中圖分類號： 學(xué)校代碼： 10055 密級： 碩 士 專 業(yè) 學(xué) 位 論 文 防火墻日志分析管理系統(tǒng)設(shè)計與實現(xiàn) 文作者 指導(dǎo)教師 申請學(xué)位 碩士 培養(yǎng)單位 軟件學(xué)院 學(xué)科專業(yè) 軟件工程 研究方向 答辯委員會主席 評 閱 人 南開大學(xué)研究生院 二一三 年 十 月 南開大學(xué)學(xué)位論文使用授權(quán)書 根據(jù)南開大學(xué)關(guān)于研究生學(xué)位論文收藏和利用管理辦法，我校的博士、碩士學(xué)位獲得者均須向南開大學(xué)提交本人的學(xué)位論文紙質(zhì)本及相應(yīng)電子版。 本人完全了解南開大學(xué)有關(guān)研究生學(xué)位論文收藏和利用的管理規(guī)定。南開大學(xué)擁有 在著作權(quán)法規(guī)定范圍內(nèi)的學(xué)位論文使用權(quán)，即： (1)學(xué)位獲得者必須按規(guī)定提交學(xué)位論文 (包括紙質(zhì)印刷本及電子版 )，學(xué)校可以采用影印、縮印或其他復(fù)制手段保存研究生學(xué)位論文，并編入南開大學(xué)博碩士學(xué)位論文全文數(shù)據(jù)庫； (2)為教學(xué)和科研目的，學(xué)?？梢詫⒐_的學(xué)位論文作為資料在圖書館等場所提供校內(nèi)師生閱讀，在校園網(wǎng)上提供論文目錄檢索、文摘以及論文全文瀏覽、下載等免費信息服務(wù)； (3)根據(jù)教育部有關(guān)規(guī)定，南開大學(xué)向教育部指定單位提交公開的學(xué)位論文； (4)學(xué)位論文作者授權(quán)學(xué)校向中國科技信息研究所及其萬方數(shù)據(jù)電子出版社和中 國學(xué)術(shù)期刊 (光盤 )電子出版社提交規(guī)定范圍的學(xué)位論文及其電子版并收入相應(yīng)學(xué)位論文數(shù)據(jù)庫，通過其相關(guān)網(wǎng)站對外進(jìn)行信息服務(wù)。同時本人保留在其他媒體發(fā)表論文的權(quán)利。 非公開學(xué)位論文，保密期限內(nèi)不向外提交和提供服務(wù)，解密后提交和服務(wù)同公開論文。 論文電子版提交至 校圖書館網(wǎng)站： 。 本人承諾：本人的學(xué)位論文是在南開大學(xué)學(xué)習(xí)期間創(chuàng)作完成的作品，并已通過論文答辯；提交的學(xué)位論文電子版與紙質(zhì)本論文的內(nèi)容一致，如因不同造成不良后果由本人自負(fù)。 本人同意遵守上 述規(guī)定。本授權(quán)書簽署一式兩份，由研究生院和圖書館留存。 作者暨授權(quán)人簽字： 20 年 月 日 南開大學(xué)研究生學(xué)位論文作者信息 論文題目 防火墻日志分析管理系統(tǒng) 設(shè)計與實現(xiàn) 姓 名 學(xué)號 答辯日期 論文類別 博士 學(xué)歷碩士 碩士專業(yè)學(xué)位 高校教師 同等學(xué)力碩士 院 /系 /所 軟件學(xué)院 專業(yè) 軟件工程 聯(lián)系電話 通信地址 (郵編 )： 備注： 是否批準(zhǔn)為非公開論文 否 注：本授權(quán)書適用我校授 予的所有博士、碩士的學(xué)位論文。由作者填寫 (一式兩份 )簽字后交校圖書館，非公開學(xué)位論文須附南開大學(xué)研究生申請非公開學(xué)位論文審批表。 南開大學(xué)學(xué)位論文原創(chuàng)性聲明 本人鄭重聲明：所呈交的學(xué)位論文，是本人在導(dǎo)師指導(dǎo)下進(jìn)行研究工作所取得的 研究 成果。除文中已經(jīng)注明引用的內(nèi)容外，本學(xué)位論文的研究成果不包含任何他人創(chuàng)作的、已公開發(fā)表或者沒有公開發(fā)表的作品的內(nèi)容。對本論文所涉及的研究工作做出貢獻(xiàn)的其他個人和集體，均已在文中以明確方式標(biāo)明。本學(xué)位論文原創(chuàng)性聲明的法律責(zé)任由本人承擔(dān)。 學(xué)位論文作者簽名： 年 月 日 非公開學(xué)位論文標(biāo)注 說明 (本頁 表 中填寫內(nèi)容須打印 ) 根據(jù)南開大學(xué)有關(guān)規(guī)定，非公開學(xué)位論文須經(jīng) 指導(dǎo)教師同意 、作者本人申請和相關(guān)部門批準(zhǔn)方能標(biāo)注。未經(jīng)批準(zhǔn)的均為公開學(xué)位論文，公開學(xué)位論文本說明為空白。 