APP下载

网络流量异常检测及分析的研究

2015-03-19李密娜

网络安全技术与应用 2015年7期
关键词:异常情况网络流量全网

万 斌 李密娜

(国家电网公司景德镇供电分公司 江西 333000)

0 引言

网络使用过程中,确保网络流量的正常是网络健康有序运行的基础,是网络可持续发展的重要因素,网络流量异常检测及分析是网络及安全管理领域的重要研究内容。网络流量异常是指对网络正常使用造成不良影响的网络流量模式,引起网络流量异常的原因很多。主要包括:(1)网络攻击,如 DDoS攻击、DoS攻击、端口查看等。(2)导致数据量模式改变的网络病毒,如蠕虫病毒等。(3)网络的使用问题,如大量的P2P的应用模式对网络流量造成影响。(4)网络误配置及网络存储耗尽等。

网络流量的异常检测是指在网络流量的运行过程中,针对网络流量的监测,及时找出存在流量异常的情况,并明确网络流量异常的时间节点及地点。网络流量的异常检测具有全局性、整体性、动态性、连贯性等特点,网络流量的异常检测的目的在于及时地发现网络流量存在异常的情况,及时将风险进行有效地排除,确保网络流量运行的安全性。网络流量异常的分析是在网络流量异常情况检测的基础上,根据检测结果,有效地辨析导致异常情况的原因及所属类型,有效地诊断网络异常情况的类型。流量异常检测及分析是网络流量异常监视及响应应用的基础,便于网络及安全管理人员排查网络异常、维护网络正常运转、保证网络的安全。

1 网络流量的概述

1.1 网络流量数据

网络在运行过程中,势必会产生流量数据,这是网络运行的基础,也是网络流量异常检测的载体。如果网络运行不产生数据,那么就不会需要网络流量的异常检测。网络流量数据源可以分成数据包分析、网络流和SNMP统计数据。数据包分析是指流经网络或网络链路上的IP数据包进行解码分析、统计分析;网络流是在特定的源和目的端点之间的某一单向应用数据包序列的聚合,由支持网络流功能的路由器按照所转发的数据包的属性进行聚集所产生。一个网络流由一组属性唯一识别:源IP地址、目的IP地址、源端口、目的端口、协议类型、服务类型、路由器输入接口等。网络流对数据包的信息缺乏感知能力,也就是说网络流并不涵盖信息内容,网络流也不会因为信息内容的不同而产生不同的流量,网络流只会针对信息内容的数据大小及特征来有效地辨析网络流的运行情况。这是网络流运行的主要特点,也是网络流的主要运行标准。总体来看,数据包分析是一种网路流量数据的最典型的类型,在实践过程中,这种数据类型的运行标准较高,粒度最细,涉及到的内容非常广泛,在这种类型下,网络流量中的任何数据及相关细节都能被网络流量感应。与数据包分析相反,SNMP的数据要粗大很多,这种流量数据类型的包含内容也相对较窄,在实践过程中,这种数据类型仅仅包括一些转发性质的流量统计信息,而不像数据包分析一样可以包含全面的数据信息。而且在数据信息的运行过程中,这种流量数据类型并不会对数据信息的特点进行记录,更无法体现数据信息的内容及相关细节。网络流的粒度大小相对均衡,它实际上的大小应该是在上述两种网络流量数据之间,与数据包分析类似,网络流的内容主要是指网络数据的特点及特质,但对网络数据信息的内容涉及不深。这三种网络流量数据在实践运用过程中各有特色,一般而言,在网络流量异常检测时,数据包分析及网络流的作用会得到体现,这两种类型可以在网络流量出现异常情况时,可以通过对异常情况的分析与追踪,及时地诊断网络异常情况的类型。而SNMP则不具备这方面的功能,它的主要作用在于数据信息的统计工作。总之,在以上三种网络流量数据的类型中,数据包分析的作用是相对较大的,数据包分析可以较好地运用到网络流量异常情况的检测过程中,对网络流量异常情况的检测效率较高,检测方法相对科学合理,能够有效地检测到网络流量中存在的异常情况。因此在网络流量异常检测中,多采用网络流数据包分析技术。

1.2 网络流量的异常分类

网络是一个开放性的系统,在网络运行过程中,造成网络流量异常情况的类型非常丰富。网络流量一旦出现异常情况,极有可能影响网络的安全运行,同时也会对网络流量造成严重的浪费。因此在网络流量的检测与分析中,应该有效地辨析网络流量的异常情况,做好网络流量异常情况的分类与整理工作。

