高校圖書館網(wǎng)絡(luò)異常流量分析與研究

馬東

〔摘 要〕網(wǎng)絡(luò)運(yùn)行的管理及維護(hù)，很大程度上都依賴于對網(wǎng)絡(luò)流量參數(shù)的監(jiān)測。本文在當(dāng)前高校圖書館網(wǎng)絡(luò)發(fā)展現(xiàn)狀的大背景下，通過網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)，對高校圖書館教育網(wǎng)絡(luò)進(jìn)行了實(shí)時流量監(jiān)測，在對圖書館的交換機(jī)、路由器和服務(wù)器等設(shè)備進(jìn)行流量監(jiān)控的同時，使我們在第一時間發(fā)現(xiàn)網(wǎng)絡(luò)異常流量，并對這個結(jié)果進(jìn)行分析研究，以期達(dá)到保障數(shù)字圖書館安全運(yùn)轉(zhuǎn)的目的。

〔關(guān)鍵詞〕網(wǎng)絡(luò)異常；MRTG；網(wǎng)絡(luò)流量

1 概 述

1.1 網(wǎng)絡(luò)異常概念

在正常的網(wǎng)絡(luò)秩序下，每個網(wǎng)絡(luò)活動的參與者遵照網(wǎng)絡(luò)協(xié)議使用網(wǎng)絡(luò)，從網(wǎng)絡(luò)中獲取信息，參與網(wǎng)絡(luò)交流。但是正如現(xiàn)實(shí)社會中會發(fā)生異常事故及犯罪行為一樣，在網(wǎng)絡(luò)社會中也存在由于網(wǎng)絡(luò)故障、網(wǎng)絡(luò)非法活動導(dǎo)致網(wǎng)絡(luò)中的部分功能失常或停止服務(wù)的現(xiàn)象。

網(wǎng)絡(luò)異常（Anomaly）是指網(wǎng)絡(luò)行為出現(xiàn)與之偏離的情形。“正常”意味著遵從常態(tài)或者說常規(guī)典型的模型，沒有出乎我們想象，在意料之中的狀態(tài)。遵循我們給其設(shè)定的水準(zhǔn)或模式[1]。而“異常”意味著出現(xiàn)了與“正常”相反的情形，違背了我們的期望。“正常”行為會由于網(wǎng)絡(luò)環(huán)境的變化而改變，例如會隨著網(wǎng)絡(luò)的動態(tài)變化、噪音等隨之改變。

網(wǎng)絡(luò)設(shè)備出現(xiàn)故障、配置不正確、網(wǎng)絡(luò)過載、遭受掃描和攻擊、中毒等，都會引起網(wǎng)絡(luò)的異常。按照網(wǎng)絡(luò)異常的原因可以分為兩類[2]：第一類是網(wǎng)絡(luò)故障和性能問題引發(fā)的異常；第二類是與網(wǎng)絡(luò)安全相關(guān)的異常。

網(wǎng)絡(luò)故障相關(guān)異常是網(wǎng)絡(luò)設(shè)備、端口、鏈路等發(fā)生故障時導(dǎo)致的網(wǎng)絡(luò)行為異常，如某條鏈路速率的瞬間增高或降低。這時候鏈路流量通常會發(fā)生陡峭的或者幾乎是瞬時的變化。例如網(wǎng)絡(luò)設(shè)備端口故障或者鏈路突然中斷，會導(dǎo)致鏈路速率立刻下降為0；網(wǎng)絡(luò)設(shè)備故障會導(dǎo)致相關(guān)的鏈路流量下降為0；路由配置錯誤可能導(dǎo)致某條鏈路的流量突然變大。這類異常可以由“陡峭的”或者幾乎是瞬間的改變明顯地識別出來。

網(wǎng)絡(luò)性能相關(guān)異常一般是由于用戶的訪問量突然增大或設(shè)備配置錯誤所導(dǎo)致的網(wǎng)絡(luò)擁擠。比如高校的選修課報名，學(xué)生們都在一個時間段對服務(wù)器進(jìn)行訪問，這樣就會導(dǎo)致報名服務(wù)器的訪問量突然增大，如果服務(wù)器配置不高，網(wǎng)絡(luò)帶寬不夠的話，就會出現(xiàn)流量超負(fù)荷的現(xiàn)象；報文使用不當(dāng)引發(fā)廣播風(fēng)暴，路由器和交換機(jī)出現(xiàn)環(huán)路這都會導(dǎo)致網(wǎng)絡(luò)負(fù)荷過大，設(shè)備性能下降或者癱瘓。此類的異常現(xiàn)象表現(xiàn)出的數(shù)據(jù)集會激增或者說在一個時間段內(nèi)的流量突然變化。

