目錄 中圖分類號(hào)： 學(xué)校代碼： 10055 密級(jí)： 碩 士 專 業(yè) 學(xué) 位 論 文 防火墻日志分析管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 文作者 指導(dǎo)教師 申請(qǐng)學(xué)位 碩士 培養(yǎng)單位 軟件學(xué)院 學(xué)科專業(yè) 軟件工程 研究方向 答辯委員會(huì)主席 評(píng) 閱 人 南開大學(xué)研究生院 二一三 年 十 月 目錄 目 錄 摘要 . 4 . 5 第一章 緒論 . 6 第一節(jié) 防火墻及防火墻日志技術(shù)及其應(yīng)用 . 6 第二節(jié) 系統(tǒng)開發(fā)背景和意義 . 6 第三節(jié) 本文的主要研究?jī)?nèi)容 . 7 第二章 關(guān)鍵技術(shù)的概述 . 8 第一節(jié) 言相關(guān)技術(shù)簡(jiǎn)介及分析 . 8 第二節(jié) 發(fā)工具介紹 . 8 第三節(jié) 據(jù)庫(kù)連接技術(shù) . 9 第四節(jié) 數(shù)據(jù)庫(kù)技術(shù)分析 . 9 結(jié)構(gòu)化查詢語(yǔ)言 . 9 紹 . 10 第五節(jié) 信息可視化技術(shù)簡(jiǎn)介和分析 . 11 信 息可視化技術(shù) . 11 術(shù) . 11 第三章 防火墻日志分析管理系統(tǒng)需求分析 . 14 第一節(jié) 系統(tǒng)概述 . 14 性能目標(biāo) . 14 系統(tǒng)目標(biāo) . 14 總體業(yè)務(wù)描述 . 14 第二節(jié) 功能需求 . 16 查詢條件管理模塊功能需求分析 . 16 日志管理模塊功能需求分析 . 17 黑名單管理模塊功能需求分析 . 18 系統(tǒng)設(shè)置模塊功能需求分析 . 19 第三節(jié) 防火墻日志分析管理系統(tǒng)的用例分析 . 19 日志信息管理 . 19 黑名單信息管理 . 20 第四節(jié) 防火墻日志分析管理系統(tǒng)安全分析 . 21 第四章 防火墻日志分析管理系統(tǒng)設(shè)計(jì) . 22 第一節(jié) 總體技術(shù)描述 . 22 第二節(jié) 系統(tǒng)功能模塊設(shè)計(jì) . 24 目錄 日志文件管理模塊 . 24 黑名單管理模塊 . 25 數(shù)據(jù)查詢模塊 . 27 系統(tǒng)設(shè)置模塊 . 28 第三節(jié) 防火墻日志分析管理系統(tǒng)數(shù)據(jù)存儲(chǔ) . 28 第五章 防火墻日志分析管理系統(tǒng)實(shí)現(xiàn) . 33 第一節(jié) 日志文件管理模塊實(shí)現(xiàn) . 33 第二節(jié) 黑名單管理模塊實(shí)現(xiàn) . 39 第三節(jié) 數(shù)據(jù)查詢模塊功能實(shí)現(xiàn) . 40 黑名單查詢條件功能實(shí)現(xiàn) . 40 自定義查詢條件功能實(shí)現(xiàn) . 40 可視化分析實(shí)現(xiàn) . 41 第四節(jié) 系統(tǒng)設(shè)置模塊功能實(shí)現(xiàn) . 42 第六章 防 火墻日志分析管理系統(tǒng)測(cè)試 . 43 第一節(jié) 系統(tǒng)測(cè)試目標(biāo) . 43 第二節(jié) 防火墻日志管理模塊功能測(cè)試 . 43 日志相關(guān)功能測(cè)試 . 43 自定義日志類型導(dǎo)入日志 . 44 第三節(jié) 防火墻黑名單模塊功能測(cè)試 . 46 黑名單的批量導(dǎo)入 . 46 第四節(jié) 數(shù)據(jù)查詢模塊功能測(cè)試 . 47 日志查詢條件測(cè)試 . 47 黑名單查詢條件測(cè)試 . 48 查詢結(jié)果可視化測(cè)試 . 49 第七章 總結(jié)與展望 . 51 第一節(jié) 可視化 位方法 . 51 第二節(jié) 數(shù)據(jù)挖掘相關(guān) . 53 參考文獻(xiàn) . 54 致謝 .未定義書簽。 摘要 摘要 隨著計(jì)算機(jī)技術(shù)的不斷普及和互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)已經(jīng)深入到社會(huì)生活的各個(gè)領(lǐng)域。由于信息時(shí)代信息的重要性，人們也越來(lái)越 重視網(wǎng)絡(luò)的安全問(wèn)題。防火墻技術(shù)的應(yīng)用為網(wǎng)絡(luò)安全問(wèn)題提供了一個(gè)有效的解決途徑。防火墻日志作為防火墻的重要組成部分，可以利用它的信息幫助我們有效的管理網(wǎng)絡(luò)，提高網(wǎng)絡(luò)的安全性。防火墻日志的本身并不能防御網(wǎng)絡(luò)攻擊，它只能如實(shí)的反映防火墻受到的攻擊和防火墻對(duì)攻擊的攔截情況。用戶可以對(duì)這些日志文件進(jìn)行分析，找到問(wèn)題和漏洞，從而達(dá)到預(yù)防的目的。 