網(wǎng)絡(luò)流量監(jiān)測(cè)及異常流量分析技術(shù)

【摘要】互聯(lián)網(wǎng)技術(shù)的快速發(fā)展極大地改變了我們的生活方式，隨著各種網(wǎng)絡(luò)應(yīng)用對(duì)有限的網(wǎng)絡(luò)帶寬的不斷占用，加強(qiáng)網(wǎng)絡(luò)管理，保證網(wǎng)絡(luò)的暢通與安全運(yùn)轉(zhuǎn)顯得尤為重要。在對(duì)網(wǎng)絡(luò)的管理中，采用不同方式的流量監(jiān)測(cè)手段對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)，并對(duì)其中的異常流量進(jìn)行統(tǒng)計(jì)和分析，可以幫助網(wǎng)絡(luò)管理人員了解對(duì)網(wǎng)絡(luò)中的帶寬占用以及用戶(hù)網(wǎng)絡(luò)行為特征。為網(wǎng)絡(luò)帶寬的合理分配、帶寬資源的有效合理利用和網(wǎng)絡(luò)中不安全因素的發(fā)現(xiàn)和控制提供保障。

【關(guān)鍵詞】流量監(jiān)測(cè) 異常流量 分析

前言：互聯(lián)網(wǎng)的快速發(fā)展已經(jīng)融入我們的生活中，成為我們與外界溝通獲取信息的主要方式之一，各種網(wǎng)絡(luò)應(yīng)用的普及極大的方面了人民群眾生活，與此同時(shí)，網(wǎng)絡(luò)犯罪與互聯(lián)網(wǎng)病毒也嚴(yán)重影響著我們?nèi)粘＞W(wǎng)絡(luò)生活的安全。如何在保障網(wǎng)絡(luò)安全的前提下，進(jìn)一步的發(fā)展普及網(wǎng)絡(luò)應(yīng)用，提高網(wǎng)絡(luò)利用率，保證網(wǎng)絡(luò)運(yùn)營(yíng)的穩(wěn)定和效益成為網(wǎng)絡(luò)時(shí)代網(wǎng)絡(luò)管理中亟待解決和發(fā)展的問(wèn)題。網(wǎng)絡(luò)流量是影響和反應(yīng)網(wǎng)絡(luò)性能的重要因素，通過(guò)對(duì)網(wǎng)絡(luò)流量的監(jiān)測(cè)，掌握網(wǎng)絡(luò)流量中接口索引、源 ip地址、目的ip 地址等標(biāo)識(shí)性元素，以此作為網(wǎng)絡(luò)管理人員維護(hù)、優(yōu)化網(wǎng)絡(luò)性能、滿(mǎn)足特定客戶(hù)服務(wù)需求的數(shù)據(jù)依據(jù)。同時(shí)可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量，通過(guò)切斷信息流的措施來(lái)減少和避免由于網(wǎng)絡(luò)病毒和惡意攻擊帶來(lái)的損失，保障網(wǎng)絡(luò)的使用安全。

一、現(xiàn)行的網(wǎng)絡(luò)流量統(tǒng)計(jì)技術(shù)

近年來(lái)，網(wǎng)絡(luò)科技的不斷發(fā)展，基于“信息流”的理論的不斷提出，為網(wǎng)絡(luò)流量的監(jiān)測(cè)工作帶來(lái)了很大的提高。我們不再局限于原始的基于數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)流量統(tǒng)計(jì)方法，更多的是采用對(duì)信息流標(biāo)識(shí)性特征監(jiān)測(cè)的流量監(jiān)測(cè)方法，極大地促進(jìn)了流量監(jiān)測(cè)技術(shù)的發(fā)展。

(一)Netstream技術(shù)。高速發(fā)展的網(wǎng)絡(luò)技術(shù)為網(wǎng)絡(luò)用戶(hù)提高了更好的帶寬條件，同時(shí)也加大了網(wǎng)絡(luò)流量統(tǒng)計(jì)的數(shù)據(jù)量，正是面對(duì)著龐大數(shù)據(jù)量給網(wǎng)絡(luò)服務(wù)企業(yè)帶來(lái)的成本和服務(wù)壓力，netstream網(wǎng)絡(luò)流量統(tǒng)計(jì)技術(shù)被華為公司提出，這是一種利用用戶(hù)路由器或交換機(jī)將通過(guò)的數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)和分析，以信息“流”的形式上報(bào)給網(wǎng)流采集器，并經(jīng)網(wǎng)流分析器分析后存入數(shù)據(jù)庫(kù)。Netstream是通過(guò)七元組來(lái)作為標(biāo)識(shí)的，通過(guò)對(duì)接口索引、源 ip地址、目的ip 地址、源端口號(hào)、目的端口號(hào)、協(xié)議號(hào)和tos組成信息流的統(tǒng)計(jì)和分析來(lái)做出網(wǎng)絡(luò)應(yīng)用的流量管理，并為網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用提供管理、計(jì)時(shí)和計(jì)費(fèi)工作。

