網(wǎng)絡(luò)流量檢測(cè)分析技術(shù)研究

查黃英

(西安文理學(xué)院，陜西 西安 710065)

網(wǎng)絡(luò)流量檢測(cè)分析技術(shù)研究

查黃英

(西安文理學(xué)院，陜西 西安 710065)

摘要：隨著社會(huì)的不斷發(fā)展與進(jìn)步，互聯(lián)網(wǎng)已經(jīng)在人們的生產(chǎn)生活中逐漸普及，經(jīng)常會(huì)需要了解網(wǎng)絡(luò)的運(yùn)行情況，所以網(wǎng)絡(luò)流量分析技術(shù)應(yīng)運(yùn)而生。在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境中，需選用網(wǎng)絡(luò)流量分析技術(shù)對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)和管理，特研究了幾種不同的網(wǎng)絡(luò)流量分析關(guān)鍵技術(shù)。

關(guān)鍵詞：網(wǎng)絡(luò)；流量分析；流量采集

當(dāng)今世界，互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，利用網(wǎng)絡(luò)漏洞對(duì)網(wǎng)絡(luò)進(jìn)行攻擊、篡改的事件也頻頻發(fā)生，需要對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行監(jiān)測(cè)和分析，查找出網(wǎng)絡(luò)異常，進(jìn)而解決網(wǎng)絡(luò)中存在的問(wèn)題，所以本文研究了幾種不同的網(wǎng)絡(luò)流量檢測(cè)技術(shù)。

1網(wǎng)絡(luò)流量采集技術(shù)[1-5]

1.1Sflow 技術(shù)

Sflow是由InMon、HP和Foundry Networks于2001年聯(lián)合開(kāi)發(fā)的一種網(wǎng)絡(luò)監(jiān)測(cè)技術(shù)，它能夠?qū)?shí)時(shí)提供的采樣數(shù)據(jù)進(jìn)行分析，從而在整個(gè)網(wǎng)絡(luò)中以連續(xù)實(shí)時(shí)的方式完全監(jiān)視每一個(gè)端口，但不需要鏡像監(jiān)視端口，且基本上不會(huì)對(duì)網(wǎng)絡(luò)性能造成巨大的影響。這種方式主要通過(guò)Sflow 數(shù)據(jù)采集器或者分析器和Sflow 代理2個(gè)主要組成部分來(lái)實(shí)現(xiàn)，其中，Sflow 代理通常是以嵌入到網(wǎng)絡(luò)設(shè)備芯片中的方式進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)流采集(不需要再安裝部署額外的探測(cè)器)，再將采集的數(shù)據(jù)傳輸?shù)?Sflow分析器，Sflow 分析器對(duì)其數(shù)據(jù)進(jìn)行處理便可以實(shí)現(xiàn)網(wǎng)絡(luò)流量的分析與統(tǒng)計(jì)。采集的信息包括：MAC地址、IP地址、服務(wù)類型和端口統(tǒng)計(jì)等。Sflow還能使用不同的采樣率，對(duì)交換機(jī)或僅對(duì)其中一些端口實(shí)施監(jiān)視，保證了設(shè)計(jì)管理方案時(shí)的靈活性。

1.2SNMP 協(xié)議

SNMP屬于基于TCP/IP的互聯(lián)網(wǎng)網(wǎng)管協(xié)議，它對(duì)承載信息的消息格式等進(jìn)行了標(biāo)準(zhǔn)化的定義。由于基于SNMP的流量采集分析就是通過(guò)SNMP協(xié)議訪問(wèn)設(shè)備獲取信息，所以要求網(wǎng)絡(luò)設(shè)備支持 SNMP 協(xié)議。目前，大多數(shù)廠商的產(chǎn)品都兼容 SNMP 標(biāo)準(zhǔn)，包括IBM和HP等大公司，它能對(duì)互聯(lián)網(wǎng)上不同廠家、不同類型的設(shè)備進(jìn)行監(jiān)控和管理，已成為網(wǎng)絡(luò)管理信息交換事實(shí)上的工業(yè)標(biāo)準(zhǔn)。SNMP 協(xié)議主要通過(guò)GetSetTrap 3種服務(wù)獲取相關(guān)信息，Get服務(wù)的作用是獲得特定的網(wǎng)絡(luò)管理信息；Set服務(wù)的作用是對(duì)信息進(jìn)行設(shè)置；Trap服務(wù)作用是對(duì)重要的事件進(jìn)行報(bào)告。

