论文部分内容阅读
摘 要:在塔里木油田网络迅速发展的同时,网络安全问题日益成为油田内部网络关注的焦点,非法访问、病毒扩散、恶意攻击等都容易影响网络的正常运行,现塔里木油田多种网络防御技术被综合应用到网络安全管理体系中,包括防火墙、访问策略控、SEP安全准入、流量监控等等,其中流量监控是分析网络状况的有效方法,它从数据包流量分析角度,通过实时地收集和监视网络数据包信息,来检查是否有违反安全策略的行为和网络工作异常的迹象。
关键词:网络管理;数据采集;流量控制;流量统计;
Abstract: in the rapid development of the network of Tarim oil field at the same time, the problem of network security has increasingly become the focus of attention of the internal network of oil field, the normal operation of the illegal access, the spread of the virus, malicious attacks are easy to affect network, the Tarim oil field a variety of network defense technology has been applied to network security management system, including firewall, access control, SEP security access, traffic monitoring, traffic monitoring, which is a efficient method to analyze the network status, it from the data flow analysis, through data collection and monitoring network real-time packet information, to check whether there are signs of behavior and network security policy violations and abnormal.
Keywords: network management; data acquisition; flow control; flow statistics;
中图分类号:TM711文献标识码:A
一、引言
随着油田网络不断发展和诸多办公、勘探软件应用的广泛应用,对网络性能稳定性要求日益提高,也是前线广域网网络管理迫切需要解决的问题,有效的网络管理能够保证网络的稳定运行和持续发展。
二、相关的概念与技术
(一)OSI参考模型
开放系统互联参考模型OSI是由国际标准化组织ISO制定的标准化开放式的计算机网络层次结构模型,其结构如图1所示。
可以看出,该结构共有七层,各层主要实现如下功能:
1、物理层,利用传输介质实现相邻节点间的物理连接,主要对机械、电气、功能和规程四个方面及信号传输速率方面进行规定;
2、数据链路层,完成管理数据的传输,提供差错检测和恢复,并且提供流量控制,最终实现向上一层提供无差错、高可靠性的传输链路;
3、网络层,执行路由算法和流量控制算法,完成数据分组传输,它是通信子网的最高层;
4、传输层,提供端到端的无差错传输,同时,它也提供属于局通信网络接口,比如SOCKET;
5、会话层,完成用户之间会话的组织、协调、分配用户名等;
6、表示层,解决数据格式问题,规定编码方式;
7、应用层,OSI的最高层,利用应用进程提供网络访问手段。
(二)TCP/IP体系结构
由于TCP/IP比其之前的OSI模型更具体实现,随着互联网的不断发展,遵循TCP/IP结构的网络不断普及,因此现在通常采用TCP/IP代表Internet体系结构。TCP/IP的目的是在网络标准不同的情况下解决互联问题,可以说,网络互联是TCP/IP的核心。TCP/IP的体系结构如图2所示。
TCP/IP在设计时重点并没有放在具体通信的实现上,所以对最后两层没有做出具体规定,同时表明它允许不同类型的通信网络参与通信。它的四个层次功能如下。
1、应用层,提供常用的应用程序及自定义的应用程序,数据传输时用TCP/IP协议来进行;
2、传输层,提供端到端的应用程序之间的通信,可以使用传输控制协议TCP(Transmission Control Protocol)或用户数据报协议UDP(User Datagram Protocol)协议,前者提供可靠传输,传送单位是报文段,后者提供不可靠服务,传输单位是数据报,即分组。此外,传输层另外一个功能就是区别应用程序;
