唐　遜（中國(guó)移動(dòng)通信集團(tuán)遼寧有限公司，沈陽(yáng) 110179）

基于網(wǎng)絡(luò)異常流量監(jiān)測(cè)和溯源方案的研究

唐遜
（中國(guó)移動(dòng)通信集團(tuán)遼寧有限公司，沈陽(yáng) 110179）

隨著通信產(chǎn)業(yè)的發(fā)展，網(wǎng)絡(luò)質(zhì)量和穩(wěn)定性顯得愈發(fā)重要。DNS、SYN flood等網(wǎng)絡(luò)攻擊會(huì)占用現(xiàn)有的帶寬，影響網(wǎng)絡(luò)質(zhì)量，而傳統(tǒng)的防火墻又很難有效解決這類(lèi)網(wǎng)絡(luò)攻擊，因此，對(duì)網(wǎng)絡(luò)異常流量進(jìn)行監(jiān)測(cè)和溯源有著重要的意義。本文通過(guò)介紹網(wǎng)絡(luò)異常流量監(jiān)測(cè)和溯源分析系統(tǒng)的建設(shè)方案，闡述了系統(tǒng)的工作原理和實(shí)施方法，并結(jié)合當(dāng)前現(xiàn)網(wǎng)數(shù)據(jù)對(duì)系統(tǒng)的實(shí)施效果進(jìn)行了總結(jié)和展望。

網(wǎng)絡(luò)攻擊；流量監(jiān)測(cè)；溯源

近日發(fā)現(xiàn)某運(yùn)營(yíng)商在骨干互聯(lián)互通出口統(tǒng)計(jì)去往異網(wǎng)運(yùn)營(yíng)商方向上存在著大量的異常流量。這種網(wǎng)絡(luò)異常的行為，大量地消耗了網(wǎng)絡(luò)帶寬和系統(tǒng)資源，網(wǎng)絡(luò)擁塞使用戶(hù)無(wú)法正常訪問(wèn)互聯(lián)網(wǎng)資源，造成網(wǎng)絡(luò)癱瘓，同時(shí)也大大增加了互聯(lián)鏈路的結(jié)算成本。

因此運(yùn)營(yíng)商構(gòu)建異常流量的自動(dòng)監(jiān)測(cè)、溯源及清洗體系勢(shì)在必行。異常監(jiān)測(cè)和溯源分析系統(tǒng)即針對(duì)這個(gè)問(wèn)題，利用DPI（Deep Packet Inspection）手段能夠自動(dòng)發(fā)現(xiàn)由于流量突增而引發(fā)的網(wǎng)絡(luò)異常，定位出異常攻擊源IP，將信息發(fā)送給流控系統(tǒng)進(jìn)行流量封堵，同時(shí)根據(jù)溯源結(jié)果，協(xié)調(diào)相應(yīng)設(shè)備維護(hù)部門(mén)進(jìn)行整改，從根本上解決問(wèn)題，提升用戶(hù)體驗(yàn)。

1　異常判斷方式

1.1異常業(yè)務(wù)說(shuō)明

1.1.1DNS攻擊

DNS域名系統(tǒng)是因特網(wǎng)的一項(xiàng)核心服務(wù)，它將便于記憶的域名和IP地址相互映射，使人們更方便的訪問(wèn)互聯(lián)網(wǎng)，而省去了記憶那些被機(jī)器直接讀取的IP數(shù)串。但是由于DNS具有穩(wěn)定性和公開(kāi)性，加上緩存影響導(dǎo)致地址不能經(jīng)常變化，并且，DNS服務(wù)器都會(huì)為多個(gè)網(wǎng)站或者用戶(hù)提供服務(wù)，攻破一個(gè)服務(wù)器影響范圍非常大，因此常成為黑客攻擊的首選目標(biāo)。

1.1.2SYN flood攻擊

SYN flood攻擊也是目前使用最為廣泛的攻擊方式之一，它充分利用了TCP協(xié)議3次握手機(jī)制的特點(diǎn)，偽造大量的源IP和端口的SYN報(bào)文，每個(gè)IP在向服務(wù)器端發(fā)送第一個(gè)SYN報(bào)文后，不再繼續(xù)發(fā)送響應(yīng)報(bào)文，導(dǎo)致服務(wù)器端在發(fā)送SYN+ACK的響應(yīng)報(bào)文后，因?yàn)檫t遲收不到響應(yīng)報(bào)文而長(zhǎng)時(shí)間的保持TCP連接，最終導(dǎo)致服務(wù)器因?yàn)榇嬖诖罅康牟煌暾B接而資源耗盡，最終導(dǎo)致拒絕服務(wù)。

