郭子英

（北京化工大學 北京市 100029）

伴隨著信息技術的快速發(fā)展，計算機網(wǎng)絡系統(tǒng)在全世界范圍內(nèi)得到了十分廣泛的應用，同時也成為了信息資源共享、交流以及傳輸?shù)男滦褪侄闻c工具，并且對人們?nèi)粘Ｉ罟ぷ髋c社會發(fā)展進步均起到了十分積極便捷與促進作用。在計算機網(wǎng)絡技術普及發(fā)展的影響下，不僅將其技術自身的優(yōu)勢與市場前景呈現(xiàn)在世人面前，同時也對科學管理和復雜網(wǎng)絡環(huán)境監(jiān)控提出了更加嚴格的要求與課題。不過，在計算機網(wǎng)絡系統(tǒng)的普及與向更深更寬方向發(fā)展前瞻，雖然展示了自身強大的潛在優(yōu)勢與廣闊的應用發(fā)展前景，但是錯綜復雜的網(wǎng)絡環(huán)境同時也帶來了一系列的深層次前沿新挑戰(zhàn)。因此計算機網(wǎng)絡管理系統(tǒng)受到社會各界的高度重視與關注。

1 分布式網(wǎng)絡應用系統(tǒng)的失效檢測

分布式網(wǎng)絡應用系統(tǒng)是指以一系列地理分布與功能自治的計算機應用實體。在分布式網(wǎng)絡應用系統(tǒng)當中，如果某一部分服務器失效，那么就會將對應的負責任務轉移到其他服務器完成，從而繼續(xù)保持原有的功能，確保網(wǎng)絡系統(tǒng)整體的穩(wěn)定性得到保證，而實施精準及時的失效檢測是此措施順利落實的基礎。另外，失效檢測通常都是利用特定的方法對系統(tǒng)各個服務器的運行情況進行探測，從而確保在某一服務器無法運行的狀態(tài)下，將故障問題及時上報反饋，實時處理失效故障問題。關于分布式網(wǎng)絡應用系統(tǒng)的失效檢測方法主要有以下幾種：

1.1 流言傳播失效檢測方法

在應用流言傳播失效檢測方法時，各成員既是檢測對象也是檢測人員，每個成員都擁有單獨的維護清單，其中主要包括了心跳計數(shù)最后的更新時間、失效檢測心跳計數(shù)以及成員地址等。在固定的時間間隔內(nèi)，不同的成員會適當增加自身的心跳計數(shù)，從而完成流言傳播。在收到流言傳播之后的成員會將自身現(xiàn)有的信息與列表進行綜合整理，從而形成一張全新的列表，每個成員心跳次數(shù)都要選擇較大的一方。通常情況下，新加入的成員以及從失效中恢復的成員都會為了讓其他成員對自身運行狀態(tài)進行了解，從而每個成員都會將自身所擁有的列表進行不定期傳播。

1.2 心跳檢測法

在心跳檢測法應用過程中，被檢測對象在規(guī)定時間內(nèi)會向檢測人員按照事先的約定發(fā)送信息。在具體檢測期間，檢測人員一般都會被動地等待接收消息，如果在規(guī)定時間范圍內(nèi)沒有接收到相應的報告，那么就表示檢測對象出現(xiàn)了一定的失效問題。

1.3 事件報告法

在應用事件報告法開展失效檢測時，檢測人員需要被動地等待被檢測對象事件報告。然而被檢測對象只有在發(fā)現(xiàn)問題時才會向檢測人員發(fā)送報告。因此，這一方法需要配合其他檢測方法使用，這樣才能夠讓失效事件的發(fā)現(xiàn)更加及時。

1.4 系統(tǒng)級診斷法

在計算機網(wǎng)絡系統(tǒng)中應用系統(tǒng)級診斷法，成員個體可以利用輪詢機制來對其他成員的失效情況進行主動探測，進而將所獲得的狀態(tài)信息以某種特定的方式分發(fā)出去，確保每個節(jié)點都可以獲取不同成員的正確狀態(tài)信息。

