摘要：鑒于網(wǎng)絡(luò)應(yīng)用的高速發(fā)展，局域網(wǎng)呈現(xiàn)出復(fù)雜化的趨勢(shì)，為更好的完成局域網(wǎng)管理的工作，提出一種基于網(wǎng)絡(luò)應(yīng)用行為識(shí)別與統(tǒng)計(jì)分析的局域網(wǎng)管理方案。該方案以網(wǎng)絡(luò)特征串識(shí)別網(wǎng)絡(luò)應(yīng)用行為為基礎(chǔ)，以主動(dòng)識(shí)別網(wǎng)絡(luò)應(yīng)用行為的方式，通過對(duì)網(wǎng)絡(luò)應(yīng)用的歸類和統(tǒng)計(jì)分析實(shí)現(xiàn)對(duì)局域網(wǎng)網(wǎng)絡(luò)的積極管理。該方案可以在局域網(wǎng)內(nèi)有效實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)應(yīng)用的主動(dòng)監(jiān)控，網(wǎng)絡(luò)管理員可以自行設(shè)置網(wǎng)絡(luò)管理方式，達(dá)到主動(dòng)管理靈活監(jiān)控的目標(biāo)，優(yōu)化局域網(wǎng)網(wǎng)絡(luò)環(huán)境。

關(guān)鍵詞： 網(wǎng)絡(luò)應(yīng)用特征串；局域網(wǎng)網(wǎng)絡(luò)管理

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）13-2951-02

A Local Area Network Management Scheme Based on Netetwork Application Character String Recognition

YANG Pin

（Sichuan University， Chengdu 610064， China）

Abstract： Because of the high speed development of network applications， Local area network （LAN） present a complicated trend， for complete the LAN management work better， it puts forward a kind of local area network management scheme which based on network application behavior recognition and statistical analysis. The scheme on the basis of the character string to identify network application behavior， take the way of initiative to identify network applications behavior， implement the management of LAN network through classification of network application and statistic analysis. The scheme can activily monitor network application within in the local area network （LAN），network administrators can set the network management mode， achieve the objectives of the active management and flexible monitoring， optimize LAN network environment.

Key words： network application character string； local area network management

互聯(lián)網(wǎng)上的通信應(yīng)用發(fā)展迅速，各類應(yīng)用軟件層出不窮、不斷更新，各類應(yīng)用軟件以客戶端或?yàn)g覽器形式占據(jù)著大量的網(wǎng)絡(luò)資源。在這種背景下，局域網(wǎng)內(nèi)大量網(wǎng)絡(luò)應(yīng)用的使用很可能會(huì)造成網(wǎng)絡(luò)資源無謂的占用消耗，導(dǎo)致局域網(wǎng)的主要使用者無法正常使用，所以需要對(duì)局域網(wǎng)網(wǎng)絡(luò)應(yīng)用進(jìn)行合理的監(jiān)控與管理。

1 網(wǎng)絡(luò)應(yīng)用特征串的定義與識(shí)別

對(duì)網(wǎng)絡(luò)應(yīng)用的協(xié)議，依據(jù)協(xié)議類型一般分為三類，一般類：http、ftp、smtp、pop3；P2P類：BT、edonkey；其他類，ICQ、MSN，三類協(xié)議雖對(duì)網(wǎng)絡(luò)占用資源情況不同，均可通過應(yīng)用網(wǎng)絡(luò)特征串進(jìn)行分析識(shí)別。網(wǎng)絡(luò)應(yīng)用特征串定義如下：網(wǎng)絡(luò)應(yīng)用通信過程中協(xié)議中唯一、必然出現(xiàn)的固定字符串，，該字符串即為該網(wǎng)絡(luò)應(yīng)用的特征串； 如果存在多個(gè)固定字符串， 則通過一定規(guī)則統(tǒng)計(jì)分析， 找出其中出現(xiàn)頻率最高的字符串或者選取多個(gè)唯一表征該通信行為的字符串作為該網(wǎng)絡(luò)應(yīng)用的特征串。

