基于SNMP的高校內(nèi)網(wǎng)異常流量識(shí)別

周華先

（湖南科技學(xué)院 現(xiàn)代教育技術(shù)中心，湖南 永州425100）

基于SNMP的高校內(nèi)網(wǎng)異常流量識(shí)別

周華先

（湖南科技學(xué)院 現(xiàn)代教育技術(shù)中心，湖南 永州425100）

隨著信息化發(fā)展，內(nèi)網(wǎng)安全已經(jīng)成為網(wǎng)絡(luò)安全的重點(diǎn)，而現(xiàn)有的內(nèi)網(wǎng)安全技術(shù)都需要昂貴的設(shè)備和復(fù)雜嚴(yán)格的身份認(rèn)證制度的支持，對(duì)于高校類(lèi)的開(kāi)放網(wǎng)絡(luò)無(wú)能為力。本文提出一種基于SNMP協(xié)議的，對(duì)網(wǎng)絡(luò)設(shè)備的MIB信息進(jìn)行分析從而判斷內(nèi)網(wǎng)是否存在異常流量的方法，并給出具體操作方案。

SNMP；開(kāi)放網(wǎng)絡(luò)；內(nèi)網(wǎng)安全；流量識(shí)別

0 引言

2000年左右，中國(guó)基礎(chǔ)網(wǎng)絡(luò)建設(shè)已經(jīng)比較完善，PC也已經(jīng)成為一種常見(jiàn)的設(shè)備，基于網(wǎng)絡(luò)的應(yīng)用大量涌現(xiàn)。隨著信息化程度的提高,許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，而網(wǎng)絡(luò)和辦公自動(dòng)化的普及，為病毒等安全威脅的快速傳播提供了現(xiàn)實(shí)基礎(chǔ)。

安全性問(wèn)題已成為網(wǎng)絡(luò) 最棘手、解決難度最大的問(wèn)題,校園網(wǎng)絡(luò)作為信息化建設(shè)的主要載體,校園網(wǎng)安全問(wèn)題已經(jīng)成為當(dāng)前高校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問(wèn)題。傳統(tǒng)的防護(hù)手段還是以防火墻為代表的邊界防護(hù)，包括入侵檢測(cè)、邊界控制等，一旦病毒越過(guò)這些設(shè)備，就會(huì)在內(nèi)網(wǎng)中快速傳播，由于大多數(shù)用戶對(duì)計(jì)算機(jī)的認(rèn)知程度不高，缺乏防護(hù)意識(shí)，加之條件有限，難以保證系統(tǒng)補(bǔ)丁、軟件升級(jí)的及時(shí)性，使得內(nèi)網(wǎng)毫無(wú)抵抗力。2007年開(kāi)始蓬勃發(fā)展的內(nèi)網(wǎng)安全技術(shù)針對(duì)內(nèi)網(wǎng)的不設(shè)防做了重要的改變，通過(guò)認(rèn)證、審計(jì)、加密等技術(shù)并結(jié)合管理章程，極大的提高了內(nèi)網(wǎng)的安全性，保障了網(wǎng)絡(luò)的安全和信息的安全。但高校校園網(wǎng)有其特殊的開(kāi)放性，校園網(wǎng)部分是可以進(jìn)行身體認(rèn)證，比如宿舍區(qū)和辦公區(qū)，可以通過(guò)上述的內(nèi)網(wǎng)安全技術(shù)進(jìn)行管理。但有很大一部分區(qū)域由于高校其開(kāi)放性，比如圖書(shū)館、教學(xué)區(qū)，會(huì)議室等場(chǎng)所，人員流動(dòng)性大，需要為每一個(gè)進(jìn)入校園網(wǎng)的用戶提供臨時(shí)賬號(hào)工作量很大，這樣就不能通過(guò)在身份認(rèn)證的情況下管理其上網(wǎng)行為。本文提出一種基于SNMP協(xié)議的高校內(nèi)網(wǎng)流量分析方法，通過(guò)分析內(nèi)網(wǎng)的流量判斷是否是異常的流量，從而判斷用戶上網(wǎng)行為是否正常。