論文題目 申請密級 限制 ( 2 年 ) 秘密 ( 10 年 ) 機(jī)密 ( 20 年 ) 保密期限 20 年 月 日至 20 年 月 日 審批表編號 批準(zhǔn)日期 20 年 月 日 南開大學(xué)學(xué)位 評定委員會 辦公室蓋章 (有效 ) 注： 限制 2 年 (可少于 2 年 );秘密 10 年 (可少于 10 年 );機(jī)密 20 年 (可少于 20 年 )目錄 目 錄 摘要 . 6 . 7 第一章 緒論 . 8 第一節(jié) 防火墻及防火墻日志技術(shù)及其應(yīng)用 . 8 第二節(jié) 系統(tǒng)開發(fā)背景和意義 . 8 第三節(jié) 本文 的主要研究內(nèi)容 及組織結(jié)構(gòu) . 9 第二章 關(guān)鍵技術(shù)的概述 . 10 第一節(jié) 言相關(guān)技術(shù)簡介及分析 . 10 第二節(jié) 發(fā)工具介 紹 . 10 第三節(jié) 據(jù)庫連接技術(shù) . 11 第四節(jié) 數(shù)據(jù)庫技術(shù)分析 . 11 結(jié)構(gòu)化查詢語言 . 11 紹 . 12 第五節(jié) 信息可視化技術(shù)簡介和分析 . 13 信息可視化技術(shù) . 13 術(shù) . 13 第三章 防火墻日志分析管理系統(tǒng)需求分析 . 16 第一節(jié) 系統(tǒng)概述 . 16 性能目標(biāo) . 16 系統(tǒng)目標(biāo) . 16 總體業(yè)務(wù)描述 . 16 第二節(jié) 功能需求 . 18 查詢條件管理模塊功能需求分析 . 18 日志管理模塊功能需求分析 . 19 黑名單 管理模塊功能需求分析 . 20 系統(tǒng)設(shè)置模塊功能需求分析 . 20 第三節(jié) 防火墻日志分析管理系統(tǒng)的用例分析 . 21 日志 信息管理 . 21 黑名單信息管理 . 22 第四節(jié) 防火墻日志分析管理系統(tǒng)安全分析 . 23 第四章 防火墻日志分析管理系統(tǒng)設(shè)計 . 24 第一節(jié) 總體技術(shù)描述 . 24 第二節(jié) 系統(tǒng)功能模塊設(shè)計 . 26 日志文件管理模塊 . 26 目錄 黑名單管理模塊 . 27 數(shù)據(jù)查詢模塊 . 29 系統(tǒng)設(shè)置模塊 . 30 第三節(jié) 防火墻日志分析管理系統(tǒng)數(shù)據(jù)存儲 . 30 第五章 防火墻日志分析管理系統(tǒng)實現(xiàn) . 35 第一節(jié) 日志文件管理模塊實現(xiàn) . 35 第二節(jié) 黑名單管理模塊實現(xiàn) . 41 第三節(jié) 數(shù)據(jù)查詢模塊功能實現(xiàn) . 42 黑名單查詢條件功能實現(xiàn) . 42 自定義查詢條件功能實現(xiàn) . 42 可視化分析實現(xiàn) . 43 第四節(jié) 系統(tǒng)設(shè)置模塊功能實現(xiàn) . 44 第六章 防火墻日志分 析管理系統(tǒng)測試 . 45 第一節(jié) 系統(tǒng)測試目標(biāo) . 45 第二節(jié) 防火墻日志管理模塊功能測試 . 45 日志相關(guān)功能測試 . 45 自定義日志類型導(dǎo)入日志 . 46 第三節(jié) 防火墻黑名單模塊功能測試 . 48 黑名單的批量導(dǎo)入 . 48 第四節(jié) 數(shù)據(jù)查詢模塊功能測試 . 49 日志查詢條件測試 . 49 黑名單查詢條件測試 . 50 查詢結(jié)果可視化測試 . 51 第七章 總結(jié)與展望 . 53 第一節(jié) 可視化 位方法 . 53 第二節(jié) 數(shù)據(jù)挖掘相關(guān) . 55 參考文獻(xiàn) . 56 致謝 . 58 摘要 摘要 隨著計算機(jī)技術(shù)的不斷普及和互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)已經(jīng)深入到社會生活的各個領(lǐng)域。由于信息時代信息 的重要性，人們也越來越重視網(wǎng)絡(luò)的安全問題。防火墻技術(shù)的應(yīng)用為網(wǎng)絡(luò)安全問題提供了一個有效的解決途徑。防火墻日志作為防火墻的重要組成部分，可以利用它的信息幫助我們有效的管理網(wǎng)絡(luò)，提高網(wǎng)絡(luò)的安全性。