（二）Netflow技術(shù)。是一種可以實(shí)現(xiàn)高速數(shù)據(jù)流統(tǒng)計(jì)的網(wǎng)絡(luò)層高性能交換技術(shù)。由著名的網(wǎng)絡(luò)設(shè)備供應(yīng)商思科公司研發(fā)推廣使用，由于思科產(chǎn)品的市場(chǎng)占有率以及netflow的相對(duì)優(yōu)勢(shì)，netflow以逐步成為網(wǎng)絡(luò)流量監(jiān)測(cè)分析的公認(rèn)標(biāo)準(zhǔn)。它通過(guò)網(wǎng)絡(luò)設(shè)備中用于ip數(shù)據(jù)流統(tǒng)計(jì)芯片（ASIC）完成對(duì)網(wǎng)絡(luò)數(shù)據(jù)包傳輸?shù)慕y(tǒng)計(jì)，利用相鄰數(shù)據(jù)包的相同目的地ip的特點(diǎn)，采用cache快速抓取機(jī)制，通過(guò)對(duì)數(shù)據(jù)包的標(biāo)頭部分的分析來(lái)獲取單向的“flow”流量資料。通過(guò)對(duì)七元組信息流的采集和管理，并進(jìn)行統(tǒng)計(jì)和分析，用七元組屬性和區(qū)分和辨別網(wǎng)絡(luò)數(shù)據(jù)流是否屬于被記錄的flow，并對(duì)新的flow進(jìn)行記錄，同事netflow也定義了終結(jié)flow記錄的機(jī)制，以充分利用有限的高速緩存空間。Netflow技術(shù)通過(guò)對(duì)網(wǎng)絡(luò)信息流進(jìn)行計(jì)時(shí)、計(jì)量，并統(tǒng)計(jì)網(wǎng)絡(luò)數(shù)據(jù)的來(lái)源、傳送方向、和目的地來(lái)作為網(wǎng)絡(luò)流量監(jiān)管的原始數(shù)據(jù)。

（三）SFlow技術(shù)。同樣作為一種高速交換網(wǎng)絡(luò)流量監(jiān)測(cè)技術(shù)，sFlow由InMon公司提出。Sflow系統(tǒng)由收集器、分析器、和代理組成，利用嵌入路由器或交換機(jī)的asic作為代理，采用數(shù)據(jù)流隨機(jī)采樣技術(shù)，對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行基于數(shù)據(jù)包統(tǒng)計(jì)采樣和時(shí)間采樣的獨(dú)立采樣，實(shí)時(shí)不間斷的使用不同的采樣率完成萬(wàn)兆高速網(wǎng)絡(luò)數(shù)據(jù)流量的監(jiān)測(cè)?？稍诔缶W(wǎng)絡(luò)的環(huán)境下提供第二層至第四層的流量信息，在經(jīng)過(guò)技術(shù)改進(jìn)和拓展后，可以完成整個(gè)網(wǎng)絡(luò)流量的監(jiān)視工作，對(duì)于端口密度大的設(shè)備和干線(xiàn)鏈路的監(jiān)測(cè)尤為有效。

二、網(wǎng)絡(luò)異常流量的監(jiān)測(cè)和分析

網(wǎng)絡(luò)病毒、黑客攻擊以及局域網(wǎng)內(nèi)部的攻擊實(shí)質(zhì)上都是通過(guò)發(fā)送大量的無(wú)效的網(wǎng)絡(luò)數(shù)據(jù)的發(fā)送導(dǎo)致網(wǎng)絡(luò)癱瘓的過(guò)程。這種大量的、集中的。突然的網(wǎng)絡(luò)流量數(shù)據(jù)反映在網(wǎng)絡(luò)監(jiān)測(cè)數(shù)據(jù)庫(kù)中就是異常網(wǎng)絡(luò)流量。 對(duì)于網(wǎng)絡(luò)流量監(jiān)測(cè)的意義來(lái)說(shuō)，通過(guò)對(duì)網(wǎng)絡(luò)異常流量的進(jìn)行分析發(fā)現(xiàn)影響網(wǎng)絡(luò)安全的網(wǎng)絡(luò)病毒及黑客攻擊行為并對(duì)其進(jìn)行阻止同樣是網(wǎng)絡(luò)流量監(jiān)測(cè)中的重要內(nèi)容。作為一項(xiàng)成熟的網(wǎng)絡(luò)流量分析系統(tǒng)，當(dāng)網(wǎng)絡(luò)中出現(xiàn)大量的、具有相同源iP地址、與用戶(hù)行為習(xí)慣不符的flow信息時(shí)，即開(kāi)始對(duì)其進(jìn)行分析監(jiān)測(cè)、追蹤和分析，記錄flow信息的七元組信息，找出異常流量發(fā)生的準(zhǔn)確原因，當(dāng)確定網(wǎng)絡(luò)異常流量的產(chǎn)生原因確實(shí)為惡意攻擊或網(wǎng)絡(luò)病毒時(shí)，采用相應(yīng)的解決方法，以控制網(wǎng)絡(luò)病毒的傳播，減少網(wǎng)絡(luò)用戶(hù)的損失，保障網(wǎng)絡(luò)的暢通和安全。