1 SNMP分析及信息獲取

1.1 SNMP簡(jiǎn)介

簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP:Simple Network Management Protocol)是由互聯(lián)網(wǎng)工程任務(wù)組(IETF:Internet Engineering Task Force )定義的一套網(wǎng)絡(luò)管理協(xié)議。該協(xié)議基于簡(jiǎn)單網(wǎng)關(guān)監(jiān)視協(xié)議(SGMP:Simple Gateway Monitor Protocol)。利用SNMP，一個(gè)管理工作站可以遠(yuǎn)程管理所有支持這種協(xié)議的網(wǎng)絡(luò)設(shè)備，包括監(jiān)視網(wǎng)絡(luò)狀態(tài)，修改網(wǎng)絡(luò)設(shè)備配置，接收網(wǎng)絡(luò)事件警告等。它的目標(biāo)是保證管理在任意兩點(diǎn)中傳送，便于在網(wǎng)絡(luò)上的任何節(jié)點(diǎn)檢索，進(jìn)行修改，尋找故障；完成故障診斷，容量規(guī)劃和報(bào)告生成。SNMP采用輪詢(xún)監(jiān)控方式，主要對(duì)ISO/OSI七層模型中較低層次進(jìn)行管理。管理者按一定時(shí)間間隔向代理獲取管理信息，并根據(jù)管理信息判斷是否有異常事件發(fā)生。當(dāng)管理對(duì)象發(fā)生緊急情況時(shí)，可以使用稱(chēng)為trap信息的報(bào)文主動(dòng)報(bào)告。輪詢(xún)監(jiān)控的主要優(yōu)點(diǎn)是對(duì)代理資源要求不高，缺點(diǎn)是管理通信開(kāi)銷(xiāo)大。SNMP 的基本功能包括網(wǎng)絡(luò)性能監(jiān)控、網(wǎng)絡(luò)差錯(cuò)檢測(cè)和網(wǎng)絡(luò)配置。圖1為SNMP網(wǎng)絡(luò)管理模型。

圖1 SNMP網(wǎng)絡(luò)管理模型

1.2 SNMP信息存儲(chǔ)規(guī)則

SNMP是通過(guò)MIB來(lái)存儲(chǔ)相關(guān)的管理信息。MIB(Management Information Base 的縮寫(xiě))，中文名字叫“管理信息庫(kù)”。它是網(wǎng)絡(luò)管理數(shù)據(jù)的標(biāo)準(zhǔn)，在這個(gè)標(biāo)準(zhǔn)里規(guī)定了網(wǎng)絡(luò)代理設(shè)備必須保存的數(shù)據(jù)項(xiàng)目，數(shù)據(jù)類(lèi)型，以及允許在每個(gè)數(shù)據(jù)項(xiàng)目中的操作。通過(guò)對(duì)這些數(shù)據(jù)項(xiàng)目的存取訪問(wèn)，就可以得到該網(wǎng)關(guān)的所有統(tǒng)計(jì)內(nèi)容。再通過(guò)對(duì)多個(gè)網(wǎng)關(guān)統(tǒng)計(jì)內(nèi)容的綜合分析即可實(shí)現(xiàn)基本的網(wǎng)絡(luò)管理。管理信息庫(kù) MIB 指明了網(wǎng)絡(luò)元素所維持的變量（即能夠被管理進(jìn)程查詢(xún)和設(shè)置的信息）。MIB 給出了一個(gè)網(wǎng)絡(luò)中所有可能的被管理對(duì)象的集合的數(shù)據(jù)結(jié)構(gòu)。SNMP 的管理信息庫(kù)采用和域名系統(tǒng) DNS 相似的樹(shù)型結(jié)構(gòu)，它的根在最上面，根沒(méi)有名字。它又稱(chēng)為對(duì)象命名樹(shù)（OID：Object Identifier）結(jié)構(gòu)，如圖2。這樣，我們就可以通過(guò)OID名稱(chēng)來(lái)存儲(chǔ)并標(biāo)識(shí)不同的網(wǎng)管信息，如圖3。

圖2 MIB對(duì)象命名樹(shù)結(jié)構(gòu)圖

圖3 OID名稱(chēng)

對(duì)于內(nèi)網(wǎng)的流量識(shí)別所需要的信息，一般在MIB-2子樹(shù)下的ip、tcp和udp子樹(shù)節(jié)點(diǎn)中。