防火墻日志的本身并不能防御網(wǎng)絡(luò)攻擊，它只能如實的反映防火墻受到的攻擊和防火墻對攻擊的攔截情況。用戶可以對這些日志文件進(jìn)行分析，找到問題和漏洞，從而達(dá)到預(yù)防的目的。 防火墻日志分析管理系統(tǒng)就是對防火墻日志文件進(jìn)行分析而開發(fā)的系統(tǒng)。本系統(tǒng)重點研究基于網(wǎng)絡(luò)行為的日志數(shù)據(jù)比對分析技術(shù)。每個防火墻都有其對應(yīng)的防火墻日志，用以記錄 網(wǎng)絡(luò)數(shù)據(jù)流相關(guān)的信息，如：訪問的源 的 口，協(xié)議等等。 防火墻日志對于識別攻擊、調(diào)試防火墻規(guī)則 及 發(fā)現(xiàn) 私有 網(wǎng)絡(luò)上不正?；顒?等 方面非常重要 ，通過對防火墻日志的分析，可以構(gòu)建出此臺設(shè)備的網(wǎng)絡(luò)行為，并以此挖掘其是否已經(jīng)遭受或者有可能遭受網(wǎng)絡(luò)攻擊。 此系統(tǒng)在實現(xiàn)上分為兩部分：第一部分為通過對日志的分析處理發(fā)現(xiàn)受控機(jī)；第二部分為通過綜合日記挖掘出潛在的受控機(jī)、主控機(jī)和中轉(zhuǎn)服務(wù)器，即在對系統(tǒng)日志進(jìn)行分析得出正常日志記錄與已經(jīng)遭到特洛伊木馬入侵的防火墻嫌疑日志之間存在的差別，根據(jù)差別結(jié)合黑名單數(shù)據(jù)庫檢索列舉出受控 機(jī)，支持自定義條件的分類檢索和逆向關(guān)系查找，并對日志通過數(shù)據(jù)清洗、數(shù)據(jù)集成、數(shù)據(jù)變換和數(shù)據(jù)規(guī)約進(jìn)行處理，挖掘潛在受控機(jī)和木馬主控機(jī)。 關(guān)鍵詞：防火墻日志分析管理系統(tǒng)；數(shù)據(jù)分析；受控機(jī)；木馬主控機(jī) ； of to of of is on an to as an of a We to us in It be a of on to an so as to of is on of on on to to if,ip,ip,so is is of be of or to is in he of a in to to 緒論 第一章 緒論 第一節(jié) 防火墻及防火墻日志技術(shù)及其應(yīng)用 所謂防火墻（英文名： 是指一種 1協(xié)助確保 信息安全 的設(shè)備，會依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過 ， 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻。 防火墻是 一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng) (如開的方法，它實際上是一種 隔離技術(shù) 。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種 訪問控制 尺度， 其允許 獲得授權(quán)的用戶 和 相應(yīng) 數(shù)據(jù)進(jìn)入 私有網(wǎng)絡(luò)或局域網(wǎng)網(wǎng)絡(luò) ， 隔離并組織未授權(quán)的用戶及相應(yīng)數(shù)據(jù)連接私有網(wǎng)絡(luò)或局域網(wǎng)網(wǎng)絡(luò)的行為 ，最大限度地阻止網(wǎng)絡(luò)中的 黑客的入侵，使得網(wǎng)絡(luò)連接行為變得可控、可預(yù)料。 防火墻自身的抗攻擊免疫特性雖然能抵抗一部分網(wǎng)絡(luò)攻擊，但隨著 騙等黑客手段的出現(xiàn)，簡單的依靠防火墻自身已經(jīng)無法滿足用戶對高可信度網(wǎng)絡(luò)的需求，因此結(jié)合防火墻使用的配套軟件是提高網(wǎng)絡(luò)安全的一個有效途徑。 防火墻日志中會保存系統(tǒng)收到的各種不安全信息的時間、類型等等。通過對這些日志文件的分析，可以發(fā)現(xiàn)曾經(jīng)發(fā)生過或者正在發(fā)生的入侵行為 。防火墻日志文件本身不能防御攻擊，它只能如實反映防火墻受到的攻擊和防火墻對攻擊的攔截處理情況，用戶可以根據(jù)這些日志對計算機(jī)和網(wǎng)絡(luò)作相應(yīng)的調(diào)整從而達(dá)到預(yù)防的目的。 