網(wǎng)絡(luò)安全相關(guān)異常指利用網(wǎng)絡(luò)安全漏洞進(jìn)行的網(wǎng)絡(luò)掃描、攻擊、病毒等。

網(wǎng)絡(luò)掃描也叫安全漏洞掃描，是對已知或未知的目標(biāo)進(jìn)行探測。這是黑客常利用的方法，當(dāng)掃描到能夠被其所利用的系統(tǒng)漏洞的時候，再進(jìn)行攻擊破壞。其表現(xiàn)的方式是一個源地址對單個或多個IP地址，或其不同端口進(jìn)行發(fā)送數(shù)據(jù)。網(wǎng)絡(luò)掃描是常見的網(wǎng)絡(luò)異常行為。

拒絕服務(wù)攻擊（Denial of Service，DoS），為什么叫拒絕服務(wù)呢？凡是造成合法用戶不能正常訪問網(wǎng)絡(luò)服務(wù)的行為都可算是拒絕服務(wù)攻擊。拒絕服務(wù)攻擊的目的就是要阻止合法用戶的正方訪問，以達(dá)到攻擊者的非法目的。攻擊者對服務(wù)器發(fā)送大量數(shù)據(jù)包，使服務(wù)器的資源耗盡，造成網(wǎng)絡(luò)擁塞或者服務(wù)器癱瘓，從而不能對用戶的請求及時應(yīng)答。也就是對服務(wù)器的網(wǎng)絡(luò)資源、CPU、內(nèi)存、系統(tǒng)連接數(shù)進(jìn)行耗盡，直至服務(wù)器無法相應(yīng)請求。

分布式拒絕服務(wù)攻擊（Distributed Denial of Service，DDoS）可以說DOS是DDOS的前身，但DDOS和DOS是有所不同的，DDOS側(cè)重于通過許多肉機(jī)（被入侵過或可間接利用的主機(jī)）同時向攻擊目標(biāo)發(fā)送大量的請求數(shù)據(jù)包。攻擊的主機(jī)越多，發(fā)送的數(shù)據(jù)包數(shù)量就越多，數(shù)據(jù)包如洪水般涌向受害主機(jī)，對合法用戶的數(shù)據(jù)包進(jìn)行淹沒，導(dǎo)致合法用戶無法使用服務(wù)器的資源。

蠕蟲病毒利用操作系統(tǒng)和應(yīng)用程序的漏洞進(jìn)行傳播。網(wǎng)絡(luò)病毒不但會對個人主機(jī)造成危害，并且病毒會主動從互聯(lián)網(wǎng)上下載更新更多的病毒，并主動傳播，可以造成局域網(wǎng)內(nèi)的大量主機(jī)中毒，在傳播的過程中，病毒會掃描網(wǎng)絡(luò)，探測漏洞并主動攻擊，會大量占用網(wǎng)絡(luò)帶寬資源，導(dǎo)致網(wǎng)絡(luò)擁塞。

網(wǎng)絡(luò)異常會嚴(yán)重影響網(wǎng)絡(luò)性能，造成網(wǎng)絡(luò)擁塞，嚴(yán)重的甚至?xí)斐删W(wǎng)絡(luò)中斷，服務(wù)停止。對此應(yīng)迅速做出響應(yīng)，及時發(fā)現(xiàn)問題并給予保障有效運(yùn)行的措施。

傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)側(cè)重于企業(yè)用戶網(wǎng)絡(luò)的系統(tǒng)入侵檢測、防病毒軟件或防火墻，這類安全措施通常只能檢測到已知的網(wǎng)絡(luò)入侵行為，而由于互聯(lián)網(wǎng)中網(wǎng)絡(luò)異常行為的多變性、復(fù)雜性，這類系統(tǒng)只能在一定程度上防止網(wǎng)絡(luò)中的入侵行為。

異常檢測的思想是首先建立用戶正常的行為模式，并且假定所有入侵行為都是與正常行為不同的。在每一次用戶行為產(chǎn)生后，都將其測量值與其正常的行為模式進(jìn)行比較，當(dāng)活動行為模式與正常行為模式發(fā)生顯著偏離時即認(rèn)為是異常，從而觸發(fā)相應(yīng)機(jī)制，向管理員提出警告，或主動做出有關(guān)反應(yīng)。異常檢測不關(guān)注于具體的入侵行為，通用性較強(qiáng)，而且可以發(fā)現(xiàn)未知的攻擊模式。