防火墻日志分析管理系統(tǒng)就是對(duì)防火墻日志文件進(jìn)行分析而開發(fā)的系統(tǒng)。本系統(tǒng)重點(diǎn)研究基于網(wǎng)絡(luò)行為的日志數(shù)據(jù)比對(duì)分析技術(shù)。每個(gè)防火墻都有其對(duì)應(yīng)的防火墻日志，用以記錄網(wǎng)絡(luò)數(shù)據(jù)流相關(guān)的信息， 如：訪問(wèn)的源 的 口，協(xié)議等等。 防火墻日志對(duì)于識(shí)別攻擊、調(diào)試防火墻規(guī)則 及 發(fā)現(xiàn) 私有 網(wǎng)絡(luò)上不正?；顒?dòng) 等 方面非常重要 ，通過(guò)對(duì)防火墻日志的分析，可以構(gòu)建出此臺(tái)設(shè)備的網(wǎng)絡(luò)行為，并以此挖掘其是否已經(jīng)遭受或者有可能遭受網(wǎng)絡(luò)攻擊。 此系統(tǒng)在實(shí)現(xiàn)上分為兩部分：第一部分為通過(guò)對(duì)日志的分析處理發(fā)現(xiàn)受控機(jī)；第二部分為通過(guò)綜合日記挖掘出潛在的受控機(jī)、主控機(jī)和中轉(zhuǎn)服務(wù)器，即在對(duì)系統(tǒng)日志進(jìn)行分析得出正常日志記錄與已經(jīng)遭到特洛伊木馬入侵的防火墻嫌疑日志之間存在的差別，根據(jù)差別結(jié)合黑名單數(shù)據(jù)庫(kù)檢索列舉出受控機(jī)，支持自定義條件的分 類檢索和逆向關(guān)系查找，并對(duì)日志通過(guò)數(shù)據(jù)清洗、數(shù)據(jù)集成、數(shù)據(jù)變換和數(shù)據(jù)規(guī)約進(jìn)行處理，挖掘潛在受控機(jī)和木馬主控機(jī)。 關(guān)鍵詞：防火墻日志分析管理系統(tǒng)；數(shù)據(jù)分析；受控機(jī)；木馬主控機(jī) ； of to of of is on an to as an of a We to us in It be a of on to an so as to of is on of on on to to if,ip,ip,so is is of be of or to is in he of a in to to 緒論 第一章 緒論 第一節(jié) 防火墻及防火墻日志技術(shù)及其應(yīng)用 所謂防火墻（英文名： 是指一種 1協(xié)助確保 信息安全 的設(shè)備，會(huì)依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過(guò) ， 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻。 防火墻是 一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng) (如開的方法，它實(shí)際上是一種 隔離技術(shù) 。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種 訪問(wèn)控制 尺度， 其允許獲得授權(quán)的用戶 和 相應(yīng) 數(shù) 據(jù)進(jìn)入 私有網(wǎng)絡(luò)或局域網(wǎng)網(wǎng)絡(luò) ， 隔離并組織未授權(quán)的用戶及相應(yīng)數(shù)據(jù)連接私有網(wǎng)絡(luò)或局域網(wǎng)網(wǎng)絡(luò)的行為 ，最大限度地阻止網(wǎng)絡(luò)中的 黑客的入侵，使得網(wǎng)絡(luò)連接行為變得可控、可預(yù)料。 防火墻自身的抗攻擊免疫特性雖然能抵抗一部分網(wǎng)絡(luò)攻擊，但隨著 騙等黑客手段的出現(xiàn)，簡(jiǎn)單的依靠防火墻自身已經(jīng)無(wú)法滿足用戶對(duì)高可信度網(wǎng)絡(luò)的需求，因此結(jié)合防火墻使用的配套軟件是提高網(wǎng)絡(luò)安全的一個(gè)有效途徑。 防火墻日志中會(huì)保存系統(tǒng)收到的各種不安全信息的時(shí)間、類型等等。通過(guò)對(duì)這些日志文件的分析，可以發(fā)現(xiàn)曾經(jīng)發(fā)生過(guò)或者正在發(fā)生的入侵行為。防火墻日志文件本身不 能防御攻擊，它只能如實(shí)反映防火墻受到的攻擊和防火墻對(duì)攻擊的攔截處理情況，用戶可以根據(jù)這些日志對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)作相應(yīng)的調(diào)整從而達(dá)到預(yù)防的目的。 第二節(jié) 系統(tǒng)開發(fā)背景和意義 隨著計(jì)算機(jī)技術(shù)的不斷普及和互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，低成本甚至是“零成本”接入與訪問(wèn)互聯(lián)網(wǎng)已成為當(dāng)今互聯(lián)網(wǎng)行業(yè)發(fā)展的現(xiàn)狀和趨勢(shì) 2。