馬東

〔摘 要〕網絡運行的管理及維護，很大程度上都依賴于對網絡流量參數的監(jiān)測。本文在當前高校圖書館網絡發(fā)展現狀的大背景下，通過網絡流量監(jiān)測系統(tǒng)，對高校圖書館教育網絡進行了實時流量監(jiān)測，在對圖書館的交換機、路由器和服務器等設備進行流量監(jiān)控的同時，使我們在第一時間發(fā)現網絡異常流量，并對這個結果進行分析研究，以期達到保障數字圖書館安全運轉的目的。

〔關鍵詞〕網絡異常；MRTG；網絡流量

1 概 述

1.1 網絡異常概念

在正常的網絡秩序下，每個網絡活動的參與者遵照網絡協(xié)議使用網絡，從網絡中獲取信息，參與網絡交流。但是正如現實社會中會發(fā)生異常事故及犯罪行為一樣，在網絡社會中也存在由于網絡故障、網絡非法活動導致網絡中的部分功能失?；蛲Ｖ狗盏默F象。

網絡異常（Anomaly）是指網絡行為出現與之偏離的情形?！罢！币馕吨駨某B(tài)或者說常規(guī)典型的模型，沒有出乎我們想象，在意料之中的狀態(tài)。遵循我們給其設定的水準或模式[1]。而“異?！币馕吨霈F了與“正?！毕喾吹那樾?，違背了我們的期望?！罢！毙袨闀捎诰W絡環(huán)境的變化而改變，例如會隨著網絡的動態(tài)變化、噪音等隨之改變。

網絡設備出現故障、配置不正確、網絡過載、遭受掃描和攻擊、中毒等，都會引起網絡的異常。按照網絡異常的原因可以分為兩類[2]：第一類是網絡故障和性能問題引發(fā)的異常；第二類是與網絡安全相關的異常。

網絡故障相關異常是網絡設備、端口、鏈路等發(fā)生故障時導致的網絡行為異常，如某條鏈路速率的瞬間增高或降低。這時候鏈路流量通常會發(fā)生陡峭的或者幾乎是瞬時的變化。例如網絡設備端口故障或者鏈路突然中斷，會導致鏈路速率立刻下降為0；網絡設備故障會導致相關的鏈路流量下降為0；路由配置錯誤可能導致某條鏈路的流量突然變大。這類異?？梢杂伞岸盖偷摹被蛘邘缀跏撬查g的改變明顯地識別出來。

網絡性能相關異常一般是由于用戶的訪問量突然增大或設備配置錯誤所導致的網絡擁擠。比如高校的選修課報名，學生們都在一個時間段對服務器進行訪問，這樣就會導致報名服務器的訪問量突然增大，如果服務器配置不高，網絡帶寬不夠的話，就會出現流量超負荷的現象；報文使用不當引發(fā)廣播風暴，路由器和交換機出現環(huán)路這都會導致網絡負荷過大，設備性能下降或者癱瘓。此類的異?，F象表現出的數據集會激增或者說在一個時間段內的流量突然變化。

網絡安全相關異常指利用網絡安全漏洞進行的網絡掃描、攻擊、病毒等。

網絡掃描也叫安全漏洞掃描，是對已知或未知的目標進行探測。這是黑客常利用的方法，當掃描到能夠被其所利用的系統(tǒng)漏洞的時候，再進行攻擊破壞。其表現的方式是一個源地址對單個或多個IP地址，或其不同端口進行發(fā)送數據。網絡掃描是常見的網絡異常行為。

拒絕服務攻擊（Denial of Service，DoS），為什么叫拒絕服務呢？凡是造成合法用戶不能正常訪問網絡服務的行為都可算是拒絕服務攻擊。拒絕服務攻擊的目的就是要阻止合法用戶的正方訪問，以達到攻擊者的非法目的。攻擊者對服務器發(fā)送大量數據包，使服務器的資源耗盡，造成網絡擁塞或者服務器癱瘓，從而不能對用戶的請求及時應答。也就是對服務器的網絡資源、CPU、內存、系統(tǒng)連接數進行耗盡，直至服務器無法相應請求。

