论文摘要
随着计算机网络的广泛普及和迅猛发展,网络安全问题逐渐受到人们的关注,因此,针对服务器的网络流量监测已成为网络安全领域的一个重要研究问题。目前,研究人员提出许多流量监测方案,但是这些系统都是大规模高速网络环境下的流量监测,系统复杂并且成本高昂。如何监控中小企业的服务器网络流量,并有效地检测流量中的异常数据,从而降低系统部署成本已经成为中小企业网络安全中的重要研究课题。本文深入研究了流量监测技术,提出基于ARM-Linux架构的网络流量监测方案。方案探索了基于ARM-Linux架构的系统对服务器流量异常进行检测的方法,利用此方法达到维护服务器网络安全的目的,同时降低了防护的成本。首先,研究网络流量测量的相关技术,对测量技术进行比较,选择了适合的流量采集方式,并通过将Libpcap移植到开发板实现包捕获和过滤,实现流量采集的目的。其次,针对危害性大的网络拒绝服务攻击,根据拒绝服务的攻击方式和数据流特点提出基于CUSUM算法的SYN-Flood检测模型和UDP-Flood的检测模型。SYN-Flood检测模型通过对SYN数据包增率异常的累积和判断是否超过特定阀值从而判断是否发生SYN-Flood攻击;UDP-Flood的检测模型通过对特定端口的UDP数据包增率异常的累积和判断是否超过特定阀值来检测UDP-Flood攻击。模型实现中的数据输入采用的是Bloom Filter算法,Bloom Filter算法能够对网络流量数据紧凑分类和查询,提高了对网络数据流的处理效率。CUSUM异常检测模型以较少的资源开销,较低的计算复杂度,较低的误报率实现了对拒绝服务攻击的异常流量检测。最后,针对服务器流量的异常检测系统框架模型,系统划分为流量采集分析、流量统计与预处理模块、异常检测模块、嵌入式数据库日志存储模块、可视化模块等,实现对服务器网络流量在线监测。