◆王慶剛 顧峰 張雪梅 余潤東 張壹 王宇凡

基于校園網(wǎng)流量分析的安全預(yù)警系統(tǒng)

◆王慶剛1顧峰1張雪梅2余潤東3張壹2王宇凡2

（1.西南石油大學(xué)網(wǎng)絡(luò)與信息化中心 四川 610500；2.西南石油大學(xué)計(jì)算機(jī)科學(xué)學(xué)院 四川 610500；3西南石油大學(xué)電氣信息學(xué)院 四川 610500）

當(dāng)今網(wǎng)絡(luò)的飛速發(fā)展為高校師生的學(xué)習(xí)、辦公、科研和生活等各方面帶來極大的便利，但校園網(wǎng)絡(luò)中的各類攻擊行為和異常流量也常常是層出不窮，往往這些異常網(wǎng)絡(luò)流量以攻擊網(wǎng)絡(luò)中的主機(jī)消耗網(wǎng)絡(luò)資源為目的，給師生用網(wǎng)的安全和穩(wěn)定帶來極大不便和困擾。針對上述問題，本文利用開源系統(tǒng)設(shè)計(jì)并實(shí)現(xiàn)了一套基于校園網(wǎng)Netflow異常流量分析的安全預(yù)警系統(tǒng)，該系統(tǒng)可以實(shí)現(xiàn)對校園網(wǎng)絡(luò)流量的實(shí)時(shí)采集，并通過對采集到流量的分析對比，一旦識別到異常流量，系統(tǒng)將自動向網(wǎng)絡(luò)安全管理人員發(fā)送郵件告警，實(shí)現(xiàn)對校園網(wǎng)絡(luò)狀況的實(shí)時(shí)監(jiān)測，有力保障了高校網(wǎng)絡(luò)的安全與穩(wěn)定。

校園網(wǎng)；異常流量分析；Netfolw；安全預(yù)警系統(tǒng)

1 引言

校園網(wǎng)絡(luò)為高校師生的生活、學(xué)習(xí)、科研等各方面提供了便利的網(wǎng)絡(luò)服務(wù)。但近年來，隨著網(wǎng)絡(luò)的飛速發(fā)展，應(yīng)用范圍的不斷擴(kuò)大，網(wǎng)絡(luò)中的各類攻擊如蠕蟲病毒、DOS攻擊、DDos攻擊、紅色代碼病毒、勒索病毒等各類網(wǎng)絡(luò)攻擊層出不窮，這些網(wǎng)絡(luò)異常行為不但嚴(yán)重消耗著網(wǎng)絡(luò)資源，嚴(yán)重的還可能導(dǎo)致校園網(wǎng)絡(luò)的擁堵甚至癱瘓，因此校園網(wǎng)絡(luò)安全顯得尤為重要。

目前我校有多重的網(wǎng)絡(luò)安全防護(hù)手段，學(xué)校在校園網(wǎng)出口和數(shù)據(jù)中心出口均部署了深度業(yè)務(wù)安全網(wǎng)關(guān)，通過配備基礎(chǔ)防火墻、IPS以及WAF等安全模塊，使校園網(wǎng)具備對蠕蟲病毒、木馬病毒、惡意代碼、網(wǎng)站釣魚等攻擊的L4-L7應(yīng)用檢測與防御能力，能夠?yàn)樾@網(wǎng)內(nèi)的用戶操作系統(tǒng)、中間件、數(shù)據(jù)庫、郵件服務(wù)器、DNS服務(wù)器和FTP服務(wù)器等核心資產(chǎn)提供有效的安全防護(hù)，但是當(dāng)前模式的網(wǎng)絡(luò)防護(hù)手段存在一定的弊端，通常需要網(wǎng)絡(luò)管理人員定期手動查看校園網(wǎng)絡(luò)狀況，無法實(shí)現(xiàn)校園網(wǎng)絡(luò)異常流量的實(shí)時(shí)告警。針對以上問題，本文設(shè)計(jì)并實(shí)現(xiàn)了一種基于校園網(wǎng)Netflow異常流量分析的安全預(yù)警系統(tǒng)，該系統(tǒng)能夠?qū)崿F(xiàn)對校園網(wǎng)絡(luò)流量的實(shí)時(shí)監(jiān)測，一旦監(jiān)測到校園網(wǎng)絡(luò)異常流量或攻擊行為，能夠自動向網(wǎng)絡(luò)管理人員發(fā)送郵件進(jìn)行告警，協(xié)助他們第一時(shí)間完成網(wǎng)絡(luò)安全隱患的處置。

