摘要:随着Internet技术和网络业务的发展,网络规模增大,网络应用趋向复杂化和多样化,网络流量监测业已成为计算机网络应用的重要组成部分。本文通过概述网络异常流量产生的主要原因,以及网络异常流量检测的重要性,分析网络异常流量检测的主要方法,为网络性能分析、异常检测等提出具有实际意义的建议。
关键词:网络流量;网络异常;检测;网络流量分析
一、引言
时至今日,Internet服务的发展异常迅速,网络在日常生活和各类工作中已经是不可或缺的重要的组成部分,对网络各种流量进行分类监控,以便及时发现并控制网络上的各种异常行为,已经成为保障网络正常运行的关键之处。网络流量分析是网络安全的一个重要研究方向,该怎样快速地分析网络异常流量产生的原因,又该怎样保证网络的可用性和畅通性,对于计算机网络健康发展起到非常重要的作用。在这样的背景之下,各种各样的网络流量检测技术随之涌现。
二、网络流量异常产生的原因
网络流量产生异常的原因非常多,常见的有四种:一种是网络恶意攻击引起的,例如DoS攻击,DDoS攻击,端口扫描等;第二种是导致数据量模式改变的网络病毒,如蠕虫病毒等;第三种原因是网络的使用问题,如大范围的P2P的应用模式对网络流量造成不良影响;还有一种原因是网络错误配置或者网络存储空间耗尽等。
计算机网络流量异常检测是指检测何时何处存在异常的网络流量发生。如今,蠕虫病毒的大规模爆发,垃圾邮件的大量传播, P2P下载的泛滥等异常网络行为的流量,对网络资源,网络安全造成了极大的负面影响。首先,会占用带宽资源,造成网络拥堵、丢包、时延增大,甚至直接导致网络无法正常使用,其次,还会占用网络设备系统资源,造成网络服务不正常。流量异常检测不仅有利于网络管理者及时排查网络异常,而且对于维护计算机网络正常运转,保障网络的安全都具有十分重要的意义。
三、网络异常流量的检测技术
近几年来,国内外很多专家学者对网络流量异常检测及分析进行了大量的研究工作,网络异常流量检测技术成果丰硕,检测的方法数量很多。概括起来,包括以下五种:
1.统计检测方法
统计检测方法是通过对数据的统计分析,进而判断网络流量是否正常。常见的统计分析方法又分成两种:一种是基于时间关联的统计方法,例如小波分析、指数滤波等;第二种是基于空间关联的子空间分析技术。基于统计的检测的主要优点在于:不但能够发现已知特征的流量异常,而且还能够检测未知特征的流量异常;缺点是只能检测到异常流量的存在,但无法确定导致异常的原因及异常属性;这种方法只适合于基于离线的非实时网络异常检测。
2.基于SNMP的检测方法
SNMP是专门用于在IP网络管理网络节点的一种标准协议,属于应用层协议中的一种。基于SNMP协议的流量监测则是由提取网络设备中的MIBII收集的一些与具体设备及流量信息相关的参数来实现流量检测。MRTG是最常用并且最典型的一种基于SNMP的产品。 其特点是通过软件方式来实现流量检测,而不需要对网络进行改造或增加配件,配置相对简单,费用低廉,适合较大范围的应用。但它的缺点也同样突出,即,它只是包括字节数,报文数等最基本的数据内容,因而无法用于复杂的流量检测。
3.阈值检测方法
阈值检测方法则是采用量化分析形式,具体可划分为自适应阈值法和静态阈值法。前者是依据网管经验建立一个正常的网络参数范围,当一个或多个网络的相关参数超过正常范围时,产生警告,增加了检测的准确性。在静态阈值法中,用户和系统行为的某种属性根据计数进行描述,例如,特定类型网络的链接次数,访问目录或文件次数,访问网络系统次数等,这些计数设定有某种许可级别。通常是根据历史访问数据建立一个常规的参数基线,设定一个允许的访问值,若超出设定范围,就判断为异常。检测的准确性受限于阈值的确定,一个合适的阈值的设定关乎整个检测的准确性,因此阈值检测法的主要难点在于如何选择设定一个合适的阈值和范围。
4.基于流(Flow)的流量分析方法
基于流的分析方法常见的有两种:即sFLow和NetFlow。sFLow使用数据流随机采集技术,适用于超大规模网络流量环境下的流量分析,用户可以详细地分析网络传输流的性能、趋势及存在的问题。NetFlow不仅是流量分析技术,它也是业界的计费技术的主流。NetFlow具有很多优点:例如配置方便,安装简单;信息量非常丰富。它不仅能为流量分布,业务分布等性能分析提供充足的数据,同时,它成本低廉,实施方便快捷且不受速率的限制,是数据流量采集的主要发展方向。
5.基于流量探针的检测方法
流量探针是一种常见的硬件设备,广泛用于获取网络流量。使用的时候,只需将流量探针串接在需要捕捉流量的链路中,即可通过分流链路上的数字信号来获取流量信息。流量探针检测法具有可靠性高、效率高、高速运行不丢包,并且安装方便等优点。但缺点也显而易见:首先,价格昂贵,不适合大面积安装;再者受限于探针的接口速率,且探针方式监测的是单条链路的流量。
四、网络异常流量的有效防控
