周华先

（湖南科技学院 现代教育技术中心，湖南 永州425100）

基于SNMP的高校内网异常流量识别

周华先

（湖南科技学院 现代教育技术中心，湖南 永州425100）

随着信息化发展，内网安全已经成为网络安全的重点，而现有的内网安全技术都需要昂贵的设备和复杂严格的身份认证制度的支持，对于高校类的开放网络无能为力。本文提出一种基于SNMP协议的，对网络设备的MIB信息进行分析从而判断内网是否存在异常流量的方法，并给出具体操作方案。

SNMP；开放网络；内网安全；流量识别

0 引言

2000年左右，中国基础网络建设已经比较完善，PC也已经成为一种常见的设备，基于网络的应用大量涌现。随着信息化程度的提高,许多学校都建立了校园网络并投入使用，而网络和办公自动化的普及，为病毒等安全威胁的快速传播提供了现实基础。

安全性问题已成为网络 最棘手、解决难度最大的问题,校园网络作为信息化建设的主要载体,校园网安全问题已经成为当前高校网络建设中不可忽视的首要问题。传统的防护手段还是以防火墙为代表的边界防护，包括入侵检测、边界控制等，一旦病毒越过这些设备，就会在内网中快速传播，由于大多数用户对计算机的认知程度不高，缺乏防护意识，加之条件有限，难以保证系统补丁、软件升级的及时性，使得内网毫无抵抗力。2007年开始蓬勃发展的内网安全技术针对内网的不设防做了重要的改变，通过认证、审计、加密等技术并结合管理章程，极大的提高了内网的安全性，保障了网络的安全和信息的安全。但高校校园网有其特殊的开放性，校园网部分是可以进行身体认证，比如宿舍区和办公区，可以通过上述的内网安全技术进行管理。但有很大一部分区域由于高校其开放性，比如图书馆、教学区，会议室等场所，人员流动性大，需要为每一个进入校园网的用户提供临时账号工作量很大，这样就不能通过在身份认证的情况下管理其上网行为。本文提出一种基于SNMP协议的高校内网流量分析方法，通过分析内网的流量判断是否是异常的流量，从而判断用户上网行为是否正常。

1 SNMP分析及信息获取

1.1 SNMP简介

简单网络管理协议(SNMP:Simple Network Management Protocol)是由互联网工程任务组(IETF:Internet Engineering Task Force )定义的一套网络管理协议。该协议基于简单网关监视协议(SGMP:Simple Gateway Monitor Protocol)。利用SNMP，一个管理工作站可以远程管理所有支持这种协议的网络设备，包括监视网络状态，修改网络设备配置，接收网络事件警告等。它的目标是保证管理在任意两点中传送，便于在网络上的任何节点检索，进行修改，寻找故障；完成故障诊断，容量规划和报告生成。SNMP采用轮询监控方式，主要对ISO/OSI七层模型中较低层次进行管理。管理者按一定时间间隔向代理获取管理信息，并根据管理信息判断是否有异常事件发生。当管理对象发生紧急情况时，可以使用称为trap信息的报文主动报告。轮询监控的主要优点是对代理资源要求不高，缺点是管理通信开销大。SNMP 的基本功能包括网络性能监控、网络差错检测和网络配置。图1为SNMP网络管理模型。

图1 SNMP网络管理模型

1.2 SNMP信息存储规则

SNMP是通过MIB来存储相关的管理信息。MIB(Management Information Base 的缩写)，中文名字叫“管理信息库”。它是网络管理数据的标准，在这个标准里规定了网络代理设备必须保存的数据项目，数据类型，以及允许在每个数据项目中的操作。通过对这些数据项目的存取访问，就可以得到该网关的所有统计内容。再通过对多个网关统计内容的综合分析即可实现基本的网络管理。管理信息库 MIB 指明了网络元素所维持的变量（即能够被管理进程查询和设置的信息）。MIB 给出了一个网络中所有可能的被管理对象的集合的数据结构。SNMP 的管理信息库采用和域名系统 DNS 相似的树型结构，它的根在最上面，根没有名字。它又称为对象命名树（OID：Object Identifier）结构，如图2。这样，我们就可以通过OID名称来存储并标识不同的网管信息，如图3。

图2 MIB对象命名树结构图

图3 OID名称

对于内网的流量识别所需要的信息，一般在MIB-2子树下的ip、tcp和udp子树节点中。

1.3 SNMP信息获取方法

SNMP 中定义了五种消息类型：Get-Request、Get-Response、Get-Next-Request、Set-Request、Trap。

① Get-Request 、Get-Next-Request与Get-Response

SNMP 管理站用 Get-Request 消息从拥有 SNMP 代理的网络设备中检索信息，而 SNMP 代理则用 Get-Response 消息响应。Get-Next-Request 用于和 Get-Request 组合起来查询特定的表对象中的列元素。如：首先通过下面的原语获得所要查询的设备的接口数：