1.1.3ICMP flood攻擊

ICMP flood攻擊是典型的無(wú)狀態(tài)協(xié)議報(bào)文攻擊。UDP協(xié)議是無(wú)連接狀態(tài)不可靠的通道傳輸協(xié)議，本身不提供收消息反饋等機(jī)制，其通信的可靠性需要依靠其承載的應(yīng)用程序來(lái)進(jìn)行保證。黑客只需要偽造大量IP地址和小字節(jié)的UDP報(bào)文，針對(duì)特定的應(yīng)用服務(wù)器及其端口號(hào)，大量分組發(fā)送沖擊諸如DNS域名解析服務(wù)器、Radius認(rèn)證服務(wù)器、部分網(wǎng)絡(luò)游戲服務(wù)器及流媒體視頻服務(wù)器等。這些攻擊報(bào)文將導(dǎo)致目標(biāo)服務(wù)器始終處在繁忙狀態(tài)，從而影響正常UDP消息的處理。

收稿日期：2015-11-16

1.2異常業(yè)務(wù)識(shí)別技術(shù)原理

對(duì)于這些網(wǎng)絡(luò)攻擊，首先是能夠正確的識(shí)別。通過(guò)利用DPI（深度分組檢測(cè)技術(shù)），它是通過(guò)基于應(yīng)用層的流量檢測(cè)和控制技術(shù)。當(dāng)IP數(shù)據(jù)分組、TCP或者UDP數(shù)據(jù)流通過(guò)DPI設(shè)備時(shí)，它會(huì)深度解析IP分組載荷的內(nèi)容來(lái)對(duì)OSI 7層協(xié)議中的應(yīng)用層信息進(jìn)行重組，通過(guò)不同業(yè)務(wù)所攜帶的特征指紋進(jìn)行識(shí)別，從而得到整個(gè)業(yè)務(wù)的內(nèi)容。

以SYN攻擊為例，正常的SYN報(bào)文是沒(méi)有凈荷的，而當(dāng)發(fā)現(xiàn)SYN報(bào)文中攜帶了凈荷內(nèi)容，則視為異常攻擊報(bào)文。

1.3異常流量判斷方法

在日常中，我們認(rèn)為流量是呈現(xiàn)一定周期性和規(guī)律性的，但當(dāng)發(fā)現(xiàn)流量出現(xiàn)突增或突降時(shí)，即視為流量異常，可能出現(xiàn)疑似攻擊行為，需要結(jié)合對(duì)應(yīng)的業(yè)務(wù)特征來(lái)確定是屬于具體哪類(lèi)異常。

對(duì)于異常流量的判斷，需要通過(guò)兩步完成。首先獲取流量的規(guī)律性，即基線，之后找出與規(guī)律不相符的異常值。獲取規(guī)律性，主要查看隨著時(shí)間的變化，各類(lèi)可能存在異常的業(yè)務(wù)，如DNS等流量的變化情況，即時(shí)間和流量之間的關(guān)系。對(duì)于這種二維變量之間關(guān)系的研究，采用LOESS（局部加權(quán)回歸散點(diǎn)平滑法）是查看二維變量之間關(guān)系的一種比較好的方法。

LOSESS算法： Data=Seasonal（周期）+Trend（趨勢(shì)）+Remainder（噪聲），其中Seasonal即有規(guī)律曲線。

1.3.1LOESS算法介紹

LOESS主要思想是選取一定比例的局部數(shù)據(jù)，在這部分?jǐn)?shù)據(jù)中擬合多項(xiàng)式回歸曲線，這樣，便能觀察到數(shù)據(jù)在局部所展現(xiàn)出的規(guī)律以及趨勢(shì)。接下來(lái)，我們將局部范圍從左往右依次推進(jìn)，就能夠計(jì)算出一條連續(xù)的曲線。曲線的光滑程度與所選取數(shù)據(jù)比例相關(guān)，比例越少，擬合越不光滑，反之越光滑。