第二節(jié) 系統(tǒng)開發(fā)背景和意義 隨著計算機(jī)技術(shù)的不斷普及和互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，低成本甚至是“零成本”接入與訪問互聯(lián)網(wǎng)已成為當(dāng)今互聯(lián)網(wǎng)行業(yè)發(fā)展的現(xiàn)狀和趨勢 2。網(wǎng)絡(luò)攻擊日益呈現(xiàn)普及化、多樣化的特點，網(wǎng)絡(luò)黑客通過代理等方式隱藏自己的真實身份，通過培養(yǎng)“肉雞”等方式進(jìn)行更大規(guī)模的破壞。然而，信息與技術(shù)的不對稱性導(dǎo)致了網(wǎng)絡(luò)用戶查找與防范網(wǎng)絡(luò)攻擊的手段顯得比較匱乏與 無力，小到個人財產(chǎn)大到國家安全，時時刻刻都有可能經(jīng)受來著任意地點的網(wǎng)絡(luò)黑客攻擊。 面對波及面如此之廣、影響如此之大的網(wǎng)絡(luò)威脅，需要建立起一個安全可信網(wǎng)絡(luò)環(huán)境和攻擊預(yù)防機(jī)制，擁有資源，信息和能力，希望有一整套的應(yīng)急管理服務(wù)方案。 利用此系統(tǒng)，通過對防火墻日志的分析，可以構(gòu)建出此臺設(shè)備的網(wǎng)絡(luò)行為，并以此挖掘其是否已經(jīng)遭受或者有可能遭受網(wǎng)絡(luò)攻擊，并以圖表的形式展示給服緒論 務(wù)的需求者。通過綜合日記挖掘出潛在的受控機(jī)、主控機(jī)和中轉(zhuǎn)服務(wù)器，即在對系統(tǒng)日志進(jìn)行分析得出正常日志記錄與已經(jīng)遭到特洛伊木馬入侵的防火墻嫌疑日志之間存 在的差別，根據(jù)差別結(jié)合黑名單數(shù)據(jù)庫檢索列舉出受控機(jī)，支持自定義條件的分類檢索和逆向關(guān)系查找，并對日志通過數(shù)據(jù)清洗、數(shù)據(jù)集成、數(shù)據(jù)變換和數(shù)據(jù)規(guī)約進(jìn)行處理，挖掘潛在受控機(jī)和木馬主控機(jī)。系統(tǒng)設(shè)計的目標(biāo)是實現(xiàn)防火墻日志分析管理系統(tǒng)，實現(xiàn)防火墻日志的分析比對功能（其中比對來源為黑名單數(shù)據(jù)庫）。 第三節(jié) 本文的主要研究內(nèi)容 及 組織結(jié)構(gòu) 本文主要闡釋防火墻日志分析管理系統(tǒng)的需求、分析、設(shè)計與實現(xiàn)。本文研究的目的： 本文以該 防火墻日志分析 管理 系統(tǒng) 為基礎(chǔ)， 詳細(xì)描述 和介紹 了軟件開發(fā)的流程， 以及描述了軟件開發(fā)過程中所涉及的基本技術(shù)。 本文著 重討論了以下幾個方面的問題： 第 1 章 闡述了防火墻和防火墻日志文件技術(shù)及其應(yīng)用、系統(tǒng)開發(fā)背景及意義，并介紹本文的主要研究內(nèi)容、論文組織結(jié)構(gòu)。 第 2 章主要闡述了 防火墻 日志分析管理系統(tǒng)所涉及的關(guān)鍵技術(shù) 。在本章的最后，還介紹了 系 統(tǒng)所使用到的數(shù)據(jù)庫技術(shù)以及對數(shù)據(jù)庫產(chǎn)品的選型 。 第 3 章 需求分析 ， 主要是 對 防火墻日志分析管理系統(tǒng) 的總體需求、功能需求以及 性能需求等方面 詳細(xì)的 進(jìn)行 了 分析。 第 4 章 主要是描述了系統(tǒng)的設(shè)計 ， 包含 系統(tǒng)的架構(gòu)設(shè)計以及對系統(tǒng)各個 功能模塊的劃分 ，并且 對 系統(tǒng)的數(shù)據(jù)庫設(shè)計 進(jìn)行了詳細(xì)的闡述 。 第 5 章 主要是 描述了系 統(tǒng)中各個 主要功能模塊的實現(xiàn) 過程 。 第 6 章對本系統(tǒng)進(jìn)行了全面的，按功能模塊進(jìn)行了測試。 第 7 章對 本 防火墻日志分析管理 系統(tǒng) 的研究方法以及 目前 存在的問題進(jìn)行了總結(jié)，并展望了 以后 值得 改進(jìn)的方向。 關(guān)鍵技術(shù)的概述 第二章 關(guān)鍵技術(shù)的概述 第一節(jié) 言相關(guān)技術(shù)簡介及分析 是 司領(lǐng)導(dǎo)的小組開發(fā)的， 初被稱為樹），是 1991 年為消費類電子產(chǎn)品的嵌入式芯片而設(shè)計的。 1995 年更名為 重新設(shè)計用于開發(fā) 用程序。 關(guān)于 歷史，en/功能完善的的通用程序設(shè)計語言，可以用來開發(fā)可靠的，要求嚴(yán)格的應(yīng)用程序。 