可扩展的计算机网络管理系统技术研究

郭子英

（北京化工大学 北京市 100029）

伴随着信息技术的快速发展，计算机网络系统在全世界范围内得到了十分广泛的应用，同时也成为了信息资源共享、交流以及传输的新型手段与工具，并且对人们日常生活工作与社会发展进步均起到了十分积极便捷与促进作用。在计算机网络技术普及发展的影响下，不仅将其技术自身的优势与市场前景呈现在世人面前，同时也对科学管理和复杂网络环境监控提出了更加严格的要求与课题。不过，在计算机网络系统的普及与向更深更宽方向发展前瞻，虽然展示了自身强大的潜在优势与广阔的应用发展前景，但是错综复杂的网络环境同时也带来了一系列的深层次前沿新挑战。因此计算机网络管理系统受到社会各界的高度重视与关注。

1 分布式网络应用系统的失效检测

分布式网络应用系统是指以一系列地理分布与功能自治的计算机应用实体。在分布式网络应用系统当中，如果某一部分服务器失效，那么就会将对应的负责任务转移到其他服务器完成，从而继续保持原有的功能，确保网络系统整体的稳定性得到保证，而实施精准及时的失效检测是此措施顺利落实的基础。另外，失效检测通常都是利用特定的方法对系统各个服务器的运行情况进行探测，从而确保在某一服务器无法运行的状态下，将故障问题及时上报反馈，实时处理失效故障问题。关于分布式网络应用系统的失效检测方法主要有以下几种：

1.1 流言传播失效检测方法

在应用流言传播失效检测方法时，各成员既是检测对象也是检测人员，每个成员都拥有单独的维护清单，其中主要包括了心跳计数最后的更新时间、失效检测心跳计数以及成员地址等。在固定的时间间隔内，不同的成员会适当增加自身的心跳计数，从而完成流言传播。在收到流言传播之后的成员会将自身现有的信息与列表进行综合整理，从而形成一张全新的列表，每个成员心跳次数都要选择较大的一方。通常情况下，新加入的成员以及从失效中恢复的成员都会为了让其他成员对自身运行状态进行了解，从而每个成员都会将自身所拥有的列表进行不定期传播。

1.2 心跳检测法

在心跳检测法应用过程中，被检测对象在规定时间内会向检测人员按照事先的约定发送信息。在具体检测期间，检测人员一般都会被动地等待接收消息，如果在规定时间范围内没有接收到相应的报告，那么就表示检测对象出现了一定的失效问题。

1.3 事件报告法

在应用事件报告法开展失效检测时，检测人员需要被动地等待被检测对象事件报告。然而被检测对象只有在发现问题时才会向检测人员发送报告。因此，这一方法需要配合其他检测方法使用，这样才能够让失效事件的发现更加及时。

1.4 系统级诊断法

在计算机网络系统中应用系统级诊断法，成员个体可以利用轮询机制来对其他成员的失效情况进行主动探测，进而将所获得的状态信息以某种特定的方式分发出去，确保每个节点都可以获取不同成员的正确状态信息。

1.5 轮询方法

此方法指的是某一检测人员按照特定顺序对各个检测对象定期发送查询要求，如果能够在规定时间范围内得到有效的信息回馈，那么就可以证明检测对象属于正常状态，反之则出现了失效问题。在对各个检测对象检查完毕之后再次进行新一轮的检测，周而复始进行。在应用轮询方法时，通常都需要加设一个可以承担被检测人员的设备。

2 计算机网络入侵检测系统分析

计算机网络技术的出现为信息交换与资源共享带来了十分便捷的渠道。但是，在复杂的网络环境中，依然会出现计算机网络系统遭受入侵的情况，很多入侵者会出于利益和好奇心，对他人计算机网络系统资源进行毁坏、窃取，利用网络系统中的安全漏洞威胁网络资源的安全性。而计算机网络安全管理是管理系统的主要功能之一，通过相关管理工具与管理人员，维护计算机网络环境的信息安全。由于计算机网络系统的安全意外问题频频发生，对网络系统的深邃发展造成了严重影响，因此加强计算机网络系统安全管理的方法与工具研究具有十分重要的现实应用意义。通常，计算机网络系统安全性最薄弱的环节存在于网络系统维护、设计以及配置等生命周期当中，与人、环境与软硬件设施等相关因素密切相关。因计算机网络系统整体安全水平都要遵循水桶原则，所以网络管理工作具有庞大且复杂性较高的特性，需要一套完善且高效的安全管理模式进行控制。