1.2.1 网络操作不良

在网络流量的使用过程中,因网络操作存在的故障或网络操作存在异常等情况,使网络流量出现异常。如在网络流量的运行过程中,由于网络设备的变化,特别是网络网关设备的改变等因素,都会影响网络流量的变化,使网络流量在运行过程中出现异常情况。如原来的网络设备出现故障,需要更换网络设备,在新的网络设备增加后,会在一定程度上影响网络流量的大小。因网络操作不良等造成的网络流量异常情况具备一定的特点,在网络操作的初始阶段,网络流量的异常变化是特别明显的,流量的变化也是非常急剧的,但在网络流量异常情况的初始阶段结束后,网络流量恢复了平稳,即便存在变化,其变化也是微小的,也是相对平稳的,更是不容易被人直观发现的。

1.2.2 网络突发流量

当某个网络信息或内容的兴趣点较高,吸引力较大,那么网站的访问量就会突然增大。对于很多站点而言,它们的网络容量是有限的,网络的带宽和处理能力也是有限的,当服务器处于繁忙状态或者网络堵塞时,网站的性能就会下降。网络突发流量的特征是指它们会在网络中存在一定的时限,在这个时限内,新的网络用户不断地进入网络系统,从而引发了网络流量的巨大变化。可等这个时限过了之后,网路的流量恢复平稳,很多网络站点的服务器为了应对网络突发流量,往往会在突发流量到来之际,提升服务器的性能,增加带宽的处理能力。不过由于网络突发流量具有非常明显的时间性,因此网络站点提升服务器规格及进行拓展带宽的应对方式,实质上浪费了处理能力。一般内容分发网络或者按需要计算处理设施,能够有效地应对网络突发流量。

1.2.3 网络滥用

直接导致网络流量存在异常情况的行为还包括网络滥用,网络滥用不是指网络的随意使用,而是指在网络运用中,存在着DoS/DDoS攻击和端口查看。这种网络流量的异常行为在实践中并不容易被检测出来,运用传统的网络流量检测技术,很难有效地提升检测的质量,也很难保障全面有效地网络检测。不过运用其他的网络流量检测技术能够科学有效地将网络流量异常情况检测出来,一般往往运用网络流数据中按流计数的异常特征进行检测。

1.2.4 蠕虫传播

导致网络流量存在异常情况的原因还包括病毒传播,这是一种常见的网络流量异常情况。网络流量在使用的过程中,会产生一种蠕虫的病毒,这种病毒具备一定的生长功能,可以存在病毒的网络流量进行一定的复制,从而使得病毒在网络流量中不断地传播与扩散。这种病毒的检测在实践运用中一般很难有效地检测出来,因为病毒传播的速度较快,病毒传播的范围较广,如果未采用科学全面的检测技术很难将蠕虫病毒快速有效地检测出来。因此在蠕虫病毒的检测工作中,应该在全网范围内进行安全检测,对全网的流量实行逐一的检测,并根据网络流量的特点分析,有效地辨析网络流量特点变化,对比不同的网络流量变化来有效地剔除网络流量中的异常情况。

网络流量异常检测及分析是建立在网络流量的概述的基础上的,只有明确网络流量的特征及网络流量异常情况的分类,才能有效地真正地实行网络流量的异常检测及分析工作。

2 网络流量异常检测与分析

2.1 网络流量异常检测的范围

网络流量异常检测的范围不是固定的,而应该根据网络流量异常情况的特质及检测难易程度来有效地运用网络流量异常检测技术,从而确定网络流量异常检测的范围。

2.1.1 全网异常检测

全网异常检测是一种相对复杂相对系统的检测工程,在全网异常检测中,应该根据全网流量的异常情况,有效地运用检测技术。因为全网异常检测的标准比较高,如果在实践中未能有效地运用相应的检测技术,那么全网异常检测的功用自然难以发挥,还会造成全网检测技术及资金的巨大浪费。因此在全网异常检测中,应该注重科学合理地选择数据采集点,由根据分析实际异常情况采集、分析全网的通讯数据包,实行全面的网络异常检测。

2.1.2 链路异常检测

链路异常检测是一种局部检测,与全网异常检测不同,链路异常检测只注重在某一链路中存在的网路流量异常情况进行针对性地检测。这种检测的目的性较强,检测技术的标准相对较低,在确定的范围内,只需要运用一定的检测技术,就可以顺利地辨析网络流量的异常情况,并根据网络流量的异常情况,及时地诊断网络流量异常情况的类型。

