校園網流量異常檢測與處理方法

摘 要：隨著校園網日益規模化和復雜化，校園網安全威脅越來越嚴重，因網絡攻擊等因素導致網絡流量異常時有發生，流量異常檢測與處理顯得日益重要。 本文對校園網絡中流量異常進行分類，分析產生各種流量異常的原因，并提出相應的檢測與處理方法；針對目前網絡攻擊異常處理方法存在的不足，從確保校園用戶正常業務不受任何影響的前提出發，設計出一種校園網異常流量檢測與清洗模型，提高校園網絡流量異常處理能力。

關鍵詞：校園網；流量異常分類；異常檢測與處理；流量清洗方法

中圖分類號： TP393 文獻標識碼：A

1 引 言

隨著校園網絡規模不斷擴大與復雜化，校園網絡服務同時呈現多樣化和復雜化，對網絡性能的要求也越來越高。校園網中有教育教學信息管理系統、網上教學、視頻會議、電子圖書、電子郵件服務、網上購物、網上游戲等各種應用諸全，稱得上多業務網絡，基本上實現與國際互聯網的完全接軌。多種應用基于p2p 、流媒體技術、云運算等新型技術，需占用大量的校園網絡有限資源。同時，校園網絡安全面臨著嚴峻挑戰，網絡流量異常時常發生，特別是DDOS、蠕蟲、惡意代碼、網絡掃描及黑客攻擊越來越多，這對網絡性能、安全管理及網管人員素養提出更高的要求。由于學校教學作息時間的規律性決定校園網絡行為特征及日常運行也具有規律，因此正常情況下校園網絡流量變化也具有規律性，這就使得網絡流量異常管理具有規律可循。本文針對校園網絡情況首先闡述了流量異常概念、分類；然后對校園網中引起各種流量異常的原因進行分析，并對各類異常提出了相應的解決辦法；接著針對目前解決網絡攻擊異常在方法上存在的不足，設計出一種異常流量檢測、清洗與回注的解決模型，并對其關鍵算法進行介紹，最后進行小結。2 校園網異常流量檢測及處理辦法2.1 流量異常與流量異常

網絡流量是單位時間內通過網絡設備或傳輸介質的信息量（報文數、包數或字節數）［1-2］。只有知道網絡正常情況下的行為特征，我們才能判斷什么是流量異常。我們把有限的帶寬資源承載著非預期的流量，定義為異常流量。異常流量的存在是網絡流量產生異常的重要情形。

2.2 校園網流量異常產生原因及分類

流量異常一般是指非用戶正常上網產生的流量，比如病毒、網絡攻擊等造成的流量異常。在校園中，由于資料的有限，一些熱門服務如網絡游戲或其他大量的P2P應用等，連接用戶數過多，使得核心設備不堪負載而出現異常情況比較頻繁。因此，從校園網絡用戶群體角度考慮，可把網絡流量異常分為三類：網絡故障引起的異常、連接數異常和網絡攻擊異常。

1)設備故障異常。因網絡設備自身出現故障而引起流量異常，例如校園網中各類服務器故障、路由器故障、交換機故障以及網線接口故障等。這些故障引網絡拓樸結構發生變化或鏈路中斷，從而引起流量異常。

2) 連接數異常。各用戶爭奪熱門服務或重要資源，發起的對外連接數過多，造成核心設備負載過大影響正常流量的使用。例如，網絡相關課程教學中學生同時訪問某一服務器；課余時段大量學生使用P2P服務；還有一年一度的高考招生填報志愿時段，客戶訪問量短期猛增而且不可預測引起網絡流量異常等多種情況。

3)網絡攻擊異常。是指網絡中出現惡意病毒，對網絡中某個目標進行攻擊時出現的異常［3］。校園網中常見的有蠕蟲病毒、DOS/DDOS攻擊和端口掃描攻擊。例如當校園網內某臺上網主機感染蠕蟲病毒時，導致該主機瘋狂地進行主機探測，這時網絡中會出現蠕蟲病毒特征包，網絡中會大量充斥這種包，從而引起業務數據丟失，網絡流量過載，或者網絡擁塞，是非用戶正常上網產生的流量異常。

2.3 流量異常檢測與處理

2.3.1 異常監控與檢測

在校園環境下，由于教學作息時間具有規律性，各種服務群體相對穩定，使得正常情況下學校教學樓、行政樓、學生公寓等各區域網絡流量也呈現出周期性規律，因此，校園網絡管理相對容易。

