面向客戶(hù)端的高校校園網(wǎng)絡(luò)安全方案設(shè)計(jì)-畢業(yè)論文

河南師范大學(xué)本科畢業(yè)論文 河南師范大學(xué)河南師范大學(xué)本科畢業(yè)論文學(xué)號(hào)：面向客戶(hù)端的高校校園網(wǎng)絡(luò)安全方案設(shè)計(jì)學(xué)院名稱(chēng)：計(jì)算機(jī)與信息工程學(xué)院專(zhuān)業(yè)名稱(chēng)：計(jì)算機(jī)科學(xué)與技術(shù)年級(jí)班別：姓名：指導(dǎo)教師：2017年4月面向客戶(hù)端的高校校園網(wǎng)絡(luò)安全方案設(shè)計(jì)摘要隨著因特網(wǎng)技術(shù)的發(fā)展，如何確保網(wǎng)絡(luò)的安全需要每個(gè)網(wǎng)絡(luò)設(shè)計(jì)者以及管理員來(lái)留意。校園網(wǎng)絡(luò)是現(xiàn)如今最為活躍的局域網(wǎng)絡(luò)之一，由于年輕一代的新思想、新觀(guān)念，校園網(wǎng)的安全事故時(shí)有發(fā)生。高校校園網(wǎng)承載著教育、科研以及全體高校師生的網(wǎng)絡(luò)生活資源，所以，高校校園網(wǎng)絡(luò)的穩(wěn)定性和安全性關(guān)乎全體師生的權(quán)益，一個(gè)安全的校園網(wǎng)絡(luò)尤為重要。目前，許多校園網(wǎng)管理者都只簡(jiǎn)單的安裝殺軟和Firewall，防護(hù)措施有局限性，安全保障也不夠全面，安全事故也時(shí)有發(fā)生。因此，我們需要對(duì)校園網(wǎng)進(jìn)行全面分析，利用前沿的理念和技術(shù)產(chǎn)品，來(lái)構(gòu)建一個(gè)保障性強(qiáng)、全方位的網(wǎng)絡(luò)防護(hù)體系。本文結(jié)合校園網(wǎng)絡(luò)的特點(diǎn)，針對(duì)校園網(wǎng)絡(luò)安全問(wèn)題，通過(guò)對(duì)用戶(hù)上網(wǎng)客戶(hù)端的功能構(gòu)建，闡述了如何設(shè)計(jì)出保障校園網(wǎng)絡(luò)安全的方案。從客戶(hù)端的接入模塊、通訊模塊、外部管理模塊、內(nèi)部監(jiān)測(cè)模塊、防火墻模塊的劃分上，依靠各模塊間的聯(lián)動(dòng)協(xié)作，綜合運(yùn)用入侵檢測(cè)系統(tǒng)、系統(tǒng)漏洞修復(fù)、非法數(shù)據(jù)采集、入侵防御系統(tǒng)等現(xiàn)有的產(chǎn)品及成果，來(lái)建立全面的、系統(tǒng)的校園網(wǎng)絡(luò)安防措施，從而保障校園網(wǎng)絡(luò)的穩(wěn)定、安全運(yùn)行，給全校師生們營(yíng)造出一個(gè)健康的網(wǎng)絡(luò)環(huán)境。關(guān)鍵詞校園網(wǎng)絡(luò)；客戶(hù)端；網(wǎng)絡(luò)安全；模塊化DesignofNetworkSecuritySchemeforUniversityCampusBasedonClientAbstractWiththedevelopmentofInternettechnology,howtoensurethesafetyofthenetworkneedseverynetworkdesignerandadministratortopayattention.Campusnetworkisnowoneofthemostactivelocalareanetwork,duetothenewgenerationofnewideas,newideas,campusnetworksecurityincidentshaveoccurred.Therefore,thestabilityandsecurityofthecampusnetworkisrelatedtotherightsandinterestsofallteachersandstudents,andasafecampusnetworkisveryimportant,soitisveryimportantforthecampusnetworktocarrytheeducationandscientificresearchandthenetworkliferesourcesoftheteachersandstudentsofallcollegesanduniversities.Atpresent,manycampusnetworkmanagersaresimplyinstalledtokillsoftandFirewall,protectivemeasureshavelimitations,securityisnotcomprehensive,securityincidentshaveoccurred.Therefore,weneedacomprehensiveanalysisofthecampusnetwork,theuseofcutting-edgeideasandtechnicalproducts,tobuildastrongprotection,afullrangeofnetworkprotectionsystem.Inthispaper,thecharacteristicsofthecampusnetworkforcampusnetworksecurityissuesthroughtheuser'sInternetclientfunctiontoexplainhowtodesignacampusnetworksecurityprogram.Fromtheclientaccessmodule,communicationmodule,externalmanagementmodule,internalmonitoringmodule,thefirewallmoduledivision,relyingonthelinkagebetweenthemodules,theintegrateduseofintrusiondetectionsystem,systemvulnerabilityrepair,illegaldatacollection,intrusionpreventionsystemExistingproductsandachievements,toestablishacomprehensive,systematiccampusnetworksecuritymeasurestoensurethesafetyofthecampusnetworktotheschoolteachersandstudentstocreateaharmoniousnetworkenvironment.KeywordsCampusnetwork;client;networksecurity;modular前言現(xiàn)如今，網(wǎng)絡(luò)安全問(wèn)題變得越來(lái)越復(fù)雜，也越來(lái)越突出。資源的共享、信息的交流以及分布式處理的理念為網(wǎng)絡(luò)深入到社會(huì)的各個(gè)方面提供了良好的網(wǎng)絡(luò)環(huán)境。也因此，使網(wǎng)絡(luò)遭到威脅與攻擊的可能性大大增多。因特網(wǎng)連接了全世界的電腦，在不同用戶(hù)端，盡管相距甚遠(yuǎn)，但只要使用了相同的網(wǎng)絡(luò)協(xié)議，就可以完美的相連[1]。由于因特網(wǎng)的開(kāi)放性，使得因特網(wǎng)在傳遞信息的同時(shí)，也面對(duì)著未知的安全威脅。網(wǎng)絡(luò)技術(shù)愈發(fā)展，網(wǎng)絡(luò)安全方面的漏洞暴露[2]的就越多，遭受的攻擊方式也越多，所以說(shuō)，安全問(wèn)題將隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)步而一直存在。因此，網(wǎng)絡(luò)的安全與否，就是組建網(wǎng)絡(luò)的時(shí)設(shè)計(jì)者和管理員所關(guān)注的重中之重。目前，多媒體技術(shù)在教育教學(xué)的過(guò)程中應(yīng)用得越來(lái)越廣泛，全面建設(shè)校園網(wǎng)絡(luò)是信息化教育的大勢(shì)所趨。各高校都開(kāi)啟了網(wǎng)絡(luò)校園的建設(shè)步伐，從近年的調(diào)查統(tǒng)計(jì)來(lái)看，總體規(guī)模呈幾何倍數(shù)增長(zhǎng)。但與此同時(shí)，高校發(fā)生網(wǎng)絡(luò)安全事故的報(bào)告也逐年增多，高校校園網(wǎng)絡(luò)依舊面臨著極大的安全威脅。1校園網(wǎng)絡(luò)1.1什么是校園網(wǎng)絡(luò)校園網(wǎng)絡(luò)應(yīng)為學(xué)校教學(xué)、科研提供完備的、優(yōu)質(zhì)的、穩(wěn)定的網(wǎng)絡(luò)教學(xué)環(huán)境。相較于其他局域網(wǎng)絡(luò)而言，校園網(wǎng)絡(luò)是一個(gè)全方位的，具備穩(wěn)定性的，而且還可以輕松實(shí)現(xiàn)交互功能的局域網(wǎng)絡(luò)[3]。學(xué)校的教務(wù)系統(tǒng)、備課系統(tǒng)、文獻(xiàn)閱覽室和教職工、學(xué)生信息檔案以及教學(xué)系統(tǒng)等，都能夠該網(wǎng)絡(luò)上穩(wěn)定運(yùn)行。校園網(wǎng)需要承擔(dān)教務(wù)管理、行政管理以及總務(wù)的職責(zé)，對(duì)于存在多個(gè)專(zhuān)業(yè)院系的中大型高校，我們利用相應(yīng)的互連技術(shù)，也可以將其院系、校區(qū)組建的多個(gè)小型局域網(wǎng)絡(luò)連接起來(lái)（如圖1.1）。圖1.1校園網(wǎng)拓?fù)鋱D展示1.2校園網(wǎng)絡(luò)的組成校園網(wǎng)絡(luò)包含線(xiàn)纜、網(wǎng)絡(luò)系統(tǒng)、軟件設(shè)備以及計(jì)算機(jī)硬件設(shè)備等[4]。其中，線(xiàn)纜是網(wǎng)絡(luò)組建成功的基石，網(wǎng)絡(luò)系統(tǒng)則是負(fù)責(zé)信息傳輸以及信息處理，在信息的傳輸和處理的過(guò)程中，則需要軟件設(shè)備和計(jì)算機(jī)硬件設(shè)備的互相配合，軟件設(shè)備主要包括系統(tǒng)軟件和應(yīng)用軟件，計(jì)算機(jī)硬件設(shè)備則是在軟件設(shè)備的控制下運(yùn)作的，主要是各種相關(guān)的處理、存儲(chǔ)器，以及網(wǎng)絡(luò)運(yùn)轉(zhuǎn)所必需的其他硬件設(shè)備。