2.2 流量异常分析的深度

2.2.1 异常检测

网络流量的异常检测是指在网络流量的运行过程中,有效地确定网络流量的异常情况,并及时地检测出网络异常情况的时间及发生异常点及异常原因。针对网络流量异常检测的技术标准,并不一致,在网络流量的检测过程中,根据异常情况的特点,在未诊断出异常情况的类型时,根据特点来针对性地选择运用哪种网络流量检测技术。一般采用数据包深度分析来进行网络流量的全网检测,这种检测方法能够将网络流量的异常情况精准地确定异常点、异常原因,在什么时间节点发生了网络流量的异常情况。

2.2.2 异常确定

在网络流量出现异常情况后,异常确定能够有效地辨析网络流量异常情况的特征。网络流量的异常情况往往都具备各自的特征,这种特征是网络流量异常检测的重点内容,因为网络流量的异常检测的目的不在于精准地找出异常情况,而是根据异常情况的特质及特点,来诊断网络流量异常情况的类型,以便做出及时地针对性地解决措施,保障网络流量数据的安全性,保障网络运行的科学与高效。

2.2.3 异常诊断

异常诊断是网络流量异常检测中的核心内容,在异常检测、异常确定等基础上,人们掌握了网络流量异常情况发生的时间、发生的地点、发生的特征,即可以对网络异常情况进行科学的诊断。异常诊断可以辨别异常情况的类型,同时还可以根据异常情况的类型,有效地找出出现网络流量异常情况的原因。在网络流量的使用过程中,导致网络流量出现异常情况的原因是多方面的,既有网络配置的原因,同时也包括蠕虫病毒等攻击。通过异常诊断后,人们可以获知网络流量异常情况的原因,然后针对性地采取措施来解决网络流量的异常情况。

2.3 实时检测与回溯检测

根据网络流量存在的异常情况,还可以运用实时检测或者回溯检测的方式。所谓的实时检测,就是在网络运行的过程中,根据网络流量存在的异常情况,对网络进行实时的异常检测,及时地发现网络流量的异常情况,并及时地运用相应的措施来解决网络流量中存在的问题。运用实时检测需要注意的是在检测过程中,要实时地对网络流量的数据进行采集与分析。不过现阶段实时检测的方法并不系统,检测的效果与质量也较难得到保障。因此为提升网络流量异常检测的科学性,应该积极地改良网络流量在线检测技术。回溯检测是针对网络流量的实时检测技术发展起来的。回溯检测时,无需网络运行,只需要对网络运行中的历史痕迹及相关信息数据的日志、保存的原始数据内容进行分析,就可以实现回溯检测。回溯检测与实时检测的侧重点不一样,在具体的检测过程中,所依据的数据信息也不一致,但两种检测方式都可以较好地检测网络流量中存在的异常情况。

3 总结

在网络的运行过程中,因系统故障、设备原因、病毒原因、操作原因等会导致网络流量出现异常情况。在网络流量出现异常情况时,应该及时地运用网络流量的异常检测技术,分门别类地进行全网检测或者链路检测,然后分析异常情况的特点及特质,分析异常情况的产生原因,进行异常情况的确定,并诊断异常情况的类型,采取积极的措施来解决网络流量的异常情况,确保网络的高速稳定地运行。在网络流量的检测过程中,还可以根据网络流量异常情况的特点,选择在线检测或离线检测的方式。

[1]夏正敏.基于分形的网络流量分析及异常检测技术研究[J].上海交通大学.2012.

[2]王树瑾.改进 QoS实时监测动态模型的研究[D].黑龙江大学.2013.

[3]陈明兵,刘知贵.用于网络流量异常检测的数据采集方法的研究[J].电脑知识与技术.2009.

[4]任志良,邓志东,帅典勋,孙增圻.计算机网络模型中的复杂性现象分析[J].清华大学学报(自然科学版).2002.

[5]杨强,谷利泽.基于模糊综合评判的入侵检测告警处置模型[A].2009通信理论与技术新发展——第十四届全国青年通信学术会议论文集[C].2009.

[6]王建荣.基于自相似特性的片上网络流量分析与建模[D].电子科技大学.2011.

[7][美]Chris Sanders.译:诸葛建伟,陈霖,许伟林.Wireshark 数据包分析实战.人民邮电出版社.2013.

猜你喜欢

异常情况网络流量全网
基于多元高斯分布的网络流量异常识别方法
基于仿真计算的城市燃气管网异常情况分析
《唐宫夜宴》火遍全网的背后
基于神经网络的P2P流量识别方法
某1000MW超临界机组脱硫石膏异常情况分析与处理
双十一带货6500万,他凭什么?——靠一句“把价格打下来”,牛肉哥火遍全网
电力系统全网一体化暂态仿真接口技术
几种常见的线损异常情况及对策分析
AVB网络流量整形帧模型端到端延迟计算
王天戈首支中文单曲《心安理得》全网首发