網絡流量異常檢測及分析的研究

萬 斌 李密娜

（國家電網公司景德鎮供電分公司 江西 333000）

0 引言

網絡使用過程中，確保網絡流量的正常是網絡健康有序運行的基礎，是網絡可持續發展的重要因素，網絡流量異常檢測及分析是網絡及安全管理領域的重要研究內容。網絡流量異常是指對網絡正常使用造成不良影響的網絡流量模式，引起網絡流量異常的原因很多。主要包括：（1）網絡攻擊，如 DDoS攻擊、DoS攻擊、端口查看等。（2）導致數據量模式改變的網絡病毒，如蠕蟲病毒等。（3）網絡的使用問題，如大量的P2P的應用模式對網絡流量造成影響。（4）網絡誤配置及網絡存儲耗盡等。

網絡流量的異常檢測是指在網絡流量的運行過程中，針對網絡流量的監測，及時找出存在流量異常的情況，并明確網絡流量異常的時間節點及地點。網絡流量的異常檢測具有全局性、整體性、動態性、連貫性等特點，網絡流量的異常檢測的目的在于及時地發現網絡流量存在異常的情況，及時將風險進行有效地排除，確保網絡流量運行的安全性。網絡流量異常的分析是在網絡流量異常情況檢測的基礎上，根據檢測結果，有效地辨析導致異常情況的原因及所屬類型，有效地診斷網絡異常情況的類型。流量異常檢測及分析是網絡流量異常監視及響應應用的基礎，便于網絡及安全管理人員排查網絡異常、維護網絡正常運轉、保證網絡的安全。

1 網絡流量的概述

1.1 網絡流量數據

網絡在運行過程中，勢必會產生流量數據，這是網絡運行的基礎，也是網絡流量異常檢測的載體。如果網絡運行不產生數據，那么就不會需要網絡流量的異常檢測。網絡流量數據源可以分成數據包分析、網絡流和SNMP統計數據。數據包分析是指流經網絡或網絡鏈路上的IP數據包進行解碼分析、統計分析；網絡流是在特定的源和目的端點之間的某一單向應用數據包序列的聚合，由支持網絡流功能的路由器按照所轉發的數據包的屬性進行聚集所產生。一個網絡流由一組屬性唯一識別：源IP地址、目的IP地址、源端口、目的端口、協議類型、服務類型、路由器輸入接口等。網絡流對數據包的信息缺乏感知能力，也就是說網絡流并不涵蓋信息內容，網絡流也不會因為信息內容的不同而產生不同的流量，網絡流只會針對信息內容的數據大小及特征來有效地辨析網絡流的運行情況。這是網絡流運行的主要特點，也是網絡流的主要運行標準。總體來看，數據包分析是一種網路流量數據的最典型的類型，在實踐過程中，這種數據類型的運行標準較高，粒度最細，涉及到的內容非常廣泛，在這種類型下，網絡流量中的任何數據及相關細節都能被網絡流量感應。與數據包分析相反，SNMP的數據要粗大很多，這種流量數據類型的包含內容也相對較窄，在實踐過程中，這種數據類型僅僅包括一些轉發性質的流量統計信息，而不像數據包分析一樣可以包含全面的數據信息。而且在數據信息的運行過程中，這種流量數據類型并不會對數據信息的特點進行記錄，更無法體現數據信息的內容及相關細節。網絡流的粒度大小相對均衡，它實際上的大小應該是在上述兩種網絡流量數據之間，與數據包分析類似，網絡流的內容主要是指網絡數據的特點及特質，但對網絡數據信息的內容涉及不深。這三種網絡流量數據在實踐運用過程中各有特色，一般而言，在網絡流量異常檢測時，數據包分析及網絡流的作用會得到體現，這兩種類型可以在網絡流量出現異常情況時，可以通過對異常情況的分析與追蹤，及時地診斷網絡異常情況的類型。而SNMP則不具備這方面的功能，它的主要作用在于數據信息的統計工作。總之，在以上三種網絡流量數據的類型中，數據包分析的作用是相對較大的，數據包分析可以較好地運用到網絡流量異常情況的檢測過程中，對網絡流量異常情況的檢測效率較高，檢測方法相對科學合理，能夠有效地檢測到網絡流量中存在的異常情況。因此在網絡流量異常檢測中，多采用網絡流數據包分析技術。

