当前位置:首页 >> IT/计算机 >>

分布式网络监控系统设计与实现_图文

计 算 机 工 程 与 设 计 C m ue E g er gadD s n o ptr ni ei   n n n ei   g

2 1,1(7  00 3 1)

39  77

?网络 与 通 信 技 术 ?  

分布式网络监控系统设计与实现 
张 信 杰 , 王 旭 仁 , 吴  刚     
( 首都 师 范 大学 信 息工程 学院 ,北京 10 4 ) 0 0 8 



要 : 过对 S 通 NMP Ne lw、 n cp 3 、 t o Wipa 这 种流 行 网络管理 技术 深入分析 和对 比 , F 在研 究现 有技 术优 缺 点的基础 上 , 出了 提  
种 比较 实 用 的 分 布 式 网络 管 理 模 型 。 该 系 统 采 用 分 工 协 作 和 数 据 分 流 方 式 , 较 好 地 解 决 了 网络 安 全 管 理 中 高 效 流 量 统 

计 、实时异常 流量报 警和 大流 量 网络数 据 包分析 等若 干 问题 , 而可 以快速 、 从 准确 的定位 网络故 障 , 决 网络 问题 , 高 了 解 提  
网络利用 率 。  

关键 词 : 络 管 理 ; 流 量 监 测 ; 分 布 式 ; 异 常 报 警 ; 流 量 聚 合  网

中图法分 类号 : P 0  T 39

文献标 识码 :   A

文章 编号 :0 072 2 1) 73 9.3 10 .04(0 0 1.7 70 

De in a  mplm e tto    iti u e   e udtn  y tm   sg  ndi e n ai nofd srb td n ta i g s se i
Z HANG Xi- e Ⅵ   nj .  NG  — n W U Ga g i  Xur . e   n 
( fr t nE gneig ol e a i l r l nvr t,B in 0 0 8 hn ) I omai  n ier   l g ,C pt   ma U iesy e ig10 4 ,C i   n o nC e aNo   i j   a
Ab t a t A  n l sso   r en t r   n a e n   c n l g e   r   r v d d i cu ig S sr c: a a y i f h e   ewo k ma g me t e h o o i sa ep o i e   l d n   NM P NeF o a d W ip a . By a ay i   t t n , t l w    n c p n   n l ss  
t ea v tg s n  ia v n g s f x si gt c o o is a  p l dd sr u e  e o k ma a e n   d l s r p s da dd s u s d  h  d a a e   dd s d a t e   e it   h l g e , n a p i   it b td n t r   n g me t n a a o n en   e i w mo e    o o e    ic s e . ip n W i   i r u e   o p r t n t e s se r a ie   i h e ce t o s t t s r a?i   b o ma  o a eta d l g   o n t r   t d s i t d c o e ai , h  y tm e l sh g   f in   w  t i i , e l me a n r l w  lr    e f w  ewo k h tb o z i l f a sc t l f n r a l p c e   ay i. T sss o t a  es se C   ig o e   e wo kto b ef s  d e a t   n   r v   eu i z t n r t   f e wo k  akt n a l ss e t h w  t h  y t m a d a n s sn t r   u l  ta  x c l a d i h t n r a n y mp o et   t i ai  ai o n t r . h l o o K e   r s n t o k ma a e n ; e o k ta cmo i rn ; d s iu e  o p rto ; a n r a  lr ; ta ca g e ai n ywo d : e w r   n g me t  n t r   f   n t i g w ri o it b t dc o e ai n  b o r m l am a r f  g r g to   i

O 引  言 
解 决 网 络 安 全 主 要采 取 的 技 术 手 段 有 防 火 墙 、入 侵 监 测  系 统 、 P 加密 算 法 等 , 些 功 能 对 单 点 主 机 和 内 网 主 机提 供  V N、 这 很 好 的 网络 安 全保 护 ,难 以 对 公 网上 的所 有 主 机 和 服 务 器 提 
RO t / t h u erSwic  

供 安 全 防 范 。网络 管 理 系 统 则 可 以 很 好 的 解 决 这 些 问 题 , 近  年 来 网络 管 理 系 统 一 直 都 是 网络 安 全 研 究 的热 点 , 网络 管 理 
系 统 一 般 都 分 为 两 个 部 分 ,网 络 流 量 统 计 和 网络 数 据 的 分 析  与 还 原 , 络 流 量 统 计 可 以 为 网 络 工 程 的实 施 、 网 网络 与业 务 规 

图 1 基 于 wip a n c p网络 管 理 

又 可 以进 行 网 络 流 量 的 统 计 , 而 很 精 准 的掌 握 网 络 中每 个  从 用 户 的具 体 行 为 , 便 、 观 地 定 位 内 部 攻 击 点 , 除 网络 故  方 直 排 障 。缺 点 是 当 网络 流 量 比较 大 的 时候 ,会 出现 严 重 的丢 包 现  象 ,并 且 大 量 的数 据 处 理 会 增 加 分 析 机 的 负担 。 这 种 技 术 可  以很 好 的 解 决 网络 中 的 数 据 包 的 分 析 工 作 , 适 合 做 数 据 量  不 较 大 的流 量 统 计 。  