1.3校園網(wǎng)絡(luò)的特點(diǎn)從與其他局域網(wǎng)絡(luò)的對(duì)比來(lái)看，高校校園網(wǎng)絡(luò)與其他局域網(wǎng)絡(luò)的差異性很大。這些差異或是特點(diǎn)使其的安全問(wèn)題與其他局域網(wǎng)相比也變得尤為復(fù)雜。(1)擁有對(duì)計(jì)算機(jī)較為了解的用戶(hù)群體。學(xué)校有很多對(duì)網(wǎng)絡(luò)常識(shí)十分了解的教師和學(xué)生，他們相較于普通用戶(hù)而言，網(wǎng)絡(luò)水準(zhǔn)高、上網(wǎng)時(shí)間也更多、支配也更加自由。而且，他們對(duì)于前沿網(wǎng)絡(luò)技術(shù)擁有極強(qiáng)的探索心理，經(jīng)常會(huì)在校園網(wǎng)絡(luò)上實(shí)踐自己所學(xué)，或是下載某些冷門(mén)技術(shù)，在不經(jīng)意間就會(huì)將病毒引入。另外，很多人對(duì)于網(wǎng)絡(luò)安全事故的嚴(yán)重性缺乏認(rèn)知，而且學(xué)校為了科研的需要，網(wǎng)速提升飛快，這也給網(wǎng)絡(luò)安全防范帶來(lái)許多不便。(2)高校校園網(wǎng)絡(luò)在安全防護(hù)的方面投入較少，學(xué)校缺乏對(duì)于校園網(wǎng)絡(luò)安全的重視[5]。對(duì)于網(wǎng)絡(luò)安全的建設(shè)，經(jīng)費(fèi)需求極大，一個(gè)簡(jiǎn)單的防范措施，就需要數(shù)百萬(wàn)，而且投入很難與收獲成正比，往往是建設(shè)到一半就因?yàn)榻?jīng)費(fèi)和預(yù)估效果的問(wèn)題就直接擱淺。1.4校園網(wǎng)絡(luò)存在的安全威脅因?yàn)楦咝Ｐ@網(wǎng)絡(luò)與其他局域網(wǎng)絡(luò)的差異，存在的安全威脅也不同，目前，能夠?qū)π@網(wǎng)絡(luò)的安全產(chǎn)生威脅的主要有以下幾種：(1)病毒入侵：計(jì)算機(jī)病毒對(duì)校園網(wǎng)絡(luò)的安全構(gòu)成了相當(dāng)大的威脅，它侵占有限的校園網(wǎng)絡(luò)資源，造成流量擁堵，有時(shí)還會(huì)引起網(wǎng)絡(luò)崩潰，影響所有用戶(hù)正常使用校園網(wǎng)絡(luò)[6]。例如日前全世界范圍爆發(fā)的勒索病毒“永恒之藍(lán)”，導(dǎo)致了英國(guó)醫(yī)療系統(tǒng)全面癱瘓，同時(shí)肆虐在各大高校的校園網(wǎng)絡(luò)中，通過(guò)加密用戶(hù)文件，刪除原文檔來(lái)達(dá)到勒索比特幣的目的，致使一大批畢業(yè)生面臨論文被鎖的大難題。網(wǎng)絡(luò)管理者防范、控制病毒在校園網(wǎng)絡(luò)各端口肆虐，通常使用以下幾種策略：a.網(wǎng)關(guān)防治，關(guān)閉發(fā)生或?qū)⒁l(fā)生入侵的端口；b.在網(wǎng)絡(luò)內(nèi)安裝專(zhuān)業(yè)防毒軟件；c.查找病毒宿主，實(shí)施隔離；d.通過(guò)對(duì)服務(wù)器等設(shè)備設(shè)定策略，實(shí)時(shí)監(jiān)測(cè)校園網(wǎng)絡(luò)的運(yùn)行狀態(tài)，從而有效地防范校園網(wǎng)絡(luò)內(nèi)部的病毒滋生和惡意的病毒入侵[7]。(2)外部攻擊:黑客通常運(yùn)用外部網(wǎng)絡(luò)，來(lái)攻擊高校校園網(wǎng)絡(luò)的服務(wù)器。現(xiàn)在在因特網(wǎng)上，有許多攻擊程序，這些小程序隨處可見(jiàn)，而且簡(jiǎn)單方便，減少了攻擊所需的技術(shù)要求。所以，即便是一個(gè)普通人，也足以用這些小程序?qū)π@網(wǎng)絡(luò)安全造成重大損害[8]。(3)校園網(wǎng)內(nèi)部的攻擊：校園網(wǎng)絡(luò)是師生們專(zhuān)用的社交的平臺(tái)。部分師生對(duì)于網(wǎng)絡(luò)具備相當(dāng)高的理論實(shí)踐基礎(chǔ)，他們熟悉校園網(wǎng)絡(luò)環(huán)境，了解網(wǎng)絡(luò)結(jié)構(gòu)。所以，他們經(jīng)常會(huì)為了實(shí)踐所學(xué)，故意去攻擊校園網(wǎng)絡(luò),打破網(wǎng)絡(luò)運(yùn)行的穩(wěn)定狀態(tài)[9]。而且很多人對(duì)于網(wǎng)絡(luò)安全事故的嚴(yán)重性并未有清晰的認(rèn)知。(4)濫用校園網(wǎng)絡(luò)資源：事實(shí)上，校園網(wǎng)絡(luò)上的很多網(wǎng)絡(luò)訪(fǎng)問(wèn)和教育學(xué)習(xí)沒(méi)有任何關(guān)系。除去在網(wǎng)上沖浪的，還有一部分人，他們經(jīng)常訪(fǎng)問(wèn)非法站點(diǎn)，導(dǎo)致服務(wù)器收發(fā)大量不良信息，侵占了寶貴的網(wǎng)絡(luò)資源，不僅會(huì)影響網(wǎng)速，甚至還會(huì)導(dǎo)致服務(wù)器停機(jī)，引起校園網(wǎng)全面崩潰。