以http協(xié)議為例，通過軟件獲取局域網(wǎng)內(nèi)通信數(shù)據(jù)包，進(jìn)行分析，http協(xié)議一般以post、get等信息為主，以下是某一網(wǎng)絡(luò)通信行為的post信息頭部及部分內(nèi)容數(shù)據(jù)。

圖1 某網(wǎng)絡(luò)通信行為post信息頭部

圖1中標(biāo)黑處字符串即為本次網(wǎng)絡(luò)應(yīng)用的唯一且固定的特征串，post表示上傳數(shù)據(jù)在服務(wù)器的存放路徑，Host表示獲取數(shù)據(jù)的主機(jī)名，通過以上兩組可唯一確定該網(wǎng)絡(luò)通信行為。

2 局域網(wǎng)網(wǎng)絡(luò)應(yīng)用管理總體設(shè)計(jì)方案

通過對(duì)網(wǎng)絡(luò)通信特征串的分析，提出一種積極的局域網(wǎng)網(wǎng)絡(luò)管理方案，該方案的目的在于更為主動(dòng)的基于網(wǎng)絡(luò)通信行為監(jiān)控的局域網(wǎng)管理方法。其總體設(shè)計(jì)如圖2所示。

圖2 局域網(wǎng)網(wǎng)絡(luò)通信行為管理總體設(shè)計(jì)圖

通過網(wǎng)絡(luò)數(shù)據(jù)采集模塊獲取局域網(wǎng)網(wǎng)絡(luò)通信數(shù)據(jù)，網(wǎng)絡(luò)數(shù)據(jù)匹配分析模塊讀取采集模塊所獲取的數(shù)據(jù)，與模塊中預(yù)先存儲(chǔ)好的特征進(jìn)行對(duì)比，如果符合特征串，則將此條記錄寫入數(shù)據(jù)庫(kù)，并對(duì)數(shù)據(jù)進(jìn)行處理，例如對(duì)數(shù)據(jù)進(jìn)行分類、統(tǒng)計(jì)分析、閾值設(shè)定，將分析的結(jié)果也寫入數(shù)據(jù)庫(kù)。網(wǎng)絡(luò)應(yīng)用管理模塊從數(shù)據(jù)庫(kù)中提取存儲(chǔ)的數(shù)據(jù)，該管理方案只針對(duì)網(wǎng)絡(luò)應(yīng)用進(jìn)行識(shí)別和統(tǒng)計(jì)分析，不針對(duì)內(nèi)容進(jìn)行還原，既提高了方案的效率，又減少多余的工作代價(jià)。

3 局域網(wǎng)網(wǎng)絡(luò)應(yīng)用管理模塊設(shè)計(jì)方案

1）數(shù)據(jù)采集模塊

Libpcap數(shù)據(jù)采集，Libpcap是Library for Packet Capture（數(shù)據(jù)包捕獲函數(shù)庫(kù)）的縮寫，是由勞倫斯伯克利國(guó)家實(shí)驗(yàn)室開發(fā)的一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包捕獲函數(shù)庫(kù)，適用于Linux/UNIX平臺(tái)，通過該函數(shù)庫(kù)獲取網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)，將局域網(wǎng)內(nèi)部網(wǎng)絡(luò)通信數(shù)據(jù)以pcap格式存放。

圖3 數(shù)據(jù)采集流程圖

2）網(wǎng)絡(luò)數(shù)據(jù)匹配分析模塊

通過數(shù)據(jù)采集獲取的所有數(shù)據(jù)包，以之前獲取的網(wǎng)絡(luò)通信行為特征進(jìn)行比對(duì)，符合某一行為的數(shù)據(jù)進(jìn)行記錄，存入數(shù)據(jù)庫(kù)，不符合則丟棄該數(shù)據(jù)包。

