網絡流量的異常及其分析研究

高曉波

摘 要：論文對網絡流量異常問題進行了分析，首先給出了實例情況，然后對異常分析的方法主要從技術層面進行了探索。

關鍵詞：網絡監控；網絡異常；系統攻擊；計算機系統；流量

1 從一次流量異常談起

網絡流量的異常，能夠為網絡故障的發生、安全的攻擊提供良好的信息來實現監控、報警。當前網絡的安全問題是不能忽視的。在2013年的5月19日，就在我國的互聯網世界碰到了嚴重的故障。一直自晚上10點到第二天凌晨，包括江蘇、安徽、廣西、海南、甘肅、浙江六省在內所有網民都感到了網速奇慢，然后無法訪問internet。一直第二天情況才得到好轉，網絡恢復正常。通過調查發現原來兩家游戲網站的商業不道德內斗，一家雇黑客向競爭對手的DNS域名托管商DNSPod發起攻擊的，使得對手陷入癱瘓。在操作過程中，多臺木馬電腦向DNSPod進行狂轟濫炸，目的達到了，然而服務器順帶托管著的國內13萬家網站域名也受到了攻擊，最終一連串的連鎖反應導致了這場悲劇。

網絡流量的異常引發了人們深深的思考，這是最后一次嗎？事情遠沒有畫上一個休止符，那么網絡使用者、管理者以及技術開發人員，到底應該如何防范這來勢兇猛的異常流量攻擊，才能保證信息的安全，這是一個極為重要的問題。

2 異常流量種類與數據包

2.1 異常流量

總的看來，能夠使得網絡發生重大問題的異常網絡流量有下面的一些方面：首先是拒絕服務攻擊，這是危害極大，也極為常見的一種，稱為DoS。再者，還有一種是分布式的拒絕服務攻擊，也被稱作是DDoS。其次是網絡蠕蟲病毒流量，以及相應別的異常流量。這些網絡的異常流量，能夠引發骨干網絡的減速、癱瘓，有著巨大的危害和破壞力，主要表現形式是帶寬的占用、網絡的阻塞，無法發送正常數據而導致的經常性的丟包現象等等。除了對于網絡，針對各個服務器計算機乃至終端系統來說，網絡異常流量會導致大量CPU時間片和內存空間的占用，無法正常響應需求服務。針對這個問題，需要構建網絡流量異常的分析系統，進行良好的預警、報警和流量處理功能。

2.2 異常流量數據包構成

從理論上來講，任何正常的數據包形式如果被大量濫用，都會產生異常流量，例如DNS正常訪問請求數據包（協議類型53）如果大量發生，就會產生對DNS服務器的DoS攻擊。但相關異常流量數據，構成上一般有如下方面：TCP SYN flood，典型特征是數據包協議類型為6（TCP），數據流大小為40字節。ICMP flood，他們是數據包協議類型為1（ICMP），單個數據流字節數達218M字節。UDP flood，出現特點在于數據包協議類型為17（UDP），數據流有大有小。除此以外，仍然存在一些不是特別常見的異常流量數據。

3 網絡流量分析的主要功能

3.1 基本分析

對于其承擔的主要，應該包含有網絡流量中信息包的抓取，而且應該能依照相關的技術標準、協議，數據來源與去向進行多廣度和多維度的分析，而這些數據采集能夠依靠相關NetFlower、sFlow、NetStream、端口鏡像等的。具體說來，流量的異常分析中應該涵蓋如下的方面：⑴提供流向分析、協議層次分析、應用分析等功能；⑵提供終端流量矩陣視圖、TCP連接會話矩陣視圖；⑶支持對P2P、IM（即時消息）、VoIP等應用層協議進行分析。⑷提供各種排名分析。

3.2 全面分析

對于高級使用者，還應該支持SNMP、BGP、SPAN、CLI、NAP 等方式，對路由設備狀態、路由表項、動態路由協議交互、IP/MAC影射、MAC/Port影射、原始報文內容等進行實時采集，把鏈路流量圖式和網元節點狀態同時納入到系統分析基礎數據庫中并在二者之間進行高度關聯分析，不僅大幅度提高流量分析結果的準確率（如通過流量分析得出的“流量異常”表象往往有可能是由于網元設備錯誤策略配置等內在因素所誘發的），而且通過對網元設備的主動分析/調節還可較精確的定位異常流量來源并有效緩解其影響。如果是一個成熟的商業分析產品，更是應該能夠通過這些分析過程自動生成設備接通率、設備性能趨勢、設備故障、設備總流量、設備接通率、服務器存活率、線路連通率等日、周、月、季、年報表。特別存在異常流量，能夠保證分析的速度特性，第一時間找到存在著ARP病毒湖綜合蠕蟲以及BT等等多種異常流量的數據流，這樣就能防止破壞損失的進一步發展。

4 實現方式

實現上應該劃分為收集器以及控制器等不同部分。前者通過流量收集，進一步達到特征提取/建模。而這個功能模塊隸屬于系統的低層，是系統面向網元設備的接口單元并進行數據上收和格式轉換、特征提取等預處理操作；后者通過模式分析、策略響應來為機交互打下基礎，屬于用戶層面。具體可以劃分為如下模塊：⑴流量流向分析：提供客戶網絡范圍內的流量及成分統計、數據流向分析、信息熱點排名等基礎數據；⑵異常流量檢測：可按照客戶指定基線進行異常流量檢測；⑶異常流量抑制：在異常流量檢測服務的基礎之上，系統將對檢測到的異常流量進行自動干預；⑷異常流量凈化：過濾網關之間按照指定接口協議進行交互，以獲得過濾網關對被牽引流量的處理。

[參考文獻]

[1]舒炎泰，王雷，張連芳，薛飛，金志剛.OliverYang.基于FARIMA模型的Internet網絡業務預報[J].計算機學報，2001（01）.

[2]Marina Thottan，Chuanyi Ji.Statistical Detection of Enterprise Network Problems[J].Journal of Network and Systems Management，1999（1）.

[3]郁繼鋒.基于數據挖掘的Web應用入侵異常檢測研究[D].華中科技大學，2011.

[4]王新良.僵尸網絡異常流量分析與檢測[D].北京郵電大學，2011.