划 提 供 科 学 依 据 。 实 时 的 网 络 流 量 监 测 可 以及 时 的发 现 网 络 
流 量 异 常 、 测 网络 故 障 和 攻 击 “ 监   。通 过 对 网 络 数 据 的 分 析 和  还 原 提 供 了在 网络 中 监 视 、 录 和 控 制 用 户 活动 的 一 种 机 制 。 记  

1 研 究 现 状 
目前 主 要 流 行 的 网 络 管 理 技 术 主 要 有 两 种 : 于 流 量 监  基
测 的 网络 管 理 和 基 于 数 据 包 分 析 的 网络 管 理 。  

1 基 于 S MP 议 的 网 络管 理  . 2 N 协
利用 S NMP 议 能 够 对 被监 视 的 各 个 网 络 端 口进 出 的数  协 据 包 和 字 节 数 进 行 采 集 统 计 , S MP的 MI 中 , 多 个 用  在 N B 有 于 统 计 网 元 的流 量 信 息 的 组 , It fc 即 是 统 计 了 网络  如 ne ae组 r 接 口 的 流 量 信 息 ( 收 的 T P 数 目、 送 的 T P 数 目等 ) 接 C 包 发 C 包 ,   网络 管 理 系 统 可 以定 期 轮 询 网络 设 备 接 口流 量 信 息 , 这 些  将

11 基 于 w n ep的 网络 管理  . ip a
基 于 w ncp的 网络 管 理 方 法 是 将 网络 管 理 软 件 放 在 整  ipa 个 网络 的 出 口, 过 wi cp 以捕 获 到 通 过 网络 出 口的 所 有  通 n a可 p 数 据 包 , 而 对 网络 数 据 和 网络 流 量 进 行 统 计 。 图 l 示 。 从 如 所   该 网络 管 理 方 法 既 可 以 实 现 对 网 络 数 据 包 分 析 和 还 原 ,  
收稿 日期:2 0 —91 :修订 日期:2 0.12 。 0 90 —7 0 9 1.6 

信 息 作 为 网络 管 理 软 件 的 输 入 数 据 。 NMP网络 管 理 模 型 如  S
图 2所 示 。  

基金项 目:北京市科技发展面上基金项 目 ( 2 0 10 8 )   07 o 2 叭7。   作者简介:张信杰 (9 4 ,男 ,山东菏泽人,硕士,研 究方 向为 网络信息安全 ; 王旭仁 (9 2 ,女,博士 ,教授 ,研究方向为网络信息安  18 一)   17 一) 全 、数据挖掘; 吴刚 (9 5 ,男 ,湖北人,硕士 ,研究方 向为网络信 息安全  Emal xzj2 @13cm    1 8 一) — i :zjx5 1 6 .o

3 9  78

2 1,1(7 003 1)     

计算机 工程与设 计 C m u r n ier g n   ein o p t   gnei   dD s   eE na g

图 2 基 于 S MP协 议 的 网络 管理  N 图 4 分布 式 网络 管理 系统 

这种 技 术 是 网 络 管 理 中 最 常 采 用 的一 种 技 术 , 的原 理  它

和 实 现都 比较 简 单 , 小 型 网 络 管 理 中有 着 不 可替 代 的作 用 。 在  
它 的 主要 缺 点 有 :   () 理 终 端 定 时 向路 由器 发 送 S MP 求 , 时 间 间 隔  1管 N 请 若 较 小 , 理 终端 会 频 繁 的 向路 由器 发 送 命 令 , 直 接 影 响整 个  管 会 网络 的带 宽 。   () 理 终 端 频 繁 的发 送 命 令 , 由器 对 不 同的 命 令 做 出 2管 路   不通 的 响应 , 回不 同 的数 据 , 大 大 的增 加 路 由器 的 负 担 , 返 会   从而 影 响其 路 由 交 换 的 能 力 。  
() 方法 不 能 对 网络 中的 数据 包 内容进 行分 析 , S MP 3该 且 N  

系 统 主 要 包 括 5 部 分 , 个 部分 的 功 能 描 述 如 下 : 个 各   ()网 络 管 理 服 务 器 , 控 系 统 的 核 心 部 分 , 要 功 能 是  1 监 主

协 调 和 管 理 其 它 功 能模 块 ; 集 、 理 和 查 询 流 量 信 息 ; 询  收 处 查
和 管 理 网络 用 户 日志 信 息 ; 管 理 员提 供 实 时异 常 报 警 。 为  

( 2 )文 件 管 理系 统 , 于 保 存 和 管 理 网络 用 户 日志 文 件 , 用  
分别与终端分析机 和网络管理服务器通讯 。   ()终端 分 析 机 , 分 流 的 作 用 , 别 放 置在 内 部 网 络 分  3 有 分 支 出 口, 获 数 据 包 并 进 行 数 据 分 析 , 据 分 析 结 果 生 成 日志  捕 根 文 件 , 将 日志文 件 传 送 至 文 件 管 理 系统 。 并   ( 数 据库 , 要用 来存 储 N tl 4 ) 主 e o F w数据 流 , 以供 管理 员查 询 。   () 口路 由器 , 于 整 个 网 络 的 出 口, 供 Ne l 5出 位 提 to F w数 据  流 , 经 过 路 由器 的数 据 流 流 向 网 络 管 理 服 务 器 。 使  

