1、對網(wǎng)絡(luò)中安全威脅的監(jiān)測及其處理方法是網(wǎng)絡(luò)安全研究的問題之一。當(dāng)網(wǎng)絡(luò)發(fā)生安全威脅事件時,往往會引發(fā)多米諾效應(yīng)：網(wǎng)絡(luò)鏈路流速呈異常變化、受影響的互連設(shè)備CPU使用率變高等。對網(wǎng)絡(luò)流量監(jiān)控一般采用固定預(yù)警閾值的機制來判斷流量是否呈正常變化,對于威脅點則通過部署防火墻、入侵檢測系統(tǒng)等設(shè)備來解決。前者中采用的機制會漏判部分流量異常變化現(xiàn)象,后者中防火墻等設(shè)備只能過濾由這個威脅點發(fā)出的并且流經(jīng)防火墻的數(shù)據(jù)包,但威脅點仍然連接在網(wǎng)絡(luò)中。因此,研究一種

2、判斷準確性好的流量監(jiān)測方法和實現(xiàn)對網(wǎng)絡(luò)中威脅點進行發(fā)現(xiàn)與定位的系統(tǒng)具有一定的應(yīng)用價值。 利用簡單網(wǎng)絡(luò)管理協(xié)議并基于我校全網(wǎng)Cisco的網(wǎng)絡(luò)環(huán)境,本文分析了新的流量監(jiān)測方法應(yīng)用于流量監(jiān)控上的可能性,同時以解決網(wǎng)內(nèi)ARP病毒為例,實現(xiàn)了威脅點地址定位系統(tǒng),論文的主要內(nèi)容包括： 1 總結(jié)了網(wǎng)絡(luò)管理協(xié)議的發(fā)展過程,并以SNMP協(xié)議為重點,分析該協(xié)議各個版本的內(nèi)容和相對應(yīng)的網(wǎng)絡(luò)管理模型,同時并研究SNMP++開發(fā)函數(shù)庫的編程模式。

3、 2 從流量的宏觀角度即鏈路流速上,分析IP流量特征、流量采集方法、流速計算方法和流量刻畫模型。并以建立校園網(wǎng)中骨干鏈路的AR(2)流量模型為例,證明了使用該模型替代固定流量預(yù)警閾值的機制來實施鏈路流量監(jiān)控的可行性。 3 從流量的微觀角度即網(wǎng)絡(luò)中威脅點所表現(xiàn)出的流量特征上,以ARP病毒為例,分析了對其的發(fā)現(xiàn)方法以及在獲知其地址信息的條件下進行地址定位的方法。通過分析第二層交換機的工作原理和基于STP協(xié)議發(fā)現(xiàn)網(wǎng)絡(luò)鏈路層拓撲