论文部分内容阅读
【摘要】本文主要介绍了如何利用网络设备系统的SYSLOG发送机制以及设备所支持的SNMP特性,通过VB制作服务器端接收设备发送来的LOG信息,并对这些LOG信息进行加工处理预警,并存入数据库;客户端通过ASP制作交互方式网站调用数据库信息,供使用人员进行远程处理。降低网络管理的成本,提高工作效率,同时,也可大大降低手工查询时的繁重工作量以及减少人工操作的错误,提高准确性和及时性。具有一定的市场价值。
【关键词】网络设备;SYSLOG;SNMP;UDP;数据库
1.简单网络监测系统中协议及相关技术
1.1 Syslog
Syslog 守护程序为记录来自运行于系统之上的程序的消息提供了一种成熟的客户机-服务器机制。syslog 接收来自守护程序或程序的消息,根据优先级和类型将该消息分类,然后根据由管理员可配置的规则将它写入日志。这种日志方式对于网络上最多使用的诸如Cisco 等设备是最有用的,因为这样可以把日志长期的保存下来。这对路由故障排查和设备配置操作记录也是很有益的。
Syslog协议允许设备向消息收集器发送相应的事件信息.使用UDP端口514,不需要确认,大小为1024字Facility,Severity,Hostname,Timestamp,Message五种信息.Facility是syslog对信息源的大致分类,比如该事件来源于操作系统,进程等,用整数表示.其中16-17的local use可以为那些没有被明确定义的进程或者应用所使用,通常思科IOS设备,CatOS交换机,VPN3000使用Facility Local7发送syslog信息,PIX防火墙使用local4,当然这些缺省值是可以修改的.Severity 信息源或者Facility根据信息的严重程度使用1位数字进行分类。
1.2 UDP包及通讯
UDP协议是英文User Datagram Protocol的缩写,即用户数据报协议,主要用来支持那些需要在计算机之间传输数据的网络应用。包括网络视频会议系统在内的众多的客户/服务器模式的网络应用都需要使用UDP协议。UDP协议从问世至今已经被使用了很多年,虽然其最初的光彩已经被一些类似协议所掩盖,但是即使是在今天,UDP仍然不失为一项非常实用和可行的网络传输层协议。
2.网络监测系统的设计
2.1 需求分析
根据网管人员的现有需求,拟本系统一期具有如下功能:Log日志信息接收、整理、过滤、存入数据库; 重大异常及隐患信息进行声音声音报警; 故障及隐患对比字符串的添加、修改、删除及相应分级; 异常信息远程跟踪处理流程; 异常信息分类统计检索功能;系统维护部分;系统操作安全部分;系统帮助部分。对于特殊的信息,比如对网络用户干扰比较大的ARP病毒的Log信息进行特殊处理,要求分析出病毒的源、目的IP及源目的MAC,并能够在web上形成处理流程。
系统架构图如图3.1,系统工作步骤如下:服务器守候程序接收到来自网络设备发送过来的日志数据,按照自身策略进行数据整理、分析,并存入后台数据库中,用户终端通过基于asp脚本的WEB网站访问数据信息,进行事务处理。
2.2 Log信息接收服务器端程序设计
2.2.1 信息接收原理
当网络设备syslog被正确配置后,一旦设备收集到异常信息,网络设备syslog相关进程就会向目的服务器发送端口为514的UDP信息包,服务器系统把接收到信息包再传送给Log搜集程序,从而达到搜集、分析等功能。
由于Syslog信息为端口514的数据包因此VB中的winsock控件设置如下:
sckServer.Protocol = sckUDPProtocol ;UDP协议
sckServer.LocalPort = 514 ;端口为514
sckServer.Bind 514
程序在进入监听状态前需要从数据库中读取异常log特征码供比对时调用。
2.2.2 信息接收处理模块
当UDP数据包被winsock搜集到程序中后,如何对这些数据进行处理就是关键了,本程序利用数组事先把异常log特征码存放起来,待log信息到来时候进行依次比对,这样不用每次都从数据库中取信息,会加快程序处理速度;这时就要进行特征比对工作,程序首先判定是否是病毒信息,如果是则进入病毒处理模块,如果不是则和特征字符串比对,如果有存在特种码信息,这时候把整条log信息作为比对信息到数据库中搜索,如果有未处理的相同信息,将丢弃该条信息,如果没有,存入数据库,供web处理。
2.3 Log信息处理Web网站设计
根据后台处理需求,web站点整体架构如图2.1。
图2.1 web站点整体架构
如上图,web站点主要具备以下功能,帐号管理模块负责使用者帐号的管理,比如新建、删除、修改等;故障信息检索统计模块负责异常信息的查询、统计;异常信息跟踪模块负责检索显示未处理的异常信息,供操作者进行跟踪分析,直到异常不再出现;特征码管理模块具备特征码的添加、删除、修改等功能。
3.小结
本系统虽然具备了简单的网络异常监测,但是只是被动的进行Log信息的监测、分析及后期处理;没有实现主动的信息提取分析,此部分可使用snmp协议,程序主动向设备发送请求包,得到设备实时运行信息而进行分析的思路进行编程。■
【参考文献】
[1]张弋,喻其炳.基于监听技术的网络安全平台的构建[J].邮电设计技术,2002,(02).