协 议 无 法 区 分 网络 层 数 据 流 量 中各 种 不 同类 型业 务 在 总 流 量  总 的 分 布 比例 情 况 。  

1 基 于 NeFo . 3 tlw网络 流 量统 计 的网 络管 理 
Ne l 技 术 是 现 在 比较 成 熟 的 一 种 流 量 统 计 和 分 析 技  fo w 术, 它是 Cso 司为 提 高 效 率提 出 的 , 以用 来 记 录 网 络流 量  i 公 c 可 信息,e l N fo w流 量 统 计 是基 于 包 含 了丰 富 的信 息 的 I 流 , 适  P 常 合 网络 性 能 的监 视和 分 析  N fl 。e o w网络 管理 模 型 如 图 3 示 。 所  

22 系统 工 作流 程  .
网 络 流 量 统 计 方 面 采 用 速 率 较 快 的 Ne l 技 术 ,为 了 to Fw   将 路 由器 流 量 导 出 , 须对 路 由器 进 行 端 口配 置 , 流 量 流 向 网 使   络 管 理 服 务 器 。 网络 管 理 服 务 器 从 路 由 器 获 得 Ne l 数 据  to Fw

流 后 ,首 先 根 据 建 立 的 数 据 流 信 息 H s 进 行 数 据 流 分 析 , ah表  
NeF o 流  t lw

如 果发 现 异 常 情 况 则 进 行 异 常 流 量 实 时 报 警 。由于 数 据 流 的 
路  由   器 

终  端  机  监  听  进  程 

数 量 非 常 庞 大 , 了节 省 存储 空 间和 进 行 高 效 的查 询 , e l   为 N to Fw 数 据 流 需 要 按照 一 定 的 规 则 进 行 流 量 聚 合 ,将 聚 合 后 的数 据  流 存 储 到 D tbs , a ae中 以便 于 管 理 员 进 行 事 后 的历 史 查 询 。 a  

NeFo tlw流 

NeF o t l w流 

交  换  机 

数 据 包 分 析 方 面 则 是 在 网络 中 的 设 立 多个 终端 分 析 机 ,  
这 些 终 端 分 析 机 放 置 到 内 部 网 络 的 各 个 分 支 出 口 ,这样 一 方 
面 会 大 大 的 降 低 每 个 终 端 分 析 机 需 要 处 理 的 网络 流 量 , 而  从

图 3 基 于 Ne lw 的 网络管 理  t o F

很 好 的避 免 了 wn cp在 网络 流 量 较 大 时 出现 的丢 包 问题 。 ipa   对 比 图 2 图 3 以看 出 , tl 和 可 Ne o F w技 术 比 较 好 的 解 决 了   S MP前 两 个 缺 点 。 e lw工 作 方 式 带来 的 最大 的 优 点 就 是  N Nto F
提 高 了速 度 。 它放 弃对 数 据 包 内容 的 检 测 , 只 停 留在 物 理  而 层 到 传 输 层 之 间 , 息度 刚 好 可 以满 足 流 流 量 分 析 软 件 的 需  信 求 , 此节 约 了工 作 量 和 时间 , 常 的 适合 于 大 流量 网络 内部  因 非 的 流 量 分 析 与 异 常 检 测 。Ne l 技 术 的缺 点 是 不 能 分 析 网 to Fw   络 数 据包 的 内 容 , 因此 不 能对 网 络 做 更 细 致 的检 测 。   另 一方 面 由于 多个 终端 分 析 机 同 时对 数 据 包 进行 分 析 和 处理 ,  

很 大 程 度 上 提 高 了数 据 处 理 的 速 率 。终端 分 析 机 会 及 时 备 份 
缓 存 中 的 数 据 处 理 结果 ,将 分 析 还 原 后 日志 文 件 按 照 与 服 务  器 协 商好 的 规 则 上 传 到 文 件 管 理 服 务 器 ,由文 件 管 理 服 务器  对 日志 文 件进 行 统 一 管 理 。网络 管 理 服 务 器 在 进 行 网络 流 量  统 计 和 分 析 的 同 时 ,可 以 向文 件 管理 服 务 器 发 送 命 令 请 求 访 

问 或 者 删 除 数 据 日志文 件 ,很 好 的解 决 了对 网 络 管 理 系 统 在 
网络 数 据 包 分 析 方 面 存 在 的 问题 。  

2 分布 式 网络 监 控 系统 
21 系 统 架 构  ,
通 过 对 上 述 3 网络 管 理 技 术 深 入 分 析 和 对 比 , 种 方 法  种 3

3 技 术 实现 路 线 
31 实 时异 常流 量 监测  .
网络 实 时 异 常 流 量 监 测 能 够 给 网络 管 理 员 提 供 实 时 的 网 

都 存 在 着 很 大 的局 限性 , 了 既 能很 好 的做 流 量 监 控 , 能 对  为 又
网络 数 据 包 和 应 用 层 协 议 做 深入 的 分 析 ,系 统 同时 采 用 N t e  .

