吳強

摘 要： 為了監(jiān)測和控制網(wǎng)絡(luò)異常流量，提高網(wǎng)絡(luò)的安全管理能力，提出基于分布式拓?fù)淇刂频木W(wǎng)絡(luò)異常流量控制系統(tǒng)設(shè)計方法。系統(tǒng)建立在嵌入式軟件開發(fā)環(huán)境基礎(chǔ)上，總體構(gòu)架包括了網(wǎng)絡(luò)異常流量的采集模塊、A/D模塊、主控模塊、USB口、JTAG口、控制目標(biāo)板開發(fā)等。異常流量檢測采用匹配濾波檢測方法，設(shè)計流量檢測的匹配濾波器，采用標(biāo)準(zhǔn)Linux開發(fā)工具集進(jìn)行網(wǎng)絡(luò)異常流量控制系統(tǒng)的編譯器、連接器、調(diào)試器等子系統(tǒng)的開發(fā)。在內(nèi)核解壓程序控制下將控制程序編譯生成可執(zhí)行代碼，實現(xiàn)異常流量控制系統(tǒng)的軟件開發(fā)和硬件設(shè)計。測試結(jié)果表明，采用該方法進(jìn)行網(wǎng)絡(luò)異常流量控制，能準(zhǔn)確識別異常流量，并通過實時檢測和調(diào)整，實現(xiàn)網(wǎng)絡(luò)安全管理。

關(guān)鍵詞： 網(wǎng)絡(luò)流量管理； 異常流量控制； 安全管理； 軟件開發(fā)

中圖分類號： TN711?34； TP393 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2017）24?0085?03

Abstract： In order to monitor and control the network abnormal traffic， and improve the capability of network security management， a design method of network abnormal flow control system based on distributed topology control is proposed. The system is established in the embedded software development environment. Its overall framework includes abnormal network flow acquisition module， A/D module， main control module， USB port， JTAG port and target control board. The matched filtering detection method is adopted for abnormal flow detection. The matched filter is designed for traffic detection. The standard Linux development tools are used to develop the subsystems of the abnormal network traffic control system， such as compiler， connector， debugger， etc. The executable code generated with the program compile is controlled by kernel decompression procedures to realize software development and hardware design of the abnormal traffic control system. The test results show that the method for network abnormal flow control can accurately identify the abnormal flow， and achieve network security management by means of real?time detection and adjustment.

Keywords： network flow management； abnormal flow control； safety management； software development

0 引 言

隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，網(wǎng)絡(luò)覆蓋面越來越高，接入網(wǎng)絡(luò)交換中心的終端設(shè)備的種類和數(shù)量越來越多，網(wǎng)絡(luò)中產(chǎn)生的流量以上傳和下載數(shù)據(jù)的方式在網(wǎng)絡(luò)控制中心實現(xiàn)信息交互。網(wǎng)絡(luò)控制中心通過對流量的實時運行情況進(jìn)行分析和控制，調(diào)整網(wǎng)絡(luò)的上行和下行帶寬，避免網(wǎng)絡(luò)的擁堵[1]。網(wǎng)絡(luò)流量的控制成為網(wǎng)絡(luò)安全管理的一種有效手段，通過對網(wǎng)絡(luò)的異常流量進(jìn)行準(zhǔn)確識別和控制，提高網(wǎng)絡(luò)安全管理能力，研究網(wǎng)絡(luò)異常流量的控制方法，進(jìn)行控制系統(tǒng)優(yōu)化設(shè)計，在Web環(huán)境下進(jìn)行網(wǎng)絡(luò)異常流量控制系統(tǒng)的開發(fā)與設(shè)計，改善網(wǎng)絡(luò)運營商的服務(wù)質(zhì)量，同時還能有效檢測網(wǎng)絡(luò)攻擊行為和網(wǎng)絡(luò)異常接入行為，研究相關(guān)的系統(tǒng)設(shè)計方法具有重要的現(xiàn)實價值和意義。

