 第一章主要介紹了論文的研究背景，國內外的發(fā)展現(xiàn)狀； 第二章主要介紹了 相關研究理論，主要是 OSI 模型各個層的功能， TCP/IP 體系以及兩者的比較， HTTP 協(xié)議和 IP 協(xié)議的基本知識以及數(shù)據(jù)包捕獲的一些理論知識； 第三章主要是需求分析，介紹了設計系統(tǒng)時候的需求，有軟件需求以及硬件需求； 第四章主要是設計模塊，各個模塊的需求進行完善而詳盡的設計； 第五章是對所設計的系統(tǒng)進行了測試，包括功能測試以及性能測試，對測試的內容進行了詳細的分析； 第六章對本文進行了總體闡述以及對論文中由于技術或非技術原因而沒有實現(xiàn)的部分進行展望； 附錄是附錄的參考英文文獻以及翻譯。 OSI 參考模型 OSI 模型是 1995 年進行了修訂，其基礎是國際標準化組織的一份提案 ,其結構如圖1所示。 不難發(fā)現(xiàn)， OSI 一共有七層，每一層都實現(xiàn)不同的功能： （ 1）物理層，其主要任務是在通信信道傳輸 0或 1二進制數(shù)據(jù)流這樣的比特流，數(shù)據(jù)的基本單位是比特。物理層要保證當一端發(fā)送比特位 0 時，另一端接收到的也是比特 0，而不是比特 1，因此，物理層要決定使用多少伏的電壓來表示比特 0，每一個比特持續(xù)多長時間，傳輸是否要求從兩個方向同時進行，初始物理如何建立； （ 2）數(shù)據(jù)鏈路層，讓發(fā)送端將輸入的數(shù)據(jù)拆開，并且分裝到數(shù)據(jù)幀 中，然后再將這些數(shù)據(jù)幀按順序傳送（如果是可靠的服務，接收端必須確認每個幀都能準確無誤的收到，即發(fā)送給發(fā)送端一個確認幀）； （ 3）網(wǎng)絡層，是對子網(wǎng)運行過程的控制。從源端到目的端的途徑可以建立在靜態(tài)表的設計之上，這些途徑可以在每一次會話的開始就確定下來，也可以是高度動態(tài)的；； （ 4）傳輸層，它的基本功能是接受來自于上一層的數(shù)據(jù)，并且在必要的時候把這些數(shù)據(jù)單元切割成更小的單元，緊接著把這些數(shù)據(jù)單元準確無誤的發(fā)送到網(wǎng)絡層。這一層還決定了它的上一層（會話層）哪種類型的服務，例如完全無差錯的點到點信道； （ 5）會話層， 類似于兩個人之間的交談，它的功能就是在傳輸層服務的基礎上增加控制會話的機制，建立、組織和協(xié)調應用進程的交互過程。會話層提供的會話服務種類包括雙工 (雙向同時 )、半雙工（雙向交替）和單工（單向）； （ 6）表示層，規(guī)定應用程序或者用戶之間交換數(shù)據(jù)的格式，提供數(shù)據(jù)之間的轉換服務，確保傳輸?shù)臄?shù)據(jù)在到達目的端后不發(fā)生改變。數(shù)據(jù)轉換任務涵蓋了不同類型的計算機內部的格式轉換，密碼轉換和文本壓縮轉換； （ 7）應用層，直接面向用戶應用，為用戶提供對各種網(wǎng)絡資源的訪問服務。 OSI 系統(tǒng)參考模型如圖 所示： 圖 OSI 參考模型 TCP/IP 體系結構 TCP/IP 模型也被稱作 DoD 模型 (Department of Defense Model)。 TCP/IP 字面上代表了兩個協(xié)議： TCP（傳輸控制協(xié)議）和 IP（網(wǎng)際協(xié)議）。 1983 年 1 月 1 日 ，在因特網(wǎng)的前身（ ARPA 網(wǎng)）中， TCP/IP 協(xié)議取代了舊的網(wǎng)絡控制協(xié)議（ NCP， Network Control Protocol），從而成為今天的 網(wǎng)絡 的基石。 TCP/IP 的體系結構如圖 所示。 圖 OSI 與 TCP/IP 對照 TCP/IP 在設計時重點并沒有放在具體通信的實現(xiàn)上，所以對最后兩層沒有做出具體規(guī)定，同時表明它允許不同類型的通信網(wǎng)絡參與通信。