2 Netflow技術(shù)

Netflow是應(yīng)用于路由器及交換機(jī)等產(chǎn)品上的一種網(wǎng)絡(luò)檢測內(nèi)嵌功能，可以用來將網(wǎng)絡(luò)流量記錄到設(shè)備的高速緩存中，從而提供準(zhǔn)確的流量檢測服務(wù)。其工作原理是利用標(biāo)準(zhǔn)的交換模式處理數(shù)據(jù)流的第一個IP包數(shù)據(jù)，生成Netflow數(shù)據(jù)緩存，一段時(shí)間后將期滿的數(shù)據(jù)流從緩存區(qū)刪除并以Netflow信息格式發(fā)送給指定的收集器。

采集網(wǎng)絡(luò)數(shù)據(jù)的方式一般有多種，如基于SNMP的數(shù)據(jù)流采集，基于包嗅探的數(shù)據(jù)流采集，基于RMON的數(shù)據(jù)流采集，基于Netflow的數(shù)據(jù)流采集等。通過對比發(fā)現(xiàn)，SNMP方法依賴于MIB庫，由于協(xié)議本身限制，在采集數(shù)據(jù)的同時(shí)還包括網(wǎng)絡(luò)層的業(yè)務(wù)流量等信息，該方法多用于系統(tǒng)性能分析，而不適用于異常流量分析檢測；包嗅探方法可以直接獲取到最全面的數(shù)據(jù)信息，但是解析和統(tǒng)計(jì)數(shù)據(jù)包需要耗費(fèi)大量的資源[1]；RMON方法可以得到應(yīng)用業(yè)務(wù)對流量帶寬的占用情況，一般適合于計(jì)費(fèi)、故障排除等情形。而Netflow是基于數(shù)據(jù)流的采集技術(shù)，采集時(shí)不會分析數(shù)據(jù)包從而保證了采集效率，生成的Flow定義了一條從源和目的之間的數(shù)據(jù)流，既包括源IP和目的IP，也包括源端口和目的端口等七元組信息[2]，既能滿足異常流量分析的需求，又可以極大減少時(shí)間和空間成本。

3 校園網(wǎng)異常流量安全預(yù)警系統(tǒng)的總體設(shè)計(jì)

基于校園網(wǎng)Netflow異常流量分析的安全預(yù)警系統(tǒng)的總體架構(gòu)如圖1所示，主要包括流量抓取存儲模塊和流量分析呈現(xiàn)模塊兩部分。

圖1 校園網(wǎng)異常流量安全預(yù)警系統(tǒng)總體框架

流量抓取存儲模塊主要用于實(shí)現(xiàn)對網(wǎng)絡(luò)流量的抓取和存取，本系統(tǒng)將校園網(wǎng)核心交換機(jī)的鏡像流量進(jìn)行實(shí)時(shí)抓取，使用一臺配備兩張物理網(wǎng)卡的服務(wù)器進(jìn)行鏡像流量的采集，并將服務(wù)器的一個網(wǎng)卡設(shè)置為混雜模式，用于接收來自核心交換機(jī)的鏡像流量，使用另一個網(wǎng)卡進(jìn)行不同設(shè)備間NetFlow數(shù)據(jù)流的網(wǎng)絡(luò)傳輸和通信。在本系統(tǒng)框架下，我們通過在服務(wù)器上安裝開源的CentOS系統(tǒng)，使用softflowd探針作為采集器以實(shí)現(xiàn)對鏡像流量的抓取并轉(zhuǎn)發(fā)到12345端口，借助nfcapd工具作為收集器在相應(yīng)的端口上進(jìn)行監(jiān)聽和接收數(shù)據(jù)。由于采集的數(shù)據(jù)是不可直接讀取的二進(jìn)制文件，所以還需使用nfdump工具結(jié)合Java代碼進(jìn)行數(shù)據(jù)格式的轉(zhuǎn)換，最終實(shí)現(xiàn)將采集到的數(shù)據(jù)流寫入MySQL數(shù)據(jù)庫中存儲。