異常檢測系統(tǒng)的結(jié)構(gòu)一般包括3個部分[3]：數(shù)據(jù)獲取、建模、檢測。異常檢測是個分析的過程，系統(tǒng)的分析是建立在持續(xù)地監(jiān)測對象并對對象的活動進(jìn)行記錄。在分布式的環(huán)境下，這些活動信息將被融合在一起并進(jìn)行預(yù)處理。

數(shù)據(jù)獲取模塊是異常檢測系統(tǒng)中的根基，它主要負(fù)責(zé)提取受保護(hù)系統(tǒng)的數(shù)據(jù)單元，系統(tǒng)中傳輸?shù)臄?shù)據(jù)，完成數(shù)據(jù)的收集和預(yù)處理工作，為檢測模塊提供基礎(chǔ)的源數(shù)據(jù)，是檢測系統(tǒng)的數(shù)據(jù)收集器。

建模和檢測是系統(tǒng)的核心部分。建模是對對象行為特征進(jìn)行學(xué)習(xí)，產(chǎn)生對象正常使用模式，最終獲得檢測對象的正常行為。形成模型后用來評測新的異常事件，測量他們和新建模型的偏離度。檢測模塊對采集到的數(shù)據(jù)建立一個特征模式，然后對這個采集到的模式與建立的模式進(jìn)行比對，如果超出既定模式的范圍，就認(rèn)定為異常行為，并產(chǎn)生警告信息。如沒有超出，就重新對這個行為進(jìn)行學(xué)習(xí)，并和以前的既定模式進(jìn)行組合形成新的模式。由于用戶行為是不斷演化的，因此用戶行為模式必須被定期重構(gòu)，提供適應(yīng)新環(huán)境的機(jī)制。

網(wǎng)絡(luò)異常檢測的目標(biāo)是發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中的異常行為，保護(hù)網(wǎng)絡(luò)和網(wǎng)絡(luò)中的主機(jī)，減少病毒和黑客對計算機(jī)和網(wǎng)絡(luò)造成的危害。它的對象可以是一臺主機(jī)也可以是大規(guī)模網(wǎng)絡(luò)集。網(wǎng)絡(luò)異常檢測的數(shù)據(jù)來源包括以下幾種。

（1）主機(jī)日志：用來審計使用計算機(jī)人員對計算機(jī)操作行為的記錄。例如：用戶登錄、修改和訪問文件，調(diào)用系統(tǒng)程序等行為。

（2）SNMP信息：通過SNMP和RMON協(xié)議獲得網(wǎng)絡(luò)設(shè)備的流量統(tǒng)計信息，如端口出入字節(jié)數(shù)、端口出入數(shù)據(jù)報文數(shù)、錯誤數(shù)據(jù)報文數(shù)等信息。

（3）主動測量數(shù)據(jù)：通過主動測量獲得網(wǎng)絡(luò)性能數(shù)據(jù)，監(jiān)視網(wǎng)絡(luò)運(yùn)行狀況。

（4）流量數(shù)據(jù)：監(jiān)測網(wǎng)絡(luò)中的各種流量信息，對其進(jìn)行特征分析，發(fā)現(xiàn)網(wǎng)絡(luò)中的異常行為。這些流量數(shù)據(jù)可以是Netflow格式的流數(shù)據(jù)，也可以是包含完整數(shù)據(jù)報文或報文頭的原始報文數(shù)據(jù)。可以只對一個網(wǎng)段的流量數(shù)據(jù)進(jìn)行分析，也可以同時對多個網(wǎng)段的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，對全網(wǎng)的異常狀況進(jìn)行檢測。

（5）路由數(shù)據(jù)：監(jiān)視路由器BGP、OSPF等路由更新信息，分析網(wǎng)絡(luò)異常。

在網(wǎng)絡(luò)安全方面，異常檢測是網(wǎng)絡(luò)入侵檢測的一種重要手段，是入侵檢測系統(tǒng)的主要研究方向。在入侵檢測領(lǐng)域的一個基本而且重要的假設(shè)是：異常事件從安全角度來看都是可疑的，或者說有害的；異常檢測的前提是假設(shè)異常行為包含入侵行為，但是在正常/異常和無害/入侵的概念之間存在著本質(zhì)的區(qū)別，入侵行為和異常行為在實(shí)際的網(wǎng)絡(luò)環(huán)境下往往不是一對一的關(guān)系。這樣的情況是經(jīng)常發(fā)生的：假設(shè)我們在設(shè)置路由器的時候不小心發(fā)生了環(huán)路，造成網(wǎng)絡(luò)不通，它并不是入侵行為，但它卻是異常行為情況。因此入侵和異常檢測結(jié)果之間會出現(xiàn)4種可能。