要解決網絡流量異常問題，重要的是通過監控與檢測發現異常。網絡輿情監測軟件有很多種，但是主要的流程還是差不多，包括信息采集、信息處理和信息服務三個流程。建議采用MRTG、Sniffer Pro軟件進行異常流量檢測與監控。MRTG［1］也是一個非常有用的網絡流量監控軟件，而且是免費的，應用方便；它是利用SNMP協議(對互連的網絡設備進行管理時遵循的標準協議)去偵測指定的運行有SNMP協議的網絡設備，每隔幾分鐘采樣并統計其設備流量。對于校園網絡的流量統計與分析，只要在一臺電腦上安裝MRTG軟件并進行相關設置，如進行snmpd配置允許mrtg讀取其interface(網絡接口) 流量數據，就可得實時可視化結果（圖1所示），從而使管理員可以方便的進行管理。Sniffer Pro是最著名的網絡流量分析工具之一，是一個具備完整傳統功能的網絡故障診斷與流量分析工具，不管是在有線網絡還是在無線網絡中，它都能夠給予網管管理人員實時的網絡監視、數據包捕獲以及故障診斷分析能力。基于便攜式軟件的解決方案具備最高的性價比，提供的主要功能包括監控、報表，捕獲、解碼、專家系統智能分析等。

我們通過觀察實時流量圖，結合查看日志服務器就能及時了解校園網的運行狀態，從而采取相應措施對網絡出現的問題進行及時調整和解除。

2.3.2 流量異常處理方法

解決流量異常就是隨時發現流量異常，及時定位引起網絡異常情況的源頭，解除異常或有效地控制異常流量的蔓延，及時有針對性地采取措施，保持網絡暢通、避免網絡阻塞，同時合理地分配帶寬，保障主要業務的正常開展。通過異常檢測與監控發現異常之后，就可針對不同異常類型采取相應措施予以解除。

對于設備故障異常的檢測與解決方法，通常首先采用Ping、tracert查看網絡連通性和速度，再結合查看日志進行定位，最后檢測端口與硬件，一般情況下此類異常問題均可解決。

對于連接數異常最簡單的方法可采用流量優化系統(如Skynet優化系統)，針對各種服務調節閥值［3］進行限流限速，最好對協議的連接數進行控制，直接刪除過多的連接數或發送阻斷報文，以保障主要的服務或重要的客戶流量。

對于網絡攻擊異常解決方法，主要采用主動預防和設備攔截等技術。安裝監視、日志或者其他流量分析系統， 攻擊發生時， 就可很快地診斷出攻擊的類型以及攻擊源，要盡可能地修正已發現的問題和系統漏洞， 識別、跟蹤或禁止這些機器或網絡對我們的訪問，如對異常流量的端口流量進行限制；把網絡分為多個子網， 并改變IP 地址和主機名，在拒絕服務攻擊中， 這種方法是一種較為有效的方法；應用包過濾的技術， 配置正確的路由器和防火墻，采用防火墻或網關等設備進行攔截；從保障主要業務不受影響方面考慮可采用異常流量的清洗與回注技術。

3 校園網異常流量的清洗與回注技術

目前面對各種入侵攻擊，傳統的防護手段采用防火墻或路由器等設備攔截。一方面由于防火墻或路由器等設備均是基于網絡層的檢測，而大多數DDOS攻擊可以采用合法協議進行攻擊，因此傳統的防護手段無法正確識別并加以防護。另一方面異常流量的攔截往往以犧牲服務質量為代價，用戶正常業務受到較大影響。鑒于這些不足，我們針對校園網絡設計一種異常流量清洗與回注的解決方案，模型如圖2所示。本方案處理過程包括流量采集模塊、異常流量檢測模塊、業務管理模塊、異常流量處理模塊。

1）流量采集模塊：采用流量鏡像或者分光的方式把被保護對象的流量復制緩存空間，或從主干交換機或核心交換機實時采集流量。

2）流量分析與檢測模塊：對實時流量采用深度數據包檢測技術（DPI），也可以通過分析網絡設備輸出的NetFlow/NetStream/SFlow流信息（DFI），從而深入識別隱藏在背景流量中的攻擊報文，識別攻擊類型及時并報告業務管理模塊。