流量分析呈現(xiàn)模塊主要是實(shí)現(xiàn)異常網(wǎng)絡(luò)流量的展示，系統(tǒng)后端是基于Mybits持久層框架，可以通過SQL語句對源IP、目的IP、源端口、目的端口、協(xié)議、包的大小數(shù)量以及字節(jié)數(shù)進(jìn)行對比分析歸類并且返回異常數(shù)據(jù)信息，并調(diào)用相關(guān)方法向網(wǎng)絡(luò)安全管理人員郵箱發(fā)送郵件告警；系統(tǒng)前端是借助LayUI框架實(shí)現(xiàn)網(wǎng)絡(luò)流量狀況的內(nèi)容展示，主要包括源數(shù)據(jù)流呈現(xiàn)，IP流量和端口的可視化呈現(xiàn)，異常網(wǎng)絡(luò)數(shù)據(jù)呈現(xiàn)等模塊。

4 校園網(wǎng)異常流量安全預(yù)警系統(tǒng)的實(shí)現(xiàn)

4.1 流量抓取存儲功能的實(shí)現(xiàn)

流量抓取存儲模塊具體分為以下三個模塊：

（1）探測模塊：準(zhǔn)確有效的探測網(wǎng)絡(luò)中流量是實(shí)現(xiàn)網(wǎng)絡(luò)流量監(jiān)測的前提，這就需要依賴于網(wǎng)絡(luò)探針。Softflowd探針是一個能夠?qū)etflow V1、V5和V9格式執(zhí)行導(dǎo)出的開源流導(dǎo)出程序，它可以針對某一臺設(shè)備輸出的流進(jìn)行抓取捕獲并發(fā)送到指定的端口，以實(shí)現(xiàn)對校園網(wǎng)數(shù)據(jù)的探測、抓取和發(fā)送。本系統(tǒng)使用Softflowd探針工具對數(shù)據(jù)采集服務(wù)器的網(wǎng)卡ens33進(jìn)行持續(xù)監(jiān)聽，并將采集到的數(shù)據(jù)發(fā)送給服務(wù)器的12345端口。

Softflowd實(shí)現(xiàn)Netflow數(shù)據(jù)流探測的關(guān)鍵命令：

/softflowd –D –v 9 –I ens33 –n 127.0.0.1:12345 –T full

（2）采集模塊：當(dāng)探測模塊的數(shù)據(jù)發(fā)送到指定端口后，需要對數(shù)據(jù)進(jìn)行采集處理，此時(shí)可以借助nfcapd工具來實(shí)現(xiàn)對數(shù)據(jù)流的采集。nfcapd是nfdump工具集的一個組件，主要用于監(jiān)聽NetFlow V5、V7、V9流，并能夠?qū)?shù)據(jù)流保存到nfcap文件中。本系統(tǒng)使用nfcapd對服務(wù)器12345端口進(jìn)行監(jiān)聽來實(shí)現(xiàn)對數(shù)據(jù)流的采集工作，將采集到的二進(jìn)制數(shù)據(jù)保存到/tmp/netflowdata/initialfile路徑文件中。

ncapd組件實(shí)現(xiàn)Netflow數(shù)據(jù)流采集的關(guān)鍵命令：

nfcapd -z -w -D -T all -p 9995 -l /data/flows -S 0

（3）存儲模塊：由于采集模塊產(chǎn)生的是不可直接讀取的二進(jìn)制文件，因此我們先采用Java代碼讀取二進(jìn)制文件內(nèi)容，并借助nfdump組件將二進(jìn)制文件轉(zhuǎn)換為標(biāo)準(zhǔn)化、可讀的txt文件，fdump是一個可用于包過濾分析的命令行工具。

nfdump工具實(shí)現(xiàn)二進(jìn)制文件轉(zhuǎn)換的關(guān)鍵命令：

nfdump –r nfcapd.202111042037 –o "fmt：%sap|%dap|%fwd|%flg|%pr|%stos|%dtos|%pkt|% byt|%in|%out|%sas|%das|%smk|%dmk|%dir|%nhb">out3.txt

隨后再使用java代碼按行讀取txt文件代碼內(nèi)容，對字符串進(jìn)行切割，并調(diào)用MySQL.api將采集的網(wǎng)絡(luò)流量數(shù)據(jù)寫入本地MySQL數(shù)據(jù)庫中存儲。

本系統(tǒng)的詳細(xì)業(yè)務(wù)流程如圖2所示。

圖2 系統(tǒng)詳細(xì)業(yè)務(wù)流程

4.2 流量分析功能的實(shí)現(xiàn)