現(xiàn)在，它不僅用于 序設(shè)計，而且用于在服務(wù)器，臺式機(jī)和移動設(shè)備上開發(fā)跨平臺的獨立應(yīng)用程序。 許多曾經(jīng)認(rèn)為 過其實的公司現(xiàn)在使用 發(fā)分布式應(yīng)用程序 ，便于客戶和合作伙伴在 問?，F(xiàn)在，一旦開發(fā)新的項目，公司都會考慮如何利用 工作變得更加容易。 一個功能強大的程序設(shè)計語言，可以用它來開發(fā)臺式機(jī)和服務(wù)器上的應(yīng)用程序。 也可以用它來開 發(fā)小型手持設(shè)備上的應(yīng)用程序。 應(yīng)用程序接口包括為開發(fā) 序而預(yù)定義的類和接口。 言的規(guī)定是穩(wěn)定的，但是 直在擴(kuò)展。 一個全面且功能強大的語言，可用于多種用途。 三個版本：準(zhǔn)版， 業(yè)版， 型版。 E 用來開發(fā)客戶端獨立的應(yīng)用程序和 E 用來開發(fā)服務(wù)器端的應(yīng)用程序， E 可以用來開發(fā)移動設(shè)備的應(yīng)用程序。 一套獨立程序構(gòu)成的集合，每個程序都是從命令行調(diào)用的，用于開發(fā)和測試 序。除了 可以用 某種 發(fā)工具，它們是為了快速開發(fā) 序而提供的一個集成開發(fā)環(huán)境的軟件。 第二節(jié) 發(fā)工具介紹 是由 太陽微系統(tǒng) （ 建的開放源代碼的軟件開發(fā)工具，是一個開發(fā)框架，可擴(kuò)展的開發(fā)平臺，可以用于 C 語言 C+，程序的開發(fā)，本身是一個開發(fā)平臺，可以通過擴(kuò)展插件來擴(kuò)展功能。 以 在 運行。 以使開發(fā)人員利用 臺關(guān)鍵技術(shù)的概述 能夠快速創(chuàng)建 業(yè)、桌面以及移動的應(yīng)用程序， 前支持 C/C+等開發(fā)語言 3。 開源軟件開發(fā)集成環(huán)境，是一個開放框架，可擴(kuò)展的開發(fā)平臺，可以用于 C/C+， 語言的開發(fā)，本身是一個開發(fā)平臺，可以通過擴(kuò)展插件來擴(kuò)展功能。 在 臺中，應(yīng)用軟體是用一系列的軟體模組 (構(gòu)出來。而這些模組是一個 包含了一組 式的類別而它們實作全依據(jù)依 義了的公開介面以及一系列用來區(qū)分不同模組的定義描述檔 ( 有賴於模組化帶來的好處，用模組來建構(gòu)的應(yīng)用程式可只要加上新的模組就能進(jìn)一步擴(kuò)充。由於模組可以獨立地進(jìn)行開發(fā)，所以由 臺開發(fā)出來的應(yīng)用程式就能利用著 第三方軟件 ，非常容易及有效率地進(jìn)行擴(kuò)充。 第三節(jié) 據(jù)庫連接技術(shù) ： 是 言中用來規(guī)范客戶端程序如何來訪問數(shù)據(jù)庫的應(yīng)用程序接口，提供了諸如查詢和更新數(shù)據(jù)庫中數(shù)據(jù)的方法。 它是面向關(guān)系型數(shù)據(jù)庫的。 在 ，提供了一個稱之為 5的 通過 關(guān)系型數(shù)據(jù)庫。 動程序分四種類型： 本地 動 網(wǎng)絡(luò)協(xié)議驅(qū)動 本地協(xié)議驅(qū)動 第四節(jié) 數(shù)據(jù)庫技術(shù)分析 結(jié)構(gòu)化查詢語言 結(jié)構(gòu)化查詢語言 (稱 6是用于數(shù)據(jù)庫中的標(biāo)準(zhǔn)數(shù)據(jù)查詢語言 ， 司最早使用在其開發(fā)的數(shù)據(jù)庫系統(tǒng)中， 用于存取數(shù)據(jù)以及查詢、更新和管理 關(guān)系數(shù)據(jù)庫系統(tǒng) 。 結(jié)構(gòu)化查詢語言的語言特點： 一 體化： 數(shù)據(jù)定義 據(jù)操縱 數(shù)據(jù)控制 一體，可關(guān)鍵技術(shù)的概述 以完成數(shù)據(jù)庫中的全部工作。 使用方式靈活：它具有兩種使用方式，即可以直接以命令方式交互使用；也可以嵌入使用，嵌入到 C、 C+、 主語言中使用。 非過程化：只提操作要求，不必描述操作步驟，也不需要 導(dǎo)航。使用 時只需要告訴計算機(jī) “ 做什么 ” ，而不需要告訴它 “ 怎么做 ” 。 語言簡潔，語法簡單，好學(xué)好用：在 準(zhǔn)中，只包含了 94 個英文單詞，核心功能只用 6 個動詞，語法接近英語口語。 紹 是一個 關(guān)系型數(shù)據(jù)庫管理系統(tǒng) ，由瑞典 B 公司開發(fā)，目前屬于 司。 