1.2 網絡流量的異常分類

網絡是一個開放性的系統，在網絡運行過程中，造成網絡流量異常情況的類型非常豐富。網絡流量一旦出現異常情況，極有可能影響網絡的安全運行，同時也會對網絡流量造成嚴重的浪費。因此在網絡流量的檢測與分析中，應該有效地辨析網絡流量的異常情況，做好網絡流量異常情況的分類與整理工作。

1.2.1 網絡操作不良

在網絡流量的使用過程中，因網絡操作存在的故障或網絡操作存在異常等情況，使網絡流量出現異常。如在網絡流量的運行過程中，由于網絡設備的變化，特別是網絡網關設備的改變等因素，都會影響網絡流量的變化，使網絡流量在運行過程中出現異常情況。如原來的網絡設備出現故障，需要更換網絡設備，在新的網絡設備增加后，會在一定程度上影響網絡流量的大小。因網絡操作不良等造成的網絡流量異常情況具備一定的特點，在網絡操作的初始階段，網絡流量的異常變化是特別明顯的，流量的變化也是非常急劇的，但在網絡流量異常情況的初始階段結束后，網絡流量恢復了平穩，即便存在變化，其變化也是微小的，也是相對平穩的，更是不容易被人直觀發現的。

1.2.2 網絡突發流量

當某個網絡信息或內容的興趣點較高，吸引力較大，那么網站的訪問量就會突然增大。對于很多站點而言，它們的網絡容量是有限的，網絡的帶寬和處理能力也是有限的，當服務器處于繁忙狀態或者網絡堵塞時，網站的性能就會下降。網絡突發流量的特征是指它們會在網絡中存在一定的時限，在這個時限內，新的網絡用戶不斷地進入網絡系統，從而引發了網絡流量的巨大變化。可等這個時限過了之后，網路的流量恢復平穩，很多網絡站點的服務器為了應對網絡突發流量，往往會在突發流量到來之際，提升服務器的性能，增加帶寬的處理能力。不過由于網絡突發流量具有非常明顯的時間性，因此網絡站點提升服務器規格及進行拓展帶寬的應對方式，實質上浪費了處理能力。一般內容分發網絡或者按需要計算處理設施，能夠有效地應對網絡突發流量。

1.2.3 網絡濫用

直接導致網絡流量存在異常情況的行為還包括網絡濫用，網絡濫用不是指網絡的隨意使用，而是指在網絡運用中，存在著DoS/DDoS攻擊和端口查看。這種網絡流量的異常行為在實踐中并不容易被檢測出來，運用傳統的網絡流量檢測技術，很難有效地提升檢測的質量，也很難保障全面有效地網絡檢測。不過運用其他的網絡流量檢測技術能夠科學有效地將網絡流量異常情況檢測出來，一般往往運用網絡流數據中按流計數的異常特征進行檢測。

1.2.4 蠕蟲傳播

導致網絡流量存在異常情況的原因還包括病毒傳播，這是一種常見的網絡流量異常情況。網絡流量在使用的過程中，會產生一種蠕蟲的病毒，這種病毒具備一定的生長功能，可以存在病毒的網絡流量進行一定的復制，從而使得病毒在網絡流量中不斷地傳播與擴散。這種病毒的檢測在實踐運用中一般很難有效地檢測出來，因為病毒傳播的速度較快，病毒傳播的范圍較廣，如果未采用科學全面的檢測技術很難將蠕蟲病毒快速有效地檢測出來。因此在蠕蟲病毒的檢測工作中，應該在全網范圍內進行安全檢測，對全網的流量實行逐一的檢測，并根據網絡流量的特點分析，有效地辨析網絡流量特點變化，對比不同的網絡流量變化來有效地剔除網絡流量中的異常情況。