利用存儲到SQL數(shù)據(jù)庫中的Netflow數(shù)據(jù)流信息，可以快速方便的進(jìn)行各個時(shí)間段內(nèi)校園網(wǎng)絡(luò)中數(shù)據(jù)流入流出情況的分析，以及網(wǎng)絡(luò)流量是否存在異常。常用的網(wǎng)絡(luò)異常流量監(jiān)測方法主要有：TOP N模式法、端口匹配法。[3]

4.2.1 TOP N模式法

主要針對于網(wǎng)絡(luò)中的Dos和DDos攻擊的篩查。由于此類攻擊的特征是不斷的進(jìn)行掃描探測，具體表現(xiàn)為對一個或多個目標(biāo)的IP或者端口發(fā)送超出正常閾值的連接請求，所以只需要統(tǒng)計(jì)源IP在一定時(shí)間內(nèi)建立的連接數(shù)并與設(shè)定的閾值進(jìn)行比對，即可篩查出網(wǎng)絡(luò)中可能的異常IP[4]。

（1）對于Dos攻擊，使用select語句在IPMessage中篩選協(xié)議號為53、目的端口號為17的數(shù)據(jù)并按源IP進(jìn)行分組，依降序輸出前十位超過閾值的數(shù)據(jù)流，由此可以得到該時(shí)間段內(nèi)疑似Dos攻擊的異常流，主要實(shí)現(xiàn)代碼如下：

select count（*）as 'count'，IPV4_SRC_ADDR，PROTOCOL

from test.IPMessage

where PROTOCOL=53 and IN_PKTS=17

group by IPV4_SRC_ADDR

order by 1 desc limit 10；

（2）DDos是一種分布協(xié)作式的大規(guī)模攻擊方式，其攻擊模式大致可歸納為多個主機(jī)聯(lián)合作為攻擊平臺，對一個或多個目標(biāo)主機(jī)發(fā)起Dos攻擊，由此在一段時(shí)間內(nèi)會出現(xiàn)大量不同源IP向同一目標(biāo)IP同時(shí)發(fā)包的現(xiàn)象。為初步判定DDos攻擊，可以使用select語句在IPMessage中按目的IP分組統(tǒng)計(jì)目的IP訪問次數(shù)，依降序輸出連接次數(shù)超過設(shè)定閾值的前十位，并判定為疑似DDos攻擊，主要實(shí)現(xiàn)代碼如下：

攝影照片分為單獨(dú)照片、組照及專題攝影等多種類型，新聞攝影人員經(jīng)常會用到的發(fā)稿方式為單幅照片。為切實(shí)提升拍攝作品質(zhì)量，有效體現(xiàn)出拍攝中攝影技巧及藝術(shù)手法，需在選擇攝影照片時(shí)注重拍攝畫面的和諧性，拍攝人物的動作及表情是否自然等要素，確保新聞攝影能夠更好地反映出新聞事件的真實(shí)情況。

select count（*）as 'count'，IPV4_DST_ADDR

from test.IPMessage

group by IPV4_DST_ADDR

order by 1 desc limit 10；

閾值的相關(guān)判定主要實(shí)現(xiàn)代碼如下：

select count（*）as 'count'，IPV4_SRC_ADDR

from test.IPMessage

group by IPV4_SRC_ADDR

order by 1 desc limit 10；

4.2.2端口匹配法

主要針對紅色代碼病毒、勒索病毒、DNS解析、硬盤殺手等病毒的篩查。由于這類病毒通常會使用固定協(xié)議對目標(biāo)主機(jī)的固定端口發(fā)送固定字節(jié)數(shù)的報(bào)文，行為特征非常明顯，通過借助SQL語句對Netflow流的相關(guān)數(shù)據(jù)進(jìn)行查找統(tǒng)計(jì)，就能快速發(fā)現(xiàn)網(wǎng)絡(luò)中的異常主機(jī)。