分析監(jiān)控策略為不關(guān)心局域網(wǎng)內(nèi)部硬件設(shè)備的運(yùn)行情況，如服務(wù)器、交換機(jī)及個(gè)人PC等接入設(shè)備，亦不關(guān)心局域網(wǎng)內(nèi)部網(wǎng)絡(luò)運(yùn)行狀況和網(wǎng)絡(luò)通信的內(nèi)容，只針對(duì)局域網(wǎng)內(nèi)部網(wǎng)絡(luò)通信行為進(jìn)行行為識(shí)別和統(tǒng)計(jì)分析。

圖4 網(wǎng)絡(luò)管理流程圖

當(dāng)被監(jiān)控的網(wǎng)絡(luò)通信行為A，經(jīng)過網(wǎng)絡(luò)管理系統(tǒng)S，判斷該行為是否符合A特征，符合則寫入關(guān)于A行為的數(shù)據(jù)庫(kù)表單，存儲(chǔ)A行為的源IP、目的IP，將A行為次數(shù)累加，當(dāng)A行為在設(shè)定時(shí)間T內(nèi)通信行為次數(shù)超過設(shè)定閾值F，則系統(tǒng)判定該行為影響局域網(wǎng)網(wǎng)絡(luò)資源的有效利用，通過管理界面向網(wǎng)絡(luò)管理員發(fā)出警告，網(wǎng)絡(luò)管理員依此對(duì)該網(wǎng)絡(luò)應(yīng)用進(jìn)行處理。

根據(jù)網(wǎng)絡(luò)協(xié)議的分類和相應(yīng)用途，可以針對(duì)不同類型的網(wǎng)絡(luò)應(yīng)用設(shè)定不同的統(tǒng)計(jì)時(shí)間T和行為次數(shù)閾值F。一般類：http、ftp、smtp、pop3屬于廣泛應(yīng)用，針對(duì)此類網(wǎng)絡(luò)應(yīng)用行為可以進(jìn)行一般監(jiān)控，設(shè)定較大的T和F；P2P類：BT、edonkey主要應(yīng)用于網(wǎng)絡(luò)下載，消耗網(wǎng)絡(luò)資源較多，可列為重點(diǎn)監(jiān)控對(duì)象，針對(duì)此類網(wǎng)絡(luò)通信行為應(yīng)當(dāng)設(shè)定較小的T和F；其他類，ICQ、MSN三類協(xié)議以即時(shí)通信應(yīng)用為主，視局域網(wǎng)網(wǎng)絡(luò)使用者的行為目的，靈活設(shè)定。

同時(shí)，若在網(wǎng)絡(luò)應(yīng)用特征庫(kù)中添加木馬的協(xié)議特征，或局域網(wǎng)流量識(shí)別與監(jiān)控，可以有效擴(kuò)展該系統(tǒng)的監(jiān)控范圍和使用效果。

3）局域網(wǎng)網(wǎng)絡(luò)管理方案的特點(diǎn)

首先，基于網(wǎng)絡(luò)應(yīng)用特征串的網(wǎng)絡(luò)通信行為的識(shí)別，簡(jiǎn)單有效，可以快速應(yīng)用到局域網(wǎng)網(wǎng)絡(luò)管理系統(tǒng)。其次，對(duì)于局域網(wǎng)網(wǎng)絡(luò)

管理方案，提出了一種人機(jī)交互的概念，網(wǎng)絡(luò)管理員可以靈活添加網(wǎng)絡(luò)特征、設(shè)定監(jiān)控時(shí)間和閾值，局域網(wǎng)網(wǎng)絡(luò)管理系統(tǒng)依此向網(wǎng)絡(luò)管理員報(bào)警，實(shí)現(xiàn)網(wǎng)絡(luò)管理的靈活應(yīng)用。最后，預(yù)留擴(kuò)展方案，對(duì)木馬監(jiān)測(cè)和流量控制擴(kuò)展提供便利。

