随着计算机网络规模和应用领域的日益增大,网络已经成为人们日常工作和生活的重要组成部分。但是由于网络复杂性和异构性的不断增加,通过网络传播的病毒数量和各种人为破坏因素越来越多,对网络性能的影响越来越大,严重干扰了正常的网络运行秩序。在这种情况下,如何保证网络的运行性能,为用户提供一个良好的网络环境成为一个研究的课题。 本文主要介绍了一个在Windows环境下针对校园网的网络流量异常检测与隔离系统的设计和实现方法。该流量异常检测与隔离系统能够对一些典型的主机流量异常和整个网络行为异常进行识别判断,而且也能够对网络设备和物理链路的运行情况进行检测。该系统是校园网综合管理系统的一个重要组成部分。它使用Delphi开发,把嵌入式MySQL数据库和嵌入式WEB服务器TinyWeb集成到系统中,不需要额外安装数据库和WEB服务器,配置简单,方便管理,具有较好的扩展性和可移植性。 本文设计和实现的实时网络流量异常检测与隔离系统主要包括五个功能模块:流量采集模块、流量统计模块、流量异常检测模块、异常主机隔离模块以及图形化用户界面。其中,流量采集模块的主要功能是实时高效地采集需要检测的网络数据包,并把他们交给流量统计模块进行下一步处理。本系统利用基于WinPcap的Snoop组件完成流量采集工作。流量统计模块将接收到的网络数据包分别放到不同的缓冲队列中等待检测处理。流量异常检测模块的目的是完成具体的检测任务,它也是检测系统的核心部分。本文提出了正常网络基线的概念,把能够反映正常网络行为和性能的各种指标都体现出来,并且利用正常网络基线检测网络异常情况。系统中还建立了一个基于AR模型的流量统计模型,用来处理与时间相关的流量异常。对于检测出来的异常主机,利用异常主机隔离模块进行处理。该模块可以对管理员实施报警,并且可以自动断开异常主机的网络连接。系统采用WEB方式管理,通过图形界面,完成与管理员的信息交互。
