張小衛(wèi)

隨著計算機(jī)網(wǎng)絡(luò)的快速發(fā)展和普及，網(wǎng)絡(luò)流量監(jiān)控分析受到越來越多的關(guān)注。高效合理地運(yùn)行網(wǎng)絡(luò)流量實(shí)時監(jiān)控分析系統(tǒng)，可在最短時間內(nèi)發(fā)現(xiàn)安全威脅，并在第一時間進(jìn)行分析，確定攻擊源。網(wǎng)絡(luò)流量監(jiān)控分析的基礎(chǔ)是協(xié)議識別技術(shù)，目前的主要方法有常用端口識別、深度報文檢測DPI、深度流檢測DFI，以及這幾種方法的混合。

DPI技術(shù)是一種基于特征字的識別技術(shù)，可根據(jù)不同協(xié)議的特征來檢測和識別出具體的應(yīng)用協(xié)議。DPI具有檢測準(zhǔn)確率高、原理相對簡單、實(shí)現(xiàn)速度快等多個優(yōu)點(diǎn)，因而具有較為廣泛的應(yīng)用。本文介紹的網(wǎng)絡(luò)流量實(shí)時監(jiān)控分析系統(tǒng)（以下簡稱RT-TMA，Real-Time network Traffic Monitor and Analysis system）就是采用DPI技術(shù)來實(shí)現(xiàn)協(xié)議識別的。

網(wǎng)絡(luò)流量監(jiān)測模塊設(shè)計

底層協(xié)議分析模塊：OSI模型由7層網(wǎng)絡(luò)協(xié)議共同組成，數(shù)據(jù)是經(jīng)過封裝之后由上至下傳送的。因此，對網(wǎng)絡(luò)協(xié)議進(jìn)行分析也需要由上至下實(shí)施。例如，對網(wǎng)絡(luò)層、鏈路層的傳輸協(xié)議進(jìn)行分析識別之后重組協(xié)議，將協(xié)議頭部內(nèi)包含的數(shù)據(jù)信息傳遞給上層分析，由此持續(xù)到網(wǎng)絡(luò)傳輸層，都以協(xié)議包頭信息對其進(jìn)行分析處理，這也是重組會話的基礎(chǔ)。

重組會話模塊：由于網(wǎng)絡(luò)傳輸必然會存在數(shù)據(jù)丟失、位置錯誤等問題，數(shù)據(jù)包也是經(jīng)過不同的網(wǎng)絡(luò)傳輸路徑到達(dá)用戶終端，到達(dá)時數(shù)據(jù)包的順序很可能會發(fā)生變化。在數(shù)據(jù)包傳輸過程中，主要由網(wǎng)絡(luò)協(xié)議對其進(jìn)行有效控制，一旦出現(xiàn)數(shù)據(jù)包丟失等情況，系統(tǒng)會自動重新發(fā)送數(shù)據(jù)包，由此，會話重組必須可以應(yīng)付數(shù)據(jù)包錯序和重新傳輸?shù)膯栴}，以實(shí)現(xiàn)會話重組的高效率。

網(wǎng)絡(luò)協(xié)議識別模塊：計算機(jī)網(wǎng)絡(luò)流量實(shí)時監(jiān)控系統(tǒng)的核心是網(wǎng)絡(luò)協(xié)議識別引擎，HTTP傳輸協(xié)議、P2P傳輸協(xié)議等都是基于網(wǎng)絡(luò)協(xié)議識別引擎基礎(chǔ)上實(shí)現(xiàn)的。網(wǎng)絡(luò)協(xié)議識別引擎可以利用其特征與會話重組數(shù)據(jù)進(jìn)行有效匹配，還可以利用數(shù)據(jù)交互等特征對數(shù)據(jù)信息進(jìn)行深入分析。

應(yīng)用層協(xié)議分析模塊：應(yīng)用層協(xié)議分析是在完成會話重組之上實(shí)現(xiàn)的，對于部分實(shí)現(xiàn)P2P傳輸協(xié)議的應(yīng)用來說，是基于網(wǎng)絡(luò)協(xié)議識別之上對會話重組進(jìn)行的深層次數(shù)據(jù)分析和識別。

應(yīng)用層協(xié)議的分析

1.基于會話進(jìn)行協(xié)議識別

在完成會話重組之后，需要對每一個會話進(jìn)行采樣識別。通常情況下都會按照相應(yīng)策略對會話表進(jìn)行維護(hù)，計算機(jī)網(wǎng)絡(luò)流量實(shí)時監(jiān)控分析系統(tǒng)可以同時處理256至1024個會話，對每一個會話的識別都需要對會話之前的若干個數(shù)據(jù)包實(shí)施處理，一般情況下不會超過16個數(shù)據(jù)包，之后的全部數(shù)據(jù)包則按照預(yù)先部署的控制策略完成處理操作。由于P2P應(yīng)用的網(wǎng)絡(luò)連接數(shù)量多、傳輸量大，如果想要對P2P網(wǎng)絡(luò)連接進(jìn)行準(zhǔn)確分析和處理，必須采用基于會話的協(xié)議識別技術(shù)。