除此之外，對(duì)于學(xué)生們的身心健康也有著不小的損害。2客戶(hù)端2.1什么是客戶(hù)端客戶(hù)端在網(wǎng)絡(luò)中扮演一個(gè)主動(dòng)的角色，它的主動(dòng)行為通常是按部就班的：發(fā)送請(qǐng)求、等待、直到收到回應(yīng)。對(duì)于校園網(wǎng)絡(luò)的使用者，使用的客戶(hù)端通常是電腦本機(jī)或者瀏覽器?？蛻?hù)端發(fā)送用戶(hù)的請(qǐng)求指令消息，服務(wù)器端接收指令消息，再響應(yīng)，而后再以文件或是網(wǎng)頁(yè)的方式進(jìn)行回應(yīng)，這樣用戶(hù)就收到了所需的信息，在這整個(gè)過(guò)程中，就完成了一次客戶(hù)端與服務(wù)器之間的信息交換[10]?？蛻?hù)端與服務(wù)器的整個(gè)行為，相對(duì)于服務(wù)器而言并不是安全的，信息在傳遞的果種植，其他的服務(wù)器端也可以獲取用戶(hù)的信息，這樣用戶(hù)的信息安全就得不到保障，如果被黑客利用就很容易產(chǎn)生安全事故。2.2什么是客戶(hù)端模塊化在客戶(hù)端中，模塊是可組合、分割和互換的?？蛻?hù)端模塊化是一種用來(lái)解決復(fù)雜問(wèn)題的方式，它將客戶(hù)端功分解成為多個(gè)可管理模塊，通過(guò)給不同的模塊設(shè)計(jì)出不同的功用，用多個(gè)小的獨(dú)立、互相作用的模塊來(lái)分別處理復(fù)雜問(wèn)題，再將各模塊聯(lián)動(dòng)協(xié)作，從而構(gòu)成處理復(fù)雜、大型任務(wù)的客戶(hù)端。2.3客戶(hù)端模塊化的特點(diǎn)(1)相對(duì)獨(dú)立性。對(duì)不同模塊可以進(jìn)行不同的設(shè)定，這便于由不同人才分別完成；(2)互換性。各模塊結(jié)構(gòu)類(lèi)似、可以互相轉(zhuǎn)換，從而使客戶(hù)端滿(mǎn)足用戶(hù)的不同需求，也便于客戶(hù)端的升級(jí)更新；(3)聯(lián)動(dòng)性。各模塊之間相互聯(lián)動(dòng)，分別處理不同任務(wù)，提升了工作效率，減少了處理問(wèn)題的反應(yīng)時(shí)間。3客戶(hù)端模塊圖客戶(hù)端是以網(wǎng)絡(luò)傳輸為基礎(chǔ)，通過(guò)身份驗(yàn)證模塊控制整體運(yùn)行權(quán)限。利用通訊模塊、故障報(bào)備模塊、安全模塊、安全掃描模塊、數(shù)據(jù)緩存模塊及子模塊（外部管理模塊、防火墻模塊、內(nèi)部監(jiān)控模塊、數(shù)據(jù)分析模塊）來(lái)達(dá)到全面保護(hù)高校校園網(wǎng)絡(luò)安全的目的（如圖3）。圖3客戶(hù)端各模塊拓?fù)鋱D4各模塊的作用4.1身份驗(yàn)證模塊對(duì)于每一個(gè)校園網(wǎng)用戶(hù)，我們都要對(duì)其身份進(jìn)行驗(yàn)證，對(duì)其信息進(jìn)行綁定。身份驗(yàn)證的信息包括學(xué)號(hào)、密碼、QQ、手機(jī)號(hào)碼、宿舍地址、郵件地址等。信息綁定包括用戶(hù)端所在交換機(jī)IP地址、用戶(hù)端MAC地址、用戶(hù)端所屬交換機(jī)的端口號(hào)等（如圖4.1）。通過(guò)以上信息的驗(yàn)證和綁定，能夠防止用戶(hù)信息被盜用，而且，當(dāng)網(wǎng)絡(luò)安全事故爆發(fā)，只要可以發(fā)現(xiàn)一項(xiàng)綁定的信息，就可以精確的定位到該用戶(hù)，及時(shí)的處理事故[11]。圖4.1客戶(hù)端注冊(cè)模塊效果圖4.2通訊模塊客戶(hù)端的通訊模塊主要任務(wù)是為用戶(hù)分配網(wǎng)絡(luò)接口、帶寬資源。同時(shí)，通訊模塊還會(huì)保障網(wǎng)絡(luò)接口的安全，通過(guò)對(duì)接口的加密，不讓其他程序使用。對(duì)于接口產(chǎn)生的收發(fā)數(shù)據(jù)，會(huì)對(duì)其進(jìn)行安全性檢測(cè)，再存儲(chǔ)到數(shù)據(jù)緩存模塊。當(dāng)收發(fā)數(shù)據(jù)有異常報(bào)警，或者數(shù)據(jù)分析模塊檢測(cè)出非法數(shù)據(jù)，通訊模塊會(huì)將這部分?jǐn)?shù)據(jù)打包上傳至服務(wù)器管理中心。4.3故障報(bào)備模塊該模塊擁有故障報(bào)備功能，并公示管理者郵箱、電話(huà)等聯(lián)系方式。當(dāng)發(fā)生網(wǎng)絡(luò)故障時(shí)，對(duì)于能基本分辨的故障問(wèn)題，如硬件故障、軟件故障等，分別進(jìn)行報(bào)備，若發(fā)生故障導(dǎo)致網(wǎng)絡(luò)中斷，通過(guò)電話(huà)等方式聯(lián)系管理員報(bào)備，若發(fā)生故障但網(wǎng)絡(luò)并未中斷，則通過(guò)在線(xiàn)故障報(bào)備功能進(jìn)行報(bào)備（如圖4.3）。圖4.3客戶(hù)端故障報(bào)備模塊效果圖4.4安全模塊該模塊包含了外部管理模塊、防火墻模塊、內(nèi)部監(jiān)控管理模塊三個(gè)子模塊，通過(guò)這三個(gè)模塊及其子模塊的相互協(xié)作，在客戶(hù)端所提供網(wǎng)絡(luò)安全服務(wù)中起關(guān)鍵作用。4.5外部管理模塊該模塊配備入侵防御系統(tǒng)(IPS,

