网络流量的异常及其分析研究
2014-06-20高晓波
高晓波
摘 要:论文对网络流量异常问题进行了分析,首先给出了实例情况,然后对异常分析的方法主要从技术层面进行了探索。
关键词:网络监控;网络异常;系统攻击;计算机系统;流量
1 从一次流量异常谈起
网络流量的异常,能够为网络故障的发生、安全的攻击提供良好的信息来实现监控、报警。当前网络的安全问题是不能忽视的。在2013年的5月19日,就在我国的互联网世界碰到了严重的故障。一直自晚上10点到第二天凌晨,包括江苏、安徽、广西、海南、甘肃、浙江六省在内所有网民都感到了网速奇慢,然后无法访问internet。一直第二天情况才得到好转,网络恢复正常。通过调查发现原来两家游戏网站的商业不道德内斗,一家雇黑客向竞争对手的DNS域名托管商DNSPod发起攻击的,使得对手陷入瘫痪。在操作过程中,多台木马电脑向DNSPod进行狂轰滥炸,目的达到了,然而服务器顺带托管着的国内13万家网站域名也受到了攻击,最终一连串的连锁反应导致了这场悲剧。
网络流量的异常引发了人们深深的思考,这是最后一次吗?事情远没有画上一个休止符,那么网络使用者、管理者以及技术开发人员,到底应该如何防范这来势凶猛的异常流量攻击,才能保证信息的安全,这是一个极为重要的问题。
2 异常流量种类与数据包
2.1 异常流量
总的看来,能够使得网络发生重大问题的异常网络流量有下面的一些方面:首先是拒绝服务攻击,这是危害极大,也极为常见的一种,称为DoS。再者,还有一种是分布式的拒绝服务攻击,也被称作是DDoS。其次是网络蠕虫病毒流量,以及相应别的异常流量。这些网络的异常流量,能够引发骨干网络的减速、瘫痪,有着巨大的危害和破坏力,主要表现形式是带宽的占用、网络的阻塞,无法发送正常数据而导致的经常性的丢包现象等等。除了对于网络,针对各个服务器计算机乃至终端系统来说,网络异常流量会导致大量CPU时间片和内存空间的占用,无法正常响应需求服务。针对这个问题,需要构建网络流量异常的分析系统,进行良好的预警、报警和流量处理功能。
2.2 异常流量数据包构成
从理论上来讲,任何正常的数据包形式如果被大量滥用,都会产生异常流量,例如DNS正常访问请求数据包(协议类型53)如果大量发生,就会产生对DNS服务器的DoS攻击。但相关异常流量数据,构成上一般有如下方面:TCP SYN flood,典型特征是数据包协议类型为6(TCP),数据流大小为40字节。ICMP flood,他们是数据包协议类型为1(ICMP),单个数据流字节数达218M字节。UDP flood,出现特点在于数据包协议类型为17(UDP),数据流有大有小。除此以外,仍然存在一些不是特别常见的异常流量数据。
3 网络流量分析的主要功能
3.1 基本分析
对于其承担的主要,应该包含有网络流量中信息包的抓取,而且应该能依照相关的技术标准、协议,数据来源与去向进行多广度和多维度的分析,而这些数据采集能够依靠相关NetFlower、sFlow、NetStream、端口镜像等的。具体说来,流量的异常分析中应该涵盖如下的方面:⑴提供流向分析、协议层次分析、应用分析等功能;⑵提供终端流量矩阵视图、TCP连接会话矩阵视图;⑶支持对P2P、IM(即时消息)、VoIP等应用层协议进行分析。⑷提供各种排名分析。
3.2 全面分析
对于高级使用者,还应该支持SNMP、BGP、SPAN、CLI、NAP 等方式,对路由设备状态、路由表项、动态路由协议交互、IP/MAC影射、MAC/Port影射、原始报文内容等进行实时采集,把链路流量图式和网元节点状态同时纳入到系统分析基础数据库中并在二者之间进行高度关联分析,不仅大幅度提高流量分析结果的准确率(如通过流量分析得出的“流量异常”表象往往有可能是由于网元设备错误策略配置等内在因素所诱发的),而且通过对网元设备的主动分析/调节还可较精确的定位异常流量来源并有效缓解其影响。如果是一个成熟的商业分析产品,更是应该能够通过这些分析过程自动生成设备接通率、设备性能趋势、设备故障、设备总流量、设备接通率、服务器存活率、线路连通率等日、周、月、季、年报表。特别存在异常流量,能够保证分析的速度特性,第一时间找到存在着ARP病毒湖综合蠕虫以及BT等等多种异常流量的数据流,这样就能防止破坏损失的进一步发展。
4 实现方式
实现上应该划分为收集器以及控制器等不同部分。前者通过流量收集,进一步达到特征提取/建模。而这个功能模块隶属于系统的低层,是系统面向网元设备的接口单元并进行数据上收和格式转换、特征提取等预处理操作;后者通过模式分析、策略响应来为机交互打下基础,属于用户层面。具体可以划分为如下模块:⑴流量流向分析:提供客户网络范围内的流量及成分统计、数据流向分析、信息热点排名等基础数据;⑵异常流量检测:可按照客户指定基线进行异常流量检测;⑶异常流量抑制:在异常流量检测服务的基础之上,系统将对检测到的异常流量进行自动干预;⑷异常流量净化:过滤网关之间按照指定接口协议进行交互,以获得过滤网关对被牵引流量的处理。
[参考文献]
[1]舒炎泰,王雷,张连芳,薛飞,金志刚.OliverYang.基于FARIMA模型的Internet网络业务预报[J].计算机学报,2001(01).
[2]Marina Thottan,Chuanyi Ji.Statistical Detection of Enterprise Network Problems[J].Journal of Network and Systems Management,1999(1).
[3]郁继锋.基于数据挖掘的Web应用入侵异常检测研究[D].华中科技大学,2011.
[4]王新良.僵尸网络异常流量分析与检测[D].北京邮电大学,2011.