2.基于端口、特征碼進(jìn)行協(xié)議識別

對于SSH、DNS和Telnet等傳統(tǒng)應(yīng)用來說，都可以采取簡單端口識別技術(shù)，但是，由于P2P應(yīng)用的特殊性，必須采用動態(tài)端口識別技術(shù)。因此，可以采取特征碼的識別技術(shù)對P2P應(yīng)用進(jìn)行分析識別。由于P2P應(yīng)用協(xié)議屬于公開協(xié)議，又是根據(jù)RFC進(jìn)行規(guī)范的，對于其協(xié)議實(shí)現(xiàn)的研究可以采用特征碼識別方式，但是，特征碼識別又是基于會話之上實(shí)現(xiàn)的，因此需要對會話之前的幾個數(shù)據(jù)包進(jìn)行匹配，可以采用會話采用識別方式。

3.基于應(yīng)用層進(jìn)行協(xié)議分析

為了躲避深層協(xié)議識別的檢測，類似于P2P應(yīng)用轉(zhuǎn)變了端口使用模式，采用隨機(jī)和專用端口。此類應(yīng)用必須基于應(yīng)用層協(xié)議分析基礎(chǔ)上，對其進(jìn)行深層次的協(xié)議探索。當(dāng)BT客戶端對數(shù)據(jù)信息進(jìn)行下載時，首先要實(shí)施Tracker查詢，通過HTTP傳輸協(xié)議中的GET命令來接收互聯(lián)網(wǎng)傳來的數(shù)據(jù)信息，再將請求響應(yīng)傳送給下載端。在HTTP傳輸協(xié)議請求數(shù)據(jù)報文中，包含了Bit Torrent特征值，由此，必須對HTTP傳輸協(xié)議進(jìn)行有效識別，再基于此協(xié)議基礎(chǔ)上對會話實(shí)施深入探索識別。針對以上這種情況，需要在會話基礎(chǔ)上對應(yīng)用層數(shù)據(jù)包實(shí)施深層次分析，從而在HTTP數(shù)據(jù)包中將BT特征值識別出來。

4.對未知P2P協(xié)議的識別

對于P2P應(yīng)用來說，為了盡可能識別更多的應(yīng)用層協(xié)議，需要對未知的P2P應(yīng)用進(jìn)行深入探測。但是，由于部分P2P應(yīng)用的傳輸信道進(jìn)行了加密，對網(wǎng)絡(luò)監(jiān)控管理業(yè)帶來了較大挑戰(zhàn)，為了有效識別部分P2P網(wǎng)絡(luò)流量，并對其加以深入分析和統(tǒng)計，本文采用了近似統(tǒng)計的方法來實(shí)現(xiàn)。近似統(tǒng)計的方式是根據(jù)P2P網(wǎng)絡(luò)協(xié)議設(shè)計的，與其他網(wǎng)絡(luò)協(xié)議具有一定差異，只對數(shù)據(jù)包頭部內(nèi)包含的信息進(jìn)行檢測，而無需對數(shù)據(jù)包的有效載荷進(jìn)行檢測，因此屬于高效、簡單、便捷的識別方法。

RT-TMA的系統(tǒng)模型與實(shí)現(xiàn)

RT-TMA是一種被設(shè)計用于高等院校校園網(wǎng)、實(shí)驗室網(wǎng)絡(luò)及中小型企業(yè)的網(wǎng)絡(luò)流量實(shí)時監(jiān)控分析系統(tǒng)。與其他網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)不同的是，RT-TMA還提供有豐富的二次開發(fā)接口，為網(wǎng)絡(luò)流量監(jiān)控分析相關(guān)開發(fā)人員及科研人員提供理論驗證和算法研究的實(shí)驗平臺。

規(guī)則庫主要包括具體協(xié)議的DPI特征字及其檢測算法的實(shí)現(xiàn)，同時包括傳統(tǒng)規(guī)范網(wǎng)絡(luò)應(yīng)用的端口表，以用于配合DPI引擎完成對具體協(xié)議的識別。

DPI引擎是RT-TMA的核心，可在DPI規(guī)則庫、數(shù)據(jù)庫（配置信息等）、可選的擴(kuò)展庫以及用戶操作等基礎(chǔ)上，完成對網(wǎng)絡(luò)流量的協(xié)議識別、統(tǒng)計、分析等功能。