Intrusion

Prevention

System)、入侵檢測(cè)系統(tǒng)(IDS,

Intrusion

Detection

System)等監(jiān)測(cè)系統(tǒng)[12]。通過(guò)這些監(jiān)控手段，讓客戶(hù)端能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)威脅。再利用日志、嗅探器和MultiRouterTrafficGrapher等工具，建立一個(gè)功能全面、覆蓋廣泛的外部管理模塊[13]。4.6防火墻模塊防火墻是一種可以將內(nèi)外部網(wǎng)絡(luò)隔離開(kāi)的技術(shù)[14]。合理的使用防火墻技術(shù)能夠?qū)?nèi)部網(wǎng)和外部網(wǎng)進(jìn)行隔離，增強(qiáng)了校園網(wǎng)絡(luò)對(duì)外部攻擊的抵御能力（如圖4.6）。在微軟系統(tǒng)中，客戶(hù)端可以通過(guò)指令或者服務(wù)來(lái)開(kāi)啟自帶的FireWall功能，或者提示用戶(hù)缺少防火墻軟件，讓其安裝專(zhuān)業(yè)的防火墻軟件，例如賽門(mén)鐵克、360ARP防火墻、諾頓防火墻和卡巴斯基等。圖4.6客戶(hù)端防火墻模塊工作示意圖4.7內(nèi)部監(jiān)控管理模塊內(nèi)部監(jiān)控模塊會(huì)對(duì)用戶(hù)的行為數(shù)據(jù)進(jìn)行監(jiān)控，對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行連續(xù)的采集[15]。這里采用的是現(xiàn)有的專(zhuān)利產(chǎn)品：《用戶(hù)行為數(shù)據(jù)采集方法及系統(tǒng)》。這個(gè)模塊重點(diǎn)分析UDP、TCP等基于報(bào)文傳輸?shù)膮f(xié)議，再將數(shù)據(jù)發(fā)送至數(shù)據(jù)緩存模塊，通過(guò)其子模塊數(shù)據(jù)分析模塊對(duì)采集的數(shù)據(jù)進(jìn)行分析，若有非法數(shù)據(jù)指令返回，則立即鎖定用戶(hù)，上傳用戶(hù)信息，報(bào)備管理員，隨后對(duì)用戶(hù)發(fā)出安全警告，同時(shí)切斷用戶(hù)網(wǎng)絡(luò)接口，取消其帶寬資源。4.8安全掃描模塊更新操作系統(tǒng)版本和安裝相應(yīng)的補(bǔ)丁程序都十分重要。有很大一部分的計(jì)算機(jī)病毒是利用系統(tǒng)的漏洞來(lái)進(jìn)行傳播的。例如“Stuxnet病毒”就是利用系統(tǒng)的漏洞來(lái)進(jìn)行入侵，它還曾破壞過(guò)伊朗的核設(shè)施。還有“沖擊波病毒”，它則是利用WindowsRPC漏洞進(jìn)行傳播的[16]。當(dāng)然，也有一些病毒的傳播依靠著其它漏洞?？蛻?hù)端通過(guò)系統(tǒng)及安全檢測(cè)模塊對(duì)用戶(hù)電腦系統(tǒng)和漏洞進(jìn)行檢測(cè)，將檢測(cè)結(jié)果告知用戶(hù)[17]。對(duì)于原生系統(tǒng)用戶(hù)，通知其通過(guò)windows自帶的update來(lái)獲取微軟的系統(tǒng)更新；對(duì)現(xiàn)今大多數(shù)電腦使用的盜版閹割的ghost系統(tǒng)的用戶(hù)，由于update功能被禁用，則通知其利用第三方軟件（例如金山、騰訊、360、百度、新毒霸等）的漏洞掃描功能,及時(shí)的發(fā)現(xiàn)系統(tǒng)漏洞，再安裝更新、修復(fù)漏洞（如圖4.8）。圖4.8客戶(hù)端安全掃描模塊效果圖4.9數(shù)據(jù)緩存模塊該模塊將內(nèi)部監(jiān)控模塊采集的監(jiān)控?cái)?shù)據(jù)緩存在用戶(hù)端的硬盤(pán)、內(nèi)存等處。也可以將數(shù)據(jù)緩存到客戶(hù)端，當(dāng)向服務(wù)器端提交數(shù)據(jù)時(shí)，再將寫(xiě)入緩存中的數(shù)據(jù)發(fā)送出。讀取采集數(shù)據(jù)的核心代碼如下：將數(shù)據(jù)緩存至用戶(hù)端核心代碼如下：4.10數(shù)據(jù)分析模塊該模塊的主要功能是對(duì)數(shù)據(jù)緩存模塊中的緩存數(shù)據(jù)進(jìn)行分析，用數(shù)據(jù)匹配的方法對(duì)緩存數(shù)據(jù)進(jìn)行檢測(cè)，從中篩選出有安全威脅的非法數(shù)據(jù)。之后，再對(duì)找出的非法數(shù)據(jù)進(jìn)行處理。其中，數(shù)據(jù)匹配的方法主要包括建立非法數(shù)據(jù)庫(kù)、選擇數(shù)據(jù)匹配算法，這對(duì)整個(gè)數(shù)據(jù)分析起到了非常重要的作用。我們首先使用信息增益（IG）的方法對(duì)數(shù)據(jù)進(jìn)行識(shí)別。信息增益（IG）方法，是一種特征選擇方法，它在機(jī)器學(xué)習(xí)的過(guò)程中使用比較普遍[18]。