（1）紅色代碼病毒特征主要表現(xiàn)為針對80端口發(fā)送協(xié)議號為80，字節(jié)數(shù)為144的數(shù)據(jù)包，主要實(shí)現(xiàn)代碼如下：

select IPV4_SRC_ADDR，IPV4_DST_ADDR，PROTOCOL，L4_DST_PORT，IN_PKTS

from test.IPMessage

where L4_DST_PORT=80 and IN_PKTS=3 and IN_BYTES=144 and PROTOCOL=80；

（2）勒索病毒特征主要表現(xiàn)為針對135、139、137、445端口進(jìn)行掃描或建立連接，所以使用select語句對以上四個共享端口進(jìn)行統(tǒng)計(jì)分析，主要實(shí)現(xiàn)代碼如下：

select L4_DST_PORT，COUNT（*）as number

from test.IPMessage

where L4_DST_PORT=135 or L4_DST_PORT=139 or L4_DST_PORT=137 or L4_DST_PORT=445

GROUP BY L4_DST_PORT

ORDER BY number DESC；

（3）DNS解析攻擊特征主要表現(xiàn)為針對53端口，所以使用select語句對該端口進(jìn)行分析和防范，主要實(shí)現(xiàn)代碼如下：

select L4_DST_PORT，COUNT（*）as number

from test.IPMessage

where L4_DST_PORT=53

GROUP BY L4_DST_PORT；

（4）硬盤殺手病毒特征主要表現(xiàn)為針對137端口發(fā)送協(xié)議號為17（UDP）字節(jié)數(shù)為78的數(shù)據(jù)包，主要實(shí)現(xiàn)代碼如下：

select IPV4_SRC_ADDR，IPV4_DST_ADDR，PROTOCOL，L4_DST_PORT，IN_PKTS

from test.IPMessage

where L4_DST_PORT=137 and IN_BYTES=78 and PROTOCOL=17；

以上的監(jiān)測方法盡管方便，但是對采集到的信息經(jīng)過分析發(fā)現(xiàn)異常后需要對比日志進(jìn)行查詢，這無疑增加了網(wǎng)絡(luò)安全管理人員的工作量，也無法有效實(shí)現(xiàn)實(shí)時(shí)性監(jiān)測，所以需要設(shè)計(jì)一個異常監(jiān)測方法。系統(tǒng)能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)流量異常并進(jìn)行自動告警，主要包括異常單流監(jiān)測和異常流模式監(jiān)測以下兩種類型。

4.2.3異常單流監(jiān)測

主要針對單條流進(jìn)行特征分析。異常單流監(jiān)測主要針對流信息的源地址或者信息源IP、目的IP進(jìn)行檢測，通常分為以下三種情況，一種為回環(huán)地址（127.0.0.1）；另一種為廣播地址，考慮是否為Smurf攻擊或者Fraggle攻擊；最后一種是通過判斷流信息源IP、目的IP是否相同來排除Land攻擊[5]。

（1）針對回環(huán)地址，使用select語句查找數(shù)據(jù)庫中是否存在源IP為’127.0.0.1’的網(wǎng)關(guān)IP地址，若存在可判定為異常行為，將此數(shù)據(jù)傳輸?shù)胶笈_，向網(wǎng)絡(luò)管理人員告警并將其展示在前端Web頁面，主要實(shí)現(xiàn)代碼如下：

select IPV4_SRC_ADDR，IPV4_DST_ADDR，PROTOCOL，L4_DST_PORT，IN_PKTS

from test.IPMessage

where IPV4_SRC_ADDR='127.0.0.1'；

（2）針對廣播地址，使用select語句查找數(shù)據(jù)庫中是否存在源IP為’255.255.255.255’的廣播地址，若存在，可判定其為異常行為，將此數(shù)據(jù)傳輸?shù)胶笈_，發(fā)出告警并將其展示在前端Web頁面，主要實(shí)現(xiàn)代碼如下：

select IPV4_SRC_ADDR，IPV4_DST_ADDR，PROTOCOL，L4_DST_PORT，IN_PKTS

from test.IPMessage

where IPV4_SRC_ADDR='255.255.255.255'；

（3）針對Land攻擊，由于Land攻擊的特征為源IP地址和目的IP地址相同，因此可以通過判定數(shù)據(jù)庫中是否存在源IP和目的IP相同的數(shù)據(jù)進(jìn)行篩選，若存在，可判斷其為異常行為，同樣將此數(shù)據(jù)傳輸?shù)胶笈_，發(fā)出告警并將其展示在前端Web頁面，主要實(shí)現(xiàn)代碼如下：

select IPV4_SRC_ADDR，IPV4_DST_ADDR，PROTOCOL，L4_DST_PORT，IN_PKTS

from test.IPMessage

where IPV4_SRC_ADDR=IPV4_DST_ADDR and PROTOCOL=6；

異常單流監(jiān)測檢測出異常流的代價(jià)很小，但是可能會產(chǎn)生誤判，且針對端口掃描、DoS、DDos攻擊等，會在短時(shí)間產(chǎn)生大量的流信息，這時(shí)就需要借助異常流模式進(jìn)行網(wǎng)絡(luò)流量監(jiān)測。