分布式拒絕服務攻擊（Distributed Denial of Service，DDoS）可以說DOS是DDOS的前身，但DDOS和DOS是有所不同的，DDOS側重于通過許多肉機（被入侵過或可間接利用的主機）同時向攻擊目標發(fā)送大量的請求數據包。攻擊的主機越多，發(fā)送的數據包數量就越多，數據包如洪水般涌向受害主機，對合法用戶的數據包進行淹沒，導致合法用戶無法使用服務器的資源。

蠕蟲病毒利用操作系統(tǒng)和應用程序的漏洞進行傳播。網絡病毒不但會對個人主機造成危害，并且病毒會主動從互聯網上下載更新更多的病毒，并主動傳播，可以造成局域網內的大量主機中毒，在傳播的過程中，病毒會掃描網絡，探測漏洞并主動攻擊，會大量占用網絡帶寬資源，導致網絡擁塞。

網絡異常會嚴重影響網絡性能，造成網絡擁塞，嚴重的甚至會造成網絡中斷，服務停止。對此應迅速做出響應，及時發(fā)現問題并給予保障有效運行的措施。

傳統(tǒng)的網絡安全技術側重于企業(yè)用戶網絡的系統(tǒng)入侵檢測、防病毒軟件或防火墻，這類安全措施通常只能檢測到已知的網絡入侵行為，而由于互聯網中網絡異常行為的多變性、復雜性，這類系統(tǒng)只能在一定程度上防止網絡中的入侵行為。

異常檢測的思想是首先建立用戶正常的行為模式，并且假定所有入侵行為都是與正常行為不同的。在每一次用戶行為產生后，都將其測量值與其正常的行為模式進行比較，當活動行為模式與正常行為模式發(fā)生顯著偏離時即認為是異常，從而觸發(fā)相應機制，向管理員提出警告，或主動做出有關反應。異常檢測不關注于具體的入侵行為，通用性較強，而且可以發(fā)現未知的攻擊模式。

異常檢測系統(tǒng)的結構一般包括3個部分[3]：數據獲取、建模、檢測。異常檢測是個分析的過程，系統(tǒng)的分析是建立在持續(xù)地監(jiān)測對象并對對象的活動進行記錄。在分布式的環(huán)境下，這些活動信息將被融合在一起并進行預處理。

數據獲取模塊是異常檢測系統(tǒng)中的根基，它主要負責提取受保護系統(tǒng)的數據單元，系統(tǒng)中傳輸的數據，完成數據的收集和預處理工作，為檢測模塊提供基礎的源數據，是檢測系統(tǒng)的數據收集器。

建模和檢測是系統(tǒng)的核心部分。建模是對對象行為特征進行學習，產生對象正常使用模式，最終獲得檢測對象的正常行為。形成模型后用來評測新的異常事件，測量他們和新建模型的偏離度。檢測模塊對采集到的數據建立一個特征模式，然后對這個采集到的模式與建立的模式進行比對，如果超出既定模式的范圍，就認定為異常行為，并產生警告信息。如沒有超出，就重新對這個行為進行學習，并和以前的既定模式進行組合形成新的模式。由于用戶行為是不斷演化的，因此用戶行為模式必須被定期重構，提供適應新環(huán)境的機制。

網絡異常檢測的目標是發(fā)現網絡或系統(tǒng)中的異常行為，保護網絡和網絡中的主機，減少病毒和黑客對計算機和網絡造成的危害。它的對象可以是一臺主機也可以是大規(guī)模網絡集。網絡異常檢測的數據來源包括以下幾種。

（1）主機日志：用來審計使用計算機人員對計算機操作行為的記錄。例如：用戶登錄、修改和訪問文件，調用系統(tǒng)程序等行為。

（2）SNMP信息：通過SNMP和RMON協(xié)議獲得網絡設備的流量統(tǒng)計信息，如端口出入字節(jié)數、端口出入數據報文數、錯誤數據報文數等信息。

（3）主動測量數據：通過主動測量獲得網絡性能數據，監(jiān)視網絡運行狀況。

（4）流量數據：監(jiān)測網絡中的各種流量信息，對其進行特征分析，發(fā)現網絡中的異常行為。這些流量數據可以是Netflow格式的流數據，也可以是包含完整數據報文或報文頭的原始報文數據?？梢灾粚σ粋€網段的流量數據進行分析，也可以同時對多個網段的數據進行關聯分析，對全網的異常狀況進行檢測。