1 系統(tǒng)總體設(shè)計

1.1 網(wǎng)絡(luò)異常流量控制流程原理

網(wǎng)絡(luò)異常流量控制系統(tǒng)建立在Web構(gòu)架體系中，在網(wǎng)絡(luò)流量的控制中心對原始流量進(jìn)行信息采集，對網(wǎng)絡(luò)傳輸?shù)牧髁窟M(jìn)行在線監(jiān)測與控制，結(jié)合信息編碼技術(shù)和嵌入式內(nèi)核控制技術(shù)，對網(wǎng)絡(luò)異常流量進(jìn)行向量量化編碼，在TCP傳輸通道進(jìn)行網(wǎng)絡(luò)異常流量的特征檢測和挖掘，在FIFO共享通道中融入中央處理器進(jìn)行流量監(jiān)控和異常識別[2]。網(wǎng)絡(luò)異常流量監(jiān)測與控制系統(tǒng)設(shè)計是一項系統(tǒng)性工程，需要進(jìn)行流量的量化編譯器、連接器、調(diào)試器等子系統(tǒng)的開發(fā)，進(jìn)行網(wǎng)絡(luò)模型構(gòu)建、網(wǎng)絡(luò)服務(wù)器及網(wǎng)絡(luò)協(xié)議設(shè)計，以及網(wǎng)絡(luò)異常流量輸出API接口設(shè)計等。網(wǎng)絡(luò)異常流量監(jiān)測的PC端采用第三方應(yīng)用程序進(jìn)行語音、數(shù)據(jù)、圖像等流量信息的異常特征識別，在服務(wù)器上添加IP?PBX傳輸層協(xié)議進(jìn)行組網(wǎng)檢測，根據(jù)上述原理分析，得到網(wǎng)絡(luò)異常流量控制的流程結(jié)構(gòu)如圖1所示。

1.2 總體結(jié)構(gòu)模型

根據(jù)圖1所示的網(wǎng)絡(luò)異常流量控制的原理圖，進(jìn)行流量控制系統(tǒng)的總體結(jié)構(gòu)設(shè)計。本文研究的基于Web架構(gòu)的網(wǎng)絡(luò)異常流量監(jiān)測與控制系統(tǒng)的功能主要包括：endprint

（1） 網(wǎng)絡(luò)異常流量監(jiān)測與控制識別功能；

（2） 移動互聯(lián)網(wǎng)和廣域互聯(lián)網(wǎng)的接入功能；

（3） 網(wǎng)絡(luò)流量遠(yuǎn)程傳輸和異常特征提取功能；

（4） 多通道網(wǎng)絡(luò)異常流量信息記錄分析功能；

（5） 總線數(shù)據(jù)采集和總線控制功能。

使用專用短程通信（Dedicated Short Range Communication，DSRC）標(biāo)準(zhǔn)進(jìn)行網(wǎng)絡(luò)異常流量信息采集[3]，選用VXI總線商業(yè)貨架產(chǎn)品構(gòu)建該異常流量的無線識別系統(tǒng)，結(jié)合RFID傳感器網(wǎng)絡(luò)進(jìn)行異常特征識別和遠(yuǎn)程傳輸控制，用無線射頻識別傳感器裝置作為網(wǎng)絡(luò)異常流量監(jiān)測與控制系統(tǒng)的信息輸入端，在Web架構(gòu)平臺中進(jìn)行網(wǎng)絡(luò)協(xié)議和Web服務(wù)器設(shè)計。采用如圖2所示的三層架構(gòu)體系，構(gòu)建流量控制系統(tǒng)的感知控制層、網(wǎng)絡(luò)傳輸層和應(yīng)用服務(wù)層。

圖2中，感知控制層是通過信號調(diào)理器、抗混疊濾波器進(jìn)行網(wǎng)絡(luò)異常流量信息采集和濾波處理，采用32通道的陣列信號采集器進(jìn)行流量采集和信息傳輸控制，采樣帶寬76.8 kHz，滿足網(wǎng)絡(luò)流量實時采集和全面采集的需求；應(yīng)用服務(wù)層是提供網(wǎng)絡(luò)異常流量的云存儲和云計算服務(wù)等功能，通過智能監(jiān)控技術(shù)和數(shù)據(jù)處理技術(shù)，進(jìn)行網(wǎng)絡(luò)異常流量的控制識別，并完成系統(tǒng)的模塊識別、系統(tǒng)自檢管理[4]。