算法數(shù)學(xué)模型：

其中，O（t）是時(shí)間序列，β表示趨勢(shì)，αt是周期因素，p為周期。

算法最終返回的結(jié)果包括周期、趨勢(shì)和噪聲3個(gè)部分的分解值，參數(shù)含義如表1所示。即Data=Seasonal+ Trend+Remainder。

表1　參數(shù)含義示意圖

1.3.2流量與時(shí)間關(guān)系研究

總流量趨勢(shì)：選取6月10～24日數(shù)據(jù)進(jìn)行分析，以1min時(shí)間間隔粒度來(lái)查看網(wǎng)絡(luò)出口總流量和時(shí)間關(guān)系，獲取3部分分解值，如圖1所示。其中橫坐標(biāo)為時(shí)間，縱坐標(biāo)分別為出入境總流量、季節(jié)變動(dòng)、長(zhǎng)期趨勢(shì)、不規(guī)則變動(dòng)。

圖1　網(wǎng)絡(luò)出口流量示意圖

從圖1中獲知，以一天為周期，總流量呈現(xiàn)明顯的周期性。并且，總流量的總體趨勢(shì)趨于平穩(wěn)。

2　系統(tǒng)實(shí)施方案

2.1攻擊溯源流程

攻擊溯源主要由以下8個(gè)過(guò)程（如圖2所示）：數(shù)據(jù)輸入、生成基線、流量監(jiān)測(cè)、發(fā)現(xiàn)異常、異常告警、多維分析、異常處理和效果跟蹤。

（1）數(shù)據(jù)輸入：輸入日常流量數(shù)據(jù)，通過(guò)業(yè)務(wù)識(shí)別，獲取如SYN flood，NTP業(yè)務(wù)的流量。

（2）生成基線：通過(guò)前面介紹的異常流量判斷方法，先由輸入數(shù)據(jù)獲取各類(lèi)業(yè)務(wù)流量與時(shí)間的關(guān)系序列，發(fā)現(xiàn)其規(guī)律性，從而生成各類(lèi)業(yè)務(wù)的自有基線，也可人為進(jìn)行設(shè)置或調(diào)整。

（3）流量監(jiān)測(cè)：對(duì)所關(guān)注的病毒、攻擊類(lèi)業(yè)務(wù)進(jìn)行實(shí)時(shí)監(jiān)測(cè)。

（4）發(fā)現(xiàn)異常：利用大數(shù)據(jù)系統(tǒng)，存儲(chǔ)逐IP級(jí)的流量原始話單數(shù)據(jù)，當(dāng)檢測(cè)到流量突增突降時(shí)，可以定位到具體哪個(gè)IP異常。

（5）異常告警：系統(tǒng)可以將這個(gè)異常IP、異常業(yè)務(wù)通過(guò)郵件，告知相關(guān)人員，及時(shí)獲知流量異常信息。

（6）多維分析：通過(guò)查看異常IP的歷史情況、所屬用戶(hù)群，所屬業(yè)務(wù)、目的IP等情況，來(lái)精準(zhǔn)的判斷此IP是否為異常IP。

圖2　攻擊溯源流程示意圖

（7）異常處理：將異常流量監(jiān)測(cè)系統(tǒng)與流控系統(tǒng)對(duì)接，確認(rèn)為異常IP后，將異常IP信息下發(fā)給流控系統(tǒng)，進(jìn)行異常流量封堵。

（8）效果跟蹤：設(shè)備整改后進(jìn)行流量持續(xù)監(jiān)測(cè)與跟蹤，查看異常問(wèn)題是否解決。

通過(guò)以上8個(gè)步驟，完成異常IP的發(fā)現(xiàn)、分析、解決過(guò)程，從而達(dá)到異常流量監(jiān)測(cè)與攻擊溯源分析的目的。具體的實(shí)施方案如下。

2.2數(shù)據(jù)處理方案

系統(tǒng)使用Hadoop框架對(duì)存入HDFS中的原始話單數(shù)據(jù)進(jìn)行分析，生成本地報(bào)表，導(dǎo)入數(shù)據(jù)庫(kù)，通過(guò)Tomcat實(shí)現(xiàn)在Web頁(yè)面上呈現(xiàn)。用戶(hù)通過(guò)Web頁(yè)面獲得異常分析系統(tǒng)的分析結(jié)果。