4 結(jié)束語

本文針對(duì)當(dāng)前局域網(wǎng)網(wǎng)絡(luò)管理的不足，設(shè)計(jì)了基于網(wǎng)絡(luò)應(yīng)用特征串的局域網(wǎng)網(wǎng)絡(luò)管理方案，方案以網(wǎng)絡(luò)應(yīng)用特征識(shí)別為基礎(chǔ)，簡(jiǎn)單實(shí)用，提高方案的可操作性和靈活性；在應(yīng)用識(shí)別的基礎(chǔ)上，提出簡(jiǎn)單的統(tǒng)計(jì)分析方案和閾值管理警報(bào)方案，方便網(wǎng)絡(luò)管理員對(duì)局域網(wǎng)網(wǎng)絡(luò)資源的合理分配。

參考文獻(xiàn)：

[1] 李愛平，郝英.網(wǎng)絡(luò)監(jiān)控系統(tǒng)中數(shù)據(jù)包捕獲分析模塊的實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全，2007（3）：52-55.

[2] 劉興彬，楊建華，謝高崗.基于Apriori算法的流量識(shí)別特征自動(dòng)提取方法[J].通信學(xué)報(bào)，2008（12）：51-59.

[3] 陳亮，龔儉，徐選.基于特征串的應(yīng)用層協(xié)議識(shí)別.計(jì)算機(jī)工程與應(yīng)用，2006，42（24）：16-19.

[4] 張梅瓊，許麗卿.網(wǎng)絡(luò)安全主動(dòng)管理模型研究與實(shí)現(xiàn)[J].通信技術(shù)，2010，43（10）：129-130.

[5] 費(fèi)紹敏，龔曉峰，李賓，等.基于Winpcap的網(wǎng)絡(luò)監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].通信技術(shù)，2009，42（11）：206-210.

[6] 韓銳生，趙彬，徐開勇.基于策略的一體化網(wǎng)絡(luò)安全管理系統(tǒng)[J].計(jì)算機(jī)工程，2009，35（8）：201-204.

3 局域網(wǎng)網(wǎng)絡(luò)應(yīng)用管理模塊設(shè)計(jì)方案

1）數(shù)據(jù)采集模塊

Libpcap數(shù)據(jù)采集，Libpcap是Library for Packet Capture（數(shù)據(jù)包捕獲函數(shù)庫(kù)）的縮寫，是由勞倫斯伯克利國(guó)家實(shí)驗(yàn)室開發(fā)的一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包捕獲函數(shù)庫(kù)，適用于Linux/UNIX平臺(tái)，通過該函數(shù)庫(kù)獲取網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)，將局域網(wǎng)內(nèi)部網(wǎng)絡(luò)通信數(shù)據(jù)以pcap格式存放。

圖3 數(shù)據(jù)采集流程圖

2）網(wǎng)絡(luò)數(shù)據(jù)匹配分析模塊

通過數(shù)據(jù)采集獲取的所有數(shù)據(jù)包，以之前獲取的網(wǎng)絡(luò)通信行為特征進(jìn)行比對(duì)，符合某一行為的數(shù)據(jù)進(jìn)行記錄，存入數(shù)據(jù)庫(kù)，不符合則丟棄該數(shù)據(jù)包。

分析監(jiān)控策略為不關(guān)心局域網(wǎng)內(nèi)部硬件設(shè)備的運(yùn)行情況，如服務(wù)器、交換機(jī)及個(gè)人PC等接入設(shè)備，亦不關(guān)心局域網(wǎng)內(nèi)部網(wǎng)絡(luò)運(yùn)行狀況和網(wǎng)絡(luò)通信的內(nèi)容，只針對(duì)局域網(wǎng)內(nèi)部網(wǎng)絡(luò)通信行為進(jìn)行行為識(shí)別和統(tǒng)計(jì)分析。

圖4 網(wǎng)絡(luò)管理流程圖

當(dāng)被監(jiān)控的網(wǎng)絡(luò)通信行為A，經(jīng)過網(wǎng)絡(luò)管理系統(tǒng)S，判斷該行為是否符合A特征，符合則寫入關(guān)于A行為的數(shù)據(jù)庫(kù)表單，存儲(chǔ)A行為的源IP、目的IP，將A行為次數(shù)累加，當(dāng)A行為在設(shè)定時(shí)間T內(nèi)通信行為次數(shù)超過設(shè)定閾值F，則系統(tǒng)判定該行為影響局域網(wǎng)網(wǎng)絡(luò)資源的有效利用，通過管理界面向網(wǎng)絡(luò)管理員發(fā)出警告，網(wǎng)絡(luò)管理員依此對(duì)該網(wǎng)絡(luò)應(yīng)用進(jìn)行處理。