（5）路由數據：監(jiān)視路由器BGP、OSPF等路由更新信息，分析網絡異常。

在網絡安全方面，異常檢測是網絡入侵檢測的一種重要手段，是入侵檢測系統(tǒng)的主要研究方向。在入侵檢測領域的一個基本而且重要的假設是：異常事件從安全角度來看都是可疑的，或者說有害的；異常檢測的前提是假設異常行為包含入侵行為，但是在正常/異常和無害/入侵的概念之間存在著本質的區(qū)別，入侵行為和異常行為在實際的網絡環(huán)境下往往不是一對一的關系。這樣的情況是經常發(fā)生的：假設我們在設置路由器的時候不小心發(fā)生了環(huán)路，造成網絡不通，它并不是入侵行為，但它卻是異常行為情況。因此入侵和異常檢測結果之間會出現4種可能。

（1）入侵但非異常：活動行為是入侵，但并沒有顯示出異常。這種情形是與異常檢測的前提相違背的。系統(tǒng)根本不能探測到此類活動，因此系統(tǒng)會產生錯誤報告，顯示系統(tǒng)沒有被入侵。

（2）非入侵但異常：活動是非入侵性的，但是檢測系統(tǒng)判斷它是異常的，并報告它是入侵性的，這種情況下檢測系統(tǒng)錯誤地報告了入侵性。

（3）非入侵非異常：活動是非入侵性的，異常檢測系統(tǒng)也判斷該活動行為是正常行為。異常檢測系統(tǒng)可以正確地對這類行為做出判斷。

（4）入侵且異常：活動行為是入侵行為，異常檢測系統(tǒng)也檢測到其行為模式偏離了正常的行為模式，系統(tǒng)顯示為異常。系統(tǒng)檢測到的結果正是我們想得到的信息。

各項網絡技術的發(fā)展和應用大大增加了系統(tǒng)誤報的概率，即使系統(tǒng)模型十分完美的情況下也會出現誤報和漏報的問題。

2 網絡異常實例分析

當我們突然感覺到網速下降，或訪問不了服務器，等等突發(fā)影響我們利用圖書館網絡資源的情況發(fā)生， 那么我們就需要查看網絡了，需要我們找到問題和解決問題。

有一次，我們感覺上網的速度比平常慢了挺多，以為是圖書館電子閱覽室的上網人員增多所致。但是查看閱覽室的出口流量和以往的流量差不多，在80M左右。但是通過基于SNMP協(xié)議的MRTG流量監(jiān)控系統(tǒng)一看總出口流量卻在180M左右，這個流量比以往的流量大出了好多，肯定是網絡出現了問題，查看各個端口的流量，最后發(fā)現了癥結所在。原來是圖書館一臺服務器被非法入侵了，被用做了游戲服務器，導致網絡流量激增。圖1就是那臺服務器的MRTG流量圖，服務器流量瞬間突增到100M。圖1 中毒服務器流量圖

進行殺毒和系統(tǒng)安全設置，排除故障。圖2 中毒前服務器每月流量統(tǒng)計圖表

通過對比我們就可以發(fā)現問題，對服務器長時間的監(jiān)控會形成一個定量，這個定量就是我們對比的依據，所測的數據比較以往數據的平均值高出多少，或低于多少，什么值算是正常范圍，經過長時間的測量我們就會根據本單位的實際情況得出一個定值。

3 結 語

在基于網絡異常流量分析技術的基礎上，通過對圖書館的數據流入和流出量進行監(jiān)控和分析，經過長時間的監(jiān)控對圖書館網絡流量形成了一個定量，這些流量數值在一個常量的范圍內，當流量數值和這個定量出現比較大的差異時就說明網絡異常的出現，經實踐證明通過異常流量的分析，能夠及時的發(fā)現網絡出現的問題，縮短了查找故障點和排除故障的時間。

參考文獻

[1]Maxion R A，Feather F E.A case study of Ethernet anomalies in a distributed computing environment[J].IEEE Transactions on Reliability，1990，39（4）：433-443.

[2]Thottan M，Ji C.Anomaly detection in IP networks[J].IEEE Transactions on Signal Processing，2003，51（8）：2191-2204.

[3]Estevez-Tapiador J M，Garcia-Teodoro P，Diaz-Verdejo J E.Anomaly detection methods in wired networks：a survey and taxonomy[J].Computer Communications，2004，27（16）：1569-1584.

（本文責任編輯：孫國雷）