特征t的信息增益Gain(T)的計(jì)算公式如下：m：不同類(lèi)型的HTML文檔數(shù)目；Ci：T：特征T不出現(xiàn)。使用以上的方法得到的數(shù)據(jù)特征，再?gòu)闹凶R(shí)別，得到非法數(shù)據(jù)的特征集合，然后利用這些特征集合來(lái)建立一個(gè)非法數(shù)據(jù)庫(kù)。依據(jù)客戶(hù)端建立的非法數(shù)據(jù)庫(kù)，再利用字符串的數(shù)據(jù)匹配算法對(duì)緩存數(shù)據(jù)進(jìn)行分析識(shí)別，在這里，主要使用的是字符串的模式匹配算法，這也是字符串處理的最重要的操作之一[19]。通常，字符串模式匹配算法有Bruteforce、BoyerMoore、robin-karp、Sunday、以及bitap等[20]。我們根據(jù)客戶(hù)端緩存數(shù)據(jù)的特性，選擇Bruteforce算法。當(dāng)匹配出非法數(shù)據(jù)，則返回?cái)?shù)據(jù)至安全模塊，由安全模塊對(duì)用戶(hù)端執(zhí)行安全操作。5結(jié)論怎么來(lái)確保高校校園網(wǎng)絡(luò)的安全性是每個(gè)設(shè)計(jì)者和管理者都應(yīng)關(guān)心的熱點(diǎn)問(wèn)題。校園網(wǎng)絡(luò)面臨著許多安全問(wèn)題，時(shí)常遭受別有用心之士的攻擊和威脅。但是，從目前而言，國(guó)內(nèi)很多高校校園網(wǎng)絡(luò)安全方案都存在力度不足、局限性強(qiáng)等問(wèn)題，很多都只是簡(jiǎn)單的利用殺軟、防火墻等軟件來(lái)保護(hù)校園網(wǎng)絡(luò)的安全。但這些措施很難覆蓋到整個(gè)高校的校園網(wǎng)絡(luò)，對(duì)校園網(wǎng)的保護(hù)力度不足。這是我們亟需解決的校園網(wǎng)絡(luò)安全問(wèn)題。本文從多個(gè)角度探究了高校校園網(wǎng)絡(luò)的特點(diǎn)，從多個(gè)方面針對(duì)各類(lèi)不同的威脅和攻擊設(shè)計(jì)出一套行之有效的安全方案。提出采用客戶(hù)端的方式，利用客戶(hù)端的不同模塊的作用和聯(lián)動(dòng)協(xié)作，來(lái)對(duì)高校校園網(wǎng)絡(luò)進(jìn)行安全防護(hù)。利用身份驗(yàn)證模塊，綁定用戶(hù)的信息，防止網(wǎng)絡(luò)盜用；利用故障報(bào)備模塊，讓故障問(wèn)題可以及時(shí)上報(bào)，及時(shí)解決；利用安全模塊的三個(gè)子模塊：外部管理模塊、防火墻模塊、內(nèi)部監(jiān)控模塊，對(duì)來(lái)自校園網(wǎng)絡(luò)內(nèi)外的攻擊進(jìn)行全方位的防護(hù)，讓攻擊者無(wú)從下手，讓病毒無(wú)處藏身；利用安全掃描模塊，讓漏洞可以及時(shí)修復(fù)；利用數(shù)據(jù)緩存模塊和數(shù)據(jù)分析模塊，實(shí)時(shí)監(jiān)控用戶(hù)的行為數(shù)據(jù)。客戶(hù)端從被動(dòng)防御到主動(dòng)防御，給予校園網(wǎng)絡(luò)最大限度的防護(hù)。盡管對(duì)高校校園網(wǎng)絡(luò)的安全進(jìn)行了較為深入的探究，也提出了面向客戶(hù)端的高校校園網(wǎng)絡(luò)安全的設(shè)計(jì)方案，但是，高校校園網(wǎng)絡(luò)安全是一個(gè)長(zhǎng)期的課題，它會(huì)隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展一直存在。本文所采取的技術(shù)也不是完善的，一方面計(jì)算機(jī)在不斷的發(fā)展，另一方面設(shè)計(jì)者的水平也有局限性。對(duì)于高校校園網(wǎng)絡(luò)安全這一問(wèn)題，還有進(jìn)一步研究和改進(jìn)的必要?？偠灾?，高校校園網(wǎng)絡(luò)安全，是一個(gè)永無(wú)止境的研究課題。參考文獻(xiàn)[1]華蓓.計(jì)算機(jī)網(wǎng)絡(luò)原理與技術(shù)[M].科學(xué)出版社，2008.[2]AndrewS.Tanenbaum著.熊貴喜等譯.計(jì)算機(jī)網(wǎng)絡(luò)（第3版）.清華大學(xué)出版社，1998，298-300[3]丁曉璐，DingXiao-lu.關(guān)于高校校園網(wǎng)絡(luò)安全問(wèn)題探究[J].信息安全與技術(shù)，2016，7(4):15-17.[4]李邦慶.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在校園網(wǎng)中的應(yīng)用[J].科技創(chuàng)新與應(yīng)用，2016(16):89-89.[5]侯艷.校園網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)及安全性研究[J].信息安全與技術(shù)，2012，3(7):23-25.[6]鄭志凌.計(jì)算機(jī)網(wǎng)絡(luò)安全和計(jì)算機(jī)病毒的防范措施[J].