1.5 輪詢方法

此方法指的是某一檢測人員按照特定順序對各個檢測對象定期發(fā)送查詢要求，如果能夠在規(guī)定時間范圍內(nèi)得到有效的信息回饋，那么就可以證明檢測對象屬于正常狀態(tài)，反之則出現(xiàn)了失效問題。在對各個檢測對象檢查完畢之后再次進行新一輪的檢測，周而復始進行。在應用輪詢方法時，通常都需要加設一個可以承擔被檢測人員的設備。

2 計算機網(wǎng)絡入侵檢測系統(tǒng)分析

計算機網(wǎng)絡技術的出現(xiàn)為信息交換與資源共享帶來了十分便捷的渠道。但是，在復雜的網(wǎng)絡環(huán)境中，依然會出現(xiàn)計算機網(wǎng)絡系統(tǒng)遭受入侵的情況，很多入侵者會出于利益和好奇心，對他人計算機網(wǎng)絡系統(tǒng)資源進行毀壞、竊取，利用網(wǎng)絡系統(tǒng)中的安全漏洞威脅網(wǎng)絡資源的安全性。而計算機網(wǎng)絡安全管理是管理系統(tǒng)的主要功能之一，通過相關管理工具與管理人員，維護計算機網(wǎng)絡環(huán)境的信息安全。由于計算機網(wǎng)絡系統(tǒng)的安全意外問題頻頻發(fā)生，對網(wǎng)絡系統(tǒng)的深邃發(fā)展造成了嚴重影響，因此加強計算機網(wǎng)絡系統(tǒng)安全管理的方法與工具研究具有十分重要的現(xiàn)實應用意義。通常，計算機網(wǎng)絡系統(tǒng)安全性最薄弱的環(huán)節(jié)存在于網(wǎng)絡系統(tǒng)維護、設計以及配置等生命周期當中，與人、環(huán)境與軟硬件設施等相關因素密切相關。因計算機網(wǎng)絡系統(tǒng)整體安全水平都要遵循水桶原則，所以網(wǎng)絡管理工作具有龐大且復雜性較高的特性，需要一套完善且高效的安全管理模式進行控制。

從技術層面來看，全面的計算機網(wǎng)絡安全管理技術主要包括災害修復、安全審計、數(shù)據(jù)加密以及用戶訪問控制等。雖然數(shù)據(jù)加密技術是處理網(wǎng)絡安全問題的有效措施，但是加密技術卻需要投入大量的時間與金錢，在實際應用過程中還會對用戶造成一定的影響。而網(wǎng)絡系統(tǒng)防火端的應用可以在企業(yè)內(nèi)部網(wǎng)絡和計算機網(wǎng)絡之間建立起一道較為安全的防護層，對企業(yè)內(nèi)部網(wǎng)絡之外的不合法數(shù)據(jù)包進行攔截阻斷，從而提高網(wǎng)絡入侵的難度。隨著互聯(lián)網(wǎng)技術與網(wǎng)絡元件等相關技術的快速升級與發(fā)展，防火墻的缺點也逐漸凸顯出來。對此，應用入侵檢測系統(tǒng)是一種安全監(jiān)視和審計的工具，也是實現(xiàn)網(wǎng)絡安全管理的重要方法。計算機網(wǎng)絡環(huán)境中的入侵系統(tǒng)主要由以下幾部分組成：

2.1 用戶界面

通常情況下，用戶界面可以看作是入侵檢測系統(tǒng)的操作控制臺，用戶可以應用此控制系統(tǒng)來分配管理活動，對計算機網(wǎng)絡系統(tǒng)的操作行為進行合理控制，并且還可以充分利用入侵檢測系統(tǒng)的輸出結果來瀏覽最終的輸出結果，從而獲取相應的警報信息。

2.2 分析與響應設備

此部分主要是以信息數(shù)據(jù)庫當中的信息作為對象標準，對審計數(shù)據(jù)進行分析與比較，從而將獲得的分析報告上交到控制中心進行審核處理。如果出現(xiàn)了系統(tǒng)入侵行為，那么就會采取相應的對策來進行處理并提出科學合理的處理建議。