目前 業(yè)最流行的開放源代碼的數(shù)據(jù)庫管理系統(tǒng)之一，它同時也是一個支持多線程高并發(fā)多用戶的關(guān)系型數(shù)據(jù)庫管理系統(tǒng)。 生的時候， 正是互聯(lián)網(wǎng)開始高速發(fā)展的時期。 B 通過 優(yōu)化足了互聯(lián)網(wǎng)開發(fā)用者對數(shù)據(jù)庫產(chǎn)品的需求。 標(biāo)準(zhǔn)化查詢語言的支持，高效的數(shù)據(jù)存取，不必關(guān)注事務(wù)的完整性，簡單易用，而且成本低廉。 當(dāng)時大量的小公司都愿意采用 為數(shù)據(jù)庫應(yīng)用系統(tǒng)的數(shù)據(jù)庫管理系統(tǒng)，所以 一步促進(jìn)了 身的不斷改進(jìn)和完善。 其他數(shù)據(jù)庫 系統(tǒng)比較 8： 雖然在功能方面 據(jù)庫作為一個通用的數(shù)據(jù)庫管理系統(tǒng)暫時還無法和 比， 但是其功能完全可以滿足我們通用的商用需求 ，提供足夠的強大的服務(wù)。 對于普通用戶 來說，尤其是相對于一些大型的商業(yè)數(shù)據(jù)庫管理系統(tǒng)來說，操作的難易程度明顯不處于一個級別。 性能方面一直是 以為豪的一個特點。 直以來奉行的一個原則， 那就是在保證足夠的穩(wěn)定性的前提下 ， 盡可能的提高自己的處理能力 。 可靠性方面， 從當(dāng)前最火的 樣大型的網(wǎng)站都是使用 可以看出， 穩(wěn)定性和可靠性方面 ， 并不會比其他大型的數(shù)據(jù)庫系統(tǒng)遜色 。 關(guān)鍵技術(shù)的概述 第五節(jié) 信息可視化技術(shù)簡介和分析 信息可視化技術(shù) 信息可視化 （ 14是一個跨 學(xué)科 領(lǐng)域，旨在研究大規(guī)模非數(shù)值型 信息資源 的視覺呈現(xiàn)，如軟件系統(tǒng)之中眾多的文件或者一行行的程序代碼，以及利用圖形圖像方面的技術(shù)與方法，幫助人們理解和分析數(shù)據(jù)。與 科學(xué)可視化 相比，信息可視化則側(cè)重于 抽象 數(shù)據(jù)集，如非結(jié)構(gòu)化文本或者 高維空間 當(dāng)中的點（這些點并不具有固有的二維或三維 幾何 結(jié)構(gòu)）。 信息 可視化 致力于 14創(chuàng)建那些以直觀方式傳達(dá) 抽象 信息的手段和方法。 信息可視化和可視化分析論之間的聯(lián)系： 24就目標(biāo)和技術(shù)方法而言，信息 可視化 與可視化分析論之間存在著一些重疊。當(dāng)前，關(guān)于 科學(xué) 可視化 、信息可視化及可視化分析論之間的邊界問題，還沒有達(dá)成明確清晰的共識。不過， 16大體上來說，這三個領(lǐng)域之間存在著如下區(qū)別 22： 科學(xué)可視化 處理的是那些具有天然 幾何 結(jié)構(gòu)的數(shù)據(jù)（比如， 據(jù)、氣流 ） 。 信息 可視化 處理的是 抽象數(shù)據(jù)結(jié)構(gòu) ，如樹狀結(jié)構(gòu)或圖形。 可視化 分析論尤其關(guān)注的是 意會 和 推理 。 術(shù) 程語言的一個開源框架， 允許創(chuàng)建的各種各樣的交互式和非交互式的圖表 。 術(shù) 支持大量的各種圖表，包括合并圖表： 表（線，樣條及散射） 餅圖 甘特圖 條形圖（水平和垂直，堆疊和獨立的） 單值（溫度計，指南針，測速儀） 各種具體的圖表（風(fēng)圖，極坐標(biāo)圖，大小不等的氣泡，等）。 術(shù)的特點： 穩(wěn)定，輕量級且功能強大。 免費開源，但是開發(fā)手冊和示例要花錢購買。 理簡單，很容易上手。 生成的圖表運行流暢。 關(guān)鍵技術(shù)的概述 例： 圖 詢結(jié)構(gòu)餅狀圖 圖 詢結(jié)構(gòu)柱狀圖 關(guān)鍵技術(shù)的概述 圖 詢 結(jié)構(gòu)坐標(biāo)狀圖 防火墻日志分析管理系統(tǒng)需求分析 第三章 防火墻日志分析管理系統(tǒng)需求分析 第一節(jié) 系統(tǒng)概述 性能目標(biāo) 首先，作為一個給用戶使用的系統(tǒng)，要保證可用性。 用戶在操作系統(tǒng) 時 不需要在培訓(xùn)上花費太大精力 ，就能輕松操作本系統(tǒng)，完成用戶想要完成的功能。 其次，保證系統(tǒng)數(shù)據(jù)處理的能力 。 利用計算機(jī)的海量存儲，高速的處理能力， 對日志文件迅速存入數(shù)據(jù)庫和迅速給用戶返回結(jié)果。 