電子技術(shù)與軟件工程，2015(6):217-218.[7]劉俊杰.計(jì)算機(jī)網(wǎng)絡(luò)病毒對(duì)校園網(wǎng)的危害及防治[J].無(wú)線(xiàn)互聯(lián)科技，2014(4):41-41..[8]胡恩澤.高校校園網(wǎng)絡(luò)安全存在的隱患及對(duì)策探析[J].中國(guó)新通信，2016(24):67-68.[9]孫力.高校校園網(wǎng)設(shè)計(jì)與安全分析[J].工業(yè)儀表與自動(dòng)化裝置，2014(5):14-16.[10]丁昌榮.淺談ASP客戶(hù)端與服務(wù)端的數(shù)據(jù)交換方法[J].華南金融電腦，2004,12(4):51-52.[11]劉曉云.校園網(wǎng)安全訪(fǎng)問(wèn)控制體系的構(gòu)建[J].現(xiàn)代電子技術(shù)，2010，33(17):121-124.[12]洪藝勇，陳未如，趙琳.入侵管理中心實(shí)現(xiàn)IDS與IPS的聯(lián)動(dòng)[J].微計(jì)算機(jī)信息，2009，25(12):96-97.[13]季宏志，李毓才.計(jì)算機(jī)網(wǎng)絡(luò)的安全防范與監(jiān)控[J].鐵路計(jì)算機(jī)應(yīng)用，2005，14(3):42-44.[14]FrattoM.Application-levelfirewalls:smallernet，tighterfilter[J].NetworkComputing，2003，14(5):57-68.[15]童國(guó)俊，汪寧，陳寄文等.用戶(hù)行為數(shù)據(jù)采集方法及系統(tǒng)，CN103309884A[P].2013.[16]SilvaVD，TenenbaumJB.Globalversuslocalmethodsinnonlineardimensionalityreduction[J].ProcNIPS，2003(15):721-728.[17]魏賓，李桂巖.計(jì)算機(jī)系統(tǒng)漏洞以及防范措施[J].硅谷，2009(18):35+81.[18]ZhangH.TheoptimalityofnaiveBayes[C]//The17thInt’lFLAIRSConference,MiamiBeach，2004.[19]WuS，ManberU.AFastAlgorithmForMulti-PatternSearching[J].2002.[20]何畏.快速精確字符串匹配算法研究[D].合肥工業(yè)大學(xué)，2010.基于C8051F單片機(jī)直流電動(dòng)機(jī)反饋控制系統(tǒng)的設(shè)計(jì)與研究基于單片機(jī)的嵌入式Web服務(wù)器的研究MOTOROLA單片機(jī)MC68HC（8）05PV8/A內(nèi)嵌EEPROM的工藝和制程方法及對(duì)良率的影響研究基于模糊控制的電阻釬焊單片機(jī)溫度控制系統(tǒng)的研制基于MCS-51系列單片機(jī)的通用控制模塊的研究基于單片機(jī)實(shí)現(xiàn)的供暖系統(tǒng)最佳啟停自校正（STR）調(diào)節(jié)器單片機(jī)控制的二級(jí)倒立擺系統(tǒng)的研究基于增強(qiáng)型51系列單片機(jī)的TCP/IP協(xié)議棧的實(shí)現(xiàn)基于單片機(jī)的蓄電池自動(dòng)監(jiān)測(cè)系統(tǒng)基于32位嵌入式單片機(jī)系統(tǒng)的圖像采集與處理技術(shù)的研究基于單片機(jī)的作物營(yíng)養(yǎng)診斷專(zhuān)家系統(tǒng)的研究基于單片機(jī)的交流伺服電機(jī)運(yùn)動(dòng)控制系統(tǒng)研究與開(kāi)發(fā)基于單片機(jī)的泵管內(nèi)壁硬度測(cè)試儀的研制基于單片機(jī)的自動(dòng)找平控制系統(tǒng)研究基于C8051F040單片機(jī)的嵌入式系統(tǒng)開(kāi)發(fā)基于單片機(jī)的液壓動(dòng)力系統(tǒng)狀態(tài)監(jiān)測(cè)儀開(kāi)發(fā)模糊Smith智能控制方法的研究及其單片機(jī)實(shí)現(xiàn)一種基于單片機(jī)的軸快流CO〈,2〉激光器的手持控制面板的研制基于雙單片機(jī)沖床數(shù)控系統(tǒng)的研究基于CYGNAL單片機(jī)的在線(xiàn)間歇式濁度儀的研制基于單片機(jī)的噴油泵試驗(yàn)臺(tái)控制器的研制基于單片機(jī)的軟起動(dòng)器的研究和設(shè)計(jì)基于單片機(jī)控制的高速快走絲電火花線(xiàn)切割機(jī)床短循環(huán)走絲方式研究基于單片機(jī)的機(jī)電產(chǎn)品控制系統(tǒng)開(kāi)發(fā)基于PIC單片機(jī)的智能手機(jī)充電器基于單片機(jī)的實(shí)時(shí)內(nèi)核設(shè)計(jì)及其應(yīng)用研究基于單片機(jī)的遠(yuǎn)程抄表系統(tǒng)的設(shè)計(jì)與研究基于單片機(jī)的煙氣二氧化硫濃度檢測(cè)儀的研制基于微型光譜儀的單片機(jī)系統(tǒng)單片機(jī)系統(tǒng)軟件構(gòu)件開(kāi)發(fā)的技術(shù)研究基于單片機(jī)的液體點(diǎn)滴