網(wǎng)絡(luò)攻擊日益呈現(xiàn)普及化、多樣化的特點(diǎn)，網(wǎng)絡(luò)黑客通過(guò)代理等方式隱藏自己的真實(shí)身份，通過(guò)培養(yǎng)“肉雞”等方式進(jìn)行更大規(guī)模的破壞。然而，信息與技術(shù)的不對(duì)稱性導(dǎo)致了網(wǎng)絡(luò)用戶查找與防范網(wǎng)絡(luò)攻擊的手段顯得比較匱乏與無(wú)力，小到個(gè)人財(cái)產(chǎn)大到 國(guó)家安全，時(shí)時(shí)刻刻都有可能經(jīng)受來(lái)著任意地點(diǎn)的網(wǎng)絡(luò)黑客攻擊。 面對(duì)波及面如此之廣、影響如此之大的網(wǎng)絡(luò)威脅，需要建立起一個(gè)安全可信網(wǎng)絡(luò)環(huán)境和攻擊預(yù)防機(jī)制，擁有資源，信息和能力，希望有一整套的應(yīng)急管理服務(wù)方案。 利用此系統(tǒng)，通過(guò)對(duì)防火墻日志的分析，可以構(gòu)建出此臺(tái)設(shè)備的網(wǎng)絡(luò)行為，并以此挖掘其是否已經(jīng)遭受或者有可能遭受網(wǎng)絡(luò)攻擊，并以圖表的形式展示給服緒論 務(wù)的需求者。通過(guò)綜合日記挖掘出潛在的受控機(jī)、主控機(jī)和中轉(zhuǎn)服務(wù)器，即在對(duì)系統(tǒng)日志進(jìn)行分析得出正常日志記錄與已經(jīng)遭到特洛伊木馬入侵的防火墻嫌疑日志之間存在的差別，根據(jù)差別結(jié)合 黑名單數(shù)據(jù)庫(kù)檢索列舉出受控機(jī)，支持自定義條件的分類檢索和逆向關(guān)系查找，并對(duì)日志通過(guò)數(shù)據(jù)清洗、數(shù)據(jù)集成、數(shù)據(jù)變換和數(shù)據(jù)規(guī)約進(jìn)行處理，挖掘潛在受控機(jī)和木馬主控機(jī)。系統(tǒng)設(shè)計(jì)的目標(biāo)是實(shí)現(xiàn)防火墻日志分析管理系統(tǒng)，實(shí)現(xiàn)防火墻日志的分析比對(duì)功能（其中比對(duì)來(lái)源為黑名單數(shù)據(jù)庫(kù)）。 第三節(jié) 本文的主要研究?jī)?nèi)容 本文主要闡釋防火墻日志分析管理系統(tǒng)的需求、分析、設(shè)計(jì)與實(shí)現(xiàn)。本文研究的目的： 本文以該 防火墻日志分析 管理 系統(tǒng) 為基礎(chǔ)， 詳細(xì)描述 和介紹 了軟件開發(fā)的流程， 以及描述了軟件開發(fā)過(guò)程中所涉及的基本技術(shù)。 本文著重討論了以下幾個(gè)方面的問(wèn)題： 第 1 章 闡述了防火墻和防火墻日志文件技術(shù)及其應(yīng)用、系統(tǒng)開發(fā)背景及意義，并介紹本文的主要研究?jī)?nèi)容、論文組織結(jié)構(gòu)。 第 2 章主要闡述了 防火墻 日志分析管理系統(tǒng)所涉及的關(guān)鍵技術(shù) 。在本章的最后，還介紹了 系 統(tǒng)所使用到的數(shù)據(jù)庫(kù)技術(shù)以及對(duì)數(shù)據(jù)庫(kù)產(chǎn)品的選型 。 第 3 章 需求分析 ， 主要是 對(duì) 防火墻日志分析管理系統(tǒng) 的總體需求、功能需求以及 性能需求等方面 詳細(xì)的 進(jìn)行 了 分析。 第 4 章 主要是描述了系統(tǒng)的設(shè)計(jì) ， 包含 系統(tǒng)的架構(gòu)設(shè)計(jì)以及對(duì)系統(tǒng)各個(gè) 功能模塊的劃分 ，并且 對(duì) 系統(tǒng)的數(shù)據(jù)庫(kù)設(shè)計(jì) 進(jìn)行了詳細(xì)的闡述 。 第 5 章 主要是 描述了系統(tǒng)中各個(gè) 主要功能模塊的實(shí)現(xiàn) 過(guò)程 。 第 6 章對(duì)本系統(tǒng)進(jìn)行了全面的，按功能模塊進(jìn)行了測(cè)試。 第 7 章對(duì) 本 防火墻日志分析管理 系統(tǒng) 的研究方法以及 目前 存在的問(wèn)題進(jìn)行了總結(jié)，并展望了 以后 值得 改進(jìn)的方向。 關(guān)鍵技術(shù)的概述 第二章 關(guān)鍵技術(shù)的概述 第一節(jié) 言相關(guān)技術(shù)簡(jiǎn)介及分析 是 司領(lǐng)導(dǎo)的小組開發(fā)的， 初被稱為樹），是 1991 年為消費(fèi)類電子產(chǎn)品的嵌入式芯片而設(shè)計(jì)的。 1995 年更名為 重新設(shè)計(jì)用于開發(fā) 用程序。 關(guān)于 歷史，en/功能完善的的通用程序設(shè)計(jì)語(yǔ)言，可以用來(lái)開發(fā)可靠的，要求嚴(yán)格的應(yīng)用程序。 現(xiàn)在，它不僅用于 序設(shè)計(jì)，而且用于在服務(wù)器，臺(tái)式機(jī)和移動(dòng)設(shè)備上開發(fā)跨平臺(tái)的獨(dú)立應(yīng)用程序。 許多曾經(jīng)認(rèn)為 過(guò)其實(shí)的公司現(xiàn)在使用 發(fā)分布式應(yīng)用程序 ，便于客戶和合作伙伴在 問(wèn)?