{iso org(3) dod(6) internet(1) mgmt(2) mib(1) interfaces(2) ifNumber(2)}

后再通过下面的原语，进行查询（其中第一次用Get-Request，其后用Get-Next-Request）：

{iso org(3) dod(6) internet(1) mgmt(2) mib(1) interfaces(2) ifTable(2)}

② Set-Request

SNMP管理站用 Set-Request 可以对网络设备进行远程配置（包括设备名、设备属性、删除设备或使某一个设备属性有效/无效等）。

③ Trap

SNMP 代理使用 Trap 向 SNMP 管理站发送非请求消息，一般用于描述某一事件的发生。

2 高校内网异常流量识别

2.1 ARP病毒

ARP病毒是内网常见的病毒，它通过冒充其他设备的IP地址来阻止其正常接入网络，它利用了ARP协议的漏洞，对内网有较大的影响。研究其原理，不难发现ARP病毒发作时，内网会出现一个MAC地址对应多个IP的现象，我们可以通过查询交换机的ARP表(IpNetToMediaTable)，只要发现该现象就认为有ARP攻击的存在。具体操作：获取IpNetToMediaTable下的子树 IpNetToMediaifIndex值（对应的 OID为.1.3.6.1.2.1.2.4.22.1.1），通过遍历该值，获取该交换设备所连接的IpNetToMediaPhysAddress（对应的 OID 为.1.3.6.1.2.1.2.4.22.1.2）即 MAC 地址,再通过该值查询其对应的IpNetToMediaNetAddress值（对应的OID为.1.3.6.1.2.1.2.4.22.1.3）即IP地址，这样就可以发现是否存在同一MAC对应多个IP，最终判断是否有ARP攻击。

2. 2 内网扫描

内网扫描是病毒发作或者其他攻击行为产生前的辅助工作，如果有效的发现内网扫描并及时阻断，内网安全性将得到极大提高。一般内网用户除了访问内网的服务器外很少访问其他内网的设备，并且扫描的特征是或者对内网所有客户端同一端口进行扫描，或者对某一客户端连续端口进行扫描。我们可以查询网络设备的TCP组子树下的目标端相关信息来判断是否存在内网扫描。具体操作：获取TcpConnState值（对应的OID为.1.3.6.1.2.1.6.13.1.1）得到当前TCP连接状态，遍历该值，查询TcpConnRemAddress值（对应的OID为.1.3.6.1.2.1.6.13.1.4）获取该连接的目的地址，如果发现目的地址是内网地址，并且不是服务器地址且数量比较异常，就可以判断有内网扫描行为。

2.3 僵尸网络

内网客户端一旦被黑客或者病毒攻陷，便成为黑客的肉鸡，成为黑客实行非法网络行为的傀儡机。比如高校网络里经常出现的垃圾邮件流量就是客户端受控变成黑客发送垃圾邮件的终端，或者成为黑客进行 DDOS攻击的一份子。此时表现为本地TCP连接端口比较固定，提供什么样的服务就开启了相应的本地端口，而一般本地客户端上网开启的端口号都比较大，是随机端口，当发现本地IP开启了相关服务端口，一般认为该行为不是客户端自己所知行为。具体操作：获取TcpConnState值（对应的 OID为.1.3.6.1.2.1.6.13.1.1）得到当前 TCP连接状态，遍历该值，查询 TcpConnLocalPort值（对应的 OID为.1.3.6.1.2.1.6.13.1.3）获取该连接的本地端口，如果发现该端口值比较小，小于1024或者是著名服务端口，则认为该终端有受控行为。

3 结束语

针对内网安全管理，首先要监测并发现内网中存在的各种安全事件和风险，风险只有做到可知才能可控，要利用各种监测方式和手段，对内网中常见存在的各类安全风险如边界安全、网站安全、敏感信息安全、移动存储介质安全、基础安全、运行安全、违规行为等予以第一时间发现，并结合相应的防护手段，予以及时处置，将风险带来的危害降到最低。本文提出一种发现安全事件和风险的方法和途径，并没有对发现风险后的行为做出规划，一般来说今后研究有两个方向：一是可视化，将发现安全事件或者风险的数据用图形表示出来，便于管理者能及时准确了解事件的全面，从而能更好的做出判断；二是智能化，让管理端对安全事件进行学习，从而能自动做出相应，阻断相应异常流量的源头。

[1]蔡国森.基于SNMP的MIB库访问实现的研究[J].计算机与信息技术, 2009,(3) .

[2]罗雅过.基于SNMP的MIB库访问实现研究[J].西安文理学院学报(自然科学版), 2010,(4).

[3]陈磊,周润松,等.NTCIP协议一致性测试工具研究及实现[J].信息安全与技术,2011,(1).

TP393

A

1673-2219（2011）12-0070-03

2011－10－08

周华先（1976－），江苏盐城人，系统分析师，研究方向为网络安全、网路管理。

（责任编校：何俊华）