1.3 SNMP信息獲取方法

SNMP 中定義了五種消息類(lèi)型：Get-Request、Get-Response、Get-Next-Request、Set-Request、Trap。

① Get-Request 、Get-Next-Request與Get-Response

SNMP 管理站用 Get-Request 消息從擁有 SNMP 代理的網(wǎng)絡(luò)設(shè)備中檢索信息，而 SNMP 代理則用 Get-Response 消息響應(yīng)。Get-Next-Request 用于和 Get-Request 組合起來(lái)查詢(xún)特定的表對(duì)象中的列元素。如：首先通過(guò)下面的原語(yǔ)獲得所要查詢(xún)的設(shè)備的接口數(shù)：

{iso org(3) dod(6) internet(1) mgmt(2) mib(1) interfaces(2) ifNumber(2)}

后再通過(guò)下面的原語(yǔ)，進(jìn)行查詢(xún)（其中第一次用Get-Request，其后用Get-Next-Request）：

{iso org(3) dod(6) internet(1) mgmt(2) mib(1) interfaces(2) ifTable(2)}

② Set-Request

SNMP管理站用 Set-Request 可以對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程配置（包括設(shè)備名、設(shè)備屬性、刪除設(shè)備或使某一個(gè)設(shè)備屬性有效/無(wú)效等）。

③ Trap

SNMP 代理使用 Trap 向 SNMP 管理站發(fā)送非請(qǐng)求消息，一般用于描述某一事件的發(fā)生。

2 高校內(nèi)網(wǎng)異常流量識(shí)別

2.1 ARP病毒

ARP病毒是內(nèi)網(wǎng)常見(jiàn)的病毒，它通過(guò)冒充其他設(shè)備的IP地址來(lái)阻止其正常接入網(wǎng)絡(luò)，它利用了ARP協(xié)議的漏洞，對(duì)內(nèi)網(wǎng)有較大的影響。研究其原理，不難發(fā)現(xiàn)ARP病毒發(fā)作時(shí)，內(nèi)網(wǎng)會(huì)出現(xiàn)一個(gè)MAC地址對(duì)應(yīng)多個(gè)IP的現(xiàn)象，我們可以通過(guò)查詢(xún)交換機(jī)的ARP表(IpNetToMediaTable)，只要發(fā)現(xiàn)該現(xiàn)象就認(rèn)為有ARP攻擊的存在。具體操作：獲取IpNetToMediaTable下的子樹(shù) IpNetToMediaifIndex值（對(duì)應(yīng)的 OID為.1.3.6.1.2.1.2.4.22.1.1），通過(guò)遍歷該值，獲取該交換設(shè)備所連接的IpNetToMediaPhysAddress（對(duì)應(yīng)的 OID 為.1.3.6.1.2.1.2.4.22.1.2）即 MAC 地址,再通過(guò)該值查詢(xún)其對(duì)應(yīng)的IpNetToMediaNetAddress值（對(duì)應(yīng)的OID為.1.3.6.1.2.1.2.4.22.1.3）即IP地址，這樣就可以發(fā)現(xiàn)是否存在同一MAC對(duì)應(yīng)多個(gè)IP，最終判斷是否有ARP攻擊。

2. 2 內(nèi)網(wǎng)掃描

內(nèi)網(wǎng)掃描是病毒發(fā)作或者其他攻擊行為產(chǎn)生前的輔助工作，如果有效的發(fā)現(xiàn)內(nèi)網(wǎng)掃描并及時(shí)阻斷，內(nèi)網(wǎng)安全性將得到極大提高。一般內(nèi)網(wǎng)用戶除了訪問(wèn)內(nèi)網(wǎng)的服務(wù)器外很少訪問(wèn)其他內(nèi)網(wǎng)的設(shè)備，并且掃描的特征是或者對(duì)內(nèi)網(wǎng)所有客戶端同一端口進(jìn)行掃描，或者對(duì)某一客戶端連續(xù)端口進(jìn)行掃描。我們可以查詢(xún)網(wǎng)絡(luò)設(shè)備的TCP組子樹(shù)下的目標(biāo)端相關(guān)信息來(lái)判斷是否存在內(nèi)網(wǎng)掃描。具體操作：獲取TcpConnState值（對(duì)應(yīng)的OID為.1.3.6.1.2.1.6.13.1.1）得到當(dāng)前TCP連接狀態(tài)，遍歷該值，查詢(xún)TcpConnRemAddress值（對(duì)應(yīng)的OID為.1.3.6.1.2.1.6.13.1.4）獲取該連接的目的地址，如果發(fā)現(xiàn)目的地址是內(nèi)網(wǎng)地址，并且不是服務(wù)器地址且數(shù)量比較異常，就可以判斷有內(nèi)網(wǎng)掃描行為。