，F(xiàn)在，一旦開發(fā)新的項(xiàng)目，公司都會(huì)考慮如何利用 工作變得更加容易。 一個(gè)功能強(qiáng)大的程序設(shè)計(jì)語(yǔ)言，可以用它來(lái)開發(fā)臺(tái)式機(jī)和服務(wù)器上的應(yīng)用程序。 也可以用它來(lái)開發(fā)小型手持設(shè)備上的應(yīng)用程序。 應(yīng) 用程序接口包括為開發(fā) 序而預(yù)定義的類和接口。 言的規(guī)定是穩(wěn)定的，但是 直在擴(kuò)展。 一個(gè)全面且功能強(qiáng)大的語(yǔ)言，可用于多種用途。 三個(gè)版本：準(zhǔn)版， 業(yè)版， 型版。 E 用來(lái)開發(fā)客戶端獨(dú)立的應(yīng)用程序和 E 用來(lái)開發(fā)服務(wù)器端的應(yīng)用程序， E 可以用來(lái)開發(fā)移動(dòng)設(shè)備的應(yīng)用程序。 一套獨(dú)立程序構(gòu)成的集合，每個(gè)程序都是從命令行調(diào)用的，用于開發(fā)和測(cè)試 序。除了 可以用某種 發(fā)工具，它們是為了 快速開發(fā) 序而提供的一個(gè)集成開發(fā)環(huán)境的軟件。 第二節(jié) 發(fā)工具介紹 是由 太陽(yáng)微系統(tǒng) （ 建的開放源代碼的軟件開發(fā)工具，是一個(gè)開發(fā)框架，可擴(kuò)展的開發(fā)平臺(tái)，可以用于 C 語(yǔ)言 C+，程序的開發(fā)，本身是一個(gè)開發(fā)平臺(tái)，可以通過(guò)擴(kuò)展插件來(lái)擴(kuò)展功能。 以 在 運(yùn)行。 以使開發(fā)人 員利用 臺(tái)關(guān)鍵技術(shù)的概述 能夠快速創(chuàng)建 業(yè)、桌面以及移動(dòng)的應(yīng)用程序， 前支持 C/C+等開發(fā)語(yǔ)言 3。 開源軟件開發(fā)集成環(huán)境，是一個(gè)開放框架，可擴(kuò)展的開發(fā)平臺(tái)，可以用于 C/C+， 語(yǔ)言的開發(fā)，本身是一個(gè)開發(fā)平臺(tái)，可以通過(guò)擴(kuò)展插件來(lái)擴(kuò)展功能。 在 臺(tái)中，應(yīng)用軟體是用一系列的軟體模組 (構(gòu)出來(lái)。而這些模組是一個(gè) 包含了一組 式的類別而它們實(shí)作全依據(jù)依 義了的公開介面以及一系列用來(lái)區(qū)分不同模組的定義描述檔 ( 有賴於模組化帶來(lái)的好處，用模組來(lái)建構(gòu)的應(yīng)用程式可只要加上新的模組就能進(jìn)一步擴(kuò)充。由於模組可以獨(dú)立地進(jìn)行開發(fā)，所以由 臺(tái)開發(fā)出來(lái)的應(yīng)用程式就能利用著 第三方軟件 ，非常容易及有效率地進(jìn)行擴(kuò)充。 第三節(jié) 據(jù)庫(kù)連接技術(shù) ： 是 言中用來(lái)規(guī)范客戶端程序如何來(lái)訪問(wèn)數(shù)據(jù)庫(kù)的應(yīng)用程序接口，提供了諸如查詢和更新數(shù)據(jù)庫(kù)中數(shù)據(jù)的方法。 它是面向關(guān)系型數(shù)據(jù)庫(kù)的。 在 ，提供了一個(gè)稱之為 5的 通過(guò) 關(guān)系型數(shù)據(jù)庫(kù)。 動(dòng)程序分四種類型： 本地 動(dòng) 網(wǎng)絡(luò)協(xié)議驅(qū)動(dòng) 本地協(xié)議驅(qū)動(dòng) 第四節(jié) 數(shù)據(jù)庫(kù)技術(shù)分析 結(jié)構(gòu)化查詢語(yǔ)言 結(jié)構(gòu)化查詢語(yǔ)言 (稱 6是用于數(shù)據(jù)庫(kù)中的標(biāo)準(zhǔn)數(shù)據(jù)查詢語(yǔ)言 ， 司最早使用在其開發(fā)的數(shù)據(jù)庫(kù)系統(tǒng)中， 用于存取數(shù)據(jù)以及查詢、更新和管理 關(guān)系數(shù)據(jù)庫(kù)系統(tǒng) 。 結(jié)構(gòu)化查詢語(yǔ)言的語(yǔ)言特點(diǎn)： 一 體化： 數(shù)據(jù)定義 據(jù)操縱 數(shù)據(jù)控制 一體，可關(guān)鍵技術(shù)的概述 以完成數(shù)據(jù)庫(kù)中的全部工作。 使用方式靈活：它具有兩種使用方式，即可以直接以命令方式交互使用；也可以嵌入使用，嵌入到 C、 C+、 主語(yǔ)言中使用。 非過(guò)程化：只提操作要求，不必描述操作步驟，也不需要導(dǎo)航。使用 時(shí)只需要告訴計(jì)算機(jī) “ 做 什么 ” ，而不需要告訴它 “ 怎么做 ” 。 語(yǔ)言簡(jiǎn)潔，語(yǔ)法簡(jiǎn)單，好學(xué)好用：在 準(zhǔn)中，只包含了 94 個(gè)英文單詞，核心功能只用 6 個(gè)動(dòng)詞，語(yǔ)法接近英語(yǔ)口語(yǔ)。 紹 是一個(gè) 關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng) ，由瑞典 B 公司開發(fā)，目前屬于 司。 