从技术层面来看，全面的计算机网络安全管理技术主要包括灾害修复、安全审计、数据加密以及用户访问控制等。虽然数据加密技术是处理网络安全问题的有效措施，但是加密技术却需要投入大量的时间与金钱，在实际应用过程中还会对用户造成一定的影响。而网络系统防火端的应用可以在企业内部网络和计算机网络之间建立起一道较为安全的防护层，对企业内部网络之外的不合法数据包进行拦截阻断，从而提高网络入侵的难度。随着互联网技术与网络元件等相关技术的快速升级与发展，防火墙的缺点也逐渐凸显出来。对此，应用入侵检测系统是一种安全监视和审计的工具，也是实现网络安全管理的重要方法。计算机网络环境中的入侵系统主要由以下几部分组成：

2.1 用户界面

通常情况下，用户界面可以看作是入侵检测系统的操作控制台，用户可以应用此控制系统来分配管理活动，对计算机网络系统的操作行为进行合理控制，并且还可以充分利用入侵检测系统的输出结果来浏览最终的输出结果，从而获取相应的警报信息。

2.2 分析与响应设备

此部分主要是以信息数据库当中的信息作为对象标准，对审计数据进行分析与比较，从而将获得的分析报告上交到控制中心进行审核处理。如果出现了系统入侵行为，那么就会采取相应的对策来进行处理并提出科学合理的处理建议。

2.3 参照信息数据库

该系统组成部分可以针对能够被分析器理解的标准信息功能部件进行存储与维护。由于计算机网络信息数据库当中的信息内容具有多样化特点属性，不仅包括各种类型的图示、常用短语与状态变迁规则，同时也包含着一些经验阈值、统计特点以及关系式等。由此可见，计算机信息数据库当中所存储的内容十分重要，既是入侵检测系统对入侵迹象的了解，也是判断信息系统入侵情况的检测标准。

2.4 探测设备

作为一种功能部件，探测器一般会分布在一台或多台计算机网络系统以及相应设备当中，它主要是结合相应的要求对用户、服务、网络信息系统以及数据流信息进行采集，将他们组合成相应格式的标准审计数据，递交到分析与响应设备中进行科学计算处理。

3 可扩展的计算机网络信息安全管理技术应用

3.1 安全事件诊断技术

此技术主要研究方向就是行为攻击和系统诊断技术、攻击行为分类方法以及攻击行为分析等。

3.2 物证获取与攻击行为跟踪技术

此技术可以针对向计算机网络信息系统发起攻击的攻击源进行记录与定位，为后期处理提供有效依据，主要防范对象为网络诈骗攻击、攻击之后的物证获取以及攻击事件有效记录等。

3.3 动态防御与快速响应技术

此技术属于计算机网络系统攻击行为的动态防护技术研究。具体包括网络攻击抵抗技术、攻击隐藏技术以及网络攻击特殊工具方案分析等。而快速响应技术主要是指计算机网络信息系统在受到攻击之后，能够在最短的时间内将系统破坏程度降到最低。其防范技术主要包括自动防御技术、警报技术、自动预警技术以及禁止缓冲技术等。因为计算机网络安全问题一般都具有较高的严重性，入侵检测系统又是网络安全管理的重要工具之一，所以一直被科研院所机构、政府部门以及企业单位重点关注。然而当前入侵检测系统在实际应用过程中存在一定的不足之处，所以在后续研究过程中，将对高效的检测技术进行深入探索。

4 计算机网络环境入侵检测系统存在的问题与发展方向

从目前实际情况来看，计算机网络协议当中的安全隐患、复杂系统设计以及BUG 等问题在互联网环境中普遍存在，并且自动化程度较高且威力较强的入侵工具不断出现，在多方面因素的影响下，计算机网络信息系统面临着十分严重的威胁。而计算机网络信息系统的安全防护工作需要多方面人员的共同参与，需要一个包含预防、检测以及响应等多功能内容为一体的安全防护体系。而计算机安全入侵检测系统的研究目的就是为了能够实现及时且精准的入侵检测，从而在短时间内采取相应的响应策略，组织网络安全入侵或将入侵所带来的危害程度降到最低。虽然关于计算机网络入侵检测系统的研究持续了较长时间，市面上关于此方面的产品丰富多样，但是从当前介绍与分析情况来看，与计算机网络信息系统所面临的威胁相比，计算机网络入侵检测系统检测依据的构建与使用、入侵响应以及审计数据收集等工作的可靠性依然有待提高。在外界各种因素的影响下，当前计算机网络入侵检测系统的检测精准率并不理想，频繁的错误警报问题导致大量关键信息被淹没，从而无法实现警示的作用，漏报问题也会明显降低用户的安全感，甚至对计算机网络入侵检测系统的安全防护效果造成了严重影响，必须要从多方面展开研究来处理这些问题。