2.3 參照信息數(shù)據(jù)庫

該系統(tǒng)組成部分可以針對能夠被分析器理解的標準信息功能部件進行存儲與維護。由于計算機網(wǎng)絡信息數(shù)據(jù)庫當中的信息內(nèi)容具有多樣化特點屬性，不僅包括各種類型的圖示、常用短語與狀態(tài)變遷規(guī)則，同時也包含著一些經(jīng)驗閾值、統(tǒng)計特點以及關系式等。由此可見，計算機信息數(shù)據(jù)庫當中所存儲的內(nèi)容十分重要，既是入侵檢測系統(tǒng)對入侵跡象的了解，也是判斷信息系統(tǒng)入侵情況的檢測標準。

2.4 探測設備

作為一種功能部件，探測器一般會分布在一臺或多臺計算機網(wǎng)絡系統(tǒng)以及相應設備當中，它主要是結合相應的要求對用戶、服務、網(wǎng)絡信息系統(tǒng)以及數(shù)據(jù)流信息進行采集，將他們組合成相應格式的標準審計數(shù)據(jù)，遞交到分析與響應設備中進行科學計算處理。

3 可擴展的計算機網(wǎng)絡信息安全管理技術應用

3.1 安全事件診斷技術

此技術主要研究方向就是行為攻擊和系統(tǒng)診斷技術、攻擊行為分類方法以及攻擊行為分析等。

3.2 物證獲取與攻擊行為跟蹤技術

此技術可以針對向計算機網(wǎng)絡信息系統(tǒng)發(fā)起攻擊的攻擊源進行記錄與定位，為后期處理提供有效依據(jù)，主要防范對象為網(wǎng)絡詐騙攻擊、攻擊之后的物證獲取以及攻擊事件有效記錄等。

3.3 動態(tài)防御與快速響應技術

此技術屬于計算機網(wǎng)絡系統(tǒng)攻擊行為的動態(tài)防護技術研究。具體包括網(wǎng)絡攻擊抵抗技術、攻擊隱藏技術以及網(wǎng)絡攻擊特殊工具方案分析等。而快速響應技術主要是指計算機網(wǎng)絡信息系統(tǒng)在受到攻擊之后，能夠在最短的時間內(nèi)將系統(tǒng)破壞程度降到最低。其防范技術主要包括自動防御技術、警報技術、自動預警技術以及禁止緩沖技術等。因為計算機網(wǎng)絡安全問題一般都具有較高的嚴重性，入侵檢測系統(tǒng)又是網(wǎng)絡安全管理的重要工具之一，所以一直被科研院所機構、政府部門以及企業(yè)單位重點關注。然而當前入侵檢測系統(tǒng)在實際應用過程中存在一定的不足之處，所以在后續(xù)研究過程中，將對高效的檢測技術進行深入探索。

4 計算機網(wǎng)絡環(huán)境入侵檢測系統(tǒng)存在的問題與發(fā)展方向

從目前實際情況來看，計算機網(wǎng)絡協(xié)議當中的安全隱患、復雜系統(tǒng)設計以及BUG 等問題在互聯(lián)網(wǎng)環(huán)境中普遍存在，并且自動化程度較高且威力較強的入侵工具不斷出現(xiàn)，在多方面因素的影響下，計算機網(wǎng)絡信息系統(tǒng)面臨著十分嚴重的威脅。而計算機網(wǎng)絡信息系統(tǒng)的安全防護工作需要多方面人員的共同參與，需要一個包含預防、檢測以及響應等多功能內(nèi)容為一體的安全防護體系。而計算機安全入侵檢測系統(tǒng)的研究目的就是為了能夠實現(xiàn)及時且精準的入侵檢測，從而在短時間內(nèi)采取相應的響應策略，組織網(wǎng)絡安全入侵或將入侵所帶來的危害程度降到最低。雖然關于計算機網(wǎng)絡入侵檢測系統(tǒng)的研究持續(xù)了較長時間，市面上關于此方面的產(chǎn)品豐富多樣，但是從當前介紹與分析情況來看，與計算機網(wǎng)絡信息系統(tǒng)所面臨的威脅相比，計算機網(wǎng)絡入侵檢測系統(tǒng)檢測依據(jù)的構建與使用、入侵響應以及審計數(shù)據(jù)收集等工作的可靠性依然有待提高。在外界各種因素的影響下，當前計算機網(wǎng)絡入侵檢測系統(tǒng)的檢測精準率并不理想，頻繁的錯誤警報問題導致大量關鍵信息被淹沒，從而無法實現(xiàn)警示的作用，漏報問題也會明顯降低用戶的安全感，甚至對計算機網(wǎng)絡入侵檢測系統(tǒng)的安全防護效果造成了嚴重影響，必須要從多方面展開研究來處理這些問題。

