高曉波

摘 要：論文對網(wǎng)絡(luò)流量異常問題進(jìn)行了分析，首先給出了實(shí)例情況，然后對異常分析的方法主要從技術(shù)層面進(jìn)行了探索。

關(guān)鍵詞：網(wǎng)絡(luò)監(jiān)控；網(wǎng)絡(luò)異常；系統(tǒng)攻擊；計(jì)算機(jī)系統(tǒng)；流量

1 從一次流量異常談起

網(wǎng)絡(luò)流量的異常，能夠?yàn)榫W(wǎng)絡(luò)故障的發(fā)生、安全的攻擊提供良好的信息來實(shí)現(xiàn)監(jiān)控、報(bào)警。當(dāng)前網(wǎng)絡(luò)的安全問題是不能忽視的。在2013年的5月19日，就在我國的互聯(lián)網(wǎng)世界碰到了嚴(yán)重的故障。一直自晚上10點(diǎn)到第二天凌晨，包括江蘇、安徽、廣西、海南、甘肅、浙江六省在內(nèi)所有網(wǎng)民都感到了網(wǎng)速奇慢，然后無法訪問internet。一直第二天情況才得到好轉(zhuǎn)，網(wǎng)絡(luò)恢復(fù)正常。通過調(diào)查發(fā)現(xiàn)原來兩家游戲網(wǎng)站的商業(yè)不道德內(nèi)斗，一家雇黑客向競爭對手的DNS域名托管商DNSPod發(fā)起攻擊的，使得對手陷入癱瘓。在操作過程中，多臺木馬電腦向DNSPod進(jìn)行狂轟濫炸，目的達(dá)到了，然而服務(wù)器順帶托管著的國內(nèi)13萬家網(wǎng)站域名也受到了攻擊，最終一連串的連鎖反應(yīng)導(dǎo)致了這場悲劇。

網(wǎng)絡(luò)流量的異常引發(fā)了人們深深的思考，這是最后一次嗎？事情遠(yuǎn)沒有畫上一個(gè)休止符，那么網(wǎng)絡(luò)使用者、管理者以及技術(shù)開發(fā)人員，到底應(yīng)該如何防范這來勢兇猛的異常流量攻擊，才能保證信息的安全，這是一個(gè)極為重要的問題。

2 異常流量種類與數(shù)據(jù)包

2.1 異常流量

總的看來，能夠使得網(wǎng)絡(luò)發(fā)生重大問題的異常網(wǎng)絡(luò)流量有下面的一些方面：首先是拒絕服務(wù)攻擊，這是危害極大，也極為常見的一種，稱為DoS。再者，還有一種是分布式的拒絕服務(wù)攻擊，也被稱作是DDoS。其次是網(wǎng)絡(luò)蠕蟲病毒流量，以及相應(yīng)別的異常流量。這些網(wǎng)絡(luò)的異常流量，能夠引發(fā)骨干網(wǎng)絡(luò)的減速、癱瘓，有著巨大的危害和破壞力，主要表現(xiàn)形式是帶寬的占用、網(wǎng)絡(luò)的阻塞，無法發(fā)送正常數(shù)據(jù)而導(dǎo)致的經(jīng)常性的丟包現(xiàn)象等等。除了對于網(wǎng)絡(luò)，針對各個(gè)服務(wù)器計(jì)算機(jī)乃至終端系統(tǒng)來說，網(wǎng)絡(luò)異常流量會(huì)導(dǎo)致大量CPU時(shí)間片和內(nèi)存空間的占用，無法正常響應(yīng)需求服務(wù)。針對這個(gè)問題，需要構(gòu)建網(wǎng)絡(luò)流量異常的分析系統(tǒng)，進(jìn)行良好的預(yù)警、報(bào)警和流量處理功能。

2.2 異常流量數(shù)據(jù)包構(gòu)成

從理論上來講，任何正常的數(shù)據(jù)包形式如果被大量濫用，都會(huì)產(chǎn)生異常流量，例如DNS正常訪問請求數(shù)據(jù)包（協(xié)議類型53）如果大量發(fā)生，就會(huì)產(chǎn)生對DNS服務(wù)器的DoS攻擊。但相關(guān)異常流量數(shù)據(jù)，構(gòu)成上一般有如下方面：TCP SYN flood，典型特征是數(shù)據(jù)包協(xié)議類型為6（TCP），數(shù)據(jù)流大小為40字節(jié)。ICMP flood，他們是數(shù)據(jù)包協(xié)議類型為1（ICMP），單個(gè)數(shù)據(jù)流字節(jié)數(shù)達(dá)218M字節(jié)。UDP flood，出現(xiàn)特點(diǎn)在于數(shù)據(jù)包協(xié)議類型為17（UDP），數(shù)據(jù)流有大有小。除此以外，仍然存在一些不是特別常見的異常流量數(shù)據(jù)。