根據(jù)網(wǎng)絡(luò)協(xié)議的分類和相應(yīng)用途，可以針對(duì)不同類型的網(wǎng)絡(luò)應(yīng)用設(shè)定不同的統(tǒng)計(jì)時(shí)間T和行為次數(shù)閾值F。一般類：http、ftp、smtp、pop3屬于廣泛應(yīng)用，針對(duì)此類網(wǎng)絡(luò)應(yīng)用行為可以進(jìn)行一般監(jiān)控，設(shè)定較大的T和F；P2P類：BT、edonkey主要應(yīng)用于網(wǎng)絡(luò)下載，消耗網(wǎng)絡(luò)資源較多，可列為重點(diǎn)監(jiān)控對(duì)象，針對(duì)此類網(wǎng)絡(luò)通信行為應(yīng)當(dāng)設(shè)定較小的T和F；其他類，ICQ、MSN三類協(xié)議以即時(shí)通信應(yīng)用為主，視局域網(wǎng)網(wǎng)絡(luò)使用者的行為目的，靈活設(shè)定。

同時(shí)，若在網(wǎng)絡(luò)應(yīng)用特征庫(kù)中添加木馬的協(xié)議特征，或局域網(wǎng)流量識(shí)別與監(jiān)控，可以有效擴(kuò)展該系統(tǒng)的監(jiān)控范圍和使用效果。

3）局域網(wǎng)網(wǎng)絡(luò)管理方案的特點(diǎn)

首先，基于網(wǎng)絡(luò)應(yīng)用特征串的網(wǎng)絡(luò)通信行為的識(shí)別，簡(jiǎn)單有效，可以快速應(yīng)用到局域網(wǎng)網(wǎng)絡(luò)管理系統(tǒng)。其次，對(duì)于局域網(wǎng)網(wǎng)絡(luò)

管理方案，提出了一種人機(jī)交互的概念，網(wǎng)絡(luò)管理員可以靈活添加網(wǎng)絡(luò)特征、設(shè)定監(jiān)控時(shí)間和閾值，局域網(wǎng)網(wǎng)絡(luò)管理系統(tǒng)依此向網(wǎng)絡(luò)管理員報(bào)警，實(shí)現(xiàn)網(wǎng)絡(luò)管理的靈活應(yīng)用。最后，預(yù)留擴(kuò)展方案，對(duì)木馬監(jiān)測(cè)和流量控制擴(kuò)展提供便利。

4 結(jié)束語

本文針對(duì)當(dāng)前局域網(wǎng)網(wǎng)絡(luò)管理的不足，設(shè)計(jì)了基于網(wǎng)絡(luò)應(yīng)用特征串的局域網(wǎng)網(wǎng)絡(luò)管理方案，方案以網(wǎng)絡(luò)應(yīng)用特征識(shí)別為基礎(chǔ)，簡(jiǎn)單實(shí)用，提高方案的可操作性和靈活性；在應(yīng)用識(shí)別的基礎(chǔ)上，提出簡(jiǎn)單的統(tǒng)計(jì)分析方案和閾值管理警報(bào)方案，方便網(wǎng)絡(luò)管理員對(duì)局域網(wǎng)網(wǎng)絡(luò)資源的合理分配。

參考文獻(xiàn)：

[1] 李愛平，郝英.網(wǎng)絡(luò)監(jiān)控系統(tǒng)中數(shù)據(jù)包捕獲分析模塊的實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全，2007（3）：52-55.

[2] 劉興彬，楊建華，謝高崗.基于Apriori算法的流量識(shí)別特征自動(dòng)提取方法[J].通信學(xué)報(bào)，2008（12）：51-59.