络 异 常状 况信 息 , 管 理 员 可 以快 速 准 确 的定 位 网 络 故 障 。 使 分  析 网络 中 的攻 击 、 虫 病 毒 等 , 们 产 生 的 异 常流 量会 表 现 出 蠕 它  


Fo 网 络 流 量 统 计 技 术 和 wi cp数 据 包 分 析 技 术 ,提 出 一  l w n a p
种 基 于 sre/ i t 分 布 式 架 构 , 图 4所 示 。 e rln的 v ce 如  

些 共 同 的特 征 。 通 过 对 这 些 特 征 进 行 分 析和 判 断 ,可 以判 

张信 杰,王旭仁 ,吴 刚:分布 式网络监控 系统设计 与实现 
断 网 络 故 障 类 型 , 而 采 取 相 应 措 施 。如 S uf 击 , 击 者  从 m r攻 攻 发 送 一 个 伪 造 的 IMP包 , 有 接 到 到 此 IMP包 的主 机 都 将  C 所 C

2 1,1(7  00 3 1)

39   79

32 流 量 聚合 策 略  .
由于 N tlw 数 据 流 的 数 量 是 非 常 庞 大 ,如 果将 每 条 原  eFo

向 受 害 者 主 机 发 送 一 个 I MP 的 应 答 , 而 导 致 受 害 者 主 机  C 包 从
系 统 资 源 被 耗 尽 , 种 类 型 的攻 击 可 以通 过 判 断 是 否 有 大 量  这 的 去 往 相 同 的 目 的 I 流 来 进 行 识 别 ;MSS P的 —QL蠕 虫 病 毒 攻  击 的 特 征 是 ,大 量 的 流 具 有 相 同 的 源 I、 同 的 目的 I 相  P相 P和 同 的 端 口 ; s Do 攻 击 会 在 网 络 中产 生 大 量 具 有 相 同 目的  Do/ D s I 流 , 且 流 的 尺 寸 较 小 ; 于 蠕 虫 的传 播 , 会 产 生 大 量  P的 并 对 则 具 有 相 同源 I P的流 , 些 流 的尺 寸 同样 较 小 。 这   根 据 不 同异 常 流 量 的 特 征 ,利 用 N tlw流 中 的 源 I e o F P地 

始 数 据 流 都 存 入 到 数 据 库 中 ,进 行 流 量 查 询 和 流 量 分 析 时 其 
时 间 复 杂 度 会 非 常 高 , 大 大 的影 响 系 统 的 性 能 。 因 此 非 常  会 有 必 要 对 原 始 数 据 流进 行 聚 合 。 量 聚 合 就 是将 原 始 N tl   流 eFo w

流 记 录 按 照 一 定 的 条 件 进 行 合 并 ,从 而 实 现 多条 流 合 并 成 一 
条 的过程。   。流 量 聚 合 既 大 大 的 减 少 了 N tlw 流 的 数 量 , e o F 又  保 存 了 管 理 员 所 需 流 量 的 关 键 信 息 , 省 了数 据 库 存 储 空 间 , 节   提 高 了系 统 查 询 的效 率 。   流 量 聚 合 在 实 现 时 , 方 面 原 始 流 向聚 合 流 的 结 构转 换 , 一  

址 、目的 I 址 、 端 口号 和 目的端 口号 , 有 效 地 对 多 数 异  P地 源 可
常 流 量 进 行 识 别 。H s 有 从 K y 速 映 射 到 V l ah具 e快 a e的特 点 , u   因 此 系 统 采 用 I 点 Hah 的 方 式 判 断 网络 异 常 。 图 5 P节 s表 如 所  示 , 别建立源 I 分 P和 目 的 I P的 H s 表 , 源 I 地 址 H s 表 中  ah 在 P ah 的 每 个  节 点 中 都 包 括 目标 地 址 数 、 的 数 量 、目标 端 口 数 , 流   平 均 流 的大 小 、 内包 含 的协 议 类 型 (c , D ) 平 均 包 数 , 流 T PL P 和 J   若 为 T P协 议 , 该 记 录 A K和 S N 出 现 的 次 数 ; 目的 I  C 应 C Y 在 P

另 一 方 面 对 符 合 相 同聚 合 条 件 的 聚 合 流 进 行 流 量 叠 加0 对 于    。
高速 网络 环 境 下 的 内存 级 流 量 聚 合 , 两 方 面 工 作 的 处 理速 度  这

必 须 能 与 采 集 速 度 相 匹 配 。将 内存 级 聚 合 以 后 的 结 果 存 入 到 
数 据 库 中 ,然 后 数 据 库 的 数 据 按 照 不 同 的时 间粒 度 进 一 步 进  行 聚 合 , 而 得 到 高 粒 度 数 据 。流 量 聚 合 具 有 3要 素 : 合 条  从 聚 件 、 间 粒 度 和 聚 合 项 。 为 了 保 证 处 理 效 率 , 合 映 射 仍 然  时 聚