4.1 檢測技術

伴隨著互聯(lián)網(wǎng)技術的普及應用與快速發(fā)展，入侵者的入侵技術也變得越來越龐雜頑強，入侵方式也開始變得復雜多樣化，而計算機網(wǎng)絡入侵檢測系統(tǒng)當前還缺少高效的檢測依據(jù)應用方法。各種新的應用都在隨著入侵方式的不斷增加而變得越來越多，對InfoDB 內(nèi)容進行調(diào)整，提高入侵檢測能力的方法顯然十分被動，這也是當前入侵檢測系統(tǒng)誤報情況較多的原因之一。對此，必須要擴展問題處理的思路，應用較為先進的學科技術，將多種方法融匯在一起，從而掌握計算機入侵檢測系統(tǒng)的正常狀態(tài)特征，建立起較為精準且方便使用的檢測依據(jù)，這也是計算機入侵檢測系統(tǒng)未來的關鍵性研究問題之一。

4.2 入侵檢測性能

計算機網(wǎng)絡入侵檢測系統(tǒng)的固有處理速度是影響其系統(tǒng)檢測系統(tǒng)的重要原因之一，如果探測設備SE 的速度較慢，那么就很難實現(xiàn)完整的審計數(shù)據(jù)收集，A&R 速度較慢也無法提供及時的檢測與響應，從而增加了入侵者破壞審計數(shù)據(jù)與干擾審計數(shù)據(jù)的來源，甚至還會增加計算機入侵檢測系統(tǒng)本身遭受攻擊的概率。伴隨著計算機數(shù)據(jù)處理能力的不斷提高，入侵檢測系統(tǒng)的處理能力也會變得越來越強，但是此時的網(wǎng)絡規(guī)模也會變得越來越大，信息傳遞速度十分明顯，主機系統(tǒng)和網(wǎng)絡系統(tǒng)所需要的審計數(shù)據(jù)大幅度增加。另外InfoDB 信息量也在不斷增加，這也就代表著入侵檢測系統(tǒng)可以及時處理的數(shù)據(jù)量通常都在10-30Mbps 范圍之內(nèi)，并且100M 的以內(nèi)網(wǎng)目前十分流行。為了能夠獲得較為完整的審計信息并展開及時檢測，研究高性能的計算機網(wǎng)絡入侵檢測系統(tǒng)十分必要。當前關于提高入侵檢測系統(tǒng)速度的方法有很多，譬如快速的探測器、分布式結構以及快速規(guī)則匹配方法等。在這些方法當中，分布式結構可以持續(xù)提高計算機網(wǎng)絡入侵檢測系統(tǒng)的檢測性能，使該方法受到了重點關注使用。