目前 業(yè)最流行的開放源代碼的數(shù)據(jù)庫(kù)管理系統(tǒng)之一，它同時(shí)也是一個(gè)支持多線程高并發(fā)多用戶的關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)。 生的時(shí)候， 正是互聯(lián)網(wǎng)開始高速發(fā)展的時(shí)期。 B 通過(guò)優(yōu)化足了互聯(lián)網(wǎng)開發(fā)用 者對(duì)數(shù)據(jù)庫(kù)產(chǎn)品的需求。 標(biāo)準(zhǔn)化查詢語(yǔ)言的支持，高效的數(shù)據(jù)存取，不必關(guān)注事務(wù)的完整性，簡(jiǎn)單易用，而且成本低廉。 當(dāng)時(shí)大量的小公司都愿意采用 為數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)管理系統(tǒng)，所以 一步促進(jìn)了 身的不斷改進(jìn)和完善。 其他數(shù)據(jù)庫(kù) 系統(tǒng)比較 8： 雖然在功能方面 據(jù)庫(kù)作為一個(gè)通用的數(shù)據(jù)庫(kù)管理系統(tǒng)暫時(shí)還無(wú)法和 比， 但是其功能完全可以滿足我們通用的商用需求 ，提供足夠的強(qiáng)大的服務(wù)。 對(duì)于普通用戶來(lái)說(shuō)，尤其是相對(duì)于一些大型的商業(yè) 數(shù)據(jù)庫(kù)管理系統(tǒng)來(lái)說(shuō)，操作的難易程度明顯不處于一個(gè)級(jí)別。 性能方面一直是 以為豪的一個(gè)特點(diǎn)。 直以來(lái)奉行的一個(gè)原則， 那就是在保證足夠的穩(wěn)定性的前提下 ， 盡可能的提高自己的處理能力 。 可靠性方面， 從當(dāng)前最火的 樣大型的網(wǎng)站都是使用 可以看出， 穩(wěn)定性和可靠性方面 ， 并不會(huì)比其他大型的數(shù)據(jù)庫(kù)系統(tǒng)遜色 。 關(guān)鍵技術(shù)的概述 第五節(jié) 信息可視化技術(shù)簡(jiǎn)介和分析 信息可視化技術(shù) 信息可視化 （ 14是一個(gè) 跨 學(xué)科 領(lǐng)域，旨在研究大規(guī)模非數(shù)值型 信息資源 的視覺(jué)呈現(xiàn)，如軟件系統(tǒng)之中眾多的文件或者一行行的程序代碼，以及利用圖形圖像方面的技術(shù)與方法，幫助人們理解和分析數(shù)據(jù)。與 科學(xué)可視化 相比，信息可視化則側(cè)重于 抽象 數(shù)據(jù)集，如非結(jié)構(gòu)化文本或者 高維空間 當(dāng)中的點(diǎn)（這些點(diǎn)并不具有固有的二維或三維 幾何 結(jié)構(gòu)）。 信息 可視化 致力于 14創(chuàng)建那些以直觀方式傳達(dá) 抽象 信息的手段和方法。 信息可視化和可視化分析論之間的聯(lián)系： 24就目標(biāo)和技術(shù)方法而言，信息 可視化 與可視化分析論之間存在著一些重疊。當(dāng)前，關(guān)于 科學(xué)可視化 、信息可視化及可視化分析論 之間的邊界問(wèn)題，還沒(méi)有達(dá)成明確清晰的共識(shí)。不過(guò)， 16大體上來(lái)說(shuō)，這三個(gè)領(lǐng)域之間存在著如下區(qū)別 22： 科學(xué)可視化 處理的是那些具有天然 幾何 結(jié)構(gòu)的數(shù)據(jù)（比如， 據(jù)、氣流 ） 。 信息 可視化 處理的是 抽象數(shù)據(jù)結(jié)構(gòu) ，如樹狀結(jié)構(gòu)或圖形。 可視化 分析論尤其關(guān)注的是 意會(huì) 和 推理 。 術(shù) 程語(yǔ)言的一個(gè)開源框架， 允許創(chuàng)建的各種各樣的交互式和非交互式的圖表 。 術(shù) 支持大量的各種圖表，包括合并圖表： 表（線，樣條及散射） 餅圖 甘特 圖 條形圖（水平和垂直，堆疊和獨(dú)立的） 單值（溫度計(jì)，指南針，測(cè)速儀） 各種具體的圖表（風(fēng)圖，極坐標(biāo)圖，大小不等的氣泡，等）。 術(shù)的特點(diǎn)： 穩(wěn)定，輕量級(jí)且功能強(qiáng)大。 免費(fèi)開源，但是開發(fā)手冊(cè)和示例要花錢購(gòu)買。 理簡(jiǎn)單，很容易上手。 關(guān)鍵技術(shù)的概述 生成的圖表運(yùn)行流暢。 例： 關(guān)鍵技術(shù)的概述 防火墻日志分析管理系統(tǒng)需求分析 第三章 防火墻日志分析管理系統(tǒng)需求分析 第一節(jié) 系統(tǒng)概述 性能目標(biāo) 首先，作為一個(gè)給用戶使用的系統(tǒng)，要保證可用性 。 用戶在操作系統(tǒng) 時(shí) 不需要在培訓(xùn)上花費(fèi)太大精力 ，就能輕松操作本系統(tǒng)，完成用戶想要完成的功能。 其次，保證系統(tǒng)數(shù)據(jù)處理的能力 。 