采 用 Hah方 式 ,如 图 5 示 ,当 数 据 流 到达 , 据 聚 合 条 件  s 所 根 ( E ) 息 快 速 匹 配 有 没 有 相 同聚 合 条 件 的 聚合 流 , 匹配 成  K Y信 若
功 则 根 据 聚 合 项 进 行 流 量 叠 加 , 匹 配 失 败 则 在 H s 表 中创  若 ah 建 一 条 新 的记 录 。 后 定 时 将 Hah 中 数据 导入 到 数 据 库 中 。 最 s表  

地 址 Hah 中 的 每 个 I 节 点 中 都 包 含 源 地 址 数 、流 的 数 量 、 s 表 P  
源 端 口数 、 均 流 的 大 小 、 中包 含 的协 议 类 型 和 平 均 包 数 等 。 平 流  

33 数 据 包 分 析 和 日志 文 件 的生 成  .
终 端 分 析 机 主 要 完 成 数据 包 的 捕 获 和 分 析 工 作 , 用 1 . 使 i  b
nd 开 发 包 完 成 了对 知 名 的协 议 如 ht、 、e e、 o 3 smp is t 邱 tl tp p 、u   p n
N eFl t ow 

等 协 议 的解 析 和 还 原 。 议 还 原 是 指 对 获 取 的数 据 按 照 T P  协 C/ I 标 准 进 行 重 组 和 剖 析 , 据 不 同 端 口对 应 的 协 议 分 别 进  P的 根
行 还 原 。 析 还 原 后 的 数 据 都 采 用 统 一 的规 则 命 名 , 别 存  分 分 储 到 hml 式 的 网 页 文 件 中 , 后 上 传 至 网络 文 件 管 理 服 务  t 格 然 器 中 ,由文 件 管 理 服 务 器 对 日志 文 件 统 一 管 理 。 网 络 管 理 服 
聚 合 流 数据 库 

数 据流 

务 器 可 以方 便 的 对 用 户 日志 文 件 进 行 访 问 。另 外 ,网 络 管 理  系 统 部 署 时 ,终 端 分 析 机 要 根 据 具体 的 网络 带 宽 环 境 放 置 在 
不 同 级 别 的 网 络 分 支 出 口,从 而 避 免 分 支 出 口流 量 超 出终 端  分 析 机 的处 理 能 力 , 生 丢 失 数 据 包 现 象 。 发  

图 5 异 常报 警和 数 据 流 聚合 
当 一 条 N tlw数 据 流 到 达 , 取 N tl e o F 提 eFo w流 中 I 点 关  P节 键 信 息 ,计 算 Hah值 ,将 相 关 信 息 分 别 存 入 源 I s P和 目 的 I  P Hah 中 , 后 分 析 H s 数 据 判 断 是 否 存 在 异 常 。 在 以  s表 然 ah表 若 下 3个 条 件 都 满 足 的情 况 下 :  
() 的数 目> L W  X 1流 F O MA  

34 网络 用 户 非法 访 问 监 测  .
由 于 系 统 对 网络 中 的 数 据 包 进 行 基 于 内 容 的 分 析 和 还 
原, 因此 可 以 实 现 对 用 户 非 法 网络 行 为 的 检 测 , 个 终 端 分 析  每
机 都 具 有 非 法 网 址 规 则 库 和 非 法 字 符 规 则 库 ,当用 户 的 网 络 

() 中平 均 数 据 包 的数 目< NU MI   2流 P M  N () 中平 均 数 据 包 的大 小 < A K T Ml  3流 Pc E  N 在源 I 址 H s P地 ah表 中 ,如 果 某 个 I P地 址 节 点 的 目标 地  址 数 > X D T及 目标 端 口 数 < OR   N, 说 明发 生 了蠕  MA S P T MI 则
_

行 为 违 反 了对 应 规 则 库 时 ,终 端 分 析 机 就 会 向 网络 管 理 服 务 

器 发 送 报 警 信 息 。 如 I 址 为 1218 . 3的 用 户 进 行 ht P地 9. .1 602 t  p 了访 问 , 端 分 析 机 会 截 获 此 数 据 包 并 且 解 析 出该 用 户 访 问 终  
的 网址 , 该 网 址 与 非 法 网址 规 则 库 中 的 记 录 进 行 匹 配 , 不  将 若 匹配 则说 明 用 户 的访 问是 合 法 的 , 则 用 户 访 问非 法 , 生 报  否 产 警 。系 统 还 可 以 根 据 非 法 字 符 库 进 行 非 法 邮 件 的检 测 。 由于  系 统 是 根 据 规 则库 匹 配 进 行 用 户 非 法 访 问检 测 ,为 了 保 证 检 