圖2 校園網異常流量檢測與清洗模型

3）業務管理模塊：控制異常流量處理并報告管理信息：從流量分析與檢測模塊中獲取攻擊信息，通知流量處理開啟攻擊防御；攻擊停止或處理完畢時清除緩沖區和恢復相關狀態值；針對各種檢測和清洗的各種威脅流量，提供豐富的攻擊日志和報表統計功能，包括攻擊前流量信息、清洗后流量信息、攻擊流量大小、時間和排序等信息以及攻擊趨勢分析等各種報表信息，便于了解網絡流量狀況。

4）流量清洗與回注模塊：發現攻擊報文時，迅速地將被攻擊用戶的流量牽引到異常流量處理模塊來，采用先進的“并行流過濾”、“智能流量檢測”等技術對其進行清洗。清洗可采用在線和旁路部署兩種方式。采用旁路部署的方法時，可以實現對流量的按需清洗，在任何情況下都不會影響正常流量。當采用在線部署模式下，可以實現實時清洗。清洗之后再通過策略路由、MPLS VPN、GRE VPN等方式將干凈回注給用戶，用戶正常業務不受任何影響。

流量清洗與回注算法如下：

步驟1 準備：利用BGPBorder協議（Border Gateway Protocol，邊界網關協議），首先和被保護域的旁路設備建立BGP Peer。

步驟2 清洗啟動：異常流量檢測系統通過鏡像或者分光的方式把被保護對象的流量復制過來，按照測試部件中的安全策略基線，判斷是否有攻擊發生，如果發現有攻擊發生，立即進入步驟3

步驟3 清洗與回注：發生攻擊時，業務中心通過BGP協議向旁路設備發送BGP更新路由通告，更新旁路設備上的路由策略，將流經所有旁路設備上的被保護對象的IP流量動態地牽引到清洗模塊進行清洗，并把清洗后的“干凈”流量回注給被保護對象。

步驟4清洗結束：當檢測模塊檢測到攻擊停止時，清洗模塊根據事先設置好的模式，選擇自動或手動停止牽引，棄放緩存空間，返回步驟2。

4 結束語

隨著校園網規模擴大和應用的復雜化，網絡攻擊異常和連接數異常較普遍，嚴重影響校園網絡服務質量和網絡性能，我們應該采用主動檢測、預防控制和設備攔截技術為主要處理手段。本文針對校園網提出的各種處理方法實用便捷，引入的流量清洗與回注方案具有一定的參考價值。在校園網絡中對于重要的業務服務我們建議啟用流量檢測與清洗方案，目前市場上已有異常流量清洗產品，由于實時清洗對預存容量與速度要求較高，因此一般以硬件產品為主，我們可以根據業務需要選擇使用。

參考文獻

［1］ 史忠植.MRTG 的研究與部署［J］.計算機應用，2004，24(3).

［2］ 郝星文，李懷誠.網絡流量分析系統的設計與實現［D］.北京:北京郵電大學，2005.

［3］ 常莉.淺析校園網絡流量的監控策略［J］.信息與電腦(理論版)，2005，20（2）：21-25.

［4］ ERIC MAIWALD.網絡安全實用教程［M］.北京: 清華大學出版社， 2003.

［5］ DUFFIELD N，GROSSGLAUSER M. Trajectory sampling for direct traffic observation［J］.Preceedings of the ACM SIGCOMM 2000，271-282.

［6］ DUFFIELD N， LUND C， THORUP M. Charging from sampled network usage.in: ACM SIGCOMM Internet Measurement Workshop 2001， San Francisco， CA［J］.November 1-2，2001，245-256.

［7］ DUFFIELD N， LUND C， THORUP M. Properties and Prediction of Flow Statistics from Sampled Packet Streams.in: ACM SIGCOMM Internet Measurement Workshop 2002， Marseille， France［J］.November 6-8，2002，159-171.

［8］ 高傳善， 錢松榮， 毛迪林. 數據通信與計算機網絡［M］ . 北京: 高等教育出版社， 2003.

［9］ ［美］ WILLIAM STALLINGS. 密碼編碼學與網絡安全: 原理與實踐［M］. 2 版. 北京: 電子工業出版社，2001.

［10］卿斯漢. 密碼學與計算機網絡安全［M］ .北京: 清華大學出版社， 2001.