基于VB上网日志行为异常的网络安全预警系统

随着计算机技术和互联网通讯技术的深入发展，网络安全问题也逐渐受到人们的关注。网络安全预警系统作为当前互联网安全技术中的热点研究，受到众多企业单位的追捧。借助于网络安全预警系统可以将单位内部网络与外部的网络通讯进行统计分析，对可疑的上网日志行为进行异常提示，进而实现对公司单位的内部网络通讯的实时监控，把网络安全运行数据同单位的网络管理策略紧密结合，从而实现单位网络安全的综合预警提示。通过网络安全预警系统可以实现企业内部网络运行数据的实时采集和统计分析，获得各个维度的统计数据，为分析网络异常提供了基础数据；通过网络安全预警系统，管理人员可以随时随地提取历史数据进行网络安全数据的分析抓取，并对网络设备的运行提出分析指导意见；网络安全预警系统方便地利用本地抓取各种协议、端口的通讯数据分析在网设备的是否异常，从而达到维护网络安全的目的。

本系统开发过程以现代软件开发的工程思想为原则，利用敏捷开发为指导，迅速创建网络安全预警系统的原型，接着对创建的系统原型进行功能改造，不断增加系统功能，直至达到预期的系统。本系统设计过程主要有客户端应用程序的创建和后台数据库的详细设计和创建。开发使用的平台为win10操作系统,编程工具采用的是VB6.0，数据库使用的是Access2003。利用VB6.0可视化开发技术迅速实现系统的运行界面，并把采集分析的网络日志进行入库分析统计，进而得到网络安全预警。

网络安全预警的要点：网络安全预警方法和文档审查。文档审查是通过对信息安全管理方面的文档体系及其内容进行调阅、梳理、分析，查找现有的信息安全管制制度及相关文档存在的不足，从而得到安全管理文档方面的脆弱性/弱点。采取顾问访谈，顾问访谈是结合了等级保护相关标准，通过向管理层、系统管理员、安全管理员提出一些开放性的问题，包括安全管理制度、安全组安全管理机构、人员安全管理、系统建设管理、系统运维管理等，以深入了解组织在安全策略、制度、流程的执行情况，以及信息安全需求和对未来信息安全建设的设想。

安全漏洞扫描，在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快、与网络的运行相对独立、安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定，是进行风险分析的有力工具。在本项目中，安全扫描主要是通过评估工具以本地扫描的方式对评估范围内的系统和网络进行安全扫描，从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。

网络层评估，网络层评估是通过对系统评估范围内的网络拓扑及网络层面细节的评估，主要从以下几个方面进行分析：基础网络架构：网络整体拓扑结构设计合理性，安全区域划分符合业务系统要求；对周边网络接入进行安全控制和冗余设计；对网络设备和链路进行冗余设计。网络监控及审计：开启网络设备的安全性日志审核，定期审查及备份日志,确保相应周期内的日志信息不会丢失。网络边界安全：对网络的内部及外部边界和安全域之间的边界进行评估。网络设备的安全防护：设备没有已知的漏洞，设备正确安全配置。网络通信安全：入侵检测系统、抗拒绝服务攻击设备、防病毒网关等设备部署情况。

利用人工安全检查操作系统各项内容：是否配置最优，实现其最优功能和性能，保证网络系统的正常运行；自身的保护机制是否实现；管理机制是否安全；为网络提供的保护措施是否正常和正确；是否定期升级或更新；是否存在漏洞或后门。

应用数据安全目标是：保证数据的机密性、完整性和可用性，避免数据的泄密、破坏、窜改、丢失。应用数据安全的评估标准是：分析通用应用的安全漏洞；数据需要分级保护，重要的数据需要采用加密措施、严格进行访问控制、安全审计，有良好的授权体系。数据有完整性校验机制，避免数据被窜改。数据需要良好存储、备份。

渗透测试，外网渗透测试是一种通过外网（Internet），模拟黑客可能使用的攻击技术和漏洞发现技术，对客户授权渗透测试的目标系统进行深入的探测，以发现系统最脆弱的环节和可能被利用的入侵点。xxx服务公司安全专家执行的渗透测试能够让客户的安全维护人员明确当前网络中存在的严重问题。渗透专家使用的工具为渗透测试专用工具和可信的免费工具的集合。