它的四個層次功能如下。 （ 1）網(wǎng)絡接口層，任務是從物理網(wǎng)絡接收數(shù)據(jù)幀，提取 IP 數(shù)據(jù)報給網(wǎng)際層或將網(wǎng)際層的 IP 數(shù)據(jù)報通過物理網(wǎng)絡發(fā)送，因為沒有具體的網(wǎng)絡接口層的協(xié)議，從而保證了其靈活性，從而可以在不同物理網(wǎng)絡適用，如 LAN、 MAN， 嚴格上它并不是一個獨立的層次，僅僅是一個接口， TCP/IP 并沒有對它定義具體的內容； （ 2）網(wǎng)際層，提供一種無連接、不可靠卻又竭盡所能的數(shù)據(jù) 報傳輸服務，把數(shù)據(jù)在源主機和目的端主機之間傳送。通過犧牲一些非必須的操作來保證高效的傳輸速度； （ 3）傳輸層，提供端到端的應用程序之間的通信，可以使用傳輸控制協(xié)議 TCP（ Transmission Control Protocol）或用戶數(shù)據(jù)報協(xié)議 UDP（ User Datagram Protocol）協(xié)議， TCP 提供面向連接的可靠的源端口到目的端口的傳輸服務，它可以在低層不可靠的情況下提供可靠的傳輸機制。 UDP 提供無連接不可靠的源端口到目的端口的傳輸服務，由于不需要提前建立連接，因此傳輸?shù)男矢撸? （ 4）應用 層，提供面向用戶的網(wǎng)絡服務。 OSI 與 TCP/IP 的比較 兩者都是通過協(xié)議棧的概念為基礎的，而且在其中的協(xié)議是相互獨立的。兩個模型各個層次中的功能也大致相同：網(wǎng)絡接口層（ TCP/IP）對應 OSI 的物理層和數(shù)據(jù)鏈路層（ OSI），網(wǎng)際層（ TCP/IP）對應網(wǎng)絡層和傳輸層（ OSI），傳輸層（ TCP/IP）對應對應傳輸層（ OSI），應用層（ TCP/IP）對應會話層表示層和應用層（ OSI）。而且，傳輸層上面的各個層都是傳輸服務的用戶，并且都是面向應用的用戶。 TCP/IP 是協(xié)議先出現(xiàn)，而 OSI 正好相反，在參考 模型之后才出現(xiàn)的，因此 OSI 模型不會偏向于任何一個特定的協(xié)議，適用的范圍更加大。雖然它們實現(xiàn)的功能大致相同，但是它們劃分的層次和數(shù)目也是一個不同點，另外，無連接和面向連接的通信范圍也有所不同， OSI 的網(wǎng)絡層兩種連接同時支持，但是傳輸層知識支持面向連接的通信。 TCP/IP 的網(wǎng)際層只有無線連接通信一種模式，但在傳輸層同時支持無線連接和面向連接的兩種通信模式。 HTTP 協(xié)議 超文本傳輸協(xié)議 HTTP（ Hyper Test Transfer Protocol）定義了 Web 用戶（本質是瀏覽器）在 Web 服務器請 求 Web 對象，和 Web 服務器怎么把 Web 對象傳給 Web 用戶的過程。這是一種請求和響應的模式。如果用戶輸入一個網(wǎng)址（請求一個 Web 訪問）的時候，瀏覽器就把該頁面的每一個 Web 對象的 HTTP 請求發(fā)到 Web 服務器上。當它收到這些消息的時候，就發(fā)送包含上述對象的 HTTP 響應消息。其工作模式如圖所示。 圖 HTTP 工作模式 HTTP 有兩種連接，持久連接（ persistent connection）和非持久連接（ no persistent connection）。在這里重點說明一下 HTTP 的非持久連接。 非持久連接的工作過程主要由以下幾個步驟組成： （ 1） 瀏覽器（客戶端）向 Web 服務器發(fā)送 TCP 連接建立請求。 （ 2） 當?shù)玫?Web 服務器允許后，客戶端（瀏覽器）向 Web 服務器發(fā)出一個數(shù)據(jù)幀，其中包括請求的方法、 URL、用戶信息等內容。