3、网际层,负责计算机之间的通信,采用的协议是IP协议,数据传送单位是分组,向上提供不可靠的传输服务;
4、网络接口层,负责接收数据报,并实现发送,或者接收帧,提取IP数据报,交给互联网层。
(三)OSI模型与TCP/IP体系结构的区别
从前面的分析可以看出OSI模型和TCP/IP体系有许多不同之处,主要体现在问题的处理上面,例如:
1、TCP/IP一開始就考虑的是异构网络的互联问题,并将IP看作是整个体系的重要组成部分,而ISO并没有认识到网际协议IP的重要性,导致最后只能单独划分一个子层来完成IP的作用。
2、OSI最开始只注意到了面向连接的服务,而TCP/IP一开始就注意了面向连接和无连接的并重。相比起来,TCP/IP更注重了数据传输的效率,而OSI则注重了传输的可靠性。
三、传输层的编程接口—Socket编程
(一)Windows套接字的概念
Windows套接字—SOCKET,是为Windows系统开发的一套标准通用支持网络协议数据通信的API,它是网络通信的基础,即TCP/IP的网络编程接口,1994年被定为网络编程标准后,主要经历了Winsock1.1和Winsock2.0两种版本,它产生最终目的是可以适应应用程序开发者、网络服务商的需求,进程通过套接字的通信域来完成通信。需要指出的是,套接字主要负责控制数据的输入与输出,主要在传输层和网络层,屏蔽了数据链路层和物理层[2]。
(二)套接字类型
根据通信性质把套接字主要分为流式套接字和数据报套接字两种。它们的区别在于流式套接字提供双向、有序、无重复的数据流服务,但相对于数据报套接字来说系统开销较大。数据报套接字也支持双向数据流,但并不注重传输可靠性、无重复性和有序性,但它保留了记录边界,由于数据报传输效率较高,所以还是得到了比较广泛的应用。
(三)涉及的几个基本概念
1、字节顺序,不同的计算机采用不同的自己顺序存储数据,所以在这些数据进行通信时需要进行字节顺序的转换,所有传送给网络上套接字函数的IP地址和端口号均按照网络顺序安排,主要由sockaddr_in这个结构规范。特别要注意的是,应用程序建立地址结构之前,用户输入需要将主机序列转换为网络序列(使用htons函数,反之使用ntohs函数)。
2、阻塞与非阻塞,套接字有同步阻塞和异步非阻塞两种方法,阻塞模式时,套接字需要等待操作全部完成才结束,而当套接字处于非阻塞模式时,套接字以是否有新数据到达作为阻塞的标志。阻塞方式套接字简单、方便,但是效率比较低,而非阻塞模式使用复杂点,但效率很高。但是仍需强调一点,Winsock提供了几种I/O模型来解决异步问题,如“选择”、“重叠”、“事件选择”、“异步选择”等[3]。
四、总体设计
(一)通过收集与分析前线网络网络流量监控软件需求,总结出以下特征:
1、需要实现对网络接口数据包的尽可能多的捕获,将网卡设置为混杂模式,然后进行数据包的采集;
2、数据包的内容要进行一定的解析,对数据包的协议类型、源目地址、数据包截获时间、数据包内容需要进行分析;
3、根据用户不同的要求能够依照特定地址范围、特定协议类型相关包等条件进行自定义监视;
4、监视结果输出有实时流量图、列表等显示;
5、实现日志记录,便于日后分析。
综上,系统设想如下,采用VC++6.0编写C/S部分,实现两个主要功能部分:数据捕获与显示模块、流量信息统计模块、流量绘制模块,如图3所示。
数据采集模块:完成网络接口数据的捕获、解析和显示,可以根据用户定义条件组合来进行捕获,如只监视采用TCP或UDP协议的数据包,也可以监视用户希望关注的相关IP地址的数据包,同时完成数据封包日志记录,提高了系统的灵活性。同时,在对数据包的解析过程中对一些常见入侵攻击特征进行判断,发出预警。该模块采用编写原始套接字开发。
信息统计模块:完成统计功能,如统计IP要实现统计接收到的数据报数量、接收到的数据中协议出错的数量、正在请求传输的数量、路由表中可用路由数量、丢弃的数量、需要重组/成功重组的数量等,统计ICMP需要完成发送/接收的消息数量、满足超过TTL的数量、重定向数量、时间戳请求/应答数量等;采用IP助手函数完成。
利用B/S部分实现数据展现,实现图表和列表分析,如图4所示:
(二)根据上面对各个功能模块的划分,进行更进一步的分析和设计,得到数据采集大致的工作流程图,如图5所示。
五、结论
流量检测和统计分析将成为整个油田网络安全管理系统的重要组成部分。网络管理员可以根据数据流量的变化规律,发现网络故障与攻击行为,及时采取措施,减少损失。
该设想是一个繁杂的系統,由于技术关系,本设想只停留在大概框架,下一步工作的重点将收集进一步资料,争取开发出一套该软件,以有针对性的对油田网络进行量身裁体的有效监控,对网络行为进行更深入的分析。
【参考文献】
1、杜世逊,段广民.基于SNMP的网络流量监控系统及应用.电脑编程技巧与维护.2011年18期.
2、万钧.网络流量监测技术及应用研究.安庆师范学院学报(自然科学版) ,.2011年01期.