系統(tǒng)目標(biāo) 本項目重點研究基于網(wǎng)絡(luò)行為的日志數(shù)據(jù)比對分析技術(shù)。每個防火墻都有其對應(yīng)的防火墻日志，用以記錄網(wǎng)絡(luò)數(shù)據(jù)流相關(guān)的信息，如：訪問的源 的 口，協(xié)議等等。 防火墻日志對于識別攻擊、調(diào)試防火墻規(guī)則 及 發(fā)現(xiàn) 私有 網(wǎng)絡(luò)上不正?；顒?等 方面非常重要 ，通過對防火墻日志的分析，可以構(gòu)建出此臺設(shè)備的網(wǎng)絡(luò)行為，并以此挖掘其是否已經(jīng)遭受或者有可能遭受網(wǎng)絡(luò)攻擊。 總體業(yè)務(wù)描述 防火墻日志分析管理系統(tǒng)包括查詢條件管理，日志管理，黑名單管理，系統(tǒng)設(shè)置四個模塊，每個模塊都有自己的任務(wù)和功能。 查詢條件管理 查詢條件管理包括單條記錄查詢和黑名單多條記錄查詢，多條查詢是要將導(dǎo)入的日志文件跟黑名單進(jìn)行匹配，單條記錄是用戶根據(jù)自己定義的查詢條件進(jìn)行和導(dǎo)入的日志進(jìn)行比對 。同時將查詢結(jié)果顯示給用戶，還可以通過點擊實現(xiàn)結(jié)果的可視化。 日志管理 日志管理主要負(fù)責(zé)日志文件的導(dǎo)入，日志格式的自定義，還有日志文件的合并，這個模塊是整個系統(tǒng)非常重要的一部分。 黑名單管理 黑名單管理負(fù)責(zé)黑名單文件的導(dǎo)入，數(shù)據(jù)庫中黑名單文件的刪除，查看，防火墻日志分析管理系統(tǒng)需求分析 同時還可以對黑名單中的記錄進(jìn)行刪除和添加，總而言之，黑名單管理模塊負(fù)責(zé)黑名單的數(shù)據(jù)庫導(dǎo)入和數(shù)據(jù)庫編輯。 系統(tǒng)設(shè)置 系統(tǒng)設(shè)置模塊負(fù)責(zé)查詢條件的刪除和重命名，日志格式的刪除和重命名，結(jié)果可視化的節(jié)點個數(shù)的設(shè)置，同時還可以保存系統(tǒng) 的 日志。 通過對系統(tǒng)的總體描述， 本系統(tǒng)的總體流程圖如 圖 示： 圖 統(tǒng)總體流程 防火墻日志分析管理系統(tǒng)需求分析 第二節(jié) 功能需求 防火墻日志分析管理系統(tǒng)的開發(fā)原則、模塊的功能都要與系統(tǒng)的開發(fā)目的相一致，符合系統(tǒng)開發(fā)的科學(xué)和合理性 24，因此，根據(jù)用戶的需求對系統(tǒng)進(jìn)行了詳細(xì)的需求分析，功能如圖 示： 圖 統(tǒng)功能模塊圖 日志導(dǎo)入模塊和用戶查詢模塊松散耦合，功能相互獨立。數(shù)據(jù)庫操控模塊采用動態(tài)接口模式及層次化設(shè)計方法進(jìn)行開發(fā)，可在模塊上層動態(tài)的 添加或刪除某些功能，從而更好的為其他模塊服務(wù)。 查詢條件管理模塊功能需求分析 查詢條件管理， 包括三個方面，多條查詢，單條查詢，查詢結(jié)果的可視化。功能模塊如圖 示： 圖 詢條件模塊結(jié)構(gòu)圖 查詢條件模塊的數(shù)據(jù)流圖如 圖 示： 查詢條件管理 多條查詢 單條查詢 查詢結(jié)果 結(jié)果可視化 防火墻日志分析管理系統(tǒng) 查詢條件管理 日志導(dǎo)入管理 黑名單管理 系統(tǒng)設(shè)置 防火墻日志分析管理系統(tǒng)需求分析 圖 詢條件模塊數(shù)據(jù)流圖 日志管理模塊功能需求分析 日志導(dǎo)入模塊主要由三部分組成：特定格式防火墻日志導(dǎo)入、自定義格式防火墻日志導(dǎo)入和日志文件合并，主要實現(xiàn)兩部分 的功能：防火墻日志導(dǎo)入和日志格式的定義。 防火墻日志管理流程圖如 示： 日 志 文 件文 件 結(jié) 束取 出 第 一 條 日 志是 否 為 已 知 格 式導(dǎo) 入 數(shù) 據(jù) 庫自定義格式結(jié) 束是否是否圖 志管理流程圖 日志管理模塊數(shù)據(jù)流圖如 圖 示： 圖 志管理模塊數(shù)據(jù)流圖 選 擇黑 名單查詢用戶黑名單日志數(shù)據(jù)查 找查詢比對比對查詢結(jié)果自定義日志條件定義查詢條件 查找比對查詢選擇用戶選擇日志選擇日志類型導(dǎo)入數(shù)據(jù)庫導(dǎo)入日志自定義日志類型 導(dǎo)入存儲合并日志選擇日志合并 新的日志文件防火墻日志分析管理系統(tǒng)需求分析 并不是所有的防火墻均采用標(biāo)準(zhǔn)格式進(jìn)行日志的記錄，為了增強系統(tǒng)的拓展性和適用范圍，本系統(tǒng)特加入自定義日志格式模塊。