（1）入侵但非異常：活動行為是入侵，但并沒有顯示出異常。這種情形是與異常檢測的前提相違背的。系統(tǒng)根本不能探測到此類活動，因此系統(tǒng)會產(chǎn)生錯誤報告，顯示系統(tǒng)沒有被入侵。

（2）非入侵但異常：活動是非入侵性的，但是檢測系統(tǒng)判斷它是異常的，并報告它是入侵性的，這種情況下檢測系統(tǒng)錯誤地報告了入侵性。

（3）非入侵非異常：活動是非入侵性的，異常檢測系統(tǒng)也判斷該活動行為是正常行為。異常檢測系統(tǒng)可以正確地對這類行為做出判斷。

（4）入侵且異常：活動行為是入侵行為，異常檢測系統(tǒng)也檢測到其行為模式偏離了正常的行為模式，系統(tǒng)顯示為異常。系統(tǒng)檢測到的結(jié)果正是我們想得到的信息。

各項網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用大大增加了系統(tǒng)誤報的概率，即使系統(tǒng)模型十分完美的情況下也會出現(xiàn)誤報和漏報的問題。

2 網(wǎng)絡(luò)異常實(shí)例分析

當(dāng)我們突然感覺到網(wǎng)速下降，或訪問不了服務(wù)器，等等突發(fā)影響我們利用圖書館網(wǎng)絡(luò)資源的情況發(fā)生， 那么我們就需要查看網(wǎng)絡(luò)了，需要我們找到問題和解決問題。

有一次，我們感覺上網(wǎng)的速度比平常慢了挺多，以為是圖書館電子閱覽室的上網(wǎng)人員增多所致。但是查看閱覽室的出口流量和以往的流量差不多，在80M左右。但是通過基于SNMP協(xié)議的MRTG流量監(jiān)控系統(tǒng)一看總出口流量卻在180M左右，這個流量比以往的流量大出了好多，肯定是網(wǎng)絡(luò)出現(xiàn)了問題，查看各個端口的流量，最后發(fā)現(xiàn)了癥結(jié)所在。原來是圖書館一臺服務(wù)器被非法入侵了，被用做了游戲服務(wù)器，導(dǎo)致網(wǎng)絡(luò)流量激增。圖1就是那臺服務(wù)器的MRTG流量圖，服務(wù)器流量瞬間突增到100M。圖1 中毒服務(wù)器流量圖

進(jìn)行殺毒和系統(tǒng)安全設(shè)置，排除故障。圖2 中毒前服務(wù)器每月流量統(tǒng)計圖表

通過對比我們就可以發(fā)現(xiàn)問題，對服務(wù)器長時間的監(jiān)控會形成一個定量，這個定量就是我們對比的依據(jù)，所測的數(shù)據(jù)比較以往數(shù)據(jù)的平均值高出多少，或低于多少，什么值算是正常范圍，經(jīng)過長時間的測量我們就會根據(jù)本單位的實(shí)際情況得出一個定值。

3 結(jié) 語

在基于網(wǎng)絡(luò)異常流量分析技術(shù)的基礎(chǔ)上，通過對圖書館的數(shù)據(jù)流入和流出量進(jìn)行監(jiān)控和分析，經(jīng)過長時間的監(jiān)控對圖書館網(wǎng)絡(luò)流量形成了一個定量，這些流量數(shù)值在一個常量的范圍內(nèi)，當(dāng)流量數(shù)值和這個定量出現(xiàn)比較大的差異時就說明網(wǎng)絡(luò)異常的出現(xiàn)，經(jīng)實(shí)踐證明通過異常流量的分析，能夠及時的發(fā)現(xiàn)網(wǎng)絡(luò)出現(xiàn)的問題，縮短了查找故障點(diǎn)和排除故障的時間。

參考文獻(xiàn)

[1]Maxion R A，F(xiàn)eather F E.A case study of Ethernet anomalies in a distributed computing environment[J].IEEE Transactions on Reliability，1990，39（4）：433-443.

[2]Thottan M，Ji C.Anomaly detection in IP networks[J].IEEE Transactions on Signal Processing，2003，51（8）：2191-2204.

[3]Estevez-Tapiador J M，Garcia-Teodoro P，Diaz-Verdejo J E.Anomaly detection methods in wired networks：a survey and taxonomy[J].Computer Communications，2004，27（16）：1569-1584.

（本文責(zé)任編輯：孫國雷）