渗透专家通过对目标系统进行渗透测试，以期发现目标系统最薄弱的环节，必要情况下可能获得目标系统最高权限以说明问题，但避免导致目标系统的不正常行为及影响正常的应用。渗透专家只是从技术层次对目标系统进行测试，不使用社会工程等非技术性手段。

该网络安全预警系统平台以当下人们对利用网络通信进行数据安全需求为开发指导，通过基于事件驱动的软件客户端的方式对网络通信信息管理进行采集分析，实现从传统的网络安全管理和统计方式到预警自动化方式的提升。通过前台数据采集和后台数据分析的平行操作，一方面可以满足绝大部分网络安全数据分析系统迫切的需求，另一方面前台用户可以进行网络通讯实时浏览、网络日志统计分析和网络信息提示，这些不仅实现原来手工无法实现的动态预警，而且可以来满足更多网络预警信息管理的需求。这些功能的实现将使得用户可以查看所有网络通讯信息、协议统计信息、端口统计信息、IP地址统计信息等以此来保证系统的动态及时性。

按照系统主要功能分析，主要分为数据采集和数据统计分析，并根据设置的木马端口信息，对其中的端口进行异常预警。数据采集界面主要展示系统抓取的网络通讯信息，包括协议名称、来源IP地址、目的IP地址、来源端口、目的端口、使用流量和通讯时间，这些数据信息的采集方便用户进行统计分析，并能够对采集的数据进行异常显示。设计中需要把界面设计的友好人性，整体界面符合互联网风格，从按钮开始指引用户进行不同功能的操作。前台展示的普通用户风采区域要使用大区域展示，然后采用表格一览的方式进行展示，使得用户能够通过各种方式进行网络数据的统计查询。

系统主要的功能包括如下：实时数据采集、IP地址网络采集、系统日志统计分析和网络安全预警及重要端口关闭功能。

网络安全预警系统采用功能模块分析设计的开发思路，该系统根据网络安全预警功能需求分析的流程进行拆解。通过实际的操作流程把系统分解成更细微的功能模块，这些更小的功能模块能够减少每个功能模块的实现难度，减少复杂的功能验证测试，降低模块耦合度，从而方便系统的扩展。

各个功能模块之间需要保持相对的独立性，通过对应的接口进行模块之间的通讯。。主要包括数据采集模块，IP地址过滤模块、统计分析模块、安全预警模块和系统帮助五个子系统如图4.1系统功能模块所示。

数据采集模块：实现网络通讯的实时数据采集包括通讯协议、源IP地址、目的IP地址、源端口、目的端口、流量和通讯时间。

IP地址过滤模块：设置专门的IP地址进行源IP地址和目的IP地址的数据过滤分析。

统计分析模块：实现网络通信协议采集数据的端口数据统计、IP地址数据统计、。

安全预警模块：实现系统的被攻击端口通讯的异常预警提示。

端口关闭模块：实现常用端口漏洞进行主动关闭。

目录

摘要1

ABSTRACT2

目录3

第一章绪论5

1.1 系统背景5

1.2 研究现状5

1.3 目的意义7

1.4 论文结构7

第二章 开发工具及技术8

2.1开发工具VB6.08

2.2数据库ACCESS8

2.3数据库访问技术9

2.4开发环境9

2.5常见的漏洞端口9

第三章 系统分析12

3.1需求分析12

3.1.1功能需求12

3.1.2性能需求12

3.2可行性分析13

3.2.1技术可行性13

3.2.2经济可行性14

3.2.3操作可行性14

第四章 系统总体设计15

4.1系统功能模块设计15

4.2数据采集模块设计16

4.3IP地址过滤模块设计17

4.4统计分析模块设计18

4.5安全预警模块设计19

4.6端口关闭模块设计20

4.7数据库设计20

第五章 系统详细设计21

5.1系统主界面实现21

5.2数据采集模块实现22

5.3IP地址过滤模块实现25

5.4统计分析模块实现25

5.5安全预警模块实现27

5.6端口关闭模块实现29

第六章 系统测试29

6.1系统测试目的29

6.2系统测试方法29

6.3系统测试用例30

总结33

参考文献34

致谢35