一种基于网络应用特征串识别的局域网管理方案

2014-07-18杨品

电脑知识与技术 2014年13期

摘要：鉴于网络应用的高速发展，局域网呈现出复杂化的趋势，为更好的完成局域网管理的工作，提出一种基于网络应用行为识别与统计分析的局域网管理方案。该方案以网络特征串识别网络应用行为为基础，以主动识别网络应用行为的方式，通过对网络应用的归类和统计分析实现对局域网网络的积极管理。该方案可以在局域网内有效实现对网络应用的主动监控，网络管理员可以自行设置网络管理方式，达到主动管理灵活监控的目标，优化局域网网络环境。

关键词：网络应用特征串；局域网网络管理

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）13-2951-02

A Local Area Network Management Scheme Based on Netetwork Application Character String Recognition

YANG Pin

（Sichuan University， Chengdu 610064， China）

Abstract： Because of the high speed development of network applications， Local area network （LAN） present a complicated trend， for complete the LAN management work better， it puts forward a kind of local area network management scheme which based on network application behavior recognition and statistical analysis. The scheme on the basis of the character string to identify network application behavior， take the way of initiative to identify network applications behavior， implement the management of LAN network through classification of network application and statistic analysis. The scheme can activily monitor network application within in the local area network （LAN），network administrators can set the network management mode， achieve the objectives of the active management and flexible monitoring， optimize LAN network environment.

Key words： network application character string； local area network management

互联网上的通信应用发展迅速，各类应用软件层出不穷、不断更新，各类应用软件以客户端或浏览器形式占据着大量的网络资源。在这种背景下，局域网内大量网络应用的使用很可能会造成网络资源无谓的占用消耗，导致局域网的主要使用者无法正常使用，所以需要对局域网网络应用进行合理的监控与管理。

1 网络应用特征串的定义与识别

对网络应用的协议，依据协议类型一般分为三类，一般类：http、ftp、smtp、pop3；P2P类：BT、edonkey；其他类，ICQ、MSN，三类协议虽对网络占用资源情况不同，均可通过应用网络特征串进行分析识别。网络应用特征串定义如下：网络应用通信过程中协议中唯一、必然出现的固定字符串，，该字符串即为该网络应用的特征串；如果存在多个固定字符串，则通过一定规则统计分析，找出其中出现频率最高的字符串或者选取多个唯一表征该通信行为的字符串作为该网络应用的特征串。

以http协议为例，通过软件获取局域网内通信数据包，进行分析，http协议一般以post、get等信息为主，以下是某一网络通信行为的post信息头部及部分内容数据。

图1 某网络通信行为post信息头部

图1中标黑处字符串即为本次网络应用的唯一且固定的特征串，post表示上传数据在服务器的存放路径，Host表示获取数据的主机名，通过以上两组可唯一确定该网络通信行为。

2 局域网网络应用管理总体设计方案

通过对网络通信特征串的分析，提出一种积极的局域网网络管理方案，该方案的目的在于更为主动的基于网络通信行为监控的局域网管理方法。其总体设计如图2所示。

图2 局域网网络通信行为管理总体设计图

通过网络数据采集模块获取局域网网络通信数据，网络数据匹配分析模块读取采集模块所获取的数据，与模块中预先存储好的特征进行对比，如果符合特征串，则将此条记录写入数据库，并对数据进行处理，例如对数据进行分类、统计分析、阈值设定，将分析的结果也写入数据库。网络应用管理模块从数据库中提取存储的数据，该管理方案只针对网络应用进行识别和统计分析，不针对内容进行还原，既提高了方案的效率，又减少多余的工作代价。

3 局域网网络应用管理模块设计方案

1）数据采集模块

Libpcap数据采集，Libpcap是Library for Packet Capture（数据包捕获函数库）的缩写，是由劳伦斯伯克利国家实验室开发的一个网络数据包捕获函数库，适用于Linux/UNIX平台，通过该函数库获取网络应用数据，将局域网内部网络通信数据以pcap格式存放。

图3 数据采集流程图

2）网络数据匹配分析模块

通过数据采集获取的所有数据包，以之前获取的网络通信行为特征进行比对，符合某一行为的数据进行记录，存入数据库，不符合则丢弃该数据包。

分析监控策略为不关心局域网内部硬件设备的运行情况，如服务器、交换机及个人PC等接入设备，亦不关心局域网内部网络运行状况和网络通信的内容，只针对局域网内部网络通信行为进行行为识别和统计分析。

图4 网络管理流程图

当被监控的网络通信行为A，经过网络管理系统S，判断该行为是否符合A特征，符合则写入关于A行为的数据库表单，存储A行为的源IP、目的IP，将A行为次数累加，当A行为在设定时间T内通信行为次数超过设定阈值F，则系统判定该行为影响局域网网络资源的有效利用，通过管理界面向网络管理员发出警告，网络管理员依此对该网络应用进行处理。

根据网络协议的分类和相应用途，可以针对不同类型的网络应用设定不同的统计时间T和行为次数阈值F。一般类：http、ftp、smtp、pop3属于广泛应用，针对此类网络应用行为可以进行一般监控，设定较大的T和F；P2P类：BT、edonkey主要应用于网络下载，消耗网络资源较多，可列为重点监控对象，针对此类网络通信行为应当设定较小的T和F；其他类，ICQ、MSN三类协议以即时通信应用为主，视局域网网络使用者的行为目的，灵活设定。

同时，若在网络应用特征库中添加木马的协议特征，或局域网流量识别与监控，可以有效扩展该系统的监控范围和使用效果。

3）局域网网络管理方案的特点

首先，基于网络应用特征串的网络通信行为的识别，简单有效，可以快速应用到局域网网络管理系统。其次，对于局域网网络

管理方案，提出了一种人机交互的概念，网络管理员可以灵活添加网络特征、设定监控时间和阈值，局域网网络管理系统依此向网络管理员报警，实现网络管理的灵活应用。最后，预留扩展方案，对木马监测和流量控制扩展提供便利。

4 结束语

本文针对当前局域网网络管理的不足，设计了基于网络应用特征串的局域网网络管理方案，方案以网络应用特征识别为基础，简单实用，提高方案的可操作性和灵活性；在应用识别的基础上，提出简单的统计分析方案和阈值管理警报方案，方便网络管理员对局域网网络资源的合理分配。

参考文献：

[1] 李爱平，郝英.网络监控系统中数据包捕获分析模块的实现[J].网络安全，2007（3）：52-55.

[2] 刘兴彬，杨建华，谢高岗.基于Apriori算法的流量识别特征自动提取方法[J].通信学报，2008（12）：51-59.

[3] 陈亮，龚俭，徐选.基于特征串的应用层协议识别.计算机工程与应用，2006，42（24）：16-19.

[4] 张梅琼，许丽卿.网络安全主动管理模型研究与实现[J].通信技术，2010，43（10）：129-130.

[5] 费绍敏，龚晓峰，李宾，等.基于Winpcap的网络监控系统的设计与实现[J].通信技术，2009，42（11）：206-210.