汪文杰

摘要：網(wǎng)絡(luò)流量作為網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)量，對網(wǎng)絡(luò)安全應(yīng)用具有重要意義，如何實(shí)現(xiàn)信息網(wǎng)網(wǎng)絡(luò)流量的采集、分析是網(wǎng)絡(luò)運(yùn)維的重難點(diǎn)。本文實(shí)現(xiàn)了信息網(wǎng)網(wǎng)絡(luò)流量的實(shí)時(shí)采集存儲(chǔ)，建立分析檢測模型，快速發(fā)現(xiàn)信息網(wǎng)面臨的安全風(fēng)險(xiǎn)及潛在的安全隱患，為信息網(wǎng)安全提供智能化、自動(dòng)化支撐。

關(guān)鍵詞：網(wǎng)絡(luò)流量；安全風(fēng)險(xiǎn)；分析模型

中圖分類號：TP393.06 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2017）10-0067-02

1 引言

隨著信息網(wǎng)的迅速發(fā)展和企業(yè)信息化程度的不斷提高，如何保證信息網(wǎng)的網(wǎng)絡(luò)可用性和關(guān)鍵業(yè)務(wù)的暢通運(yùn)行對網(wǎng)絡(luò)運(yùn)維管理有著至關(guān)重要的作用。網(wǎng)絡(luò)流量作為信息網(wǎng)網(wǎng)絡(luò)的主要存在以下問題：

（1）信息網(wǎng)網(wǎng)絡(luò)流量無法實(shí)現(xiàn)實(shí)時(shí)監(jiān)控，對流量異常的終端網(wǎng)絡(luò)設(shè)備也無法排查，在一定程度上增加了終端網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。

（2）信息網(wǎng)業(yè)務(wù)形式越來越豐富，網(wǎng)絡(luò)流量占用率也急劇增長，當(dāng)網(wǎng)絡(luò)發(fā)生故障或者攻擊時(shí)，由于整個(gè)網(wǎng)絡(luò)龐大，整個(gè)故障排查過程耗時(shí)耗力，不能及時(shí)定位故障源、消除通信故障，給安全生產(chǎn)帶來了一定的風(fēng)險(xiǎn)[2]。

為此項(xiàng)目開展了信息網(wǎng)網(wǎng)絡(luò)流量分析工具[1]，建立分布式的網(wǎng)絡(luò)統(tǒng)一、上下一體的安全風(fēng)險(xiǎn)[2]監(jiān)測與態(tài)勢評估分析模型[3]體系，提供統(tǒng)一全網(wǎng)安全策略、風(fēng)險(xiǎn)監(jiān)測、主動(dòng)防御的技術(shù)手段，為實(shí)施網(wǎng)絡(luò)安全指揮提供態(tài)勢感知和決策支持的工具。

2 工具原理及功能

2.1 工具原理

網(wǎng)絡(luò)流量分析工具基于 pcap/WinPcap 庫開發(fā)，提供了捕獲、注入、分析和構(gòu)建數(shù)據(jù)包的功能，主要使用其捕獲部分提供的相關(guān)方法進(jìn)行二次開發(fā)。模塊依據(jù)以太網(wǎng)拓?fù)浒l(fā)現(xiàn)系統(tǒng)獲取的拓?fù)浣Y(jié)構(gòu)，通過SNMP功能周期性地查詢目標(biāo)以太網(wǎng)絡(luò)上交換機(jī)設(shè)備的MIB管理變量，并基于獲取的MIB值進(jìn)行故障檢測算法處理后發(fā)現(xiàn)網(wǎng)絡(luò)流量，生成流量數(shù)據(jù)信息，并利用分析模型對流量數(shù)據(jù)訓(xùn)練挖掘，發(fā)現(xiàn)可疑行為（如圖1）。網(wǎng)絡(luò)流量分析工具主要包含5個(gè)關(guān)鍵功能，具體如下：