利用計(jì)算機(jī)的海量存儲(chǔ)，高速的處理能力， 對(duì)日志文件迅速存入數(shù)據(jù)庫(kù)和迅速給用戶返回結(jié)果。 系統(tǒng)目標(biāo) 本項(xiàng)目重點(diǎn)研究基于網(wǎng)絡(luò)行為的日志數(shù)據(jù)比對(duì)分析技術(shù)。每個(gè)防火墻都有其對(duì)應(yīng)的防火墻日志，用以記錄網(wǎng)絡(luò)數(shù)據(jù)流相關(guān)的信息，如：訪問(wèn)的源 的 口，協(xié)議等等。 防火墻日志對(duì)于識(shí)別攻擊、調(diào)試防火墻規(guī)則 及 發(fā)現(xiàn) 私有 網(wǎng)絡(luò)上不正常活動(dòng) 等 方面非常重要 ，通過(guò)對(duì)防火墻日志的分析，可以構(gòu)建出此臺(tái)設(shè)備的網(wǎng)絡(luò)行為，并以此挖掘其是否已經(jīng)遭受或者有可能遭受網(wǎng)絡(luò)攻擊。 總體業(yè)務(wù)描述 防火墻日志分析管理系統(tǒng)包括查詢條件管理，日志管理，黑名單管理，系統(tǒng)設(shè)置四個(gè)模塊，每個(gè)模塊都有自己的任務(wù)和功能。 查詢條件管理 查詢條件管理包括單條記錄查詢和黑名單多條記錄查詢，多條查詢是要將導(dǎo)入的日志文件跟黑名單進(jìn)行匹配，單條記錄是用戶根據(jù)自己定義的查詢條件進(jìn)行和導(dǎo)入的日志進(jìn)行比對(duì)。同時(shí)將查詢結(jié)果顯示給用戶，還可以通過(guò)點(diǎn)擊實(shí)現(xiàn)結(jié)果的可視化。 日志管理 日志管理主要負(fù)責(zé)日志文件的導(dǎo)入，日志格式的自定義，還有日志文件的合并， 這個(gè)模塊是整個(gè)系統(tǒng)非常重要的一部分。 黑名單管理 黑名單管理負(fù)責(zé)黑名單文件的導(dǎo)入，數(shù)據(jù)庫(kù)中黑名單文件的刪除，查看，防火墻日志分析管理系統(tǒng)需求分析 同時(shí)還可以對(duì)黑名單中的記錄進(jìn)行刪除和添加，總而言之，黑名單管理模塊負(fù)責(zé)黑名單的數(shù)據(jù)庫(kù)導(dǎo)入和數(shù)據(jù)庫(kù)編輯。 系統(tǒng)設(shè)置 系統(tǒng)設(shè)置模塊負(fù)責(zé)查詢條件的刪除和重命名，日志格式的刪除和重命名，結(jié)果可視化的節(jié)點(diǎn)個(gè)數(shù)的設(shè)置，同時(shí)還可以保存系統(tǒng) 的 日志。 通過(guò)對(duì)系統(tǒng)的總體描述，本系統(tǒng)的總體流程圖如 圖 示： 圖 統(tǒng)總體流程 防火墻日志分析管理系統(tǒng)需求分析 第二節(jié) 功能需求 防火墻日志分析管理 系統(tǒng)的開發(fā)原則、模塊的功能都要與系統(tǒng)的開發(fā)目的相一致，符合系統(tǒng)開發(fā)的科學(xué)和合理性 24，因此，根據(jù)用戶的需求對(duì)系統(tǒng)進(jìn)行了詳細(xì)的需求分析，功能如圖 示： 圖 統(tǒng)功能模塊圖 日志導(dǎo)入模塊和用戶查詢模塊松散耦合，功能相互獨(dú)立。數(shù)據(jù)庫(kù)操控模塊采用動(dòng)態(tài)接口模式及層次化設(shè)計(jì)方法進(jìn)行開發(fā)，可在模塊上層動(dòng)態(tài)的添加或刪除某些功能，從而更好的為其他模塊服務(wù)。 查詢條件管理模塊功能需求分析 查詢條件管理， 包括三個(gè)方面，多條查詢，單條查詢，查 詢結(jié)果的可視化。功能模塊如圖 示： 圖 詢條件模塊結(jié)構(gòu)圖 查詢條件模塊的數(shù)據(jù)流圖如 圖 示： 查詢條件管理 多條查詢 單條查詢 查詢結(jié)果 結(jié)果可視化 防火墻日志分析管理系統(tǒng) 查詢條件管理 日志導(dǎo)入管理 黑名單管理 系統(tǒng)設(shè)置 防火墻日志分析管理系統(tǒng)需求分析 圖 詢條件模塊數(shù)據(jù)流圖 日志管理模塊功能需求分析 日志導(dǎo)入模塊主要由三部分組成：特定格式防火墻日志導(dǎo)入、自定義格式防火墻日志導(dǎo)入和日志文件合并，主要實(shí)現(xiàn)兩部分的功能：防火墻日志導(dǎo)入和日志格式的定義。 防火墻日志管理流程圖如 示： 日 志 文 件文 件 結(jié) 束取 出 第 一 條 日 志是 否 為 已 知 格 式導(dǎo) 入 數(shù) 據(jù) 庫(kù)自定義格式結(jié) 束是否是否圖 志管理流程圖 日志管理模塊數(shù)據(jù)流圖如 圖 示： 選 擇黑 名單查詢用戶黑名單日志數(shù)據(jù)查 找查詢比對(duì)比對(duì)查詢結(jié)果自定義日志條件定義查詢條件 查找比對(duì)查詢選擇用戶選擇日志選擇日志類型導(dǎo)入數(shù)據(jù)庫(kù)導(dǎo)入日志自定義日志類型 導(dǎo)入存儲(chǔ)合并日志選擇日志合并 新的日志文件防火墻日志分析管理系統(tǒng)需求分析 圖 志管理模塊數(shù)據(jù)流圖 并不是所有的防火墻均采用標(biāo)準(zhǔn)格式進(jìn)行日志的記錄，為了增強(qiáng)系統(tǒng)的拓展性和適用范圍，本系統(tǒng)特加入自定義日志格式模塊。