2 系統(tǒng)開發(fā)設(shè)計與實現(xiàn)

2.1 硬件設(shè)計部分

在上述進(jìn)行了網(wǎng)絡(luò)異常流量控制系統(tǒng)的總體設(shè)計和功能模塊分析的基礎(chǔ)上，進(jìn)行系統(tǒng)的開發(fā)設(shè)計。異常流量控制系統(tǒng)開發(fā)設(shè)計包括硬件設(shè)計和軟件設(shè)計兩大部分。本文提出一種基于分布式拓?fù)淇刂频木W(wǎng)絡(luò)異常流量控制系統(tǒng)設(shè)計方法，其中，硬件設(shè)計主要是對異常流量監(jiān)測的匹配濾波器的設(shè)計、USB口、JTAG口、控制目標(biāo)板開發(fā)設(shè)計[5]。

匹配濾波器采用TRF7960芯片集成數(shù)據(jù)幀處理系統(tǒng)，進(jìn)行本地總線時鐘和 PCI 時鐘異步信息傳輸，PC9054 內(nèi)部CI9054的LOCAL 總線與PCI總線通過異步操作實現(xiàn)異常流量的濾波檢測。USB口、JTAG口的設(shè)計采用總線系統(tǒng)控制的串口設(shè)計方法，通過高性能MXI?2總線連接外部PC機進(jìn)行流量檢測和數(shù)據(jù)通信，使用8通道196kSa/Sec/Chan數(shù)字化儀構(gòu)建USB口和JTAG口的數(shù)據(jù)總線。采用分布式拓?fù)淇刂品椒ㄟM(jìn)行目標(biāo)板開發(fā)，在目標(biāo)板中通過向HP E1562E 8GB SCSI硬盤高速傳輸數(shù)據(jù)到主控計算機。

2.2 軟件開發(fā)部分

系統(tǒng)的軟件開發(fā)建立在標(biāo)準(zhǔn)Linux開發(fā)工具集中，進(jìn)行網(wǎng)絡(luò)異常流量控制系統(tǒng)的編譯器、連接器、調(diào)試器等子系統(tǒng)的開發(fā)。在Windows操作系統(tǒng)下安裝VirtualBox虛擬機構(gòu)建流量異?？刂葡到y(tǒng)的軟件開發(fā)環(huán)境設(shè)計，采用交叉編譯環(huán)境進(jìn)行流量控制的信令設(shè)計[6]。通過串口作為控制臺來控制目標(biāo)板，設(shè)計異常流量的控制信令描述如下：

1XX：時間戳指響應(yīng)。Sip協(xié)議棧發(fā)起網(wǎng)絡(luò)異常流量監(jiān)測與控制終端會話，即網(wǎng)絡(luò)異常流量監(jiān)測與控制輸入的時間戳指設(shè)定，通過網(wǎng)絡(luò)異常流量編碼將信息輸入到Web服務(wù)器中，請求正在處理，時間戳完成第一網(wǎng)絡(luò)異常流量幀序列的時間采樣。

2XX：同步源標(biāo)識。同步源標(biāo)識用來標(biāo)識輸入的網(wǎng)絡(luò)異常流量和輸出網(wǎng)絡(luò)正常流量幀的對應(yīng)差異性特征，使得可執(zhí)行程序代碼進(jìn)行程序編譯與分布式控制設(shè)計，編譯出用戶流量識別的機器碼。

3XX：數(shù)據(jù)流和控制流分離。通過業(yè)務(wù)與呼叫控制分離方法進(jìn)行網(wǎng)絡(luò)和業(yè)務(wù)的融合，RTP頭部和負(fù)載數(shù)據(jù)壓縮網(wǎng)絡(luò)異常流量數(shù)據(jù)，完成同步源標(biāo)識。

4XX：客戶出錯響應(yīng)。網(wǎng)絡(luò)異常流量監(jiān)測與控制的終端在服務(wù)器上注冊用戶信息，剔除或者邀請指定的人進(jìn)行信息查閱和流量識別，采用會議結(jié)構(gòu)進(jìn)行差錯矯正，輸出校正字結(jié)構(gòu)。