虫传播 或面 向网络的端 口扫描 。  
在 目的 I 址 H s P地 ah表 中 ,如 果 某 个 I P地 址 节 点 的 目标 

端 口数 < O T MI 及 S N 数 目> Y MAX, 则 说 明发 生 了 PR N Y SN  
_ _

面 向主 机 的 扫 描 。   由于 Ne lw 数 据 流 的数 量 非 常 的 庞 大 ,为 了节 省 Hah to F s  表 的存 储 空 问 , 们 让 H s 表 只 保 存 当 前 一 段 时 间 段 内 的 数  我 ah 据 流 信 息 ,这 也符 合 系 统 实 时 监 控 实和 时 报 警 的 要 求 。 当 创  建 I 点 的时候会将 当前系统 时间写入 I P节 P节 点 中 的 ud t pa   e t e字 段 中 ,系 统 也 会 定 时 轮 询 源 地 址 和 目的地 址  i   m H 表.
ah s 

测 的准 确 率 , 要 建 立 庞 大 的 匹配 规 则 库 , 需 当用 户 的 非 法 访 问   在 规 则 库 中 没 有 记 录 时 , 非 法 行 为监 测 就 会 失 败 , 此 这 种  该 因
方法存在 着很大 的局限性 。  

4 试验 分析 
为 了检 测 系 统 在 大 流 量 环 境 下 的 工 作 性 能 , 择 学 生 宿  选

,  

将超 时的 I P节 点 去 除 。  

( 转第 34 下 8 4页)  

34   84

2 1,1(7 0 0   1) 3  

计算机 工程与设计 C m ue n ier g n   ein o p t E gnei   dD s   r n a g
sn,0 61 () 4 . e t 0 .73: 7 2   6  



?  

[] F nJ , n   Z a gLM,  1ma esq e c e me tt n 2 a   WagR,h n    e a. g  e un esg nai   P t I o

圈  
  { 囊  
( 背景  a )

! 霍  
一  

曩  
.! | 

ben  Irn ilhd [PeR。i a 。2tpa t cr。jJ amegt s   e。Ir  e IgJr  cn d DH   叩 ts n .t e }  
L t 1 9 ,7 1 ) 1 1 e ,9 61(0 : 0 . t 1   [】 Hat。 uI r o   Dai L? 4 Re1i  u v ia c f 3 r h  , wo dD, Vs w  : a一 mesr el n eo  a Ha   t l

曩  
( 二值化差值图像  c )

e nh —?— e o     p d . t


“ ie[J vn sJ. I


EE a  锄  Y E  n n?  

( 当前帧  b )

[] 李利乐 , 4  马志强, 晓燕 . 张 运动 目标检测技术现 状及进展 [] 阳  J. 南

图 6 闽值 选取 与调 整   

师范学 院学报 , 0 , () 98 . 2 91 9: -2 0 8 7   [] 张嫣. 动 图像序 列中多 目标跟 踪的研 究与实现 [ . 算机应  5   运 J计 ]

4 束  结语
本 文 主 要 研 究 了在 视 频 序 列 中 检测 运 动 目标 的 方 法 , 通  过 分 析 背景 差 法 中存 在 的 典 型 问题 ,提 出 了对 存 在 运 动 物 体  时初 始 化 背 景 的 改进 算法 ; 出 了背 景 和 阈 值 更 新 的 算 法 ; 提 提 

詈  

目 踪法 与 埘 标 方研 实 .  跟 究 现 

计算 机应用 研究,07 41: 922 2 0, ( 1 —0 . 2 )9   【] O rae,hf u , a 7 ma  vdSa qeKS hM. i a h a apoc o o  J i h A h r ci lp rahtr一 er c    b sbcgon ut co s gclr n rd n if ma ut akru dsb at n i  oo adgai tno 一   r i un   e  r  

出 了可 变 闽 值选 取 算 法 解 决场 景 中背 景 物 体 微 小 位 移 带 来 的 噪 声 ;提 出 阈值 调 节 算 法 进 一步 消 除 噪 声 。 通 过 这 一 系 列 算 法 的 改进 , 得 对 目标检 测 的 准确 度 和 灵 敏 度 得 到 高 , 实 际  使 对
应用效果具有明显的改善作用 。  

t nC . oedns f rso o Mo o ad i o o u i [] rceig  Wokhp n t n n Vd C mp一 o P o i e   t g 0 2 22 . i , 0 : —7 n2 2   [ 吴祖 林. 8 ] 背景提 取基础 上运动 车辆视频 检测 [. 与计算机, J交通 ]  
20 ,1 ) 81. 032( : -9 61  

参考 文献 :  
1  JXP i   , n   E et e eie e co  cn u  1 i   We Z Q F gY W.f c v   h l d t t nt h i e ]   ,   e i v c  e i e q
frrf c uv ia c  se [ . sa  mmu   g  e r一 o af   rel n e y tmsJ Vi l t is l s ] u Co nI eR p e  ma