面對(duì)非標(biāo)準(zhǔn)格式的日志，用戶根據(jù)系統(tǒng)界面的提示，簡(jiǎn)單快捷地對(duì)此日志的每一個(gè)字段進(jìn)行人為標(biāo)識(shí)，從此日志中提取用戶所需信息，從而構(gòu)建出針對(duì)此日志的新日志格式。系統(tǒng)會(huì)根據(jù)用戶要求記錄此特定日志格式，方便用戶的再次使用。 黑名單管理模塊功能需求分析 黑名單管理負(fù)責(zé)黑名單文件的導(dǎo)入，數(shù) 據(jù)庫(kù)中黑名單文件的刪除，查看，同時(shí)還可以對(duì)黑名單中的記錄進(jìn)行刪除和添加，總而言之，黑名單管理模塊負(fù)責(zé)黑名單的數(shù)據(jù)庫(kù)導(dǎo)入和數(shù)據(jù)庫(kù)編輯。 黑名單管理的功能模塊如圖 示： 圖 名單管理模塊結(jié)構(gòu)圖 黑名單管理模塊數(shù)據(jù)流圖如 圖 示： 圖 名單管理模塊數(shù)據(jù)流圖 黑名單管理 黑名單導(dǎo)入 黑名單查看 黑名單刪除 添加數(shù)據(jù) 刪除數(shù)據(jù) 選擇用戶選擇黑名單導(dǎo)入黑名單導(dǎo)入數(shù)據(jù)庫(kù)存儲(chǔ)編輯黑名單編輯修改防火墻日志分析管理系統(tǒng)需求分析 系統(tǒng)設(shè)置模塊功能需求分析 系統(tǒng)設(shè)置模塊負(fù)責(zé)查詢條件的刪除和重命名，日志格式的刪除和重命名，結(jié)果可視化的節(jié)點(diǎn)個(gè)數(shù)的設(shè)置，同時(shí)還可以保存系統(tǒng)日志。 系統(tǒng)設(shè)置的功能模塊如圖 示： 圖 統(tǒng)管理模塊結(jié)構(gòu)圖 第三節(jié) 防火墻日志分析管理系統(tǒng)的用例分析 日志信息管理 國(guó)家安全工作人員對(duì)日志信息的管理： 國(guó)家安全工作人員對(duì)日志信息管理包括導(dǎo)入日志文件 ，自定義日志文件格式，合并日志文件，根據(jù)日志管理子模塊中的功能需求的分析，該功能的用例設(shè)計(jì)如圖 示： 系統(tǒng)設(shè)置 查詢條件編輯 日志格式編輯 節(jié)點(diǎn)個(gè)數(shù)設(shè)置 節(jié)點(diǎn)個(gè)數(shù)設(shè)置 保存系統(tǒng)日志 防火墻日志分析管理系統(tǒng)需求分析 圖 志信息管理用例圖 對(duì)于日志信息管理的用例說(shuō)明如表 示： 用例名稱： 日志信息管理 用例參與者：國(guó)家安全工作人員 用例說(shuō)明： 國(guó)家安全工作人員對(duì)日志信息管理包括導(dǎo)入日志文件 ，自定義日志文件格式，合并日志文件 前置條件：國(guó)家安全工作人員必須授權(quán) 表 志信息管理用例說(shuō)明 黑名單信息管理 國(guó)家安全工作人員對(duì)黑名單信息管理包括 黑名單文件的導(dǎo)入，數(shù)據(jù)庫(kù)中黑名單文件的刪除，查看，同時(shí)還可以對(duì)黑名單中的記錄進(jìn)行刪除和添加。 根據(jù)黑名單信息管理子模塊中的功能需求的分析，該功能的用例設(shè)計(jì)如圖 示： 防火墻日志分析管理系統(tǒng)需求分析 圖 名單信息管理用例圖 對(duì)于黑名單信息管理的用例說(shuō)明如表 示： 用例名稱： 黑名單信息管理 用例參與者：國(guó)家安全工作人員 用例說(shuō)明： 安全工作人員對(duì)日志信息管理包括 黑名單文件的導(dǎo)入，數(shù)據(jù)庫(kù)中黑名單文件的刪除，查看，同時(shí)還可以對(duì)黑名單中的記錄進(jìn)行刪除和添加 前置條件：國(guó)家安全工作人員必須授權(quán) 表 名單信息管理用例說(shuō)明 第四節(jié) 防火墻日志分析管理系統(tǒng)安全分析 系統(tǒng)的安全是很重要的 18，需要系統(tǒng)各個(gè)部分的配合， 包括 系統(tǒng)的 使用 人員和系統(tǒng)本身的安全性。 本系統(tǒng)對(duì)安全方面進(jìn)行認(rèn)真的考慮 26，國(guó)家安全工作人員必須在獲得情況下 才能操作本系統(tǒng)。如果沒(méi)有獲得許可強(qiáng)行打開本系統(tǒng)時(shí)，系統(tǒng)會(huì)自動(dòng)銷毀，最大程度保證了本系統(tǒng)的安全性。 防火墻日志分析管理系統(tǒng)設(shè)計(jì) 第四章 防火墻日志分析管理系統(tǒng)設(shè)計(jì) 第一節(jié) 總體技術(shù)描述 本系統(tǒng)采用 言進(jìn)行開發(fā)，數(shù)據(jù)存儲(chǔ)在 據(jù)庫(kù)中。 本系統(tǒng)由四部分組成。日志管理模塊，黑名單管理模塊，數(shù)據(jù)查詢模塊，系統(tǒng)設(shè)置模塊。 日志管理模塊用于將防火墻日志文件利用正則表達(dá)式將數(shù)據(jù)按類型分開，然后按一定格式導(dǎo)入 據(jù)庫(kù)中，同時(shí)用戶可以根據(jù)日志文件的格式自定義導(dǎo)入的日志類型。