4.3 Honeypot

為了能夠獲取更加廣泛且切實的審計數(shù)據(jù)，在現(xiàn)代化計算機網(wǎng)絡入侵檢測系統(tǒng)中，除了簡單的檢測服務系統(tǒng)執(zhí)行之外，還添加了honeypot，這也是一款全新的入侵檢測系統(tǒng)，也被稱之為蜜罐系統(tǒng)，其中Blackhat 組織與CyberCop Sting組織的honeynet 在一些得到嚴密監(jiān)視的主機系統(tǒng)與網(wǎng)絡環(huán)境中，設置了很多看似脆弱的系統(tǒng)，或者提供了一些已知服務的漏洞，其目的就是為了設置陷阱捕獲不法入侵者，從而進行更好地記錄與分析，完成輔助取證。雖然當前出現(xiàn)了很多相關商業(yè)產(chǎn)品，但是在此領域中存在很多備受爭議的地方，贊成者認為它可以有效獲取更加精準的入侵者信息。而反對的一方則認為故意暴露在入侵者面前的安全漏洞系統(tǒng)實際上提高了入侵行為的機率。因此，為了能夠克服計算機網(wǎng)絡入侵檢測系統(tǒng)中的諸多問題，眾多關于分布式入侵檢測系統(tǒng)的研究結果已經(jīng)表明系統(tǒng)未來的發(fā)展方向就是分布式入侵檢測系統(tǒng)。

5 基于分布式Web服務器技術的分布式網(wǎng)絡管理系統(tǒng)

在Web 技術的支持下，計算機網(wǎng)絡管理系統(tǒng)得到了全新的應用平臺，但是對系統(tǒng)服務器也提出了更高的性能要求，計算機網(wǎng)絡管理系統(tǒng)結構如果設計不合理，那么就會導致其性能發(fā)展受到阻礙，對大型網(wǎng)絡管理的推廣與應用十分不利。

5.1 相關工作

在實際需求的驅動作用下，關于大型計算機網(wǎng)絡系統(tǒng)的管理設計研究已持續(xù)了很長時間，優(yōu)良的性能與擴展性成為了大型計算機網(wǎng)絡系統(tǒng)管理的基本要求。雖然Web 技術的應用成為了必然發(fā)展趨勢，但是以Web 技術為基礎的網(wǎng)絡管理系統(tǒng)性能與擴展性的不足，導致其系統(tǒng)依然無法取代傳統(tǒng)管理軟件來應用到大規(guī)模的復雜網(wǎng)絡系統(tǒng)當中。而處理這一問題的常用方法就是匯集空間與時間尺度上的網(wǎng)元網(wǎng)管信息，對被管理對象進行合理分組，從而完成整體管理。例如：某系統(tǒng)公司引入了全新的抽象機制，對用于ISO 系統(tǒng)管理的信息抽象語言展開了研究，提高了計算機網(wǎng)絡管理系統(tǒng)的可擴展性。并且還嘗試利用被管理對象或設備分組來提高計算機網(wǎng)絡管理系統(tǒng)的可擴展性，某種以信息匯集為基礎的可擴展網(wǎng)管框架模型如圖1 所示。

圖1：一種以信息匯集為基礎的可擴展網(wǎng)絡框架模型

另外，利用移動代理技術與Java 技術還可以提出一種基于信息匯集的可擴展網(wǎng)絡管理系統(tǒng)框架模型，網(wǎng)絡管理人員可以利用此模型來任意組合管理對象，將各個組成部分結合成一個整體來實現(xiàn)管理，具體結構示意圖如圖2 所示。

圖2：具備中間層管理者的Web 計算機網(wǎng)絡管理系統(tǒng)

除了信息粒度問題以外，傳統(tǒng)關于提高計算機網(wǎng)絡管理性能與擴展性的研究，主要將重點放在了系統(tǒng)對設備的管理能力方面。計算機網(wǎng)絡管理系統(tǒng)是網(wǎng)絡管理人員實施有效管理的工具，所以網(wǎng)絡管理系統(tǒng)主要有兩項任務：一是需要系統(tǒng)與被管理對象進行交互，從而便于監(jiān)控。二是要提供有好的人機界面，對網(wǎng)絡管理人員信息查詢以及網(wǎng)絡操作等命令進行搜索，提供處于管理狀態(tài)的網(wǎng)絡信息。另外，可擴展性也是計算機網(wǎng)絡管理系統(tǒng)在設計與部署過程中需要重點考慮探究的問題。特別是隨著當前網(wǎng)絡規(guī)模的不斷擴大，所能提供的服務種類也在不斷增加，需要管理的網(wǎng)元也變得越來越多。并且，計算機網(wǎng)絡管理系統(tǒng)用戶所提出的個性化需求也越來越復雜。所以，探索出能夠構建擴展性良好的靈活Web計算機網(wǎng)絡管理系統(tǒng)具有十分重要的現(xiàn)實意義與應用價值。而提高Web 服務器性能的分布式技術最新進展也為相關研究提供了全新的發(fā)展平臺。