系統(tǒng)的底層數(shù)據(jù)處理分析模塊包括控制模塊，預(yù)處理模塊，攻擊檢測(cè)模塊，攻擊行為分析模塊，后處理模塊。

（1）控制模塊：實(shí)現(xiàn)對(duì)另外幾個(gè)模塊的調(diào)用與異常處理。控制模塊當(dāng)檢測(cè)到有新的數(shù)據(jù)到來(lái)時(shí)，調(diào)用預(yù)處理模塊進(jìn)行資源文件的更新與攻擊檢測(cè)模塊檢測(cè)攻擊行為。當(dāng)發(fā)現(xiàn)了攻擊行為以后，調(diào)用攻擊行為分析模塊，對(duì)攻擊行為進(jìn)行分析。

（2）預(yù)處理模塊：主要負(fù)責(zé)資源文件的轉(zhuǎn)換與上傳，資源文件用于原始數(shù)據(jù)中部分字段的轉(zhuǎn)換，與攻擊檢測(cè)模塊工作設(shè)置。

（3）攻擊檢測(cè)模塊：攻擊檢測(cè)模塊讀取HDFS中的原始數(shù)據(jù)，檢測(cè)是否有網(wǎng)絡(luò)攻擊行為發(fā)生。攻擊檢測(cè)模塊檢測(cè)的網(wǎng)絡(luò)攻擊類(lèi)型為可插拔模式實(shí)現(xiàn)，可以通過(guò)修改資源文件，來(lái)實(shí)現(xiàn)不同攻擊行為的檢測(cè)。

圖3　控制模塊流程圖

（4）攻擊行為分析模塊：攻擊行為分析模塊實(shí)現(xiàn)了在攻擊行為發(fā)生的時(shí)候，對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行分析。目前實(shí)現(xiàn)了攻擊記錄的過(guò)濾與攻擊源的發(fā)現(xiàn)。

（5）后處理模塊：后處理模塊實(shí)現(xiàn)了更新下一次需要分析的文件名，并在本地創(chuàng)建Marker，用于將數(shù)據(jù)導(dǎo)入數(shù)據(jù)庫(kù)。

各個(gè)模塊間協(xié)作方式如圖3所示。

2.3系統(tǒng)功能設(shè)計(jì)

首先，輸入某出口流量數(shù)據(jù)，通過(guò)LOESS模型，獲取對(duì)應(yīng)出口流量模型，自動(dòng)生成流量基線。對(duì)各個(gè)流量基線，可以設(shè)定一定比例作為上限值，也可設(shè)定固定基線，形成流量閥值，當(dāng)某時(shí)刻流量觸發(fā)閥值即會(huì)發(fā)生告警。

用戶(hù)通過(guò)攻擊溯源系統(tǒng)對(duì)網(wǎng)絡(luò)提供實(shí)時(shí)監(jiān)測(cè)，通過(guò)業(yè)務(wù)識(shí)別，對(duì)話單中涉及SYN flood等攻擊業(yè)務(wù)字段的源IP，進(jìn)行話單整合，通過(guò)一定的算法統(tǒng)計(jì)出這些具有攻擊行為的TOPN源IP及流量進(jìn)行呈現(xiàn)，網(wǎng)絡(luò)正常時(shí)，源IP流量分布形成均勻圓環(huán)，同時(shí)，網(wǎng)絡(luò)狀態(tài)顯示為“良好”；當(dāng)發(fā)生網(wǎng)絡(luò)異常時(shí)，某IP流量突增，實(shí)時(shí)監(jiān)測(cè)圓環(huán)能及捕捉到這個(gè)信息，這時(shí)發(fā)現(xiàn)圓環(huán)某區(qū)占比增大，如圖4所示，同時(shí)，網(wǎng)絡(luò)狀態(tài)顯示為“異?！保⒊尸F(xiàn)報(bào)警信息，根據(jù)告警設(shè)置情況將異常信息郵件下發(fā)。

當(dāng)網(wǎng)絡(luò)中有告警發(fā)生時(shí)，系統(tǒng)會(huì)將異常IP加入黑名單，并對(duì)黑名單內(nèi)的IP進(jìn)行流量控制，用戶(hù)可以在告警日志頁(yè)面中通過(guò)時(shí)間、告警級(jí)別、IP、用戶(hù)群等維度進(jìn)行篩選，完成對(duì)告警信息的精確定位。對(duì)于異常IP，能夠進(jìn)一步詳細(xì)分析，網(wǎng)內(nèi)異常IP，能夠查看它所屬用戶(hù)群，歷史流量情況，都訪問(wèn)哪些目的IP，通過(guò)哪些鏈路，訪問(wèn)哪些資源；對(duì)于網(wǎng)外的異常IP，能夠查看它所屬的運(yùn)營(yíng)商，都有哪些源IP訪問(wèn)，哪些用戶(hù)群，從而幫助查找出這個(gè)異常IP的具體行為、流量特征。