[3] 陳亮，龔儉，徐選.基于特征串的應(yīng)用層協(xié)議識(shí)別.計(jì)算機(jī)工程與應(yīng)用，2006，42（24）：16-19.

[4] 張梅瓊，許麗卿.網(wǎng)絡(luò)安全主動(dòng)管理模型研究與實(shí)現(xiàn)[J].通信技術(shù)，2010，43（10）：129-130.

[5] 費(fèi)紹敏，龔曉峰，李賓，等.基于Winpcap的網(wǎng)絡(luò)監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].通信技術(shù)，2009，42（11）：206-210.

[6] 韓銳生，趙彬，徐開勇.基于策略的一體化網(wǎng)絡(luò)安全管理系統(tǒng)[J].計(jì)算機(jī)工程，2009，35（8）：201-204.

3 局域網(wǎng)網(wǎng)絡(luò)應(yīng)用管理模塊設(shè)計(jì)方案

1）數(shù)據(jù)采集模塊

Libpcap數(shù)據(jù)采集，Libpcap是Library for Packet Capture（數(shù)據(jù)包捕獲函數(shù)庫(kù)）的縮寫，是由勞倫斯伯克利國(guó)家實(shí)驗(yàn)室開發(fā)的一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包捕獲函數(shù)庫(kù)，適用于Linux/UNIX平臺(tái)，通過該函數(shù)庫(kù)獲取網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)，將局域網(wǎng)內(nèi)部網(wǎng)絡(luò)通信數(shù)據(jù)以pcap格式存放。

圖3 數(shù)據(jù)采集流程圖

2）網(wǎng)絡(luò)數(shù)據(jù)匹配分析模塊

通過數(shù)據(jù)采集獲取的所有數(shù)據(jù)包，以之前獲取的網(wǎng)絡(luò)通信行為特征進(jìn)行比對(duì)，符合某一行為的數(shù)據(jù)進(jìn)行記錄，存入數(shù)據(jù)庫(kù)，不符合則丟棄該數(shù)據(jù)包。

分析監(jiān)控策略為不關(guān)心局域網(wǎng)內(nèi)部硬件設(shè)備的運(yùn)行情況，如服務(wù)器、交換機(jī)及個(gè)人PC等接入設(shè)備，亦不關(guān)心局域網(wǎng)內(nèi)部網(wǎng)絡(luò)運(yùn)行狀況和網(wǎng)絡(luò)通信的內(nèi)容，只針對(duì)局域網(wǎng)內(nèi)部網(wǎng)絡(luò)通信行為進(jìn)行行為識(shí)別和統(tǒng)計(jì)分析。

圖4 網(wǎng)絡(luò)管理流程圖

當(dāng)被監(jiān)控的網(wǎng)絡(luò)通信行為A，經(jīng)過網(wǎng)絡(luò)管理系統(tǒng)S，判斷該行為是否符合A特征，符合則寫入關(guān)于A行為的數(shù)據(jù)庫(kù)表單，存儲(chǔ)A行為的源IP、目的IP，將A行為次數(shù)累加，當(dāng)A行為在設(shè)定時(shí)間T內(nèi)通信行為次數(shù)超過設(shè)定閾值F，則系統(tǒng)判定該行為影響局域網(wǎng)網(wǎng)絡(luò)資源的有效利用，通過管理界面向網(wǎng)絡(luò)管理員發(fā)出警告，網(wǎng)絡(luò)管理員依此對(duì)該網(wǎng)絡(luò)應(yīng)用進(jìn)行處理。