限艇 绷  

测Ⅲ息 鹘 信 

[0 1 J侯 志强, 韩崇 昭. 觉跟 踪技术 综述 [ . 视 J 自动化 学报,0 6 () 】 2 0 , 4: 2  
6 36 . 0 —1   7

( 接第 39 上 7 9页)   舍 楼 作 为 测 试 环 境 , 网 络 管 理 服 务 器 部 署 在 流 量 较 大 的 学  将
生 宿 舍 楼 网络 出 口 以获 得 Ne l to F w流 量 , 个 终 端 分 析 机 分 别  8

等 大 中型 网络 , 实 践测 试 , 系 统 能 够 高 效 、 定 的 运 行 。 经 该 稳  

部署在 1 个楼层 , 验结果如表 1 示 。 6 实 所   表 1 系统应用 功能 测试 
类 型 
数 据 包 捕获 率 

参 考文 献 :  
[  刘 军 良, 1 】 肖宗水 . 分布式 网络流 量监 测 f. J 计算机 工程,08 4 ] 20,   3
(0:2 —2 . 2 )1 41 6  

准确 率 
10 0 % 

[   王珊, , 明天. 2 】 陈松 周 网络流量分 析系统 的设计与实现 [ . J 计算机  ] 工程 与应用 , 0 , (0: —8 2 9 51 ) 68 . 0 4 8  

数 据 包 还原 率  异 常 报 警 正确 率  

9. 98 %  9 .%  62

[】 陈宁, 同阁. 种高速 流量聚合 方法 的设计与 实现 [ . 计算  3   徐 一 J微 】
机信 息, 0 , () — . 2 8 4 3: 6 0 2 4  

实验 结 果表 明, 由于 系 统很 好 的解 决 了 以往 高速 网络 环 境 

[] 郭建云 , 4  曹庆华 .e l Nt o F w流 量采 集和聚 合 的研 究和实现 [ . J现  ]
代 电子 技术,0 97: 7 1 0 2 0 ()   .8 . 1     7 [】 李雪 莹, 宝旭, 榕生 . Wi cp 网络 监控 系统性 能优  5   刘 许 基于 n a 的 P 化[_ J 计算机 工程,0 4 o 1: 9 】 2 0, ( 8 . 3 ) — 

数据 包 丢 失 率过 高和 异 常流 量 报 警 正确 率 较 低 的 问题 , 高 了 提   网络 管 理 的效 率 。 统 主 要 缺 点 : Ne l 技术 只 能 在 Cso 系 ① to Fw i   c
交换 机 / 由 器上 部 署 实 施 ,具 有 一 定 的局 限 性 。② 当 网络 规  路 模 很 大 时 , 要 部 署 较 多 的 终端 分 析 机 , 乏 一 定 的灵 活 性 。 需 缺  

[  蒋卓 明, 6 ] 翟伟斌, 周振柳, . 于 内容 审计的千兆 网络监控系 统  等基 的设计 【. J 计算机 应用研 究, 0, ( : 1一l6 ] 2 8 54 l 4ll. 0 2 )l  
[】 王旭仁 , 学尧, 7   毕 许榕 生, . 河. 等 于通 实时 网络安全 监控系 统 的   设计与 实现 [ . 算机工 程, 0 ,1 ) 0 .1 . J计 】 2 5 ( : 9    0 3 42 21 [】 张 伟, 韬, 艳辉, . 8   王 潘 等 基于 WiP a n cp的数 据包捕 获及应 用【 . J  】

5 结 束 语 
网络 管 理 是 信 息 安 全 的 一个 重 要 领 域 , 着 网络 技 术 的  随 飞速发展, 网络 状 况 越 来 越 复 杂 , 网络 管 理 软 件 必 须 去 面 对  而 和 适 应 各种 大 流 量 、 杂 的 网 络 。本 文 在 分 析 3 流 行 网 络  复 种

计算 机工程 与设 计, 0 , () 6 915 . 2 8 97: 4 .6 1 0 2 1   [  金爽 . 于 N tl 9 】 基 e o F w的实时 安全 事件检测 技术研究 【 . D] 哈尔滨 :  
哈尔滨 工程 大学, 0 : .7 2 71 3 . 0 4  

管 理技 术优 缺 点 的 基 础 上 ,提 出 了一 种 比较 实用 的 分 布 式 网   络 管 理 模 型 。 布 式 网 络 管 理 系 统 采 用 分 工 协 作 的手 段 可 以  分
较 好 的 解 决 实 时 网 络 流量 监测 、 网络 异 常 预 警 、 流量 网络 数  大 据 包 内容 分 析等 问题 , 网络 管 理 功 能 扩 展 性 强 , 理 员 可 以快  管 速、 准确 的 定 位 网 络 故 障 , 除 网 络 故 障 。 高 了 网络 利 用 的  排 提 效 率 。 该 网 络 管 理 平 台 是 完 全 自主 开 发 , 用 于 学 校 和 企 业  适

[O 李超, 先, 1】 杨义 钮心忻 . 一种新 的高效主机监控 审计系统 [. J计算  ]
机 应用研 究, 0 , () 79 . 2 6 3 8: .9 0 2 9   [1 1]李 伟男,   鄂跃鹏 . 多模式 匹配算 法及硬件 实现 [ . J 软件 学报, 】   2 0 . (2 : 0 —4 5 0 61 1) 4 32 1 . 7 2  