1.3Netflow 協(xié)議

NetFlow協(xié)議由Cisco公司開(kāi)發(fā)推出，它是Cisco設(shè)備NLOS軟件中內(nèi)嵌的一種功能，是Cisco私有協(xié)議，目前已經(jīng)在很多Cisco 路由器上得到部署，隨著Cisco產(chǎn)品在業(yè)界的廣泛使用，Netflow逐漸成為業(yè)界認(rèn)可的一種標(biāo)準(zhǔn)，很多廠家也對(duì)Netflow進(jìn)行了兼容。

在 Netflow 協(xié)議中的Flow 被定義為一個(gè)源IP地址A和目的IP地址B間的單一方向連續(xù)的數(shù)據(jù)流，也就是說(shuō)，A、B兩點(diǎn)之間的網(wǎng)絡(luò)連接會(huì)有2條Flow記錄，一條是由A到B的單向Flow記錄，另一條是由B到A的單向Flow記錄。網(wǎng)絡(luò)設(shè)備通過(guò)以下的7個(gè)參數(shù)對(duì)Flow進(jìn)行區(qū)分，即源 IP 地址、目的IP地址、源端口號(hào)、目的端口號(hào)、路由器輸入接口、協(xié)議種類和服務(wù)種類。

Netflow檢測(cè)數(shù)據(jù)包的過(guò)程如圖1所示，Netflow技術(shù)能對(duì)區(qū)分出的每個(gè)Flow進(jìn)行單獨(dú)的跟蹤，記錄其信息。Netflow將網(wǎng)絡(luò)流量記錄到設(shè)備的高速緩存中，進(jìn)而提供網(wǎng)絡(luò)流量檢測(cè)。因?yàn)樵O(shè)備內(nèi)的高速緩存空間是有一定限制的，而Flow 記錄卻是持續(xù)增加的，它不能容納Flow 記錄的無(wú)限制增加；因此，為能夠更好地維護(hù)網(wǎng)絡(luò)設(shè)備中儲(chǔ)存 Flow 信息的空間，要對(duì)Netflow 協(xié)議實(shí)施終結(jié) Flow 記錄機(jī)制。這種方法實(shí)際上是對(duì)Flow記錄緩存來(lái)進(jìn)行管理。

圖1　Netflow檢測(cè)數(shù)據(jù)流過(guò)程

筆者查閱相關(guān)文獻(xiàn)發(fā)現(xiàn)還提及到2種檢測(cè)技術(shù)。第1種是RMON技術(shù)，其由SNMP MIB擴(kuò)展而來(lái)，有2個(gè)版本：RMONⅠ和RMONⅡ。這2個(gè)版本并不矛盾，RMONⅡ是對(duì)RMONⅠ進(jìn)行了補(bǔ)充，RMONⅠ只檢測(cè)MAC及以下的數(shù)據(jù)包，RMONⅡ增加了檢測(cè)的內(nèi)容，擴(kuò)大了檢測(cè)的范圍。RMON技術(shù)的實(shí)現(xiàn)方式有2種：一種是將RMON代理植入到網(wǎng)絡(luò)設(shè)備中，另一種是成為一種單獨(dú)的網(wǎng)絡(luò)設(shè)備——探針。本文不單獨(dú)將這種技術(shù)列出闡述。第2種是主機(jī)系統(tǒng)中的采集技術(shù)，包括基于零拷貝的報(bào)文捕獲技術(shù)和于網(wǎng)絡(luò)協(xié)議棧的報(bào)文捕獲技術(shù)，它們分別通過(guò)其支撐接口PF_RING和libpcap來(lái)實(shí)現(xiàn)。該技術(shù)不能看到全網(wǎng)范圍的流量情況，故本文也不做具體闡述。此外還有經(jīng)常提及和使用的MRTG，它是一種基于SNMP協(xié)議的網(wǎng)絡(luò)流量監(jiān)控管理軟件，不能和上述幾種技術(shù)并列討論。