三、常見(jiàn)的異常流量處理方法

對(duì)于網(wǎng)絡(luò)中存在的異常流量信息流，我們可以從源ip、信息流傳輸過(guò)程的角度采用一種或多種控制方法進(jìn)行有效的疏導(dǎo)和控制。（1）切斷源ip的鏈接.通過(guò)對(duì)異常流量分析重得到的源ip地址，切斷源ip地址的物理鏈接是最有效的流量控制手段。（2）在流量傳輸過(guò)程中控制。我們還可以通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備中ACL控制列表的設(shè)置，實(shí)現(xiàn)對(duì)具有異常流量flow七元組標(biāo)識(shí)的信息流的過(guò)濾。（3）利用路由器、交換機(jī)中的控制功能。我們可以利用CAR功能限定異常流量的速率或者通過(guò)設(shè)置目標(biāo)ip為空的方法阻止異常流量的訪(fǎng)問(wèn)。

四、網(wǎng)絡(luò)流量監(jiān)測(cè)工作的進(jìn)一步發(fā)展

隨著日新月異的互相網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)流量監(jiān)測(cè)技術(shù)也會(huì)有所進(jìn)步，在采用先進(jìn)技術(shù)手段的基礎(chǔ)上，配合完善的網(wǎng)絡(luò)流量監(jiān)測(cè)反應(yīng)體系，才能更好地完成網(wǎng)絡(luò)監(jiān)管工作。

1.加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)建設(shè)。加強(qiáng)網(wǎng)絡(luò)系統(tǒng)的防護(hù)是保障網(wǎng)絡(luò)安全平穩(wěn)運(yùn)營(yíng)的基礎(chǔ)，確定合理的網(wǎng)絡(luò)使用結(jié)構(gòu)，在每一級(jí)網(wǎng)絡(luò)網(wǎng)絡(luò)上加設(shè)安全可靠的防火墻來(lái)保護(hù)網(wǎng)絡(luò)系統(tǒng)不被非法占用。

2.加強(qiáng)異常流量的監(jiān)控和控制。選擇實(shí)用于自身網(wǎng)絡(luò)狀況的監(jiān)測(cè)方法，建立合適的預(yù)警機(jī)制，當(dāng)異常流量產(chǎn)生時(shí)，及時(shí)對(duì)異常流量進(jìn)行控制和疏導(dǎo)，通過(guò)切斷網(wǎng)絡(luò)設(shè)備鏈接及采用car功能控制等方法減少異常流量對(duì)網(wǎng)絡(luò)帶寬的影響。

3.加強(qiáng)企業(yè)間的合作。建立廣泛的、高質(zhì)量的技術(shù)交流合作平臺(tái)，加強(qiáng)在網(wǎng)絡(luò)安全問(wèn)題處理中的協(xié)同合作和經(jīng)驗(yàn)交流，共同構(gòu)建一個(gè)健康穩(wěn)定的網(wǎng)絡(luò)環(huán)境。

結(jié)語(yǔ)：在網(wǎng)絡(luò)流量數(shù)據(jù)量越來(lái)越大，傳輸速度越來(lái)越快的背景下，我們利用flow技術(shù)來(lái)提高網(wǎng)絡(luò)管理工作的質(zhì)量，完成網(wǎng)絡(luò)流量的實(shí)時(shí)不間斷監(jiān)測(cè)，對(duì)異常流量進(jìn)行分析，及時(shí)對(duì)異常流量采取控制措施，保障了網(wǎng)絡(luò)用戶(hù)信息安全和網(wǎng)絡(luò)安全。

參考文獻(xiàn)：

[1]戴輝.基于數(shù)據(jù)流的網(wǎng)絡(luò)流量建模研究與實(shí)現(xiàn)[J].數(shù)字技術(shù)與應(yīng)用，2009.07.

[2] 周耀勝. 網(wǎng)絡(luò)流量分析技術(shù)的應(yīng)用及方案比較.現(xiàn)代電信科技.2009，07.

[3] 穆斌，武俊喜，樊莉. 網(wǎng)絡(luò)流量監(jiān)測(cè)及異常流量分析技術(shù). 信息系統(tǒng)工程，2011.09:81-82.