《网络安全监控系统的设计与实现论文》-公开DOC·毕业论文

《《网络安全监控系统的设计与实现论文》-公开DOC·毕业论文》由会员分享，可在线阅读，更多相关《《网络安全监控系统的设计与实现论文》-公开DOC·毕业论文（56页珍藏版）》请在金锄头文库上搜索。

1、 四川理工学院毕业设计（论文） 网络安全监控系统的设计与实现学 生： 学 号：08021050225专 业：电子信息科学与技术班 级：2008级02班指导教师： 四川理工学院自动化与电子信息学院二O一二年六月l摘要目前基于网络的安全问题日益突出，尤其是应用广泛的P2P文件共享还存在着很大的网络安全问题，所以本文设计了P2P文件共享监控系统。系统采用分布式防护的方法，由管理员集中定义安全策略，但安全策略的实施位于各个终端之上。该监控系统实现了对文件共享的实时监控，在文件共享时一旦有非法操作就会向管理员发出相应的警报。解决了P2P文件共享的安全问题。与现有监控手段相比，避免了可能造成的性能瓶颈，具

2、有更好的可扩展性，能实现更细的策略控制力度。关键词：点对点；安全监控；安全策略 ABSTRACTNetwork-based security issues have become increasingly prominent, this article focused on a particular aspect of network management issues, file sharing, which is currently widely used in social file-sharing technology there are significant safety issu

3、es. Designed a P2P file-sharing monitoring system. The system uses a distributed protection by the administrator to centrally define security policy, security policy implementation is located in each terminal. That the monitoring system to achieve real-time monitoring of file sharing, file sharing,

4、illegal operation and will receive a corresponding alert to the administrator. Solve the security issues of P2P file sharing. Compared with the existing monitoring tools, to avoid performance bottlenecks may be caused, and has better scalability, to achieve finer policy control efforts.Key words: pe

5、er-to-peer(P2P); security monitor ; Security policyl目录摘要IABSTRACTII第一章引言11.1 系统开发背景11.2 国内外研究现状11.3系统需求11.4 设计主要内容2第二章 系统相关介绍32.1 P2P的介绍32.1.1 P2P的定义32.1.2 P2P存在的安全缺陷32.2 文件路由42.3 策略路由42.3.1 策略路由概念42.3.2 路由的实现原理52.3.3 Route-map原理与执行62.4 策略路由配置模拟软件Boson Netsim72.5 NDIS8第三章 总体设计93.1 监控系统功能93.2 监控系统模块9

6、3.3 系统工作流程103.4 每块模块的作用113.4.1 GUI113.4.2 监控中心113.4.3 终端主控程序113.4.4 NDIS12第四章 详细设计134.1 设计流程134.2 GUI模块的生成与功能实现134.2.1 用户注册信息模块的设置134.2.2 策略路由的设置164.3 监控中心模块功能实现224.4 NDIS模块的功能实现224.4.1 NDIS的结构功能224.4.2 数据包过滤与截获的具体步骤234.5 日志和审计294.6 非法文件下载报警34第五章 系统测试355.1 部门登录测试355.2 终端监控测试365.3 日志和审计测试365.4 非法文件报警

7、测试37第六章 结束语38致谢39参考文献40附录 系统代码41l第一章 引言1.1 系统开发背景网络给我们带来了许多方便，我们可以用文件共享轻轻松松的与其他人分享文件，文件共享是指主动地在网络上（互联网或小的网络）共享自己的计算机文件。一般文件共享使用P2P模式，P2P就是人可以直接连接到其他用户的计算机、交换文件，而不是像过去那样连接到服务器去浏览与下载；它改变互联网现在的以大网站为中心的状态、重返“非中心化”，并把权力交还给用户。文件本身存在用户本人的个人电脑上。大多数参加文件共享的人也同时下载其他用户提供的共享文件。目前文件共享监控系统具有如下特点：1、具有较高的安全性，管理员能实时的

8、了解各个用户的当前操作。2、具有较高的效率，管理员能及时发现系统报警提示，做出相关处理。1.2 国内外研究现状P2P技术目前是互联网文件共享中广泛采用的一种方式。在早期的IRC聊天系统中，就有一些客户端允许用户间点对点地传输文件。而当时的FTP便可以认为是一种传统的“服务器-客户端”模式的文件传输方式。显而易见的是，P2P相对于传统模式，有着分摊带宽，节约服务器成本的巨大优势。P2P直接将人们联系起来，让人们通过互联网直接交互。P2P使得网络上的沟通变得容易、更直接共享和交互，真正地消除中间商。P2P就是人可以直接连接到其他用户的计算机、交换文件，而不是像过去那样连接到服务器去浏览与下载。P2

