喻 会
(长江职业学院 湖北 武汉 430074)
本文通过实现(Netflow)基础分析系统的安全性优势,提出了一种新的用于流分析和流记录管理的开源应用程序。NetFlow数据提供有关网络会话和行为的重要信息。
NetFlow统计可以满足几个不同应用的需求,例如blling、网络规划和固定流量工程,文章对这些应用进行了详细的分析,以评估网络的状态。流记录是UDP数据包,缺乏有效载荷数据,但仍然为网络管理员提供了足够的数据,是一种有价值的分析工具。NetFlow分析是一种适度的方法[1]。
数据库的技术在近些年以来已经取得了较快的发展,而且在数据库的相关帮助之下,我们的计算机安全监控也实现了很大的进步。在近些年以来,数据库的应用帮助我们的工作变得更加高效,也实现了工作效率的提升。然后我们必须要准确结合计算机安全具体的应用情况,将数据库技术应用到计算机安全监控之中,可以帮助我们更快地找到安全的漏洞,可以及时发现安全监控的信息。我们可以利用数据库的技术,监控数据获取的流程,然后通过这些网络监控的方向进一步控制这些风险的要素。目前,在具体的应用过程中,数据库的技术还需要进一步提高,将这些抽象模型系统应用在具体的网络环境去丰富我们的数据要素,从而让信息加密。在现代网络机构的使用之中,需要牢牢掌握这些方向,提高计算机使用的水平,让在其他非工作的时间也可以用数据库加密,从而使我们的计算机安全水平进一步提高[2]。Netflow提供了对流量、连接信息和异常元工作行为的实时分析。对路由器上的NetFlow数据进行采样,其采样速率实际上满足已设置为监视输入流量的条件,然后定期进行比较,通过检查数据包序列来测试传入序列是否为DOS或可能对网络构成威胁。本文利用一个叫做“突发性”的参数来衡量网络的性能,这是一种测量网络流量的方法[2]。
在具体应用范围中,我们的数据安全没有具体保障的措施,只能够通过简单的存储系统实现信息的运转。但是这种方法会使我们的工作效率很低,而且达不到文件保存的要求。在计算机进行存储的时候也会耗费大量的空间,导致计算机的性能进一步降低,让工作人员的工作效率变得更慢。在现代化的网络计算机影响下,我们需要用数据加密的方法进一步提高数据的应用,在这个基础上进一步提高网络安全监控的水平。这就要求我们根据数据流的技术构建一定的模型,实现网络运行状态的实时监测。利用这样的方法可以进一步减少数据的损耗,也可以让数据在传播过程中提高自己的保密性,而且在数据流管理之下,实现了工作效率的飞升,保障了网络安全[3]。
Netflow分析是一个很好的选择,它在细节和框架之间取得了平衡。该方法具有网络无关性,能够适应任何类型网络的需求。这种类型的数据对拒绝服务(DoS)攻击和网络超载证明是非常宝贵的。设计的Perl脚本对接收到的Netflow v5数据包进行解码,该脚本引用某些以前设计的模块,这些模块有效地捕获和分隔了各个字段。此脚本还记录数据,这些数据可以在此基础上,提出一种可用于设计流量放大数据处理系统的算法。上述安全事件监控系统的一般结构之间的关系[4]。
监控系统包括路由器,路由器被配置为将Netflow信息导出到由Perl脚本组织的流数据库。脚本每天将流信息存储在一个单独的文件中,每个月都存储一个单独的文件夹。然后对Netflow数据进行定期比较,通过检查路由器运行的数据包序列来测试输入序列是DOS还是网络可能受到的威胁。清楚地描述了这一点。
监测站是一台小型机器,它读取导出的流并将它们与存在的恶意数据包序列数据库进行比较。当匹配和检测恶意数据包的顺序时,系统将生成警报状态。然后由网络管理员对此进行进一步的分析,以确定该威胁是否需要注意。路由器被用户用于存储流信息,并将这些信息传输到一个正在监听它的数据库。在所提出的模拟案例中,路由器通过特定端口(2055 Intest Case)将Netflow v 5信息以UDP数据包的形式发送给正在侦听该端口的客户端。一旦接收到数据包,将使用Perl模块(+)来帮助解码分组和提取流信息,这些模块读取传入的UDP数据包,提取所需的流记录,并将信息存储在日志文件中。ADATABASE是使用Perl模块创建的,该模块周期性地重复其功能,在相应地组织这些日志的同时,主要是按月、按年生成新的数据日志[5]。
根据需要创建了一个小的Perl代码段,可以很容易地修改它,为记录的和预处理的数据提供高效的组织方法。对记录进行了有效的索引,并制定最优搜索算法,有效地检索了所需的流量数据。路由器上的可用Netflow数据以每秒Z采样的可变速率采样,这与实际满足已设置为监视传入Netflow数据包的条件的数据包相对应,只允许这些数据包进入处理系统,处理系统将对传入流量进行详细分析并检查是否有异常[6]。
这是我们正在设法找到解决办法的核心问题。因此,使用Netflow将所有数据包登录并提取详细信息。例如,Ifan攻击者试图攻击仍然使用不同IP地址的系统,但是数据包的行为与数据库中的有害模式相匹配,这样就可以适当地跟踪他,并采取预防措施。如果启用了IfNetflow,并且将检查文件转储,尽管我们将得到该文件,但我们将无法从转储数据中解码任何内容。因此,必须对数据进行适当的解码,才能从Netflow数据包中获取信息。因此,在系统中,在端口2055上运行解码脚本,解码数据并将其转储到文本文件中。在没有任何解码的情况下,在端口上转储Netflow数据。因此,正如onecan从这个数字中推断出来的那样,这是胡言乱语,毫无意义。但是,一旦数据包被正确解码,就可以从这些数据包中提取非常有用的参数。
监测站的作用是利用该系统来判断是否需要关注和详细的威胁分析。该站被设计用于隔离流入处理模块的数据包和刚刚发送给存储的数据包。通过评估一个或多个签名,可以建立拒绝服务攻击或网络超载的条件。主监视系统借用了先前识别的攻击模式和序列的数据库值,这些攻击模式和序列与传入的通信量同时进行比较。此系统监视最容易受到攻击的端口上的通信量,有效地监控系统充当两个数据库之间的接口,即集合数据库和Threat数据库。
带有陌生IP选项字段的数据包,它们通常是由网络上配置不当的系统发送的,并且具有明显无效的目标地址。这种格式错误的数据包很可能是精心构建的,并且常常是DOS攻击的一部分。因此,设置一个过滤器来检查表单IP。路由器没有检测到启用选项字段的IP数据包,因此可以很容易地使用带有Toomany选项的IP数据包来构建DOS攻击。严格监视和过滤这些类型的数据包,以保护系统资源不被耗尽或滥用。
在本系统中,数据流管理平台通过优化执行注册系统,大量的连续查询、过滤、连续流网络连接等操作,完成各种安全事件的监控和报警,从而有效地支持实时监控系统的灵活性和准确性要求。