高曉波

摘 要：論文對(duì)網(wǎng)絡(luò)流量異常問(wèn)題進(jìn)行了分析，首先給出了實(shí)例情況，然后對(duì)異常分析的方法主要從技術(shù)層面進(jìn)行了探索。

關(guān)鍵詞：網(wǎng)絡(luò)監(jiān)控；網(wǎng)絡(luò)異常；系統(tǒng)攻擊；計(jì)算機(jī)系統(tǒng)；流量

1 從一次流量異常談起

網(wǎng)絡(luò)流量的異常，能夠?yàn)榫W(wǎng)絡(luò)故障的發(fā)生、安全的攻擊提供良好的信息來(lái)實(shí)現(xiàn)監(jiān)控、報(bào)警。當(dāng)前網(wǎng)絡(luò)的安全問(wèn)題是不能忽視的。在2013年的5月19日，就在我國(guó)的互聯(lián)網(wǎng)世界碰到了嚴(yán)重的故障。一直自晚上10點(diǎn)到第二天凌晨，包括江蘇、安徽、廣西、海南、甘肅、浙江六省在內(nèi)所有網(wǎng)民都感到了網(wǎng)速奇慢，然后無(wú)法訪問(wèn)internet。一直第二天情況才得到好轉(zhuǎn)，網(wǎng)絡(luò)恢復(fù)正常。通過(guò)調(diào)查發(fā)現(xiàn)原來(lái)兩家游戲網(wǎng)站的商業(yè)不道德內(nèi)斗，一家雇黑客向競(jìng)爭(zhēng)對(duì)手的DNS域名托管商DNSPod發(fā)起攻擊的，使得對(duì)手陷入癱瘓。在操作過(guò)程中，多臺(tái)木馬電腦向DNSPod進(jìn)行狂轟濫炸，目的達(dá)到了，然而服務(wù)器順帶托管著的國(guó)內(nèi)13萬(wàn)家網(wǎng)站域名也受到了攻擊，最終一連串的連鎖反應(yīng)導(dǎo)致了這場(chǎng)悲劇。

網(wǎng)絡(luò)流量的異常引發(fā)了人們深深的思考，這是最后一次嗎？事情遠(yuǎn)沒(méi)有畫(huà)上一個(gè)休止符，那么網(wǎng)絡(luò)使用者、管理者以及技術(shù)開(kāi)發(fā)人員，到底應(yīng)該如何防范這來(lái)勢(shì)兇猛的異常流量攻擊，才能保證信息的安全，這是一個(gè)極為重要的問(wèn)題。

2 異常流量種類與數(shù)據(jù)包

2.1 異常流量

總的看來(lái)，能夠使得網(wǎng)絡(luò)發(fā)生重大問(wèn)題的異常網(wǎng)絡(luò)流量有下面的一些方面：首先是拒絕服務(wù)攻擊，這是危害極大，也極為常見(jiàn)的一種，稱為DoS。再者，還有一種是分布式的拒絕服務(wù)攻擊，也被稱作是DDoS。其次是網(wǎng)絡(luò)蠕蟲(chóng)病毒流量，以及相應(yīng)別的異常流量。這些網(wǎng)絡(luò)的異常流量，能夠引發(fā)骨干網(wǎng)絡(luò)的減速、癱瘓，有著巨大的危害和破壞力，主要表現(xiàn)形式是帶寬的占用、網(wǎng)絡(luò)的阻塞，無(wú)法發(fā)送正常數(shù)據(jù)而導(dǎo)致的經(jīng)常性的丟包現(xiàn)象等等。除了對(duì)于網(wǎng)絡(luò)，針對(duì)各個(gè)服務(wù)器計(jì)算機(jī)乃至終端系統(tǒng)來(lái)說(shuō)，網(wǎng)絡(luò)異常流量會(huì)導(dǎo)致大量CPU時(shí)間片和內(nèi)存空間的占用，無(wú)法正常響應(yīng)需求服務(wù)。針對(duì)這個(gè)問(wèn)題，需要構(gòu)建網(wǎng)絡(luò)流量異常的分析系統(tǒng)，進(jìn)行良好的預(yù)警、報(bào)警和流量處理功能。

2.2 異常流量數(shù)據(jù)包構(gòu)成

從理論上來(lái)講，任何正常的數(shù)據(jù)包形式如果被大量濫用，都會(huì)產(chǎn)生異常流量，例如DNS正常訪問(wèn)請(qǐng)求數(shù)據(jù)包（協(xié)議類型53）如果大量發(fā)生，就會(huì)產(chǎn)生對(duì)DNS服務(wù)器的DoS攻擊。但相關(guān)異常流量數(shù)據(jù)，構(gòu)成上一般有如下方面：TCP SYN flood，典型特征是數(shù)據(jù)包協(xié)議類型為6（TCP），數(shù)據(jù)流大小為40字節(jié)。ICMP flood，他們是數(shù)據(jù)包協(xié)議類型為1（ICMP），單個(gè)數(shù)據(jù)流字節(jié)數(shù)達(dá)218M字節(jié)。UDP flood，出現(xiàn)特點(diǎn)在于數(shù)據(jù)包協(xié)議類型為17（UDP），數(shù)據(jù)流有大有小。除此以外，仍然存在一些不是特別常見(jiàn)的異常流量數(shù)據(jù)。