（1）網(wǎng)絡(luò)流量實(shí)時(shí)監(jiān)測：基于pcap/WinPcap庫開發(fā)，實(shí)時(shí)獲取流量數(shù)據(jù)包中的源IP、目標(biāo)IP、源端口、目標(biāo)端口等流量數(shù)據(jù)包信息，并實(shí)時(shí)分析檢測，為網(wǎng)絡(luò)運(yùn)維管理人員提供實(shí)時(shí)參考。

（2）長連接流量分析：以獲取到的網(wǎng)絡(luò)流量為基礎(chǔ)，利用固有算法模型，對長時(shí)間發(fā)送單個(gè)數(shù)據(jù)包的異常流量信息，分析其可疑行為。

（3）高風(fēng)險(xiǎn)協(xié)議模型：網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)上所有設(shè)備之間通信規(guī)則的集合，通過流量監(jiān)測發(fā)現(xiàn)網(wǎng)絡(luò)上異常的協(xié)議行為，報(bào)告給網(wǎng)絡(luò)運(yùn)維管理人員為其提供運(yùn)維參考。

（4）流量異常告警：使用SNMP協(xié)議在網(wǎng)絡(luò)環(huán)境中直接獲取流量，基于網(wǎng)絡(luò)流量實(shí)時(shí)監(jiān)測功能，對異常的流量實(shí)時(shí)告警。

（5）常見攻擊模型預(yù)測：網(wǎng)絡(luò)攻擊在網(wǎng)絡(luò)環(huán)境中時(shí)有發(fā)生，綜合網(wǎng)絡(luò)中常見的攻擊工具，對其分析并建立攻擊模型。以網(wǎng)絡(luò)流量為基礎(chǔ)，利用回歸算法對模型進(jìn)行正確性驗(yàn)證，將符合模型的攻擊行為定義為網(wǎng)絡(luò)攻擊。

2.2 工具實(shí)現(xiàn)

工具主要針對信息網(wǎng)絡(luò)拓?fù)渲械木W(wǎng)絡(luò)流量實(shí)時(shí)采集、分析、告警，并建立網(wǎng)絡(luò)攻擊模型對網(wǎng)絡(luò)流量中的攻擊行為進(jìn)行深度分析，利用算法建立固有網(wǎng)絡(luò)模型，為網(wǎng)絡(luò)管理人員分析網(wǎng)絡(luò)攻擊行為提供決策化參考并統(tǒng)一告警。本工具提供統(tǒng)一全網(wǎng)安全策略、風(fēng)險(xiǎn)監(jiān)測、主動(dòng)防御的技術(shù)手段，為實(shí)施網(wǎng)絡(luò)安全指揮提供態(tài)勢感知和決策支持的工具。其具體功能如下：

基于pcap/WinPcap庫實(shí)現(xiàn)網(wǎng)絡(luò)流量的實(shí)時(shí)采集和監(jiān)測、分析網(wǎng)絡(luò)異常長連接行為和高風(fēng)險(xiǎn)協(xié)議。建立固有常見攻擊模型，分析網(wǎng)絡(luò)流量中的網(wǎng)絡(luò)攻擊行為并對網(wǎng)絡(luò)異常告警。具體見圖2所示。

3 結(jié)語

通過該工具運(yùn)用，實(shí)現(xiàn)信息網(wǎng)網(wǎng)絡(luò)流量監(jiān)測和分析的態(tài)勢評估工具，解決了故障的排查時(shí)間，能快速及時(shí)的解決網(wǎng)絡(luò)拓?fù)涔收蠁栴}，在一定程度上減少人力、物力消耗，保障信息網(wǎng)的正常生產(chǎn)，極大提升了信息網(wǎng)絡(luò)的運(yùn)維管理效率。

參考文獻(xiàn)

[1]韓良秀.基于網(wǎng)絡(luò)流量的性能研究，復(fù)旦大學(xué)，2002.

[2]何啟源.基于TCP/IP的網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)模型的研究.計(jì)算機(jī)系統(tǒng)應(yīng)用，2006（06）：30-33.