【正文】 安全機(jī)制所需的安全服務(wù)等因素，參照SSECMM(系統(tǒng)安全工程能力成熟模型)和ISO17799(信息安全管理標(biāo)準(zhǔn))等國際標(biāo)準(zhǔn)，綜合考慮可實(shí)施性、可管理性、可擴(kuò)展性、綜合完備性、系統(tǒng)均衡性等方面，網(wǎng)絡(luò)安全防范體系在整體設(shè)計(jì)過程中應(yīng)遵循以下9項(xiàng)原則： 網(wǎng)絡(luò)信息安全的木桶原則 網(wǎng)絡(luò)信息安全的木桶原則是指對信息均衡、全面的進(jìn)行保護(hù)?！澳就暗淖畲笕莘e取決于最短的一塊木板”。網(wǎng)絡(luò)信息系統(tǒng)是一個(gè)復(fù)雜的計(jì)算機(jī)系統(tǒng)，它本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)的安全脆弱性，尤其是多用戶網(wǎng)絡(luò)系統(tǒng)自身的復(fù)雜性、資源共享性使單純的技術(shù)保護(hù)防不勝防。攻擊者使用的“最易滲透原則”，必然在系統(tǒng)中最薄弱的地方進(jìn)行攻擊。因此，充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進(jìn)行分析，評估和檢測(包括模擬攻擊)是設(shè)計(jì)信息安全系統(tǒng)的必要前提條件。安全機(jī)制和安全服務(wù)設(shè)計(jì)的首要目的是防止最常用的攻擊手段，根本目的是提高整個(gè)系統(tǒng)的安全最低點(diǎn)的安全性能。 網(wǎng)絡(luò)信息安全的整體性原則 要求在網(wǎng)絡(luò)發(fā)生被攻擊、破壞事件的情況下，必須盡可能地快速恢復(fù)網(wǎng)絡(luò)信息中心的服務(wù)，減少損失。因此，信息安全系統(tǒng)應(yīng)該包括安全防護(hù)機(jī)制、安全檢測機(jī)制和安全恢復(fù)機(jī)制。安全防護(hù)機(jī)制是根據(jù)具體系統(tǒng)存在的各種安全威脅采取的相應(yīng)的防護(hù)措施，避免非法攻擊的進(jìn)行。安全檢測機(jī)制是檢測系統(tǒng)的運(yùn)行情況，及時(shí)發(fā)現(xiàn)和制止對系統(tǒng)進(jìn)行的各種攻擊。安全恢復(fù)機(jī)制是在安全防護(hù)機(jī)制失效的情況下，進(jìn)行應(yīng)急處理和盡量、及時(shí)地恢復(fù)信息，減少供給的破壞程度。 安全性評價(jià)與平衡原則 對任何網(wǎng)絡(luò)，絕對安全難以達(dá)到，也不一定是必要的，所以需要建立合理的實(shí)用安全性與用戶需求評價(jià)與平衡體系。安全體系設(shè)計(jì)要正確處理需求、風(fēng)險(xiǎn)與代價(jià)的關(guān)系，做到安全性與可用性相容，做到組織上可執(zhí)行。評價(jià)信息是否安全，沒有絕對的評判標(biāo)準(zhǔn)和衡量指標(biāo)，只能決定于系統(tǒng)的用戶需求和具體的應(yīng)用環(huán)境，具體取決于系統(tǒng)的規(guī)模和范圍，系統(tǒng)的性質(zhì)和信息的重要程度。 標(biāo)準(zhǔn)化與一致性原則 系統(tǒng)是一個(gè)龐大的系統(tǒng)工程，其安全體系的設(shè)計(jì)必須遵循一系列的標(biāo)準(zhǔn)，這樣才能確保各個(gè)分系統(tǒng)的一致性，使整個(gè)系統(tǒng)安全地互聯(lián)互通、信息共享。 技術(shù)與管理相結(jié)合原則 安全體系是一個(gè)復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。因此，必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。 統(tǒng)籌規(guī)劃，分步實(shí)施原則 由于政策規(guī)定、服務(wù)需求的不明朗，環(huán)境、條件、時(shí)間的變化，攻擊手段的進(jìn)步，安全防護(hù)不可能一步到位，可在一個(gè)比較全面的安全規(guī)劃下，根據(jù)網(wǎng)絡(luò)的實(shí)際需要，先建立基本的安全體系，保證基本的、必須的安全性。