5.2 基于CARD-DWSS的計算機網(wǎng)絡管理系統(tǒng)

以Web 技術為基礎的計算機網(wǎng)絡管理系統(tǒng)指的就是網(wǎng)絡管理系統(tǒng)與技術相結合的產(chǎn)物?？梢跃C合這兩方面的領域來探索出一種優(yōu)秀的研究成果，建立起一個可擴展性良好且?guī)в蠾eb 技術的CARD-DWSS 分布式網(wǎng)絡管理系統(tǒng)，此系統(tǒng)由多種不同的服務器共同分擔計算機網(wǎng)絡設備的管理工作，利用分層管理方法來擴大管理網(wǎng)絡系統(tǒng)的規(guī)模。與此同時，通過設置一個具備內(nèi)容識別功能的用戶請求分配器，可以為用戶與管理系統(tǒng)的交互提供前端機，在其組織下，不同的服務器可以分擔網(wǎng)絡管理系統(tǒng)和用戶的交互工作，為用戶提供一個具備單一映像的操作界面，結合實際需求來為用戶提供不同粒度的計算機管理信息。另外，此系統(tǒng)還可以在全面提高計算機網(wǎng)絡管理系統(tǒng)擴展性的同時，減少網(wǎng)絡管理數(shù)據(jù)在系統(tǒng)中大量傳播所帶來的帶寬消耗。

5.3 管理域URL映射與前端機CARD方法

在計算機網(wǎng)絡管理系統(tǒng)用戶界面子系統(tǒng)當中，管理域的規(guī)劃分配可以利用Web 服務器當中的虛擬文件目錄結構，將不同服務器所提供的管理活動、由不同的網(wǎng)絡管理服務器來提供Web 服務器目錄下的所有內(nèi)容，在分配器當中存儲一個簡單的URL 關系對照表，如圖3 所示。也就是可以根據(jù)用戶所發(fā)出的請求來轉發(fā)到相應的網(wǎng)絡管理服務器。并且不同服務器只需要將虛擬目錄映射為本地的真實目錄即可。目前，大部分Web 服務器都可以支持這一功能，只需要完成簡單配置就可執(zhí)行。

圖3：某計算機系統(tǒng)管理層與管理域劃分示意圖

在情況理想的前提下，計算機網(wǎng)絡管理系統(tǒng)中的各個服務器都會為用戶帶來滿意的回應，而由處理用戶發(fā)出請求的網(wǎng)絡管理服務器則直接會叫送到用戶端瀏覽器上，利用LARD、SCARD 以及TB-CCRD 等擴展性優(yōu)良的CARD 技術。因為當前市場環(huán)境中所存在的成熟CARD 產(chǎn)品幾乎都是以代理模式為基礎。所以如果性能可以滿足具體實際要求，為了獲得簡便的效果，可以利用現(xiàn)有的產(chǎn)品來充當分配器，這時服務器所提出的回應也將再次發(fā)送給用戶。

6 結束語

綜上所述，經(jīng)過長時間的發(fā)展，互聯(lián)網(wǎng)已成為了社會廣泛應用的基礎設施。人們?nèi)粘９ぷ髋c生活；政府單位與企業(yè)的運行發(fā)展都離不開計算機網(wǎng)絡系統(tǒng)。同時，隨著人們對計算機網(wǎng)絡系統(tǒng)性能、可靠性以及安全性等方面提出經(jīng)度緯度的要求越來越嚴格，網(wǎng)絡管理人員需要改變傳統(tǒng)簡單的操作方式來管理計算機網(wǎng)絡系統(tǒng)，從而滿足用戶的多元化具體實際需求。因此具備良好可擴展性的計算機網(wǎng)絡管理技術成為了當前研究的重點方向之一。