RT-TMA用戶界面作為人機(jī)交互界面，主要提供用戶操作和管理DPI引擎、顯示各類信息等。

網(wǎng)絡(luò)流量實(shí)時監(jiān)測與控制主要是對大量消耗網(wǎng)絡(luò)資源的應(yīng)用進(jìn)行流量限制和會話阻斷，包括BT下載應(yīng)用、P2P應(yīng)用等，以確保網(wǎng)絡(luò)資源得到合理使用。首先根據(jù)網(wǎng)絡(luò)協(xié)議識別引擎的分析結(jié)果，再對P2P應(yīng)用、BT應(yīng)用、PP Live應(yīng)用等進(jìn)行深入分析和全面識別，再根據(jù)網(wǎng)絡(luò)流量控制策略，對應(yīng)用層進(jìn)行實(shí)時監(jiān)控，一旦發(fā)現(xiàn)網(wǎng)絡(luò)流量異常等情況，立刻啟動系統(tǒng)日志記錄功能，并且向NMS發(fā)出報警信息。

本文提出的計算機(jī)網(wǎng)絡(luò)流量實(shí)時監(jiān)控分析系統(tǒng)采用的是旁路控制技術(shù)，旁路控制機(jī)制包括三個功能部件，分別是速率估計器、連接標(biāo)記器和阻斷生成器。速率估計器主要是根據(jù)接收到的分組信息與歷史信息進(jìn)行結(jié)合，以此達(dá)到每個分組速率平均；連接標(biāo)記器主要是通過速率估計器得出的結(jié)果，按照一定的策略對某些網(wǎng)絡(luò)連接附加阻斷標(biāo)記。當(dāng)某個網(wǎng)絡(luò)連接被加上了阻斷標(biāo)記之后，再利用阻斷生成器生成偽造阻斷分組，以此實(shí)現(xiàn)阻斷網(wǎng)絡(luò)連接的結(jié)果。

基于DPI的網(wǎng)絡(luò)流量實(shí)時監(jiān)控分析系統(tǒng)在網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全防護(hù)中起著非常重要的作用，而目前的網(wǎng)絡(luò)流量實(shí)時監(jiān)控分析大都針對運(yùn)行商的核心骨干網(wǎng)絡(luò)，價格昂貴。此外，作為高校使用的網(wǎng)絡(luò)流量監(jiān)控分析系統(tǒng)，還需具備足夠的可擴(kuò)展接口，以便在完成網(wǎng)絡(luò)管理與安全防護(hù)的同時，提供學(xué)生認(rèn)知實(shí)習(xí)、開放性實(shí)驗以及科研支撐。為此，本文提出了一種基于DPI的網(wǎng)絡(luò)流量實(shí)時監(jiān)控分析系統(tǒng)RT-TMA。該系統(tǒng)具有高可擴(kuò)展性、實(shí)現(xiàn)簡單、接口豐富等特性，可較好地滿足高等院校，特別是高校實(shí)驗教學(xué)中心對網(wǎng)絡(luò)流量實(shí)時監(jiān)控分析系統(tǒng)的需要。

RT-TMA主要針對高等院校、實(shí)驗教學(xué)中心和中小企業(yè)的網(wǎng)絡(luò)進(jìn)行流量監(jiān)控分析，此外，RT-TMA還可作為科研平臺和實(shí)驗平臺來使用，因此，在RT-TMA的實(shí)現(xiàn)中，采用先實(shí)現(xiàn)全部功能再進(jìn)行性能優(yōu)化、先實(shí)現(xiàn)基本功能再進(jìn)行二次擴(kuò)展的思路。

結(jié)語

本文介紹了深度報文的網(wǎng)絡(luò)流量實(shí)時監(jiān)控分析系統(tǒng)的設(shè)計方案和關(guān)鍵技術(shù)實(shí)現(xiàn)方法，并給出了系統(tǒng)的運(yùn)行測試結(jié)果。該方法對于網(wǎng)絡(luò)流量監(jiān)控分析系統(tǒng)的開發(fā)、DPI算法研究等，都具有較高的參考價值。

[1] 孫躍進(jìn),王向超.基于MRTG的校園網(wǎng)絡(luò)流量監(jiān)控[J].中國科技信息,2009(01).

[2] 董加敏,王斌.基于SNMP協(xié)議的高校網(wǎng)絡(luò)流量監(jiān)控管理系統(tǒng)的研究[J].廣州大學(xué)學(xué)報(自然科學(xué)版),2009(01).

[3] 胡孟杰.一種網(wǎng)絡(luò)流量監(jiān)控算法設(shè)計[J].計算機(jī)與數(shù)字工程,2009(06).