4.2.4異常流模式

是一種通過跟蹤多條流信息，并找出這些流信息的相似特征的模式，主要是針對端口掃描進(jìn)行篩查。對于端口掃描，通常分為面向網(wǎng)絡(luò)的端口掃描和面向主機(jī)的端口掃描，前者的特征是流信息具有相同的源IP地址、目的端口和不同的目的IP，而后者則是具有相同的源IP、目的IP和不同的目的端口。對于DoS、DDos等網(wǎng)絡(luò)攻擊行為，它們產(chǎn)生的流信息具有相同的目的IP或者相同的端口，因此可以利用這些不同的特征識別異常流并加以區(qū)分。

根據(jù)上述異常流的特征結(jié)合面向主機(jī)的端口掃描，首先將已獲取的Flow流數(shù)據(jù)做一個預(yù)處理，得到流數(shù)大，平均包數(shù)少，平均流體積小的數(shù)據(jù)流，再使用sql語句獲取源IP地址數(shù)目和目的端口數(shù)目，通過后臺判定源IP地址是否遠(yuǎn)少于目的端口數(shù)目（差值設(shè)定為1000），若存在，其為異常單流，可判定其為攻擊行為，后臺報(bào)警并將數(shù)據(jù)展示在前端Web頁面。

結(jié)合面向網(wǎng)絡(luò)的端口掃描，得到流數(shù)大，平均包數(shù)少，平均流體積小的數(shù)據(jù)流之后，通過sql語句得到源IP數(shù)目和目的端口數(shù)目，后臺判定目的地址是否多于目的端口（差值設(shè)定為100），若存在，其為異常單流，可判定其為攻擊行為，后臺報(bào)警并將數(shù)據(jù)展示在前端Web頁面，主要關(guān)鍵實(shí)現(xiàn)代碼如下：

select count（distinct（IPV4_DST_ADDR））as 'DST_IP'，count（distinct（L4_DST_PORT））as 'DST_PORT' from test.IPMessage；

select IPV4_SRC_ADDR，IPV4_DST_ADDR，PROTOCOL，L4_DST_PORT，IN_PKTS

from test.IPMessage where IPV4_SRC_ADDR='255.255.255.255'；

4.3 校園網(wǎng)流量監(jiān)控的Web呈現(xiàn)

由于Netflow表達(dá)的流數(shù)據(jù)非常豐富，利用其基本的元組信息，不但可以實(shí)現(xiàn)上述的異常流量發(fā)現(xiàn)，還可以實(shí)現(xiàn)校園網(wǎng)絡(luò)流量的實(shí)時(shí)分析統(tǒng)計(jì)，如統(tǒng)計(jì)整個校園網(wǎng)流入流出量多少、某段時(shí)間內(nèi)某IP被訪問次數(shù)等。異常流量就隱匿在整個校園網(wǎng)絡(luò)流量之中，因此通過web對SQL數(shù)據(jù)庫存入的流數(shù)據(jù)的可視化呈現(xiàn)不但可以將抽象的校園網(wǎng)流量可視化使其更加直觀，還能方便管理員觀察網(wǎng)絡(luò)流量統(tǒng)計(jì)信息發(fā)現(xiàn)其中藏匿的異常流量[6]。

5 IP流量監(jiān)控

（1）IP數(shù)據(jù)源展示：在核心交換機(jī)讀取數(shù)據(jù)的時(shí)候，將其保存的flow文件轉(zhuǎn)化為txt文件之后將其存放在數(shù)據(jù)庫，此模塊將數(shù)據(jù)庫中所有IP信息以分頁的形式在前端Web瀏覽器頁面展示。