同時(shí)，為方便用戶一次性處理大量的日志文件，日志管理模塊還提供了日志文件合 并功能。 黑名單管理模塊用于將用戶已有的黑名單導(dǎo)入到數(shù)據(jù)庫(kù)中，用于以后和防火墻日志文件的比對(duì)。同時(shí)，本系統(tǒng)提供一個(gè) ，用戶導(dǎo)入黑名單之后，通過(guò)此模塊，可以查到相關(guān) 所在地。 數(shù)據(jù)查詢模塊是本系統(tǒng)最重要的一個(gè)模塊，用戶可以通過(guò)自己設(shè)定的查詢條件，查詢已存入數(shù)據(jù)庫(kù)中的防火墻日志文件數(shù)據(jù)。同時(shí)查詢結(jié)果已圖表的形式顯示給用戶。 系統(tǒng)設(shè)置模塊用于對(duì)本系統(tǒng)進(jìn)行一些系統(tǒng)設(shè)置，主要是管理已導(dǎo)入的日志文件和日志類型，黑名單文件，以及查詢結(jié)果的參數(shù)設(shè)置。同時(shí)，提供用戶本系統(tǒng)的操作日志，方便用戶查詢自己所做過(guò)的操作。 整 個(gè)系統(tǒng)功能流圖 示： 防火墻日志分析管理系統(tǒng)設(shè)計(jì) 圖 統(tǒng)功能流圖 本系統(tǒng)的總體的技術(shù)架構(gòu)圖如下圖所示： 圖 系統(tǒng)總體技術(shù)架構(gòu)圖 根據(jù)功能流圖，整個(gè)系統(tǒng)采用 C/S 架構(gòu)，根據(jù)模塊化設(shè)計(jì)方式，系統(tǒng)由日志導(dǎo)入模塊，數(shù)據(jù)庫(kù)操控模塊和用戶查詢模塊等部分組成，三個(gè)模塊以數(shù)據(jù)庫(kù)管理模塊為依托，日志導(dǎo)入模塊和用戶查詢模塊在其之上進(jìn)行構(gòu)建。如圖 示： 圖 統(tǒng)模塊化架構(gòu)圖 日志導(dǎo)入模塊和用戶查詢模塊松散耦合，功能相互獨(dú)立。數(shù)據(jù)庫(kù)操控模塊采用動(dòng)態(tài)接口模式及層次化設(shè)計(jì)方法進(jìn)行開發(fā)，可在模塊上層動(dòng)態(tài)的添加或刪除某些功能，從而更好的為其他模塊服務(wù)。 數(shù)據(jù)庫(kù)操控模塊日志導(dǎo)入模塊 界面展示模塊應(yīng)用層底層數(shù)據(jù)庫(kù)黑名單數(shù)據(jù) 日志數(shù)據(jù)數(shù)據(jù)訪問(wèn)層件自定義數(shù)據(jù)組件口日志模塊 黑名單模塊 設(shè)置模塊防火墻日志分析管理系統(tǒng)設(shè)計(jì) 第二節(jié) 系統(tǒng)功能模塊設(shè)計(jì) 在本文的需求分析章節(jié)中已經(jīng)對(duì)系統(tǒng)的整體功能模塊進(jìn)行了比較詳細(xì)的介紹，在本節(jié)內(nèi)容中，我們會(huì)從系統(tǒng)設(shè)計(jì)的角度，對(duì)系統(tǒng)的功能模塊進(jìn)行介紹。 整個(gè)防火墻日志文件分析系統(tǒng)由日志文件管理模塊、黑名單管理模塊，數(shù)據(jù)查詢模塊以及系統(tǒng)設(shè)置模塊四部分組成。 日志文件管理模塊 根據(jù)之前的需求分析，日志文件管理模塊需要完成的主要任 務(wù)是： 選擇需要導(dǎo)入的日志。 設(shè)計(jì)一個(gè)按鈕，主要工作就是用戶從計(jì)算機(jī)選擇需要導(dǎo)入的日志文件，可以利用 件實(shí)現(xiàn)。 展示日志文件第一行數(shù)據(jù)，并分字段展示給用戶。 用戶選擇日志文件之后，利用正則表達(dá)式將文件的第一行數(shù)據(jù)分開，展示給用戶。 用戶選擇已經(jīng)存在的日志導(dǎo)入類型或者自定義一種新的日志導(dǎo)入類型。 用戶可以從下拉框中選擇一個(gè)已經(jīng)存在的日志導(dǎo)入類型，如果沒(méi)有和此日志文件相匹配的日志導(dǎo)入類型，用戶可以根據(jù)提示的第一行數(shù)據(jù)自定義一種新的日志導(dǎo)入類型。 用戶導(dǎo)入日志文件。 根據(jù)用戶選擇的日志文件導(dǎo)入類型，將此日 志數(shù)據(jù)分字段導(dǎo)入到數(shù)據(jù)庫(kù)中。可以用進(jìn)度條提示用戶導(dǎo)入的進(jìn)程。 為了方便用戶一次性的導(dǎo)入大量的數(shù)據(jù)，提供日志文件合并功能。 設(shè)計(jì)一個(gè)列表框，用戶可以選擇本地需要選擇合并的日志文件，可以選擇多個(gè)，然后點(diǎn)擊合并，保存成一個(gè)新的日志文件。然后用戶可以一次性的導(dǎo)入此日志。 防火墻日志管理模塊流程圖如圖 示： 防火墻日志分析管理系統(tǒng)設(shè)計(jì) 圖 火墻日志管理模塊流程圖 防火墻日志能呈現(xiàn)流入和流出防火墻的流量狀態(tài)相關(guān)的許多信息，在分析這些信息之前，需將其以一定的形式存儲(chǔ)在數(shù)據(jù)庫(kù)中，防火墻日志導(dǎo) 入管理完成此功能。不同的操作系統(tǒng)、不同的防火墻品牌有著不同的防火墻日志格式， 面以 個(gè)典型的 式信息如下 20： 22:33:20 787: