網(wǎng)絡(luò)流量檢測分析技術(shù)研究

查黃英

(西安文理學(xué)院，陜西 西安 710065)

網(wǎng)絡(luò)流量檢測分析技術(shù)研究

查黃英

(西安文理學(xué)院，陜西 西安 710065)

摘要：隨著社會的不斷發(fā)展與進(jìn)步，互聯(lián)網(wǎng)已經(jīng)在人們的生產(chǎn)生活中逐漸普及，經(jīng)常會需要了解網(wǎng)絡(luò)的運行情況，所以網(wǎng)絡(luò)流量分析技術(shù)應(yīng)運而生。在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境中，需選用網(wǎng)絡(luò)流量分析技術(shù)對網(wǎng)絡(luò)進(jìn)行檢測和管理，特研究了幾種不同的網(wǎng)絡(luò)流量分析關(guān)鍵技術(shù)。

關(guān)鍵詞：網(wǎng)絡(luò)；流量分析；流量采集

當(dāng)今世界，互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，利用網(wǎng)絡(luò)漏洞對網(wǎng)絡(luò)進(jìn)行攻擊、篡改的事件也頻頻發(fā)生，需要對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行監(jiān)測和分析，查找出網(wǎng)絡(luò)異常，進(jìn)而解決網(wǎng)絡(luò)中存在的問題，所以本文研究了幾種不同的網(wǎng)絡(luò)流量檢測技術(shù)。

1網(wǎng)絡(luò)流量采集技術(shù)[1-5]

1.1Sflow 技術(shù)

Sflow是由InMon、HP和Foundry Networks于2001年聯(lián)合開發(fā)的一種網(wǎng)絡(luò)監(jiān)測技術(shù)，它能夠?qū)崟r提供的采樣數(shù)據(jù)進(jìn)行分析，從而在整個網(wǎng)絡(luò)中以連續(xù)實時的方式完全監(jiān)視每一個端口，但不需要鏡像監(jiān)視端口，且基本上不會對網(wǎng)絡(luò)性能造成巨大的影響。這種方式主要通過Sflow 數(shù)據(jù)采集器或者分析器和Sflow 代理2個主要組成部分來實現(xiàn)，其中，Sflow 代理通常是以嵌入到網(wǎng)絡(luò)設(shè)備芯片中的方式進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)流采集(不需要再安裝部署額外的探測器)，再將采集的數(shù)據(jù)傳輸?shù)?Sflow分析器，Sflow 分析器對其數(shù)據(jù)進(jìn)行處理便可以實現(xiàn)網(wǎng)絡(luò)流量的分析與統(tǒng)計。采集的信息包括：MAC地址、IP地址、服務(wù)類型和端口統(tǒng)計等。Sflow還能使用不同的采樣率，對交換機或僅對其中一些端口實施監(jiān)視，保證了設(shè)計管理方案時的靈活性。

1.2SNMP 協(xié)議

SNMP屬于基于TCP/IP的互聯(lián)網(wǎng)網(wǎng)管協(xié)議，它對承載信息的消息格式等進(jìn)行了標(biāo)準(zhǔn)化的定義。由于基于SNMP的流量采集分析就是通過SNMP協(xié)議訪問設(shè)備獲取信息，所以要求網(wǎng)絡(luò)設(shè)備支持 SNMP 協(xié)議。目前，大多數(shù)廠商的產(chǎn)品都兼容 SNMP 標(biāo)準(zhǔn)，包括IBM和HP等大公司，它能對互聯(lián)網(wǎng)上不同廠家、不同類型的設(shè)備進(jìn)行監(jiān)控和管理，已成為網(wǎng)絡(luò)管理信息交換事實上的工業(yè)標(biāo)準(zhǔn)。SNMP 協(xié)議主要通過GetSetTrap 3種服務(wù)獲取相關(guān)信息，Get服務(wù)的作用是獲得特定的網(wǎng)絡(luò)管理信息；Set服務(wù)的作用是對信息進(jìn)行設(shè)置；Trap服務(wù)作用是對重要的事件進(jìn)行報告。

1.3Netflow 協(xié)議

NetFlow協(xié)議由Cisco公司開發(fā)推出，它是Cisco設(shè)備NLOS軟件中內(nèi)嵌的一種功能，是Cisco私有協(xié)議，目前已經(jīng)在很多Cisco 路由器上得到部署，隨著Cisco產(chǎn)品在業(yè)界的廣泛使用，Netflow逐漸成為業(yè)界認(rèn)可的一種標(biāo)準(zhǔn)，很多廠家也對Netflow進(jìn)行了兼容。

在 Netflow 協(xié)議中的Flow 被定義為一個源IP地址A和目的IP地址B間的單一方向連續(xù)的數(shù)據(jù)流，也就是說，A、B兩點之間的網(wǎng)絡(luò)連接會有2條Flow記錄，一條是由A到B的單向Flow記錄，另一條是由B到A的單向Flow記錄。網(wǎng)絡(luò)設(shè)備通過以下的7個參數(shù)對Flow進(jìn)行區(qū)分，即源 IP 地址、目的IP地址、源端口號、目的端口號、路由器輸入接口、協(xié)議種類和服務(wù)種類。

Netflow檢測數(shù)據(jù)包的過程如圖1所示，Netflow技術(shù)能對區(qū)分出的每個Flow進(jìn)行單獨的跟蹤，記錄其信息。Netflow將網(wǎng)絡(luò)流量記錄到設(shè)備的高速緩存中，進(jìn)而提供網(wǎng)絡(luò)流量檢測。因為設(shè)備內(nèi)的高速緩存空間是有一定限制的，而Flow 記錄卻是持續(xù)增加的，它不能容納Flow 記錄的無限制增加；因此，為能夠更好地維護(hù)網(wǎng)絡(luò)設(shè)備中儲存 Flow 信息的空間，要對Netflow 協(xié)議實施終結(jié) Flow 記錄機制。這種方法實際上是對Flow記錄緩存來進(jìn)行管理。

圖1　Netflow檢測數(shù)據(jù)流過程

筆者查閱相關(guān)文獻(xiàn)發(fā)現(xiàn)還提及到2種檢測技術(shù)。第1種是RMON技術(shù)，其由SNMP MIB擴展而來，有2個版本：RMONⅠ和RMONⅡ。這2個版本并不矛盾，RMONⅡ是對RMONⅠ進(jìn)行了補充，RMONⅠ只檢測MAC及以下的數(shù)據(jù)包，RMONⅡ增加了檢測的內(nèi)容，擴大了檢測的范圍。RMON技術(shù)的實現(xiàn)方式有2種：一種是將RMON代理植入到網(wǎng)絡(luò)設(shè)備中，另一種是成為一種單獨的網(wǎng)絡(luò)設(shè)備——探針。本文不單獨將這種技術(shù)列出闡述。第2種是主機系統(tǒng)中的采集技術(shù)，包括基于零拷貝的報文捕獲技術(shù)和于網(wǎng)絡(luò)協(xié)議棧的報文捕獲技術(shù)，它們分別通過其支撐接口PF_RING和libpcap來實現(xiàn)。該技術(shù)不能看到全網(wǎng)范圍的流量情況，故本文也不做具體闡述。此外還有經(jīng)常提及和使用的MRTG，它是一種基于SNMP協(xié)議的網(wǎng)絡(luò)流量監(jiān)控管理軟件，不能和上述幾種技術(shù)并列討論。

2流量采集的特點

1)適應(yīng)性強。由于網(wǎng)絡(luò)具有多樣性和異構(gòu)性的特點，且報文類型也多種多樣，這就要求流量采集技術(shù)能適應(yīng)不同的網(wǎng)絡(luò)，對各種網(wǎng)絡(luò)數(shù)據(jù)都能進(jìn)行檢測和分析。

2)快速高效。采集不是最終目的，最終目的是通過流量采集分析網(wǎng)絡(luò)中存在的問題，并能進(jìn)行防御處理，這就要求采集技術(shù)快速高效；同時，進(jìn)行流量采集是為了對網(wǎng)絡(luò)進(jìn)行分析，不能影響原有網(wǎng)絡(luò)的性能和速度。

33種流量采集技術(shù)對比分析

Sflow不具備實時分析能力，它是通過設(shè)置一定的采樣率進(jìn)行捕獲，對網(wǎng)絡(luò)性能影響較小。SNMP配置簡單，費用低，但無法進(jìn)行深層次的收集分析，且對網(wǎng)絡(luò)性能會產(chǎn)生影響，不適合復(fù)雜的網(wǎng)絡(luò)。Netflow是Cisco公司的私有協(xié)議，分析的范圍有限，且費用較貴，會對網(wǎng)絡(luò)性能造成影響。在實際工作中，應(yīng)根據(jù)網(wǎng)絡(luò)自身情況和工作要求選擇合適的采集技術(shù)，對數(shù)據(jù)流進(jìn)行采集后，下一步就要進(jìn)行分析，從而判斷這種網(wǎng)絡(luò)行為是否合法，會不會對網(wǎng)絡(luò)造成影響，下述就來探討一下網(wǎng)絡(luò)流量分析技術(shù)。

4網(wǎng)絡(luò)流量分析技術(shù)

4.1DPI 技術(shù)

DPI(deep packct inspection，深度包檢測)不僅分析IP包的4層以下的內(nèi)容,包括源端口、目的端口、目的地址、源地址,而且還增加了應(yīng)用層分析,通過分析識別各種應(yīng)用甚至是用戶的行為,如圖2所示。由于只有在應(yīng)用層才有表示協(xié)議信息的數(shù)據(jù)，且DPI可以對多數(shù)協(xié)議進(jìn)行識別，所以它實際上是一種基于應(yīng)用層的流量檢測和控制技術(shù)，運用DPI 技術(shù)進(jìn)行網(wǎng)絡(luò)流量分析時，在準(zhǔn)確讀取了 IP 包載荷內(nèi)容的基礎(chǔ)上，重組 OSI 7層協(xié)議中的應(yīng)用層信息，并由此得到整個應(yīng)用程序內(nèi)容。

圖2　DPI概念圖

基于 DPI 技術(shù)擁有一個應(yīng)用特征的數(shù)據(jù)庫和掃描方法，每當(dāng)采集到數(shù)據(jù)，它都會進(jìn)行分析并和應(yīng)用數(shù)據(jù)庫進(jìn)行比對，如果存在就能確定應(yīng)用類型，不存在則要更新數(shù)據(jù)庫；所以，這種技術(shù)需要長期對應(yīng)用數(shù)據(jù)庫進(jìn)行更新、維護(hù)，且要進(jìn)行逐包拆包操作，并和特征數(shù)據(jù)庫進(jìn)行對比，可以對流量中的具體應(yīng)用類型和協(xié)議做到較為準(zhǔn)確的識別，但缺點是處理速度較慢。

4.2DFI 技術(shù)

DFI(deep flow inspection，深度流行為檢測)也是一種典型的業(yè)務(wù)識別技術(shù)，它與DPI的差別在于DFI采用的是一種基于流量行為的應(yīng)用識別技術(shù)。通過對包長序列、包長范圍、包長重復(fù)、包數(shù)統(tǒng)計和報文收發(fā)比等進(jìn)行統(tǒng)計分析， 并和流量模型進(jìn)行比對，從而鑒別出應(yīng)用類型。

根據(jù)一系列流量的行為特征，建立了流量特征模型，在對話連接流的包長、連接速率等進(jìn)行分析的基礎(chǔ)上，將其與流量模型進(jìn)行對比，從而鑒別出應(yīng)用類型。如果接收到的數(shù)據(jù)流平均包長>450 b，連接速率高，通過分析比對，可以判斷它是P2P流，而不是RTP流。這是根據(jù)不同應(yīng)用類型在會話連接或數(shù)據(jù)流上的狀態(tài)也存在差異而進(jìn)行的判斷，但是這種鑒別只能是籠統(tǒng)分類，對該流量采用何種協(xié)議無法判斷，且受網(wǎng)絡(luò)情況影響較大，如果網(wǎng)絡(luò)擁塞，出現(xiàn)錯誤，則需要重傳，包長、會話時間將發(fā)生變化，從而影響DFI的判斷，可能會出現(xiàn)偏差、失誤，優(yōu)點是速度快，效率高。

5結(jié)語

網(wǎng)絡(luò)流量采集技術(shù)為網(wǎng)絡(luò)流量分析的實現(xiàn)提供了重要的數(shù)據(jù)資源，為能夠更好的分析當(dāng)前復(fù)雜網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)流量情況，本研究主要分析了3種網(wǎng)絡(luò)流量采集方法及2種具體的網(wǎng)絡(luò)流量分析技術(shù)，望能夠為有效實現(xiàn)對互聯(lián)網(wǎng)流量分析與控制提供參考。

參考文獻(xiàn)

[1] 閆曉艷.分布式網(wǎng)絡(luò)流量分析系統(tǒng)的研究與實現(xiàn)[D].濟(jì)南：山東大學(xué)， 2014.

[2] 董超.基于網(wǎng)絡(luò)流量監(jiān)測的移動互聯(lián)網(wǎng)特征研究[D].北京：北京郵電大學(xué)，2013.

[3] 劉巖.網(wǎng)絡(luò)流量控制若干關(guān)鍵技術(shù)研究[D].上海：復(fù)旦大學(xué),2004.

[4] 陳曉天.基于軟計算的IP網(wǎng)絡(luò)流量監(jiān)測和控制關(guān)鍵技術(shù)研究[D].南京：南京郵電大學(xué),2013.

[5] 蔣紅艷.基于流量監(jiān)控的網(wǎng)絡(luò)性能優(yōu)化關(guān)鍵技術(shù)研究[D].長沙：湖南大學(xué),2010.

責(zé)任編輯李思文

Analysis of Network Traffic Detection Technology

ZHA Huangying

(Xi’an University, Xi’an 710065, China)

Abstract:With the continuous development and progress of society, the Internet has been increasingly widely used in people's production and life, it is necessary to understand the operation of the network, so network traffic analysis technology was introduced. In the complex network environment, often need choose the network traffic analysis techniques to detect and manage it, the paper studied several different network traffic analysis of key technologies.

Key words:network, traffic analysis, traffic collection

收稿日期：2014-12-03

作者簡介：查黃英(1981-)，女，碩士，主要從事計算機網(wǎng)絡(luò)等方面的研究。

中圖分類號：TP 393

文獻(xiàn)標(biāo)志碼：A