隨著今后隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)應(yīng)用和復(fù)雜程度的變化，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加，調(diào)整或增強(qiáng)安全防護(hù)力度，保證整個(gè)網(wǎng)絡(luò)最根本的安全需求。 本部分總結(jié)由于互聯(lián)網(wǎng)絡(luò)的開放性和通信協(xié)議的安全缺陷，以及在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存儲(chǔ)和對其訪問與處理的分布性特點(diǎn)，網(wǎng)上傳輸?shù)臄?shù)據(jù)信息很容易泄露和被破壞，網(wǎng)絡(luò)受到的安全攻擊非常嚴(yán)重，因此建立有效的網(wǎng)絡(luò)安全防范體系就更為迫切。實(shí)際上，保障網(wǎng)絡(luò)安全不但需要參考網(wǎng)絡(luò)安全的各項(xiàng)標(biāo)準(zhǔn)以形成合理的評估準(zhǔn)則，更重要的是必須明確網(wǎng)絡(luò)安全的框架體系、安全防范的層次結(jié)構(gòu)和系統(tǒng)設(shè)計(jì)的基本原則，分析網(wǎng)絡(luò)系統(tǒng)的各個(gè)不安全環(huán)節(jié)，找到安全漏洞，做到有的放矢。 5 系統(tǒng)測試本部分主要是對設(shè)計(jì)的總體內(nèi)容進(jìn)行全面測試，看能否實(shí)現(xiàn)在目標(biāo)要求中所提到的目標(biāo)要求目標(biāo)通過對網(wǎng)絡(luò)進(jìn)行流量監(jiān)測分析，建立網(wǎng)絡(luò)流量基準(zhǔn)；通過連接會(huì)話數(shù)的跟蹤、源目的地址對的分析、TCP流的分析，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量，進(jìn)行實(shí)時(shí)告警，保障網(wǎng)絡(luò)安全。根據(jù)網(wǎng)絡(luò)流量在網(wǎng)絡(luò)運(yùn)行的各個(gè)環(huán)節(jié)中的關(guān)鍵地位，對網(wǎng)絡(luò)流量進(jìn)行研究，同時(shí)采取一定的方法，科學(xué)地測量和分析流量特征成為一項(xiàng)艱巨而有意義地工作。而FMonitor(Flow Monitor)流量監(jiān)測與安全保障系統(tǒng)能夠很好的解決校園網(wǎng)智能型網(wǎng)絡(luò)監(jiān)測和安全。首先通過Libpcap方法在網(wǎng)絡(luò)中抓去一段網(wǎng)絡(luò)流量信息，抓取的結(jié)果如圖51所示：圖51 Libpcap在網(wǎng)絡(luò)中抓取的網(wǎng)絡(luò)流量信息然后根據(jù)步驟再對抓取的流量進(jìn)行分析：經(jīng)過分析可以看到每天2時(shí)到5時(shí)的流量最小，了解了這些情況，可以將一些需要大量占用網(wǎng)絡(luò)帶寬的應(yīng)用安排在這一時(shí)段，比如大量數(shù)據(jù)的備份、分布式網(wǎng)絡(luò)計(jì)算等等。從而優(yōu)化網(wǎng)絡(luò)利用率，當(dāng)網(wǎng)絡(luò)中出現(xiàn)異常時(shí)利用以上提到的異常檢測模型如圖52：圖52 網(wǎng)絡(luò)異常檢測模型通過時(shí)間窗口比較法、動(dòng)態(tài)檢測、靜態(tài)檢測等方法對網(wǎng)絡(luò)進(jìn)行檢測，然后把檢測到的信息錄MySQL數(shù)據(jù)庫以方便用戶的查詢服務(wù)。通過以上系統(tǒng)測試發(fā)現(xiàn)該校園網(wǎng)智能型網(wǎng)絡(luò)監(jiān)測與安全保障系統(tǒng)切實(shí)可行，功能強(qiáng)大，在結(jié)構(gòu)和組成上基本滿足要求。