3、夏卫锋.网络流量监测研究.电脑知识与技术.2009年09期
4、关天柱.网络流量分析系统的设计与实现.信息与电脑.2010年08期.
作者简介
唐强(1985-),男,四川广安人,本科,助理工程师,研究方向为信息安全技术。
单位名称:中石油塔里木油田分公司
部门:信息管理部
关键词:网络管理;数据采集;流量控制;流量统计;
Abstract: in the rapid development of the network of Tarim oil field at the same time, the problem of network security has increasingly become the focus of attention of the internal network of oil field, the normal operation of the illegal access, the spread of the virus, malicious attacks are easy to affect network, the Tarim oil field a variety of network defense technology has been applied to network security management system, including firewall, access control, SEP security access, traffic monitoring, traffic monitoring, which is a efficient method to analyze the network status, it from the data flow analysis, through data collection and monitoring network real-time packet information, to check whether there are signs of behavior and network security policy violations and abnormal.
Keywords: network management; data acquisition; flow control; flow statistics;
中图分类号:TM711文献标识码:A
一、引言
随着油田网络不断发展和诸多办公、勘探软件应用的广泛应用,对网络性能稳定性要求日益提高,也是前线广域网网络管理迫切需要解决的问题,有效的网络管理能够保证网络的稳定运行和持续发展。
二、相关的概念与技术
(一)OSI参考模型
开放系统互联参考模型OSI是由国际标准化组织ISO制定的标准化开放式的计算机网络层次结构模型,其结构如图1所示。
可以看出,该结构共有七层,各层主要实现如下功能:
1、物理层,利用传输介质实现相邻节点间的物理连接,主要对机械、电气、功能和规程四个方面及信号传输速率方面进行规定;
2、数据链路层,完成管理数据的传输,提供差错检测和恢复,并且提供流量控制,最终实现向上一层提供无差错、高可靠性的传输链路;
3、网络层,执行路由算法和流量控制算法,完成数据分组传输,它是通信子网的最高层;
4、传输层,提供端到端的无差错传输,同时,它也提供属于局通信网络接口,比如SOCKET;
5、会话层,完成用户之间会话的组织、协调、分配用户名等;
6、表示层,解决数据格式问题,规定编码方式;
7、应用层,OSI的最高层,利用应用进程提供网络访问手段。
(二)TCP/IP体系结构
由于TCP/IP比其之前的OSI模型更具体实现,随着互联网的不断发展,遵循TCP/IP结构的网络不断普及,因此现在通常采用TCP/IP代表Internet体系结构。TCP/IP的目的是在网络标准不同的情况下解决互联问题,可以说,网络互联是TCP/IP的核心。TCP/IP的体系结构如图2所示。
TCP/IP在设计时重点并没有放在具体通信的实现上,所以对最后两层没有做出具体规定,同时表明它允许不同类型的通信网络参与通信。它的四个层次功能如下。
1、应用层,提供常用的应用程序及自定义的应用程序,数据传输时用TCP/IP协议来进行;
2、传输层,提供端到端的应用程序之间的通信,可以使用传输控制协议TCP(Transmission Control Protocol)或用户数据报协议UDP(User Datagram Protocol)协议,前者提供可靠传输,传送单位是报文段,后者提供不可靠服务,传输单位是数据报,即分组。此外,传输层另外一个功能就是区别应用程序;
3、网际层,负责计算机之间的通信,采用的协议是IP协议,数据传送单位是分组,向上提供不可靠的传输服务;
4、网络接口层,负责接收数据报,并实现发送,或者接收帧,提取IP数据报,交给互联网层。
(三)OSI模型与TCP/IP体系结构的区别