圖3 IP監(jiān)控

（2）IP數(shù)據(jù)監(jiān)控功能：使用TopN模式、端口檢測、異常單流檢測和異常流模式對Flow流數(shù)據(jù)進(jìn)行檢測，發(fā)現(xiàn)異常報(bào)警并在Web頁面展示數(shù)據(jù)。TopN模式IP監(jiān)測：蠕蟲病毒要不斷進(jìn)行掃描將探測，就會對大量目標(biāo)IP的一個或多個端口發(fā)出超出正常數(shù)量的連接請求，TopN模式方法監(jiān)測短時(shí)間內(nèi)對一個或多個端口發(fā)送請求超過10000次的IP數(shù)據(jù)；端口監(jiān)測：網(wǎng)絡(luò)中存在一些攻擊是攻擊主機(jī)的某些特定端口，就例如紅色代碼、硬盤殺手、蠕蟲王、沖擊波等等，端口監(jiān)控按照這類攻擊的特種持續(xù)監(jiān)聽端口、字節(jié)數(shù)與協(xié)議；異常單流監(jiān)測：查看單條流的源地址是否異常，若該流的源地址為回環(huán)地址或是該域的廣播地址，判定該流是否為異常流；異常流模式檢測：首先判定是否存在源、目的地址相等或源端口的情況，再判定源端口與目的端口是否存在相等的TCP流。

圖4 Top N模式IP監(jiān)測

圖5 端口監(jiān)控

圖6 異常單流監(jiān)測

6 可視化功能

（1）IP數(shù)據(jù)可視化：系統(tǒng)從數(shù)據(jù)庫中分析排序，按照降序得到訪問次數(shù)排名前十的目的端口、目的IP地址、源IP地址和訪問端口的流量，將這些信息通過餅圖的形式展現(xiàn)在前端頁面，方便管理員觀察獲取網(wǎng)絡(luò)流量信息。

圖7 可視化模型

（2）告警功能：一旦系統(tǒng)發(fā)現(xiàn)校園網(wǎng)絡(luò)中的異常流量或存在異常行為，馬上調(diào)用后臺郵件預(yù)警功能，將發(fā)現(xiàn)的異常網(wǎng)絡(luò)行為以郵件形式發(fā)送給網(wǎng)絡(luò)管理員，第一時(shí)間阻止網(wǎng)絡(luò)病毒蔓延，達(dá)到維護(hù)校園網(wǎng)絡(luò)安全的作用。

圖8 郵件告警

7 結(jié)束語

本文設(shè)計(jì)和實(shí)現(xiàn)了一個基于校園網(wǎng)Netflow異常流量分析的安全預(yù)警系統(tǒng)，該系統(tǒng)通用性好、可拓展性高，實(shí)踐驗(yàn)證該系統(tǒng)對校園網(wǎng)絡(luò)流量可以做到實(shí)時(shí)監(jiān)測、及時(shí)預(yù)警，給網(wǎng)絡(luò)管理人員帶來極大的便利。通過實(shí)時(shí)的網(wǎng)絡(luò)信息統(tǒng)計(jì)，網(wǎng)絡(luò)管理人員不但可以對校園網(wǎng)絡(luò)運(yùn)行情況有一個基本了解，還能找到病毒、蠕蟲和網(wǎng)絡(luò)攻擊行為的源頭，極大方便了網(wǎng)絡(luò)管理人員及時(shí)采取防范措施，為高校校園網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行提供了有力保障。

[1]趙曉峰，李育澤，徐義東.高校網(wǎng)絡(luò)環(huán)境下基于NetFlow的網(wǎng)絡(luò)監(jiān)測系統(tǒng)設(shè)計(jì)[J].湖北科技學(xué)院學(xué)報(bào)，2016，36（2）.

[2]謝喜秋，梁潔，彭巍，等.網(wǎng)絡(luò)流量采集工具的分析與比較[J]，電信科學(xué)，2002（4）：63-66.

[3]周宏.校園網(wǎng)上NetFlow流量監(jiān)控分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].西南大學(xué)學(xué)報(bào)，2005，31（3）：456-459.

[4]肖志新，楊岳湘，等.一個基于NetFlow的異常流量檢測余防護(hù)系統(tǒng)[J].微電子學(xué)與計(jì)算機(jī)，2006，23（5）：209-210.

[5]楊嶸，張國清，等.基于NetFlow流量分析的網(wǎng)絡(luò)攻擊行為發(fā)現(xiàn)[J].計(jì)算機(jī)工程.2005，31（13）：137-139.

[6]曹錫宇，張德民.基于NetFlow的IDS研究與應(yīng)用[J].通信市場，2005（5）.