6 系統(tǒng)的不足及改進(jìn)思想由于時(shí)間和水平問題，不能做到盡善盡美，疏漏之處在所難免，如：基于多模式的流量采集方式實(shí)現(xiàn)數(shù)據(jù)包級捕獲組件與Netflow接受組件上利用的Libpcap（Libpcap for Packet Capture）即分組捕獲函數(shù)庫，在數(shù)據(jù)采集時(shí)由于技術(shù)原因?qū)υ摲椒私獾牟蛔銜?huì)使數(shù)據(jù)爆在采集時(shí)可能會(huì)出現(xiàn)遺漏；在基于流的抽樣分析方法進(jìn)行流量數(shù)據(jù)檢測與處理時(shí)利用的Netflow軟件，由于對該軟件了解不足可能會(huì)使數(shù)據(jù)在抽樣分析時(shí)產(chǎn)生抽樣方法不完整的問題；在采用MySQL數(shù)據(jù)庫的設(shè)計(jì)，實(shí)現(xiàn)對數(shù)據(jù)內(nèi)部物理調(diào)整，并選擇合理的存取路徑以提高數(shù)據(jù)庫訪問速度時(shí)，在數(shù)據(jù)庫的導(dǎo)入方面沒能做到完美導(dǎo)致有些數(shù)據(jù)可能在導(dǎo)入數(shù)據(jù)庫是存在大量的問題，同時(shí)數(shù)據(jù)管理模塊由于對MySQL數(shù)據(jù)庫的運(yùn)用不到位會(huì)導(dǎo)致數(shù)據(jù)包在采集以后的管理不能做到盡善盡美，疏漏之處在所難免；在數(shù)據(jù)安全模塊，根據(jù)捕獲到的數(shù)據(jù)異常情況進(jìn)行警告活禁止處理，保障網(wǎng)絡(luò)安全方面由于對數(shù)據(jù)安全的認(rèn)識不足導(dǎo)致許多方面產(chǎn)生在數(shù)據(jù)安全的保障上不能做到盡善盡美，疏漏之處在所難免；最后，在系統(tǒng)測試方面，由于對總體的認(rèn)識存在宏觀上的不足也導(dǎo)致了測試時(shí)無法正常運(yùn)行等一系列問題。針對以上存在的不足提出了幾點(diǎn)改進(jìn)的設(shè)想，至于能不能在以后的工作和學(xué)習(xí)中得意實(shí)現(xiàn)，就不得而知了。（1）多模式采集時(shí)利用多款軟件并行的策略，從而使采集到的數(shù)據(jù)更加完整、準(zhǔn)確、高效。例如，同時(shí)設(shè)計(jì)2個(gè)數(shù)據(jù)采集系統(tǒng)并在系統(tǒng)中增加數(shù)據(jù)緩存模塊，這樣可以時(shí)數(shù)據(jù)暫時(shí)存放在緩存中，不至于數(shù)據(jù)流量過大時(shí)導(dǎo)致軟件無法即時(shí)處理。（2）流量抽樣分析進(jìn)行數(shù)據(jù)的檢測與處理時(shí)，采集和多級聚合存儲(chǔ)方案進(jìn)行改進(jìn)，以豐富系統(tǒng)對網(wǎng)絡(luò)流量統(tǒng)計(jì)分析功能，并力爭為異常流量分析提供較為完善的數(shù)據(jù)支持。（3）在數(shù)據(jù)安全模塊方面，加入更多的安全檢測系統(tǒng)來實(shí)現(xiàn)數(shù)據(jù)安全的檢測與處理，同時(shí)給予異常數(shù)據(jù)進(jìn)行警告或禁止處理以此來保障網(wǎng)絡(luò)的安7 結(jié)論本項(xiàng)目通過對網(wǎng)絡(luò)進(jìn)行流量監(jiān)測分析，建立網(wǎng)絡(luò)流量基準(zhǔn)；通過連接會(huì)話數(shù)的跟蹤、源目的地址對的分析、TCP流的分析，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量，進(jìn)行實(shí)時(shí)告警，保障網(wǎng)絡(luò)安全。根據(jù)網(wǎng)絡(luò)流量在網(wǎng)絡(luò)運(yùn)行的各個(gè)環(huán)節(jié)中的關(guān)鍵地位，對網(wǎng)絡(luò)流量進(jìn)行研究，同時(shí)采取一定的方法，科學(xué)地測量和分析流量特征成為一項(xiàng)艱巨而有意義地工作。而FMonitor(Flow Monitor)流量監(jiān)測與安全保障系統(tǒng)能夠很好的解決校園網(wǎng)智能型網(wǎng)絡(luò)監(jiān)測和安全。該流量監(jiān)測與安全保障系統(tǒng)基于Linux平臺(tái)，采用了層次化和模塊化的設(shè)計(jì)。FMonitor核心模塊為內(nèi)核流量捕獲模塊和流量分析模塊。