3 網(wǎng)絡(luò)流量分析的主要功能

3.1 基本分析

對于其承擔(dān)的主要，應(yīng)該包含有網(wǎng)絡(luò)流量中信息包的抓取，而且應(yīng)該能依照相關(guān)的技術(shù)標(biāo)準(zhǔn)、協(xié)議，數(shù)據(jù)來源與去向進(jìn)行多廣度和多維度的分析，而這些數(shù)據(jù)采集能夠依靠相關(guān)NetFlower、sFlow、NetStream、端口鏡像等的。具體說來，流量的異常分析中應(yīng)該涵蓋如下的方面：⑴提供流向分析、協(xié)議層次分析、應(yīng)用分析等功能；⑵提供終端流量矩陣視圖、TCP連接會(huì)話矩陣視圖；⑶支持對P2P、IM（即時(shí)消息）、VoIP等應(yīng)用層協(xié)議進(jìn)行分析。⑷提供各種排名分析。

3.2 全面分析

對于高級使用者，還應(yīng)該支持SNMP、BGP、SPAN、CLI、NAP 等方式，對路由設(shè)備狀態(tài)、路由表項(xiàng)、動(dòng)態(tài)路由協(xié)議交互、IP/MAC影射、MAC/Port影射、原始報(bào)文內(nèi)容等進(jìn)行實(shí)時(shí)采集，把鏈路流量圖式和網(wǎng)元節(jié)點(diǎn)狀態(tài)同時(shí)納入到系統(tǒng)分析基礎(chǔ)數(shù)據(jù)庫中并在二者之間進(jìn)行高度關(guān)聯(lián)分析，不僅大幅度提高流量分析結(jié)果的準(zhǔn)確率（如通過流量分析得出的“流量異常”表象往往有可能是由于網(wǎng)元設(shè)備錯(cuò)誤策略配置等內(nèi)在因素所誘發(fā)的），而且通過對網(wǎng)元設(shè)備的主動(dòng)分析/調(diào)節(jié)還可較精確的定位異常流量來源并有效緩解其影響。如果是一個(gè)成熟的商業(yè)分析產(chǎn)品，更是應(yīng)該能夠通過這些分析過程自動(dòng)生成設(shè)備接通率、設(shè)備性能趨勢、設(shè)備故障、設(shè)備總流量、設(shè)備接通率、服務(wù)器存活率、線路連通率等日、周、月、季、年報(bào)表。特別存在異常流量，能夠保證分析的速度特性，第一時(shí)間找到存在著ARP病毒湖綜合蠕蟲以及BT等等多種異常流量的數(shù)據(jù)流，這樣就能防止破壞損失的進(jìn)一步發(fā)展。

4 實(shí)現(xiàn)方式

實(shí)現(xiàn)上應(yīng)該劃分為收集器以及控制器等不同部分。前者通過流量收集，進(jìn)一步達(dá)到特征提取/建模。而這個(gè)功能模塊隸屬于系統(tǒng)的低層，是系統(tǒng)面向網(wǎng)元設(shè)備的接口單元并進(jìn)行數(shù)據(jù)上收和格式轉(zhuǎn)換、特征提取等預(yù)處理操作；后者通過模式分析、策略響應(yīng)來為機(jī)交互打下基礎(chǔ)，屬于用戶層面。具體可以劃分為如下模塊：⑴流量流向分析：提供客戶網(wǎng)絡(luò)范圍內(nèi)的流量及成分統(tǒng)計(jì)、數(shù)據(jù)流向分析、信息熱點(diǎn)排名等基礎(chǔ)數(shù)據(jù)；⑵異常流量檢測：可按照客戶指定基線進(jìn)行異常流量檢測；⑶異常流量抑制：在異常流量檢測服務(wù)的基礎(chǔ)之上，系統(tǒng)將對檢測到的異常流量進(jìn)行自動(dòng)干預(yù)；⑷異常流量凈化：過濾網(wǎng)關(guān)之間按照指定接口協(xié)議進(jìn)行交互，以獲得過濾網(wǎng)關(guān)對被牽引流量的處理。

[參考文獻(xiàn)]

[1]舒炎泰，王雷，張連芳，薛飛，金志剛.OliverYang.基于FARIMA模型的Internet網(wǎng)絡(luò)業(yè)務(wù)預(yù)報(bào)[J].計(jì)算機(jī)學(xué)報(bào)，2001（01）.

[2]Marina Thottan，Chuanyi Ji.Statistical Detection of Enterprise Network Problems[J].Journal of Network and Systems Management，1999（1）.

[3]郁繼鋒.基于數(shù)據(jù)挖掘的Web應(yīng)用入侵異常檢測研究[D].華中科技大學(xué)，2011.

[4]王新良.僵尸網(wǎng)絡(luò)異常流量分析與檢測[D].北京郵電大學(xué)，2011.