9、P另一个重要特点是改变互联网现在的以大网站为中心的状态、重返非中心化，并把权力交还给用户1。1.3系统需求指标体系通常是一个多指标、层次化的结构，能够由表及里、深入清晰的表述读者满意度测评指标体系的内涵。每一层次的测评指标都是由上一层测评指标展开的，而上一层次的测评指标体系则是通过下一层的测评指标的测评结果反映出来的。1.4 设计主要内容此次P2P文件共享监控系统针对P2P文件共享带来的安全问题，监控系统实现的主要功能如下所示:(1)对主机所在局域网内的各个主机上的文件共享进行一定的监控。当有文件进行传输时，根据管理员自己定义的具体安全策略做出相应的操作，如允许或拒绝传输。(2)文件安全策略是

10、由该局域网的管理员进行集中定义，但进行具体操作时是要分配到各个主机监控终端执行。系统的防范不仅仅依赖于网络边界单个检查点，消除了网络性能的瓶颈，容易实施针对特价协议的包过滤，实现对特定应用程序的安全策略。(3)对文件的传输行为提供日志和审计功能，系统记录下安全日志，于此同时也可以对日志进行查询统计，生成报表有助于管理员的审计。 l第二章 系统相关介绍2.1 P2P的介绍因为本文主要针对的是P2P文件共享的监控，所以我们应该首先来了解什么叫P2P，以及为什么要设置监控系统来对其进行一定的监控，它所存在的问题是什么。2.1.1 P2P的定义对等网络;端到端以非集中方式使用分布式资源来完成关键任务的

11、一类系统和应用资源包括计算能力、数据（存储和内容）、网络带宽和场景（计算机、人和其它资源）关键任务可能是分布式计算、数据/内容共享，通信和协同、或平台服务典型位置：因特网边界或ad-hoc网内巨大的扩展力通过低成本交互来聚合资源，导致整体大于部分之和。低成本的所有权和共享使用现存的基础设施、削减和分布成本匿名和隐私允许对等端在其数据和资源上很大的自治控制2。2.1.2 P2P存在的安全缺陷P2P网络采用的分布式结构在扩展性和灵活性的同时，也使它面临着巨大的安全挑战：它需要在没有中心节点的情况下，提供身份验证，授权，数据信息的安全传输，数字签名，加密等机构。但目前的P2P技术距离实现这一目标尚有

12、一定的距离，它本身存在的一些安全缺陷阻碍其得到进一步应用。下面介绍一些主要的P2P安全缺陷。（1）一个恶意的服务器可以接受主服务器的文档副本，然后向用户发送修改过的信息。它还可以在接受了主服务器的副本后拒绝服务，造成“服务否认”。更为隐患的攻击是不分配给副本足够的资源。（2）现行的大多数P2P系统并没有在节点间建立信任关系，只是采用一定的机制防范恶意行为。例如，有的方案并不阻止一个节点共享一个其内容与其描述并不匹配的文件，用户必须自己解决因下载其他节点的文件带来的不安全因素。（3）在获取资源的时候我们首先需要保证所下载的资源正是我们需要的资源在最好的情况下，我们还要确定所下载的资源只包含有符合

13、需求的文件，也就是说没有其他不需要或是不希望有的垃圾文件。但是在目前已实现的P2P系统中，不存在中心服务器提供的基于内容的鉴别，资源共享严重依赖于资源提供者和需求者之间的相互信任，事实上只能保证所请求资源的标志与希望的标志一致。这也使的一些垃圾文件伪装成正常文件进行传播。2.2 文件路由每个网上Peer分配一个随机ID,并知道其他Peers的给定号码当共享文件发布到系统上时,根据文件名字和内容Hash成为ID，每个Peer将根据该ID向该文件路由，该过程重复执行,直到最近的PeerID是现行Peer的ID（形成环路）每个路由操作还保持文件副本在本地。当Peer请求某文件时,该请求将用该文件的I

14、D到达Peer,过程重复直到发现文件副本,最终文件下载到请求源端。2.3 策略路由2.3.1 策略路由概念所谓策略路由，顾名思义，即是根据一定的策略进行报文转发，因此策略路由是一种比目的路由更灵活的路由机制。在路由器转发一个数据报文时，首先根据配置的规则对报文进行过滤，匹配成功则按照一定的转发策略进行报文转发。这种规则可以是基于标准和扩展访问控制列表，也可以基于报文的长度；而转发策略则是控制报文按照指定的策略路由表进行转发，也可以修改报文的IP优先字段。因此，策略路由是对传统IP路由机制的有效增强。策略路由能满足基于源IP地址、目的IP址、协议字段，甚至于TCP、UDP的源、目的端口等多种组合

15、进行选路。简单点来说，只要IP standard/extended ACL 能设置的，都可以做为策略路由的匹配规则进行转发。策略路由（Policy Route）是指在决定一个IP包的下一跳转发地址或是下一跳缺省IP地址时，不是简单的根据目的IP地址决定，而是综合考虑多种因素来决定。如可以根据DSCP字段、源和目的端口号，源IP地址等来为数据包选择路径。策略路由可以在一定程度上实现流量工程，使不同服务质量的流或者不同性质的数据（语音、FTP）走不同的路径。基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力。传统上，路由器用从路由协议派生出来的路由表，根据目的地址进行报文的转发。基于策略的路由比传统路由能力更强，使用更灵活，它使网络管理者不仅能够根据目的地址而且能够根据协议类型、报