从前面的分析可以看出OSI模型和TCP/IP体系有许多不同之处,主要体现在问题的处理上面,例如:
1、TCP/IP一開始就考虑的是异构网络的互联问题,并将IP看作是整个体系的重要组成部分,而ISO并没有认识到网际协议IP的重要性,导致最后只能单独划分一个子层来完成IP的作用。
2、OSI最开始只注意到了面向连接的服务,而TCP/IP一开始就注意了面向连接和无连接的并重。相比起来,TCP/IP更注重了数据传输的效率,而OSI则注重了传输的可靠性。
三、传输层的编程接口—Socket编程
(一)Windows套接字的概念
Windows套接字—SOCKET,是为Windows系统开发的一套标准通用支持网络协议数据通信的API,它是网络通信的基础,即TCP/IP的网络编程接口,1994年被定为网络编程标准后,主要经历了Winsock1.1和Winsock2.0两种版本,它产生最终目的是可以适应应用程序开发者、网络服务商的需求,进程通过套接字的通信域来完成通信。需要指出的是,套接字主要负责控制数据的输入与输出,主要在传输层和网络层,屏蔽了数据链路层和物理层[2]。
(二)套接字类型
根据通信性质把套接字主要分为流式套接字和数据报套接字两种。它们的区别在于流式套接字提供双向、有序、无重复的数据流服务,但相对于数据报套接字来说系统开销较大。数据报套接字也支持双向数据流,但并不注重传输可靠性、无重复性和有序性,但它保留了记录边界,由于数据报传输效率较高,所以还是得到了比较广泛的应用。
(三)涉及的几个基本概念
1、字节顺序,不同的计算机采用不同的自己顺序存储数据,所以在这些数据进行通信时需要进行字节顺序的转换,所有传送给网络上套接字函数的IP地址和端口号均按照网络顺序安排,主要由sockaddr_in这个结构规范。特别要注意的是,应用程序建立地址结构之前,用户输入需要将主机序列转换为网络序列(使用htons函数,反之使用ntohs函数)。
2、阻塞与非阻塞,套接字有同步阻塞和异步非阻塞两种方法,阻塞模式时,套接字需要等待操作全部完成才结束,而当套接字处于非阻塞模式时,套接字以是否有新数据到达作为阻塞的标志。阻塞方式套接字简单、方便,但是效率比较低,而非阻塞模式使用复杂点,但效率很高。但是仍需强调一点,Winsock提供了几种I/O模型来解决异步问题,如“选择”、“重叠”、“事件选择”、“异步选择”等[3]。
四、总体设计
(一)通过收集与分析前线网络网络流量监控软件需求,总结出以下特征:
1、需要实现对网络接口数据包的尽可能多的捕获,将网卡设置为混杂模式,然后进行数据包的采集;
2、数据包的内容要进行一定的解析,对数据包的协议类型、源目地址、数据包截获时间、数据包内容需要进行分析;
3、根据用户不同的要求能够依照特定地址范围、特定协议类型相关包等条件进行自定义监视;
4、监视结果输出有实时流量图、列表等显示;
5、实现日志记录,便于日后分析。
综上,系统设想如下,采用VC++6.0编写C/S部分,实现两个主要功能部分:数据捕获与显示模块、流量信息统计模块、流量绘制模块,如图3所示。
数据采集模块:完成网络接口数据的捕获、解析和显示,可以根据用户定义条件组合来进行捕获,如只监视采用TCP或UDP协议的数据包,也可以监视用户希望关注的相关IP地址的数据包,同时完成数据封包日志记录,提高了系统的灵活性。同时,在对数据包的解析过程中对一些常见入侵攻击特征进行判断,发出预警。该模块采用编写原始套接字开发。
信息统计模块:完成统计功能,如统计IP要实现统计接收到的数据报数量、接收到的数据中协议出错的数量、正在请求传输的数量、路由表中可用路由数量、丢弃的数量、需要重组/成功重组的数量等,统计ICMP需要完成发送/接收的消息数量、满足超过TTL的数量、重定向数量、时间戳请求/应答数量等;采用IP助手函数完成。
利用B/S部分实现数据展现,实现图表和列表分析,如图4所示:
(二)根据上面对各个功能模块的划分,进行更进一步的分析和设计,得到数据采集大致的工作流程图,如图5所示。
五、结论
流量检测和统计分析将成为整个油田网络安全管理系统的重要组成部分。网络管理员可以根据数据流量的变化规律,发现网络故障与攻击行为,及时采取措施,减少损失。
该设想是一个繁杂的系統,由于技术关系,本设想只停留在大概框架,下一步工作的重点将收集进一步资料,争取开发出一套该软件,以有针对性的对油田网络进行量身裁体的有效监控,对网络行为进行更深入的分析。
【参考文献】
1、杜世逊,段广民.基于SNMP的网络流量监控系统及应用.电脑编程技巧与维护.2011年18期.
2、万钧.网络流量监测技术及应用研究.安庆师范学院学报(自然科学版) ,.2011年01期.
3、夏卫锋.网络流量监测研究.电脑知识与技术.2009年09期
4、关天柱.网络流量分析系统的设计与实现.信息与电脑.2010年08期.
作者简介
唐强(1985-),男,四川广安人,本科,助理工程师,研究方向为信息安全技术。
单位名称:中石油塔里木油田分公司
部门:信息管理部