[2]张承,蒋东兴,刘启新,石岩.浅析网络监控系统对网络性能的影响[J].小型微型计算机系统,2002,(09).
[3]许霆,袁萌,史美林.网络监控审计系统的设计与实现[J].计算机工程与应用,2002,(18).
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文
【关键词】网络设备;SYSLOG;SNMP;UDP;数据库
1.简单网络监测系统中协议及相关技术
1.1 Syslog
Syslog 守护程序为记录来自运行于系统之上的程序的消息提供了一种成熟的客户机-服务器机制。syslog 接收来自守护程序或程序的消息,根据优先级和类型将该消息分类,然后根据由管理员可配置的规则将它写入日志。这种日志方式对于网络上最多使用的诸如Cisco 等设备是最有用的,因为这样可以把日志长期的保存下来。这对路由故障排查和设备配置操作记录也是很有益的。
Syslog协议允许设备向消息收集器发送相应的事件信息.使用UDP端口514,不需要确认,大小为1024字Facility,Severity,Hostname,Timestamp,Message五种信息.Facility是syslog对信息源的大致分类,比如该事件来源于操作系统,进程等,用整数表示.其中16-17的local use可以为那些没有被明确定义的进程或者应用所使用,通常思科IOS设备,CatOS交换机,VPN3000使用Facility Local7发送syslog信息,PIX防火墙使用local4,当然这些缺省值是可以修改的.Severity 信息源或者Facility根据信息的严重程度使用1位数字进行分类。
1.2 UDP包及通讯
UDP协议是英文User Datagram Protocol的缩写,即用户数据报协议,主要用来支持那些需要在计算机之间传输数据的网络应用。包括网络视频会议系统在内的众多的客户/服务器模式的网络应用都需要使用UDP协议。UDP协议从问世至今已经被使用了很多年,虽然其最初的光彩已经被一些类似协议所掩盖,但是即使是在今天,UDP仍然不失为一项非常实用和可行的网络传输层协议。
2.网络监测系统的设计
2.1 需求分析
根据网管人员的现有需求,拟本系统一期具有如下功能:Log日志信息接收、整理、过滤、存入数据库; 重大异常及隐患信息进行声音声音报警; 故障及隐患对比字符串的添加、修改、删除及相应分级; 异常信息远程跟踪处理流程; 异常信息分类统计检索功能;系统维护部分;系统操作安全部分;系统帮助部分。对于特殊的信息,比如对网络用户干扰比较大的ARP病毒的Log信息进行特殊处理,要求分析出病毒的源、目的IP及源目的MAC,并能够在web上形成处理流程。
系统架构图如图3.1,系统工作步骤如下:服务器守候程序接收到来自网络设备发送过来的日志数据,按照自身策略进行数据整理、分析,并存入后台数据库中,用户终端通过基于asp脚本的WEB网站访问数据信息,进行事务处理。
2.2 Log信息接收服务器端程序设计
2.2.1 信息接收原理
当网络设备syslog被正确配置后,一旦设备收集到异常信息,网络设备syslog相关进程就会向目的服务器发送端口为514的UDP信息包,服务器系统把接收到信息包再传送给Log搜集程序,从而达到搜集、分析等功能。
由于Syslog信息为端口514的数据包因此VB中的winsock控件设置如下:
sckServer.Protocol = sckUDPProtocol ;UDP协议
sckServer.LocalPort = 514 ;端口为514
sckServer.Bind 514
程序在进入监听状态前需要从数据库中读取异常log特征码供比对时调用。
2.2.2 信息接收处理模块
当UDP数据包被winsock搜集到程序中后,如何对这些数据进行处理就是关键了,本程序利用数组事先把异常log特征码存放起来,待log信息到来时候进行依次比对,这样不用每次都从数据库中取信息,会加快程序处理速度;这时就要进行特征比对工作,程序首先判定是否是病毒信息,如果是则进入病毒处理模块,如果不是则和特征字符串比对,如果有存在特种码信息,这时候把整条log信息作为比对信息到数据库中搜索,如果有未处理的相同信息,将丢弃该条信息,如果没有,存入数据库,供web处理。
2.3 Log信息处理Web网站设计
根据后台处理需求,web站点整体架构如图2.1。
图2.1 web站点整体架构
如上图,web站点主要具备以下功能,帐号管理模块负责使用者帐号的管理,比如新建、删除、修改等;故障信息检索统计模块负责异常信息的查询、统计;异常信息跟踪模块负责检索显示未处理的异常信息,供操作者进行跟踪分析,直到异常不再出现;特征码管理模块具备特征码的添加、删除、修改等功能。
3.小结
本系统虽然具备了简单的网络异常监测,但是只是被动的进行Log信息的监测、分析及后期处理;没有实现主动的信息提取分析,此部分可使用snmp协议,程序主动向设备发送请求包,得到设备实时运行信息而进行分析的思路进行编程。■
【参考文献】
[1]张弋,喻其炳.基于监听技术的网络安全平台的构建[J].邮电设计技术,2002,(02).
[2]张承,蒋东兴,刘启新,石岩.浅析网络监控系统对网络性能的影响[J].小型微型计算机系统,2002,(09).
[3]许霆,袁萌,史美林.网络监控审计系统的设计与实现[J].计算机工程与应用,2002,(18).
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文