網(wǎng)絡流量的異常及其分析研究

高曉波

摘 要：論文對網(wǎng)絡流量異常問題進行了分析，首先給出了實例情況，然后對異常分析的方法主要從技術層面進行了探索。

關鍵詞：網(wǎng)絡監(jiān)控；網(wǎng)絡異常；系統(tǒng)攻擊；計算機系統(tǒng)；流量

1 從一次流量異常談起

網(wǎng)絡流量的異常，能夠為網(wǎng)絡故障的發(fā)生、安全的攻擊提供良好的信息來實現(xiàn)監(jiān)控、報警。當前網(wǎng)絡的安全問題是不能忽視的。在2013年的5月19日，就在我國的互聯(lián)網(wǎng)世界碰到了嚴重的故障。一直自晚上10點到第二天凌晨，包括江蘇、安徽、廣西、海南、甘肅、浙江六省在內所有網(wǎng)民都感到了網(wǎng)速奇慢，然后無法訪問internet。一直第二天情況才得到好轉，網(wǎng)絡恢復正常。通過調查發(fā)現(xiàn)原來兩家游戲網(wǎng)站的商業(yè)不道德內斗，一家雇黑客向競爭對手的DNS域名托管商DNSPod發(fā)起攻擊的，使得對手陷入癱瘓。在操作過程中，多臺木馬電腦向DNSPod進行狂轟濫炸，目的達到了，然而服務器順帶托管著的國內13萬家網(wǎng)站域名也受到了攻擊，最終一連串的連鎖反應導致了這場悲劇。

網(wǎng)絡流量的異常引發(fā)了人們深深的思考，這是最后一次嗎？事情遠沒有畫上一個休止符，那么網(wǎng)絡使用者、管理者以及技術開發(fā)人員，到底應該如何防范這來勢兇猛的異常流量攻擊，才能保證信息的安全，這是一個極為重要的問題。

2 異常流量種類與數(shù)據(jù)包

2.1 異常流量

總的看來，能夠使得網(wǎng)絡發(fā)生重大問題的異常網(wǎng)絡流量有下面的一些方面：首先是拒絕服務攻擊，這是危害極大，也極為常見的一種，稱為DoS。再者，還有一種是分布式的拒絕服務攻擊，也被稱作是DDoS。其次是網(wǎng)絡蠕蟲病毒流量，以及相應別的異常流量。這些網(wǎng)絡的異常流量，能夠引發(fā)骨干網(wǎng)絡的減速、癱瘓，有著巨大的危害和破壞力，主要表現(xiàn)形式是帶寬的占用、網(wǎng)絡的阻塞，無法發(fā)送正常數(shù)據(jù)而導致的經(jīng)常性的丟包現(xiàn)象等等。除了對于網(wǎng)絡，針對各個服務器計算機乃至終端系統(tǒng)來說，網(wǎng)絡異常流量會導致大量CPU時間片和內存空間的占用，無法正常響應需求服務。針對這個問題，需要構建網(wǎng)絡流量異常的分析系統(tǒng)，進行良好的預警、報警和流量處理功能。

2.2 異常流量數(shù)據(jù)包構成

從理論上來講，任何正常的數(shù)據(jù)包形式如果被大量濫用，都會產生異常流量，例如DNS正常訪問請求數(shù)據(jù)包（協(xié)議類型53）如果大量發(fā)生，就會產生對DNS服務器的DoS攻擊。但相關異常流量數(shù)據(jù)，構成上一般有如下方面：TCP SYN flood，典型特征是數(shù)據(jù)包協(xié)議類型為6（TCP），數(shù)據(jù)流大小為40字節(jié)。ICMP flood，他們是數(shù)據(jù)包協(xié)議類型為1（ICMP），單個數(shù)據(jù)流字節(jié)數(shù)達218M字節(jié)。UDP flood，出現(xiàn)特點在于數(shù)據(jù)包協(xié)議類型為17（UDP），數(shù)據(jù)流有大有小。除此以外，仍然存在一些不是特別常見的異常流量數(shù)據(jù)。