根據(jù)網(wǎng)絡(luò)協(xié)議的分類和相應(yīng)用途，可以針對(duì)不同類型的網(wǎng)絡(luò)應(yīng)用設(shè)定不同的統(tǒng)計(jì)時(shí)間T和行為次數(shù)閾值F。一般類：http、ftp、smtp、pop3屬于廣泛應(yīng)用，針對(duì)此類網(wǎng)絡(luò)應(yīng)用行為可以進(jìn)行一般監(jiān)控，設(shè)定較大的T和F；P2P類：BT、edonkey主要應(yīng)用于網(wǎng)絡(luò)下載，消耗網(wǎng)絡(luò)資源較多，可列為重點(diǎn)監(jiān)控對(duì)象，針對(duì)此類網(wǎng)絡(luò)通信行為應(yīng)當(dāng)設(shè)定較小的T和F；其他類，ICQ、MSN三類協(xié)議以即時(shí)通信應(yīng)用為主，視局域網(wǎng)網(wǎng)絡(luò)使用者的行為目的，靈活設(shè)定。

同時(shí)，若在網(wǎng)絡(luò)應(yīng)用特征庫(kù)中添加木馬的協(xié)議特征，或局域網(wǎng)流量識(shí)別與監(jiān)控，可以有效擴(kuò)展該系統(tǒng)的監(jiān)控范圍和使用效果。

3）局域網(wǎng)網(wǎng)絡(luò)管理方案的特點(diǎn)

首先，基于網(wǎng)絡(luò)應(yīng)用特征串的網(wǎng)絡(luò)通信行為的識(shí)別，簡(jiǎn)單有效，可以快速應(yīng)用到局域網(wǎng)網(wǎng)絡(luò)管理系統(tǒng)。其次，對(duì)于局域網(wǎng)網(wǎng)絡(luò)

管理方案，提出了一種人機(jī)交互的概念，網(wǎng)絡(luò)管理員可以靈活添加網(wǎng)絡(luò)特征、設(shè)定監(jiān)控時(shí)間和閾值，局域網(wǎng)網(wǎng)絡(luò)管理系統(tǒng)依此向網(wǎng)絡(luò)管理員報(bào)警，實(shí)現(xiàn)網(wǎng)絡(luò)管理的靈活應(yīng)用。最后，預(yù)留擴(kuò)展方案，對(duì)木馬監(jiān)測(cè)和流量控制擴(kuò)展提供便利。

4 結(jié)束語

本文針對(duì)當(dāng)前局域網(wǎng)網(wǎng)絡(luò)管理的不足，設(shè)計(jì)了基于網(wǎng)絡(luò)應(yīng)用特征串的局域網(wǎng)網(wǎng)絡(luò)管理方案，方案以網(wǎng)絡(luò)應(yīng)用特征識(shí)別為基礎(chǔ)，簡(jiǎn)單實(shí)用，提高方案的可操作性和靈活性；在應(yīng)用識(shí)別的基礎(chǔ)上，提出簡(jiǎn)單的統(tǒng)計(jì)分析方案和閾值管理警報(bào)方案，方便網(wǎng)絡(luò)管理員對(duì)局域網(wǎng)網(wǎng)絡(luò)資源的合理分配。

參考文獻(xiàn)：

[1] 李愛平，郝英.網(wǎng)絡(luò)監(jiān)控系統(tǒng)中數(shù)據(jù)包捕獲分析模塊的實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全，2007（3）：52-55.

[2] 劉興彬，楊建華，謝高崗.基于Apriori算法的流量識(shí)別特征自動(dòng)提取方法[J].通信學(xué)報(bào)，2008（12）：51-59.

[3] 陳亮，龔儉，徐選.基于特征串的應(yīng)用層協(xié)議識(shí)別.計(jì)算機(jī)工程與應(yīng)用，2006，42（24）：16-19.

[4] 張梅瓊，許麗卿.網(wǎng)絡(luò)安全主動(dòng)管理模型研究與實(shí)現(xiàn)[J].通信技術(shù)，2010，43（10）：129-130.

[5] 費(fèi)紹敏，龔曉峰，李賓，等.基于Winpcap的網(wǎng)絡(luò)監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].通信技術(shù)，2009，42（11）：206-210.

[6] 韓銳生，趙彬，徐開勇.基于策略的一體化網(wǎng)絡(luò)安全管理系統(tǒng)[J].計(jì)算機(jī)工程，2009，35（8）：201-204.