面對非標(biāo)準(zhǔn)格式的日志，用戶根據(jù)系統(tǒng)界面的提示，簡單快捷地對此日志的每一個字段進(jìn)行人為標(biāo)識，從此日志中提取用戶所需信息，從而構(gòu)建出針對此日志的新日志格式 。系統(tǒng)會根據(jù)用戶要求記錄此特定日志格式，方便用戶的再次使用。 黑名單管理模塊功能需求分析 黑名單管理負(fù)責(zé)黑名單文件的導(dǎo)入，數(shù)據(jù)庫中黑名單文件的刪除，查看，同時還可以對黑名單中的記錄進(jìn)行刪除和添加，總而言之，黑名單管理模塊負(fù)責(zé)黑名單的數(shù)據(jù)庫導(dǎo)入和數(shù)據(jù)庫編輯。 黑名單管理的功能模塊如圖 示： 圖 名單管理模塊結(jié)構(gòu)圖 黑名單管理模塊數(shù)據(jù)流圖如 圖 示： 圖 名單管理模塊數(shù)據(jù)流圖 系統(tǒng) 設(shè)置模塊功能需求分析 系統(tǒng)設(shè)置模塊負(fù)責(zé)查詢條件的刪除和重命名，日志格式的刪除和重命名，結(jié)黑名單管理 黑名單導(dǎo)入 黑名單查看 黑名單刪除 添加數(shù)據(jù) 刪除數(shù)據(jù) 選擇用戶選擇黑名單導(dǎo)入黑名單導(dǎo)入數(shù)據(jù)庫存儲編輯黑名單編輯修改防火墻日志分析管理系統(tǒng)需求分析 果可視化的節(jié)點個數(shù)的設(shè)置，同時還可以保存系統(tǒng)日志。 系統(tǒng)設(shè)置的功能模塊如圖 示： 圖 統(tǒng)管理模塊結(jié)構(gòu)圖 第三節(jié) 防火墻日志分析管理系統(tǒng)的用例分析 日志信息管理 國家安全工作人員對日志信息的管理： 國家安全工作人員對日志信息管理包括導(dǎo)入日志文件 ，自定義日志文件格式，合并日志文件，根據(jù)日志管理子模塊中的功能需求的分析，該功能的用 例設(shè)計如圖 示： 圖 志信息管理用例圖 系統(tǒng)設(shè)置 查詢條件編輯 日志格式編輯 節(jié)點個數(shù)設(shè)置 節(jié)點個數(shù)設(shè)置 保存系統(tǒng)日志 防火墻日志分析管理系統(tǒng)需求分析 對于日志信息管理的用例說明如表 示： 用例名稱： 日志信息管理 用例參與者：國家安全工作人員 用例說明： 國家安全工作人員對日志信息管理包括導(dǎo)入日志文件 ，自定義日志文件格式，合并日志文件 前置條件：國家安全工作人員必須授權(quán) 表 志信息管理用例說明 黑名單信息管理 國家安全工作人員對黑名單信息管理包括 黑名單文件的導(dǎo)入，數(shù)據(jù)庫中黑名單文件的刪除，查看，同時還可以對黑名單中的記錄進(jìn)行刪除和添加。 根據(jù)黑名單信息管 理子模塊中的功能需求的分析，該功能的用例設(shè)計如圖 示： 圖 名單信息管理用例圖 對于黑名單信息管理的用例說明如表 示： 用例名稱： 黑名單信息管理 用例參與者：國家安全工作人員 用例說明： 安全工作人員對日志信息管理包括 黑名單文件的導(dǎo)入，數(shù)據(jù)庫中黑名單文件的刪除，查看，同時還可以對黑名單中的記錄進(jìn)行刪除和添加 前置條件：國家安全工作人員必須授權(quán) 表 名單信息管理用例說明 防火墻日志分析管理系統(tǒng)需求分析 第四節(jié) 防火墻日志分析管理系統(tǒng)安全分析 系統(tǒng)的安全是很重要的 18，需要系統(tǒng)各個部 分的配合， 包括 系統(tǒng)的 使用 人員和系統(tǒng)本身的安全性。 本系統(tǒng)對安全方面進(jìn)行認(rèn)真的考慮 26，國家安全工作人員必須在獲得情況下才能操作本系統(tǒng)。如果沒有獲得許可強行打開本系統(tǒng)時，系統(tǒng)會自動銷毀，最大程度保證了本系統(tǒng)的安全性。 防火墻日志分析管理系統(tǒng)設(shè)計 第四章 防火墻日志分析管理系統(tǒng)設(shè)計 第一節(jié) 總體技術(shù)描述 本系統(tǒng)采用 言進(jìn)行開發(fā)，數(shù)據(jù)存儲在 據(jù)庫中。 本系統(tǒng)由四部分組成。日志管理模塊，黑名單管理模塊，數(shù)據(jù)查詢模塊，系統(tǒng)設(shè)置模塊。 日志管理模塊用于將防火墻日志文件利用正則表達(dá)式將數(shù)據(jù)按類型分開，然后按一定格式導(dǎo)入 據(jù)庫中，同時用戶可以根據(jù)日志文件的格式自定義導(dǎo)入的日志類型。同時，為方便用戶一次性處理大量的日志文