4.1 检测技术

伴随着互联网技术的普及应用与快速发展，入侵者的入侵技术也变得越来越庞杂顽强，入侵方式也开始变得复杂多样化，而计算机网络入侵检测系统当前还缺少高效的检测依据应用方法。各种新的应用都在随着入侵方式的不断增加而变得越来越多，对InfoDB 内容进行调整，提高入侵检测能力的方法显然十分被动，这也是当前入侵检测系统误报情况较多的原因之一。对此，必须要扩展问题处理的思路，应用较为先进的学科技术，将多种方法融汇在一起，从而掌握计算机入侵检测系统的正常状态特征，建立起较为精准且方便使用的检测依据，这也是计算机入侵检测系统未来的关键性研究问题之一。

4.2 入侵检测性能

计算机网络入侵检测系统的固有处理速度是影响其系统检测系统的重要原因之一，如果探测设备SE 的速度较慢，那么就很难实现完整的审计数据收集，A&R 速度较慢也无法提供及时的检测与响应，从而增加了入侵者破坏审计数据与干扰审计数据的来源，甚至还会增加计算机入侵检测系统本身遭受攻击的概率。伴随着计算机数据处理能力的不断提高，入侵检测系统的处理能力也会变得越来越强，但是此时的网络规模也会变得越来越大，信息传递速度十分明显，主机系统和网络系统所需要的审计数据大幅度增加。另外InfoDB 信息量也在不断增加，这也就代表着入侵检测系统可以及时处理的数据量通常都在10-30Mbps 范围之内，并且100M 的以内网目前十分流行。为了能够获得较为完整的审计信息并展开及时检测，研究高性能的计算机网络入侵检测系统十分必要。当前关于提高入侵检测系统速度的方法有很多，譬如快速的探测器、分布式结构以及快速规则匹配方法等。在这些方法当中，分布式结构可以持续提高计算机网络入侵检测系统的检测性能，使该方法受到了重点关注使用。

4.3 Honeypot

为了能够获取更加广泛且切实的审计数据，在现代化计算机网络入侵检测系统中，除了简单的检测服务系统执行之外，还添加了honeypot，这也是一款全新的入侵检测系统，也被称之为蜜罐系统，其中Blackhat 组织与CyberCop Sting组织的honeynet 在一些得到严密监视的主机系统与网络环境中，设置了很多看似脆弱的系统，或者提供了一些已知服务的漏洞，其目的就是为了设置陷阱捕获不法入侵者，从而进行更好地记录与分析，完成辅助取证。虽然当前出现了很多相关商业产品，但是在此领域中存在很多备受争议的地方，赞成者认为它可以有效获取更加精准的入侵者信息。而反对的一方则认为故意暴露在入侵者面前的安全漏洞系统实际上提高了入侵行为的机率。因此，为了能够克服计算机网络入侵检测系统中的诸多问题，众多关于分布式入侵检测系统的研究结果已经表明系统未来的发展方向就是分布式入侵检测系统。

5 基于分布式Web服务器技术的分布式网络管理系统

在Web 技术的支持下，计算机网络管理系统得到了全新的应用平台，但是对系统服务器也提出了更高的性能要求，计算机网络管理系统结构如果设计不合理，那么就会导致其性能发展受到阻碍，对大型网络管理的推广与应用十分不利。

5.1 相关工作

在实际需求的驱动作用下，关于大型计算机网络系统的管理设计研究已持续了很长时间，优良的性能与扩展性成为了大型计算机网络系统管理的基本要求。虽然Web 技术的应用成为了必然发展趋势，但是以Web 技术为基础的网络管理系统性能与扩展性的不足，导致其系统依然无法取代传统管理软件来应用到大规模的复杂网络系统当中。而处理这一问题的常用方法就是汇集空间与时间尺度上的网元网管信息，对被管理对象进行合理分组，从而完成整体管理。例如：某系统公司引入了全新的抽象机制，对用于ISO 系统管理的信息抽象语言展开了研究，提高了计算机网络管理系统的可扩展性。并且还尝试利用被管理对象或设备分组来提高计算机网络管理系统的可扩展性，某种以信息汇集为基础的可扩展网管框架模型如图1 所示。