速度自動(dòng)檢測(cè)儀的研制基于單片機(jī)系統(tǒng)的多功能溫度測(cè)量?jī)x的研制基于PIC單片機(jī)的電能采集終端的設(shè)計(jì)和應(yīng)用基于單片機(jī)的光纖光柵解調(diào)儀的研制氣壓式線(xiàn)性摩擦焊機(jī)單片機(jī)控制系統(tǒng)的研制基于單片機(jī)的數(shù)字磁通門(mén)傳感器基于單片機(jī)的旋轉(zhuǎn)變壓器-數(shù)字轉(zhuǎn)換器的研究基于單片機(jī)的光纖Bragg光柵解調(diào)系統(tǒng)的研究單片機(jī)控制的便攜式多功能乳腺治療儀的研制基于C8051F020單片機(jī)的多生理信號(hào)檢測(cè)儀基于單片機(jī)的電機(jī)運(yùn)動(dòng)控制系統(tǒng)設(shè)計(jì)Pico專(zhuān)用單片機(jī)核的可測(cè)性設(shè)計(jì)研究基于MCS-51單片機(jī)的熱量計(jì)基于雙單片機(jī)的智能遙測(cè)微型氣象站MCS-51單片機(jī)構(gòu)建機(jī)器人的實(shí)踐研究基于單片機(jī)的輪軌力檢測(cè)基于單片機(jī)的GPS定位儀的研究與實(shí)現(xiàn)基于單片機(jī)的電液伺服控制系統(tǒng)用于單片機(jī)系統(tǒng)的MMC卡文件系統(tǒng)研制基于單片機(jī)的時(shí)控和計(jì)數(shù)系統(tǒng)性能優(yōu)化的研究基于單片機(jī)和CPLD的粗光柵位移測(cè)量系統(tǒng)研究單片機(jī)控制的后備式方波UPS提升高職學(xué)生單片機(jī)應(yīng)用能力的探究基于單片機(jī)控制的自動(dòng)低頻減載裝置研究基于單片機(jī)控制的水下焊接電源的研究基于單片機(jī)的多通道數(shù)據(jù)采集系統(tǒng)基于uPSD3234單片機(jī)的氚表面污染測(cè)量?jī)x的研制基于單片機(jī)的紅外測(cè)油儀的研究96系列單片機(jī)仿真器研究與設(shè)計(jì)基于單片機(jī)的單晶金剛石刀具刃磨設(shè)備的數(shù)控改造基于單片機(jī)的溫度智能控制系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)基于MSP430單片機(jī)的電梯門(mén)機(jī)控制器的研制基于單片機(jī)的氣體測(cè)漏儀的研究基于三菱M16C/6N系列單片機(jī)的CAN/USB協(xié)議轉(zhuǎn)換器基于單片機(jī)和DSP的變壓器油色譜在線(xiàn)監(jiān)測(cè)技術(shù)研究基于單片機(jī)的膛壁溫度報(bào)警系統(tǒng)設(shè)計(jì)基于AVR單片機(jī)的低壓無(wú)功補(bǔ)償控制器的設(shè)計(jì)基于單片機(jī)船舶電力推進(jìn)電機(jī)監(jiān)測(cè)系統(tǒng)基于單片機(jī)網(wǎng)絡(luò)的振動(dòng)信號(hào)的采集系統(tǒng)基于單片機(jī)的大容量數(shù)據(jù)存儲(chǔ)技術(shù)的應(yīng)用研究基于單片機(jī)的疊圖機(jī)研究與教學(xué)方法實(shí)踐基于單片機(jī)嵌入式Web服務(wù)器技術(shù)的研究及實(shí)現(xiàn)基于AT89S52單片機(jī)的通用數(shù)據(jù)采集系統(tǒng)基于單片機(jī)的多道脈沖幅度分析儀研究機(jī)器人旋轉(zhuǎn)電弧傳感角焊縫跟蹤單片機(jī)控制系統(tǒng)基于單片機(jī)的控制系統(tǒng)在PLC虛擬教學(xué)實(shí)驗(yàn)中的應(yīng)用研究基于單片機(jī)系統(tǒng)的網(wǎng)絡(luò)通信研究與應(yīng)用基于PIC16F877單片機(jī)的莫爾斯碼自動(dòng)譯碼系統(tǒng)設(shè)計(jì)與研究基于單片機(jī)的模糊控制器在工業(yè)電阻爐上的應(yīng)用研究基于雙單片機(jī)沖床數(shù)控系統(tǒng)的研究與開(kāi)發(fā)基于Cygnal單片機(jī)的μC/OS-Ⅱ的研究基于單片機(jī)的一體化智能差示掃描量熱儀系統(tǒng)研究基于TCP/IP協(xié)議的單片機(jī)與Internet互聯(lián)的研究與實(shí)現(xiàn)變頻調(diào)速液壓電梯單片機(jī)控制器的研究基于單片機(jī)γ-免疫計(jì)數(shù)器自動(dòng)換樣功能的研究與實(shí)現(xiàn)基于單片機(jī)的倒立擺控制系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)單片機(jī)嵌入式以太網(wǎng)防盜報(bào)警系統(tǒng)基于51單片機(jī)的嵌入式Internet系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)單片機(jī)監(jiān)測(cè)系統(tǒng)在擠壓機(jī)上的應(yīng)用MSP430單片機(jī)在智能水表系統(tǒng)上的研究與應(yīng)用基于單片機(jī)的嵌入式系統(tǒng)中TCP/IP協(xié)議棧的實(shí)現(xiàn)與應(yīng)用HYPERLINK"/detail.htm?3785