形式各异的网络异常流量的存在,不仅影响网络的正常运行,而且威胁用户的日常使用,但网络已成为世界范围内的重要的不可或缺的信息承载工具,维护好网络安全,建立网络异常流量防范体系迫在眉睫。建立网络异常流量防控措施应做到:
1.完善网络基础设施建设
强健的网络系统防护,可以让网络不会轻易“堵车”,是网络安全运行的基础。因此必须做好网络系统的建设。网络系统的建设首先要确定网络结构,常用的网络结构一般是业务提供层和骨干层分离,以实现骨干网络与客户的隔离,确保骨干网络的安全,这样能有效控制对客户安全的影响范围。要做好网络系统的防护,则需做到以下两点:一是做好网络安全边界的保护,如安装多层防火墙等;二是使用统一认证的方法来保护网络系统,使其不被非法登陆。
2.异常流量监控与预警机制
网络流量的监控方法多种多样,上文所述的都是常见的检测方法,充分掌握检测方法及其特点,选择适用于自己的网络异常流量检测手段对于维护建立健全网络异常流量防范体系具有重要意义。明确网络上各种网络应用的带宽占用情况,分析用户流量行为,便于合理的规划和分配网络带宽,并且有效地保障网络正常运行。
除了做好异常流量监控,还必须建立预警机制。这要求网管建立一套切合实际的网络健康工作时基线,并根据实际情况做出调整,当出现异常流量并超过基线时能及时预警。
3.对异常流量进行疏导和控制
常见的对异常流量进行疏导和控制的方法有3种:第一种是ACL过滤,这种方法可以实现针对源目的IP地址、协议类型和端口号等各种形式进行过滤。第二种方法是切断网络硬件设备物理链接,在确定异常流量的源地址,且该源地址所使用的设备在可控的情况下,切断其物理连接。最后一种方法是异常流量限定,只需使用路由器的CAR功能,就能够将异常流量限定在一定范围内,这样做会有个小小的副作用,即消耗一定的路由器系统资源。
4.建立业界合作
网络安全快捷不是一个人的事,而是共同努力的结果。应建立与业界的广泛合作,共同构建网络运营商和各类网络安全组织的沟通渠道,提高对网络安全事件的预知能力和应急处理能力。融合各家的想法,做法,交流各自的经验,加强合作,提高协同处理能力。
引起网络异常流量的因素众多,且随着技术进步,服务更便捷的同时还伴随着网络安全风险的加大。因此要维护网络顺畅,除了掌握现有的技术,还要与时俱进,不断创新网络异常流量防控措施。总而言之,只有及时发现异常流量,准确定位异常流量源,才可以对症下药,清除引起异常流量的病毒、黑客及P2P软件等,确保网络通畅无阻。
参考文献:
[1]Stefan Savage,David Wetherall,Member IEEE,Anna Karlin,and Tom Anderson.Network Support for IP Traceback[J].IEEE/ACM TRANSACTIONS ON NETWORKING? VOL.9,NO.3,JUNE 2001.
[2]Stefan Savage,David Wetherall,Anna Karlin and Tom Anderson. Practical Network Support for IP Traceback[J]. Proceedings of the 2000 ACM SIGCOMM Conference[C],Stockholm,Sweden,August 2000. pp.295-306.
[3]Garber L.Denial-of-service Attacks Rip the Internet[J]. Computer,2000,33(4):12-17.
[4]Xiang Y, Lin Y, L W, et al. Detecting DDoS Attack Based on Network Self-similarity[J].Internet Protocol Technology and Applications,2005(18).
[5]ZHU Y,SHASHA D.Statstream:Statistical Monitoring of Thousands of Data Streams in Real Time[C].Proceedings of 28th International Conference on Very Large Data Bases,New York,2002:358-360.
[6]张静,龚俭.网络入侵追踪研究综述[J].计算机科学.2003(10).
[7]李德全,徐一丁等.IP追踪中的自适应包标记[J].电子学报.2004(8).
[8]刘振绪.有效的动态几率封包标记[R].逢甲大学硕士学位论文,2002.
[9]孙延奎.小波分析及其应用[M].清华大学出版社,2005.
[10]李红娇,李建华.基于程序行为异常检测的数据流属性分析[J].上海交通大学学报,2007(11).
(作者单位:桂林电子科技大学)
相关热词搜索: 防控 流量 异常 网络