图1：一种以信息汇集为基础的可扩展网络框架模型

另外，利用移动代理技术与Java 技术还可以提出一种基于信息汇集的可扩展网络管理系统框架模型，网络管理人员可以利用此模型来任意组合管理对象，将各个组成部分结合成一个整体来实现管理，具体结构示意图如图2 所示。

图2：具备中间层管理者的Web 计算机网络管理系统

除了信息粒度问题以外，传统关于提高计算机网络管理性能与扩展性的研究，主要将重点放在了系统对设备的管理能力方面。计算机网络管理系统是网络管理人员实施有效管理的工具，所以网络管理系统主要有两项任务：一是需要系统与被管理对象进行交互，从而便于监控。二是要提供有好的人机界面，对网络管理人员信息查询以及网络操作等命令进行搜索，提供处于管理状态的网络信息。另外，可扩展性也是计算机网络管理系统在设计与部署过程中需要重点考虑探究的问题。特别是随着当前网络规模的不断扩大，所能提供的服务种类也在不断增加，需要管理的网元也变得越来越多。并且，计算机网络管理系统用户所提出的个性化需求也越来越复杂。所以，探索出能够构建扩展性良好的灵活Web计算机网络管理系统具有十分重要的现实意义与应用价值。而提高Web 服务器性能的分布式技术最新进展也为相关研究提供了全新的发展平台。

5.2 基于CARD-DWSS的计算机网络管理系统

以Web 技术为基础的计算机网络管理系统指的就是网络管理系统与技术相结合的产物。可以综合这两方面的领域来探索出一种优秀的研究成果，建立起一个可扩展性良好且带有Web 技术的CARD-DWSS 分布式网络管理系统，此系统由多种不同的服务器共同分担计算机网络设备的管理工作，利用分层管理方法来扩大管理网络系统的规模。与此同时，通过设置一个具备内容识别功能的用户请求分配器，可以为用户与管理系统的交互提供前端机，在其组织下，不同的服务器可以分担网络管理系统和用户的交互工作，为用户提供一个具备单一映像的操作界面，结合实际需求来为用户提供不同粒度的计算机管理信息。另外，此系统还可以在全面提高计算机网络管理系统扩展性的同时，减少网络管理数据在系统中大量传播所带来的带宽消耗。

5.3 管理域URL映射与前端机CARD方法

在计算机网络管理系统用户界面子系统当中，管理域的规划分配可以利用Web 服务器当中的虚拟文件目录结构，将不同服务器所提供的管理活动、由不同的网络管理服务器来提供Web 服务器目录下的所有内容，在分配器当中存储一个简单的URL 关系对照表，如图3 所示。也就是可以根据用户所发出的请求来转发到相应的网络管理服务器。并且不同服务器只需要将虚拟目录映射为本地的真实目录即可。目前，大部分Web 服务器都可以支持这一功能，只需要完成简单配置就可执行。

图3：某计算机系统管理层与管理域划分示意图

在情况理想的前提下，计算机网络管理系统中的各个服务器都会为用户带来满意的回应，而由处理用户发出请求的网络管理服务器则直接会叫送到用户端浏览器上，利用LARD、SCARD 以及TB-CCRD 等扩展性优良的CARD 技术。因为当前市场环境中所存在的成熟CARD 产品几乎都是以代理模式为基础。所以如果性能可以满足具体实际要求，为了获得简便的效果，可以利用现有的产品来充当分配器，这时服务器所提出的回应也将再次发送给用户。

6 结束语

综上所述，经过长时间的发展，互联网已成为了社会广泛应用的基础设施。人们日常工作与生活；政府单位与企业的运行发展都离不开计算机网络系统。同时，随着人们对计算机网络系统性能、可靠性以及安全性等方面提出经度纬度的要求越来越严格，网络管理人员需要改变传统简单的操作方式来管理计算机网络系统，从而满足用户的多元化具体实际需求。因此具备良好可扩展性的计算机网络管理技术成为了当前研究的重点方向之一。