2.4實(shí)施效果

攻擊溯源系統(tǒng)可以從接入側(cè)將攻擊過(guò)濾或引流，協(xié)助客戶(hù)在遠(yuǎn)端完成控制，實(shí)現(xiàn)主動(dòng)預(yù)警，通過(guò)IP溯源和異常流量控制，查出原因以及避免攻擊給現(xiàn)網(wǎng)帶來(lái)影響。系統(tǒng)實(shí)現(xiàn)了實(shí)時(shí)監(jiān)測(cè)、自動(dòng)溯源、主動(dòng)預(yù)警、流量控制四大功能。

圖4　不同狀態(tài)下源IP流量分布

圖5　實(shí)時(shí)監(jiān)測(cè)效果圖

（1）實(shí)時(shí)監(jiān)測(cè)效果：溯源系統(tǒng)通過(guò)大數(shù)據(jù)系統(tǒng)分析原始話單，得到源IP等信息，以5min為時(shí)間粒度，實(shí)時(shí)顯示源IP流量排名，目的IP流量排名，用戶(hù)群流量排名，業(yè)務(wù)流量構(gòu)成及分布。如圖5所示。

（2）自動(dòng)溯源效果：系統(tǒng)根據(jù)日常情況自學(xué)習(xí)形成流量異常判定模型，生成網(wǎng)絡(luò)流量基線和流控門(mén)限，當(dāng)網(wǎng)絡(luò)發(fā)生攻擊時(shí)，突增流量超過(guò)基線閾值，系統(tǒng)從用戶(hù)群、鏈路、流向、業(yè)務(wù)等多維度進(jìn)行分析，實(shí)時(shí)監(jiān)控圓環(huán)能及時(shí)捕捉到異常IP信息。

（3）主動(dòng)告警效果：當(dāng)某IP的實(shí)時(shí)流量超過(guò)閾值時(shí)，系統(tǒng)自動(dòng)生成告警信息，添加到告警日志，并及時(shí)發(fā)布告警郵件。截至目前，已發(fā)現(xiàn)共34次異常告警，12次未知TCP告警，10次未知UDP告警，6次DNS業(yè)務(wù)告警，6次SYN flood業(yè)務(wù)告警，系統(tǒng)對(duì)異常流量的告警準(zhǔn)確率為100%。

（4）流量控制效果：利用大數(shù)據(jù)系統(tǒng)分析模塊，對(duì)海量話單進(jìn)行智能關(guān)聯(lián)分析，系統(tǒng)對(duì)異常流量進(jìn)行溯源。定位到異常IP后，系統(tǒng)將溯源信息下發(fā)給DPI硬件設(shè)備，對(duì)攻擊源IP流量進(jìn)行流量限制，起到遠(yuǎn)程自動(dòng)控制的作用。如圖6所示。

通過(guò)攻擊溯源系統(tǒng)的部署，真正達(dá)到了實(shí)時(shí)監(jiān)測(cè)、自動(dòng)溯源、主動(dòng)預(yù)警、流量控制的作用，能夠?qū)Ξ惓９粼催M(jìn)行精準(zhǔn)的定位，有效的解決了攻擊對(duì)現(xiàn)網(wǎng)的影響。

圖6　控制前后對(duì)比圖

3　結(jié)束語(yǔ)

