計算機網(wǎng)絡(luò)流量監(jiān)控的設(shè)計與實現(xiàn)

張小衛(wèi)

隨著計算機網(wǎng)絡(luò)的快速發(fā)展和普及，網(wǎng)絡(luò)流量監(jiān)控分析受到越來越多的關(guān)注。高效合理地運行網(wǎng)絡(luò)流量實時監(jiān)控分析系統(tǒng)，可在最短時間內(nèi)發(fā)現(xiàn)安全威脅，并在第一時間進(jìn)行分析，確定攻擊源。網(wǎng)絡(luò)流量監(jiān)控分析的基礎(chǔ)是協(xié)議識別技術(shù)，目前的主要方法有常用端口識別、深度報文檢測DPI、深度流檢測DFI，以及這幾種方法的混合。

DPI技術(shù)是一種基于特征字的識別技術(shù)，可根據(jù)不同協(xié)議的特征來檢測和識別出具體的應(yīng)用協(xié)議。DPI具有檢測準(zhǔn)確率高、原理相對簡單、實現(xiàn)速度快等多個優(yōu)點，因而具有較為廣泛的應(yīng)用。本文介紹的網(wǎng)絡(luò)流量實時監(jiān)控分析系統(tǒng)（以下簡稱RT-TMA，Real-Time network Traffic Monitor and Analysis system）就是采用DPI技術(shù)來實現(xiàn)協(xié)議識別的。

網(wǎng)絡(luò)流量監(jiān)測模塊設(shè)計

底層協(xié)議分析模塊：OSI模型由7層網(wǎng)絡(luò)協(xié)議共同組成，數(shù)據(jù)是經(jīng)過封裝之后由上至下傳送的。因此，對網(wǎng)絡(luò)協(xié)議進(jìn)行分析也需要由上至下實施。例如，對網(wǎng)絡(luò)層、鏈路層的傳輸協(xié)議進(jìn)行分析識別之后重組協(xié)議，將協(xié)議頭部內(nèi)包含的數(shù)據(jù)信息傳遞給上層分析，由此持續(xù)到網(wǎng)絡(luò)傳輸層，都以協(xié)議包頭信息對其進(jìn)行分析處理，這也是重組會話的基礎(chǔ)。

重組會話模塊：由于網(wǎng)絡(luò)傳輸必然會存在數(shù)據(jù)丟失、位置錯誤等問題，數(shù)據(jù)包也是經(jīng)過不同的網(wǎng)絡(luò)傳輸路徑到達(dá)用戶終端，到達(dá)時數(shù)據(jù)包的順序很可能會發(fā)生變化。在數(shù)據(jù)包傳輸過程中，主要由網(wǎng)絡(luò)協(xié)議對其進(jìn)行有效控制，一旦出現(xiàn)數(shù)據(jù)包丟失等情況，系統(tǒng)會自動重新發(fā)送數(shù)據(jù)包，由此，會話重組必須可以應(yīng)付數(shù)據(jù)包錯序和重新傳輸?shù)膯栴}，以實現(xiàn)會話重組的高效率。……