2.3 僵尸網(wǎng)絡(luò)

內(nèi)網(wǎng)客戶端一旦被黑客或者病毒攻陷，便成為黑客的肉雞，成為黑客實(shí)行非法網(wǎng)絡(luò)行為的傀儡機(jī)。比如高校網(wǎng)絡(luò)里經(jīng)常出現(xiàn)的垃圾郵件流量就是客戶端受控變成黑客發(fā)送垃圾郵件的終端，或者成為黑客進(jìn)行 DDOS攻擊的一份子。此時(shí)表現(xiàn)為本地TCP連接端口比較固定，提供什么樣的服務(wù)就開(kāi)啟了相應(yīng)的本地端口，而一般本地客戶端上網(wǎng)開(kāi)啟的端口號(hào)都比較大，是隨機(jī)端口，當(dāng)發(fā)現(xiàn)本地IP開(kāi)啟了相關(guān)服務(wù)端口，一般認(rèn)為該行為不是客戶端自己所知行為。具體操作：獲取TcpConnState值（對(duì)應(yīng)的 OID為.1.3.6.1.2.1.6.13.1.1）得到當(dāng)前 TCP連接狀態(tài)，遍歷該值，查詢(xún) TcpConnLocalPort值（對(duì)應(yīng)的 OID為.1.3.6.1.2.1.6.13.1.3）獲取該連接的本地端口，如果發(fā)現(xiàn)該端口值比較小，小于1024或者是著名服務(wù)端口，則認(rèn)為該終端有受控行為。

3 結(jié)束語(yǔ)

針對(duì)內(nèi)網(wǎng)安全管理，首先要監(jiān)測(cè)并發(fā)現(xiàn)內(nèi)網(wǎng)中存在的各種安全事件和風(fēng)險(xiǎn)，風(fēng)險(xiǎn)只有做到可知才能可控，要利用各種監(jiān)測(cè)方式和手段，對(duì)內(nèi)網(wǎng)中常見(jiàn)存在的各類(lèi)安全風(fēng)險(xiǎn)如邊界安全、網(wǎng)站安全、敏感信息安全、移動(dòng)存儲(chǔ)介質(zhì)安全、基礎(chǔ)安全、運(yùn)行安全、違規(guī)行為等予以第一時(shí)間發(fā)現(xiàn)，并結(jié)合相應(yīng)的防護(hù)手段，予以及時(shí)處置，將風(fēng)險(xiǎn)帶來(lái)的危害降到最低。本文提出一種發(fā)現(xiàn)安全事件和風(fēng)險(xiǎn)的方法和途徑，并沒(méi)有對(duì)發(fā)現(xiàn)風(fēng)險(xiǎn)后的行為做出規(guī)劃，一般來(lái)說(shuō)今后研究有兩個(gè)方向：一是可視化，將發(fā)現(xiàn)安全事件或者風(fēng)險(xiǎn)的數(shù)據(jù)用圖形表示出來(lái)，便于管理者能及時(shí)準(zhǔn)確了解事件的全面，從而能更好的做出判斷；二是智能化，讓管理端對(duì)安全事件進(jìn)行學(xué)習(xí)，從而能自動(dòng)做出相應(yīng)，阻斷相應(yīng)異常流量的源頭。

[1]蔡國(guó)森.基于SNMP的MIB庫(kù)訪問(wèn)實(shí)現(xiàn)的研究[J].計(jì)算機(jī)與信息技術(shù), 2009,(3) .

[2]羅雅過(guò).基于SNMP的MIB庫(kù)訪問(wèn)實(shí)現(xiàn)研究[J].西安文理學(xué)院學(xué)報(bào)(自然科學(xué)版), 2010,(4).

[3]陳磊,周潤(rùn)松,等.NTCIP協(xié)議一致性測(cè)試工具研究及實(shí)現(xiàn)[J].信息安全與技術(shù),2011,(1).

TP393

A

1673-2219（2011）12-0070-03

2011－10－08

周華先（1976－），江蘇鹽城人，系統(tǒng)分析師，研究方向?yàn)榫W(wǎng)絡(luò)安全、網(wǎng)路管理。

（責(zé)任編校：何俊華）