2流量采集的特點(diǎn)

1)適應(yīng)性強(qiáng)。由于網(wǎng)絡(luò)具有多樣性和異構(gòu)性的特點(diǎn)，且報(bào)文類型也多種多樣，這就要求流量采集技術(shù)能適應(yīng)不同的網(wǎng)絡(luò)，對(duì)各種網(wǎng)絡(luò)數(shù)據(jù)都能進(jìn)行檢測(cè)和分析。

2)快速高效。采集不是最終目的，最終目的是通過(guò)流量采集分析網(wǎng)絡(luò)中存在的問(wèn)題，并能進(jìn)行防御處理，這就要求采集技術(shù)快速高效；同時(shí)，進(jìn)行流量采集是為了對(duì)網(wǎng)絡(luò)進(jìn)行分析，不能影響原有網(wǎng)絡(luò)的性能和速度。

33種流量采集技術(shù)對(duì)比分析

Sflow不具備實(shí)時(shí)分析能力，它是通過(guò)設(shè)置一定的采樣率進(jìn)行捕獲，對(duì)網(wǎng)絡(luò)性能影響較小。SNMP配置簡(jiǎn)單，費(fèi)用低，但無(wú)法進(jìn)行深層次的收集分析，且對(duì)網(wǎng)絡(luò)性能會(huì)產(chǎn)生影響，不適合復(fù)雜的網(wǎng)絡(luò)。Netflow是Cisco公司的私有協(xié)議，分析的范圍有限，且費(fèi)用較貴，會(huì)對(duì)網(wǎng)絡(luò)性能造成影響。在實(shí)際工作中，應(yīng)根據(jù)網(wǎng)絡(luò)自身情況和工作要求選擇合適的采集技術(shù)，對(duì)數(shù)據(jù)流進(jìn)行采集后，下一步就要進(jìn)行分析，從而判斷這種網(wǎng)絡(luò)行為是否合法，會(huì)不會(huì)對(duì)網(wǎng)絡(luò)造成影響，下述就來(lái)探討一下網(wǎng)絡(luò)流量分析技術(shù)。

4網(wǎng)絡(luò)流量分析技術(shù)

4.1DPI 技術(shù)

DPI(deep packct inspection，深度包檢測(cè))不僅分析IP包的4層以下的內(nèi)容,包括源端口、目的端口、目的地址、源地址,而且還增加了應(yīng)用層分析,通過(guò)分析識(shí)別各種應(yīng)用甚至是用戶的行為,如圖2所示。由于只有在應(yīng)用層才有表示協(xié)議信息的數(shù)據(jù)，且DPI可以對(duì)多數(shù)協(xié)議進(jìn)行識(shí)別，所以它實(shí)際上是一種基于應(yīng)用層的流量檢測(cè)和控制技術(shù)，運(yùn)用DPI 技術(shù)進(jìn)行網(wǎng)絡(luò)流量分析時(shí)，在準(zhǔn)確讀取了 IP 包載荷內(nèi)容的基礎(chǔ)上，重組 OSI 7層協(xié)議中的應(yīng)用層信息，并由此得到整個(gè)應(yīng)用程序內(nèi)容。

圖2　DPI概念圖

基于 DPI 技術(shù)擁有一個(gè)應(yīng)用特征的數(shù)據(jù)庫(kù)和掃描方法，每當(dāng)采集到數(shù)據(jù)，它都會(huì)進(jìn)行分析并和應(yīng)用數(shù)據(jù)庫(kù)進(jìn)行比對(duì)，如果存在就能確定應(yīng)用類型，不存在則要更新數(shù)據(jù)庫(kù)；所以，這種技術(shù)需要長(zhǎng)期對(duì)應(yīng)用數(shù)據(jù)庫(kù)進(jìn)行更新、維護(hù)，且要進(jìn)行逐包拆包操作，并和特征數(shù)據(jù)庫(kù)進(jìn)行對(duì)比，可以對(duì)流量中的具體應(yīng)用類型和協(xié)議做到較為準(zhǔn)確的識(shí)別，但缺點(diǎn)是處理速度較慢。

4.2DFI 技術(shù)