根據(jù)上述對控制信令的設(shè)計，進(jìn)行網(wǎng)絡(luò)異常流量控制系統(tǒng)的編譯器、連接器、調(diào)試器等子系統(tǒng)的開發(fā)[7]：

（1） 編譯器。首先由流量采集系統(tǒng)的A/D轉(zhuǎn)換裝置通過 FOCUS服務(wù)器發(fā)送INVITE請求。用戶收到早期的Dialog，發(fā)出ACK確認(rèn)消息，協(xié)議棧處理結(jié)束，完成流量控制的交叉編譯。

（2） 連接器。連接器通過根文件系統(tǒng)進(jìn)行目錄文件的系統(tǒng)庫和內(nèi)核模塊的串口配置和鏈接，采用Busybox的安裝腳本建立異常流量控制系統(tǒng)的GNU測試板，利用mkyaffsimage工具生成的根文件系統(tǒng)，在開發(fā)板中完成控制系統(tǒng)的設(shè)備驅(qū)動和擴展口連接。

（3） 調(diào)試器。調(diào)試器開發(fā)建立在字符設(shè)備驅(qū)動程序和塊驅(qū)動程序中，利用rmmod命令訪問網(wǎng)絡(luò)設(shè)備，動態(tài)加載檢測算法和異常流量控制信令，實現(xiàn)控制系統(tǒng)的軟件開發(fā)與設(shè)計。

3 系統(tǒng)測試分析

在內(nèi)核解壓程序控制下將控制程序編譯生成可執(zhí)行代碼，實現(xiàn)異常流量控制系統(tǒng)的軟件開發(fā)和硬件設(shè)計，最后進(jìn)行實驗測試分析。在嵌入式ARM系統(tǒng)中構(gòu)建A/D轉(zhuǎn)換器，打開異常流量控制系統(tǒng)的主設(shè)備，向內(nèi)核注冊字符，在中央處理器中進(jìn)行流量采集和信息識別，得流量采集和異常流量識別時域波形如圖3所示。

分析圖3結(jié)果得知，采用本文設(shè)計的系統(tǒng)進(jìn)行網(wǎng)絡(luò)異常流量控制，能準(zhǔn)確檢測到異常流量的時域分布，具有較好的監(jiān)測和控制效能。

4 結(jié) 語

本文研究了網(wǎng)絡(luò)異常流量檢測與控制系統(tǒng)的設(shè)計問題，提出基于分布式拓?fù)淇刂频木W(wǎng)絡(luò)異常流量控制系統(tǒng)設(shè)計方法，并進(jìn)行了實驗分析。測試表明，本文系統(tǒng)能準(zhǔn)確檢測到網(wǎng)絡(luò)異常流量，控制效果較好。

參考文獻(xiàn)

[1] 張永錚，肖軍，云曉春，等.DDoS攻擊檢測和控制[J].軟件學(xué)報，2012，23（8）：2058?2072.

[2] 夏秦，王志文，盧柯.入侵檢測系統(tǒng)利用信息熵檢測網(wǎng)絡(luò)攻擊的方法[J].西安交通大學(xué)學(xué)報，2013，47（2）：14?19.

[3] 羅黎霞.激光通信網(wǎng)絡(luò)中的異常數(shù)據(jù)檢測方法研究[J].激光雜志，2016，37（10）：133?136.

[4] 張萌，張滬寅，葉剛.延遲時間和嵌入維數(shù)聯(lián)合優(yōu)化的網(wǎng)絡(luò)流量預(yù)測[J].計算機工程與應(yīng)用，2014，50（4）：103?109.

[5] 唐明董，姜葉春，劉建勛.用戶位置感知的Web服務(wù)網(wǎng)絡(luò)數(shù)據(jù)流量預(yù)測方法[J].小型微型計算機系統(tǒng)，2012，33（12）：2664?2667.

[6] 陸興華，陳平華.基于定量遞歸聯(lián)合熵特征重構(gòu)的緩沖區(qū)流量預(yù)測算法[J].計算機科學(xué)，2015，42（4）：68?71.

[7] 李永剛，張治中，李龍江.一種WLAN與eHRPD系統(tǒng)間負(fù)載均衡算法[J].微電子學(xué)與計算機，2017，34（1）：44?47.endprint