本文通過(guò)對(duì)互聯(lián)網(wǎng)異常流量監(jiān)測(cè)與溯源方案的研究，通過(guò)DPI業(yè)務(wù)識(shí)別技術(shù)對(duì)攻擊流量的特征和類(lèi)型進(jìn)行準(zhǔn)確識(shí)別，同時(shí)結(jié)合Hadoop大數(shù)據(jù)系統(tǒng)分析模塊，對(duì)海量DPI話單進(jìn)行智能關(guān)聯(lián)分析，快速定位出網(wǎng)絡(luò)中的攻擊源，下發(fā)給流控系統(tǒng)進(jìn)行雙向異常流量控制和清洗，同時(shí)具備實(shí)時(shí)發(fā)布異常流量預(yù)警功能。通過(guò)上述方案的實(shí)施，大大降低了運(yùn)營(yíng)商網(wǎng)絡(luò)互聯(lián)出口帶寬被攻擊流量消耗，同時(shí)解決了現(xiàn)網(wǎng)清洗系統(tǒng)能力不足的瓶頸，與傳統(tǒng)的基于IP五元組的NetFlow攻擊溯源方式相比，此方案具有更高的業(yè)務(wù)識(shí)別準(zhǔn)確率，更能確保網(wǎng)內(nèi)業(yè)務(wù)質(zhì)量的穩(wěn)定運(yùn)行。截至目前，異常攻擊流量已由實(shí)施前的2 043 Mbit/s下降到3 Mbit/s，環(huán)比降低99.8%，效果顯著。

［1］ 戴斌. 基于移動(dòng)數(shù)據(jù)業(yè)務(wù)的DPI系統(tǒng)的研究及應(yīng)用［J］. 北京郵電大學(xué)，2014.

［2］ 喬媛媛. 基于Hadoop的網(wǎng)絡(luò)流量分析系統(tǒng)的研究與應(yīng)用［J］. 北京郵電大學(xué)，2014.

［3］ 潘鵬志，胡勇. 一種SYN Flood攻擊工具的實(shí)現(xiàn)［J］. 通信技術(shù)，2014，01.

Dialog斬獲三星智能手機(jī)AC/DC適配器訂單

12月3日， Dialog半導(dǎo)體公司宣布，其一款先進(jìn)電源管理芯片組已被三星最新自適應(yīng)快速充電（AFC）AC/DC適配器所采用。該定制芯片組包含三星專(zhuān)有的AFC技術(shù)。據(jù)估計(jì)，Dialog目前在用于智能手機(jī)、平板電腦和其它移動(dòng)設(shè)備的快速充電適配器市場(chǎng)的占有率為70%，而三星智能手機(jī)適配器的設(shè)計(jì)贏單將使該份額進(jìn)一步上升。

Dialog半導(dǎo)體公司電源轉(zhuǎn)換事業(yè)部高級(jí)副總裁Davin Lee表示：“Dialog的快速充電解決方案在移動(dòng)市場(chǎng)上越來(lái)越受歡迎，我們與三星的最新合作成功擴(kuò)大了我們的領(lǐng)先優(yōu)勢(shì)。我們的解決方案提供一流的效率，全系列的尺寸、性能與成本，同時(shí)為三星這樣的創(chuàng)新領(lǐng)導(dǎo)者提供有利的競(jìng)爭(zhēng)優(yōu)勢(shì)?！?/p>

適配器中使用了3個(gè)互補(bǔ)的Dialog電源管理器件。iW1780一次側(cè)數(shù)字控制器包含Dialog獲得專(zhuān)利的SmartDefender先進(jìn)打嗝技術(shù)，可防止當(dāng)充電器線纜或連接器中發(fā)生軟短路時(shí)造成過(guò)多熱量聚集和損壞，從而實(shí)現(xiàn)更安全、更可靠的快速充電。iW627二次側(cè)穩(wěn)壓器與iW1780 AC/DC控制器通信，以確定充電周期中每個(gè)時(shí)刻的最佳電壓/電流。最后，iW671同步整流器用一個(gè)MOSFET取代了傳統(tǒng)設(shè)計(jì)的二次側(cè)肖特基二極管，并使用專(zhuān)有的自適應(yīng)關(guān)斷技術(shù)將效率提升至88%以上，從而減少適配器中產(chǎn)生的熱量，為使用尺寸更小的外殼創(chuàng)造了條件。 （喬治）

Research on the detection of abnormal traffic and traceability

TANG Xun
（China Mobile Group Liaoning Co.， Ltd.， Shenyang 110179， China）

With the development of communication， the quality and stability of network is more and more important. When DNS， SYN flood attacks network， it will occupy existing bandwidth， the impact of network quality， and traditional fi rewall is very diffi cult to effectively address such attacks， therefore， the network abnormal traffi c monitoring and traceability of great signifi cance. This paper describes the construction of abnormal network traffic analysis systems for program monitoring and traceability， described the working principle and implementation methods， combined with network data on the implementation of the existing network effect of the system are summarized and discussed.

network attack； traffi c monitoring； tracing

TN918

A

1008-5599（2015）12-0037-06