DFI(deep flow inspection，深度流行為檢測(cè))也是一種典型的業(yè)務(wù)識(shí)別技術(shù)，它與DPI的差別在于DFI采用的是一種基于流量行為的應(yīng)用識(shí)別技術(shù)。通過(guò)對(duì)包長(zhǎng)序列、包長(zhǎng)范圍、包長(zhǎng)重復(fù)、包數(shù)統(tǒng)計(jì)和報(bào)文收發(fā)比等進(jìn)行統(tǒng)計(jì)分析， 并和流量模型進(jìn)行比對(duì)，從而鑒別出應(yīng)用類型。

根據(jù)一系列流量的行為特征，建立了流量特征模型，在對(duì)話連接流的包長(zhǎng)、連接速率等進(jìn)行分析的基礎(chǔ)上，將其與流量模型進(jìn)行對(duì)比，從而鑒別出應(yīng)用類型。如果接收到的數(shù)據(jù)流平均包長(zhǎng)>450 b，連接速率高，通過(guò)分析比對(duì)，可以判斷它是P2P流，而不是RTP流。這是根據(jù)不同應(yīng)用類型在會(huì)話連接或數(shù)據(jù)流上的狀態(tài)也存在差異而進(jìn)行的判斷，但是這種鑒別只能是籠統(tǒng)分類，對(duì)該流量采用何種協(xié)議無(wú)法判斷，且受網(wǎng)絡(luò)情況影響較大，如果網(wǎng)絡(luò)擁塞，出現(xiàn)錯(cuò)誤，則需要重傳，包長(zhǎng)、會(huì)話時(shí)間將發(fā)生變化，從而影響DFI的判斷，可能會(huì)出現(xiàn)偏差、失誤，優(yōu)點(diǎn)是速度快，效率高。

5結(jié)語(yǔ)

網(wǎng)絡(luò)流量采集技術(shù)為網(wǎng)絡(luò)流量分析的實(shí)現(xiàn)提供了重要的數(shù)據(jù)資源，為能夠更好的分析當(dāng)前復(fù)雜網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)流量情況，本研究主要分析了3種網(wǎng)絡(luò)流量采集方法及2種具體的網(wǎng)絡(luò)流量分析技術(shù)，望能夠?yàn)橛行?shí)現(xiàn)對(duì)互聯(lián)網(wǎng)流量分析與控制提供參考。

參考文獻(xiàn)

[1] 閆曉艷.分布式網(wǎng)絡(luò)流量分析系統(tǒng)的研究與實(shí)現(xiàn)[D].濟(jì)南：山東大學(xué)， 2014.

[2] 董超.基于網(wǎng)絡(luò)流量監(jiān)測(cè)的移動(dòng)互聯(lián)網(wǎng)特征研究[D].北京：北京郵電大學(xué)，2013.

[3] 劉巖.網(wǎng)絡(luò)流量控制若干關(guān)鍵技術(shù)研究[D].上海：復(fù)旦大學(xué),2004.

[4] 陳曉天.基于軟計(jì)算的IP網(wǎng)絡(luò)流量監(jiān)測(cè)和控制關(guān)鍵技術(shù)研究[D].南京：南京郵電大學(xué),2013.

[5] 蔣紅艷.基于流量監(jiān)控的網(wǎng)絡(luò)性能優(yōu)化關(guān)鍵技術(shù)研究[D].長(zhǎng)沙：湖南大學(xué),2010.

責(zé)任編輯李思文

Analysis of Network Traffic Detection Technology

ZHA Huangying

(Xi’an University, Xi’an 710065, China)

Abstract:With the continuous development and progress of society, the Internet has been increasingly widely used in people's production and life, it is necessary to understand the operation of the network, so network traffic analysis technology was introduced. In the complex network environment, often need choose the network traffic analysis techniques to detect and manage it, the paper studied several different network traffic analysis of key technologies.

Key words:network, traffic analysis, traffic collection

收稿日期：2014-12-03

作者簡(jiǎn)介：查黃英(1981-)，女，碩士，主要從事計(jì)算機(jī)網(wǎng)絡(luò)等方面的研究。

中圖分類號(hào)：TP 393

文獻(xiàn)標(biāo)志碼：A