內(nèi)核流量捕獲模塊和流量分析模塊同時(shí)運(yùn)行在Linux內(nèi)核中；流量捕獲模塊采用基于Libpcap的包捕獲技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)上所有數(shù)據(jù)包的捕獲，將采集到的數(shù)據(jù)包，通過在內(nèi)存中建立數(shù)據(jù)表和通過MySQL數(shù)據(jù)庫結(jié)合的方式存儲(chǔ)數(shù)據(jù)，提供給流量分析模塊完成流量統(tǒng)計(jì)的任務(wù)。該系統(tǒng)針對復(fù)雜的網(wǎng)絡(luò)流量分析，提出了一個(gè)基于多模式的流量采集技術(shù)。主要功能模塊在內(nèi)核中運(yùn)行，極大提高了系統(tǒng)效率。對數(shù)據(jù)的處理采用了兩層快取的方法，當(dāng)有突發(fā)流量時(shí)，能夠有效的保持?jǐn)?shù)據(jù)的完整性。同時(shí)能夠?qū)ΡO(jiān)測網(wǎng)絡(luò)的流量進(jìn)行各種協(xié)議分析并統(tǒng)計(jì)出各個(gè)通訊主機(jī)當(dāng)前帶寬的使用排名。方便管理員查看與維護(hù)。當(dāng)監(jiān)測到網(wǎng)絡(luò)中出現(xiàn)IP偽造、DoS及DDoS的攻擊等，系統(tǒng)能夠偵測到異常，并可以了解到該主機(jī)的詳細(xì)使用情況，保障了網(wǎng)絡(luò)的安全性。 致謝首先感謝本人的導(dǎo)師蔡鵬飛老師，他對我的仔細(xì)審閱了本文的全部內(nèi)容并對我的畢業(yè)設(shè)計(jì)內(nèi)容提出了許多建設(shè)性建議。蔡鵬飛老師淵博的知識，誠懇的為人，使我受益匪淺，在畢業(yè)設(shè)計(jì)的過程中，特別是遇到困難時(shí)，他給了我鼓勵(lì)和幫助，在這里我向他表示真誠的感謝！感謝母?！幽蠙C(jī)電高等?？茖W(xué)校的辛勤培育之恩！感謝計(jì)算機(jī)科學(xué)系給我提供網(wǎng)絡(luò)實(shí)驗(yàn)室很好的一個(gè)實(shí)驗(yàn)環(huán)境，使我學(xué)到了許多新的知識和操作技能。最后，我非常慶幸在三年的的學(xué)習(xí)、生活中認(rèn)識了很多可敬的老師和可親的同學(xué)，并感激師友的教誨和幫助！參考文獻(xiàn)[1] [M]上海：復(fù)旦大學(xué)出版社，2010[2] [M]北京：北京希望電子出版社，2008[3] 閆麗麗，[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009，（4）：38~40[4] 覃匡宇，[J].計(jì)算機(jī)工程，2010，29（15）：196~197[5] 周奇，、配置和管理[M].北京：清華大學(xué)出版社，2009[6] [M]西安：西安電子科技大學(xué)出版社，2009[7] [M].北京：科學(xué)出版社，20010[8] 羅軍舟，[M].北京：清華大學(xué)出版社，2008[9] [M]. 北京：清華大學(xué)出版社,2008[10] 華為3COM技術(shù)有限公司. 培訓(xùn)課程[EB/OL]. 附錄網(wǎng)絡(luò)環(huán)境中配置1臺(tái)Cisco Catalyst 6509交換機(jī)。NetFlow在交換機(jī)上配置如下：Switch(config)mls netlfow !Enables NetFlow on the PFC(Policy Feature Card)Switch(config)mls flow ip full !Configures flow mask on the PFCSwitch(config)mls nde sender version 5 !Configures NDE(NetFlow Data Export) on the PFCSwitch(config)ip flowexport source loopback 0Switch(config)ip flowexport destination 9996!Configures NDE on the MSFC(Multilayer Switch Feature Card) with the NetFlow collector IP address and the application port number 9996……