相关文章:
分布式文件监控系统的设计与实现_图文.doc
分布式文件监控系统设计与实现 - 龙源期刊网 http://www.qikan.com.cn 分布式文件监控系统设计与实现 作者:黄云祥 朱艳辉 姜杉彪 谭鹏 来源:《企业科技与...
分布式监控系统的设计与实现-尤勇_图文.ppt
分布式监控系统设计与实现-尤勇_计算机软件及应用_IT/计算机_专业资料。对分布式非常专业的分析 CAT (Central Application Tracking) 自我介绍 尤勇 ?众点评 基础...
分布式网络监控系统设计与实现_论文.pdf
分布式网络监控系统设计与实现 - 本文针对目前防火墙等网络监控产品存在过滤不全面
分布式网络行为监控系统设计与实现.doc
分布式网络行为监控系统设计与实现 【摘要】 本文主要探讨了分布式网络行为监控系统的设计问题,针对分布式 网络行为监控系统设计的要点进行了探讨。同时,本文还论述了...
分布式网络行为监控系统的研究与实现_图文.pdf
分布式网络行为监控系统的研究与实现 - 维普资讯 http://www.cqvi
分布式光伏电站监控系统的设计与实现_图文.doc
分布式光伏电站监控系统设计与实现 - 龙源期刊网 http://www.qikan.com.cn 分布式光伏电站监控系统设计与实现 作者:李春枚 郝金平 来源:《科学家》2017 年...
远程分布式电源设备监控系统平台的设计与实现_图文.pdf
远程分布式电源设备监控系统平台的设计与实现 - 提出了一种基于互联网络的远程分布式电源设备监控系统平台设计与实现技术,系统不仅对分散在不同地点的设备实行统一监控...
用户视角的分布式网络运维监控系统的设计与实现_论文.pdf
用户视角的分布式网络运维监控系统设计与实现 - 2016 年第 9 期 信息与电脑 China Computer&Communication 计算机工程应用技术 用户视角的分布式网络运维...
分布式网络监控系统的分析与设计.doc
分布式网络监控系统的分析与设计 - 龙源期刊网 http://www.qikan.com.cn 分布式网络监控系统的分析与设计 作者:康锴张明 来源:《数字技术与应用》2010 年第 06...
单位网络设备环境智能监控系统设计与实现_图文.doc
单位网络设备环境智能监控系统设计与实现 - 龙源期刊网 http://www.qikan.com.cn 单位网络设备环境智能监控系统设计与实现 作者:李青梅 张文旭 束雄英 来源:《...
分布式Oracle监控系统的设计与实现_图文.pdf
分布式Oracle监控系统设计与实现 - 第29卷第17期Voi.29No.1
基于Hadoop的分布式云监控平台系统的研究与设计_图文.pdf
基于Hadoop的分布式监控平台系统的研究与设计 - 第 24 卷 第 15 期 电子设计工程 Vol.24 No.15 Electronic Design Engineering ...
水产养殖场分布式自动监控系统设计与实现_图文.doc
水产养殖场分布式自动监控系统设计与实现 - 龙源期刊网 http://www.qikan.com.cn 水产养殖场分布式自动监控系统设计与实现 作者:唐荣 刘世晶 王帅 来源:《现代...
分布式MySQL数据库集群在线监测系统设计与实现_图文.pdf
分布式MySQL数据库集群在线监测系统设计与实现 - ` 硕士学位论文 (工程硕士) 分布式 MySQL 数据库集群在线监测系统 设计与实现 DESIGN AND IMPLEMENTATIO...
基于OPC接口的分布式实时监控平台的设计与实现_图文.pdf
基于OPC接口的分布式实时监控平台的设计与实现 - 技术 !E 生产 基于 !# 接口的 分布式实时监控平台的设计与实现 ! 田华阁 侯凤云 李新 王宏安 向客户端提供...
分布式实时远程抄表系统设计与实现_图文.pdf
分布式实时远程抄表系统设计与实现 - 维普资讯 http://www.cqvip
【论文】一种面向互联网的分布式主动监控系统的设计与实现.pdf
一种面向互联网的分布式主动监控系统设计与实现_互联网_IT/计算机_专业资料。...该 系统 自动配置 网络 中的的监控 节点 ,产生监控用主动 负载并对网络通信...
一种分布式多节点远程监控系统的设计与实现_论文.pdf
一种分布式多节点远程监控系统设计与实现_信息与通信_工程科技_专业资料。 ...网络报警 处理 , 除此 之外 ,作为一个监控产品 ,还必须监测外设的在线 字...
基于Web的分布式网络流量监测系统的设计与实现_论文.pdf
基于Web的分布式网络流量监测系统设计与实现 - 网络流量监测是网络性能分析和
...的分布式机房监控系统的设计与实现答辩分析_图文.ppt
学长模板基本格式中国科学技术基于pp的分布式机房监控系统设计与实现答辩分析 - 基于P2P的分布式机房监控管理系 统的设计与实现 答辩人: 指导老师: 工作单位: ...