3 網(wǎng)絡流量分析的主要功能

3.1 基本分析

對于其承擔的主要，應該包含有網(wǎng)絡流量中信息包的抓取，而且應該能依照相關的技術標準、協(xié)議，數(shù)據(jù)來源與去向進行多廣度和多維度的分析，而這些數(shù)據(jù)采集能夠依靠相關NetFlower、sFlow、NetStream、端口鏡像等的。具體說來，流量的異常分析中應該涵蓋如下的方面：⑴提供流向分析、協(xié)議層次分析、應用分析等功能；⑵提供終端流量矩陣視圖、TCP連接會話矩陣視圖；⑶支持對P2P、IM（即時消息）、VoIP等應用層協(xié)議進行分析。⑷提供各種排名分析。

3.2 全面分析

對于高級使用者，還應該支持SNMP、BGP、SPAN、CLI、NAP 等方式，對路由設備狀態(tài)、路由表項、動態(tài)路由協(xié)議交互、IP/MAC影射、MAC/Port影射、原始報文內容等進行實時采集，把鏈路流量圖式和網(wǎng)元節(jié)點狀態(tài)同時納入到系統(tǒng)分析基礎數(shù)據(jù)庫中并在二者之間進行高度關聯(lián)分析，不僅大幅度提高流量分析結果的準確率（如通過流量分析得出的“流量異常”表象往往有可能是由于網(wǎng)元設備錯誤策略配置等內在因素所誘發(fā)的），而且通過對網(wǎng)元設備的主動分析/調節(jié)還可較精確的定位異常流量來源并有效緩解其影響。如果是一個成熟的商業(yè)分析產品，更是應該能夠通過這些分析過程自動生成設備接通率、設備性能趨勢、設備故障、設備總流量、設備接通率、服務器存活率、線路連通率等日、周、月、季、年報表。特別存在異常流量，能夠保證分析的速度特性，第一時間找到存在著ARP病毒湖綜合蠕蟲以及BT等等多種異常流量的數(shù)據(jù)流，這樣就能防止破壞損失的進一步發(fā)展。

4 實現(xiàn)方式

實現(xiàn)上應該劃分為收集器以及控制器等不同部分。前者通過流量收集，進一步達到特征提取/建模。而這個功能模塊隸屬于系統(tǒng)的低層，是系統(tǒng)面向網(wǎng)元設備的接口單元并進行數(shù)據(jù)上收和格式轉換、特征提取等預處理操作；后者通過模式分析、策略響應來為機交互打下基礎，屬于用戶層面。具體可以劃分為如下模塊：⑴流量流向分析：提供客戶網(wǎng)絡范圍內的流量及成分統(tǒng)計、數(shù)據(jù)流向分析、信息熱點排名等基礎數(shù)據(jù)；⑵異常流量檢測：可按照客戶指定基線進行異常流量檢測；⑶異常流量抑制：在異常流量檢測服務的基礎之上，系統(tǒng)將對檢測到的異常流量進行自動干預；⑷異常流量凈化：過濾網(wǎng)關之間按照指定接口協(xié)議進行交互，以獲得過濾網(wǎng)關對被牽引流量的處理。

[參考文獻]

[1]舒炎泰，王雷，張連芳，薛飛，金志剛.OliverYang.基于FARIMA模型的Internet網(wǎng)絡業(yè)務預報[J].計算機學報，2001（01）.

[2]Marina Thottan，Chuanyi Ji.Statistical Detection of Enterprise Network Problems[J].Journal of Network and Systems Management，1999（1）.

[3]郁繼鋒.基于數(shù)據(jù)挖掘的Web應用入侵異常檢測研究[D].華中科技大學，2011.

[4]王新良.僵尸網(wǎng)絡異常流量分析與檢測[D].北京郵電大學，2011.