3 網(wǎng)絡(luò)流量分析的主要功能

3.1 基本分析

對(duì)于其承擔(dān)的主要，應(yīng)該包含有網(wǎng)絡(luò)流量中信息包的抓取，而且應(yīng)該能依照相關(guān)的技術(shù)標(biāo)準(zhǔn)、協(xié)議，數(shù)據(jù)來(lái)源與去向進(jìn)行多廣度和多維度的分析，而這些數(shù)據(jù)采集能夠依靠相關(guān)NetFlower、sFlow、NetStream、端口鏡像等的。具體說(shuō)來(lái)，流量的異常分析中應(yīng)該涵蓋如下的方面：⑴提供流向分析、協(xié)議層次分析、應(yīng)用分析等功能；⑵提供終端流量矩陣視圖、TCP連接會(huì)話矩陣視圖；⑶支持對(duì)P2P、IM（即時(shí)消息）、VoIP等應(yīng)用層協(xié)議進(jìn)行分析。⑷提供各種排名分析。

3.2 全面分析

對(duì)于高級(jí)使用者，還應(yīng)該支持SNMP、BGP、SPAN、CLI、NAP 等方式，對(duì)路由設(shè)備狀態(tài)、路由表項(xiàng)、動(dòng)態(tài)路由協(xié)議交互、IP/MAC影射、MAC/Port影射、原始報(bào)文內(nèi)容等進(jìn)行實(shí)時(shí)采集，把鏈路流量圖式和網(wǎng)元節(jié)點(diǎn)狀態(tài)同時(shí)納入到系統(tǒng)分析基礎(chǔ)數(shù)據(jù)庫(kù)中并在二者之間進(jìn)行高度關(guān)聯(lián)分析，不僅大幅度提高流量分析結(jié)果的準(zhǔn)確率（如通過(guò)流量分析得出的“流量異常”表象往往有可能是由于網(wǎng)元設(shè)備錯(cuò)誤策略配置等內(nèi)在因素所誘發(fā)的），而且通過(guò)對(duì)網(wǎng)元設(shè)備的主動(dòng)分析/調(diào)節(jié)還可較精確的定位異常流量來(lái)源并有效緩解其影響。如果是一個(gè)成熟的商業(yè)分析產(chǎn)品，更是應(yīng)該能夠通過(guò)這些分析過(guò)程自動(dòng)生成設(shè)備接通率、設(shè)備性能趨勢(shì)、設(shè)備故障、設(shè)備總流量、設(shè)備接通率、服務(wù)器存活率、線路連通率等日、周、月、季、年報(bào)表。特別存在異常流量，能夠保證分析的速度特性，第一時(shí)間找到存在著ARP病毒湖綜合蠕蟲(chóng)以及BT等等多種異常流量的數(shù)據(jù)流，這樣就能防止破壞損失的進(jìn)一步發(fā)展。

4 實(shí)現(xiàn)方式

實(shí)現(xiàn)上應(yīng)該劃分為收集器以及控制器等不同部分。前者通過(guò)流量收集，進(jìn)一步達(dá)到特征提取/建模。而這個(gè)功能模塊隸屬于系統(tǒng)的低層，是系統(tǒng)面向網(wǎng)元設(shè)備的接口單元并進(jìn)行數(shù)據(jù)上收和格式轉(zhuǎn)換、特征提取等預(yù)處理操作；后者通過(guò)模式分析、策略響應(yīng)來(lái)為機(jī)交互打下基礎(chǔ)，屬于用戶層面。具體可以劃分為如下模塊：⑴流量流向分析：提供客戶網(wǎng)絡(luò)范圍內(nèi)的流量及成分統(tǒng)計(jì)、數(shù)據(jù)流向分析、信息熱點(diǎn)排名等基礎(chǔ)數(shù)據(jù)；⑵異常流量檢測(cè)：可按照客戶指定基線進(jìn)行異常流量檢測(cè)；⑶異常流量抑制：在異常流量檢測(cè)服務(wù)的基礎(chǔ)之上，系統(tǒng)將對(duì)檢測(cè)到的異常流量進(jìn)行自動(dòng)干預(yù)；⑷異常流量?jī)艋哼^(guò)濾網(wǎng)關(guān)之間按照指定接口協(xié)議進(jìn)行交互，以獲得過(guò)濾網(wǎng)關(guān)對(duì)被牽引流量的處理。

[參考文獻(xiàn)]

[1]舒炎泰，王雷，張連芳，薛飛，金志剛.OliverYang.基于FARIMA模型的Internet網(wǎng)絡(luò)業(yè)務(wù)預(yù)報(bào)[J].計(jì)算機(jī)學(xué)報(bào)，2001（01）.

[2]Marina Thottan，Chuanyi Ji.Statistical Detection of Enterprise Network Problems[J].Journal of Network and Systems Management，1999（1）.

[3]郁繼鋒.基于數(shù)據(jù)挖掘的Web應(yīng)用入侵異常檢測(cè)研究[D].華中科技大學(xué)，2011.

[4]王新良.僵尸網(wǎng)絡(luò)異常流量分析與檢測(cè)[D].北京郵電大學(xué)，2011.