網絡流量異常檢測及分析是建立在網絡流量的概述的基礎上的，只有明確網絡流量的特征及網絡流量異常情況的分類，才能有效地真正地實行網絡流量的異常檢測及分析工作。

2 網絡流量異常檢測與分析

2.1 網絡流量異常檢測的范圍

網絡流量異常檢測的范圍不是固定的，而應該根據網絡流量異常情況的特質及檢測難易程度來有效地運用網絡流量異常檢測技術，從而確定網絡流量異常檢測的范圍。

2.1.1 全網異常檢測

全網異常檢測是一種相對復雜相對系統的檢測工程，在全網異常檢測中，應該根據全網流量的異常情況，有效地運用檢測技術。因為全網異常檢測的標準比較高，如果在實踐中未能有效地運用相應的檢測技術，那么全網異常檢測的功用自然難以發揮，還會造成全網檢測技術及資金的巨大浪費。因此在全網異常檢測中，應該注重科學合理地選擇數據采集點，由根據分析實際異常情況采集、分析全網的通訊數據包，實行全面的網絡異常檢測。

2.1.2 鏈路異常檢測

鏈路異常檢測是一種局部檢測，與全網異常檢測不同，鏈路異常檢測只注重在某一鏈路中存在的網路流量異常情況進行針對性地檢測。這種檢測的目的性較強，檢測技術的標準相對較低，在確定的范圍內，只需要運用一定的檢測技術，就可以順利地辨析網絡流量的異常情況，并根據網絡流量的異常情況，及時地診斷網絡流量異常情況的類型。

2.2 流量異常分析的深度

2.2.1 異常檢測

網絡流量的異常檢測是指在網絡流量的運行過程中，有效地確定網絡流量的異常情況，并及時地檢測出網絡異常情況的時間及發生異常點及異常原因。針對網絡流量異常檢測的技術標準，并不一致，在網絡流量的檢測過程中，根據異常情況的特點，在未診斷出異常情況的類型時，根據特點來針對性地選擇運用哪種網絡流量檢測技術。一般采用數據包深度分析來進行網絡流量的全網檢測，這種檢測方法能夠將網絡流量的異常情況精準地確定異常點、異常原因，在什么時間節點發生了網絡流量的異常情況。

2.2.2 異常確定

在網絡流量出現異常情況后，異常確定能夠有效地辨析網絡流量異常情況的特征。網絡流量的異常情況往往都具備各自的特征，這種特征是網絡流量異常檢測的重點內容，因為網絡流量的異常檢測的目的不在于精準地找出異常情況，而是根據異常情況的特質及特點，來診斷網絡流量異常情況的類型，以便做出及時地針對性地解決措施，保障網絡流量數據的安全性，保障網絡運行的科學與高效。

2.2.3 異常診斷

異常診斷是網絡流量異常檢測中的核心內容，在異常檢測、異常確定等基礎上，人們掌握了網絡流量異常情況發生的時間、發生的地點、發生的特征，即可以對網絡異常情況進行科學的診斷。異常診斷可以辨別異常情況的類型，同時還可以根據異常情況的類型，有效地找出出現網絡流量異常情況的原因。在網絡流量的使用過程中，導致網絡流量出現異常情況的原因是多方面的，既有網絡配置的原因，同時也包括蠕蟲病毒等攻擊。通過異常診斷后，人們可以獲知網絡流量異常情況的原因，然后針對性地采取措施來解決網絡流量的異常情況。

2.3 實時檢測與回溯檢測

根據網絡流量存在的異常情況，還可以運用實時檢測或者回溯檢測的方式。所謂的實時檢測，就是在網絡運行的過程中，根據網絡流量存在的異常情況，對網絡進行實時的異常檢測，及時地發現網絡流量的異常情況，并及時地運用相應的措施來解決網絡流量中存在的問題。運用實時檢測需要注意的是在檢測過程中，要實時地對網絡流量的數據進行采集與分析。不過現階段實時檢測的方法并不系統，檢測的效果與質量也較難得到保障。因此為提升網絡流量異常檢測的科學性，應該積極地改良網絡流量在線檢測技術。回溯檢測是針對網絡流量的實時檢測技術發展起來的。回溯檢測時，無需網絡運行，只需要對網絡運行中的歷史痕跡及相關信息數據的日志、保存的原始數據內容進行分析，就可以實現回溯檢測。回溯檢測與實時檢測的側重點不一樣，在具體的檢測過程中，所依據的數據信息也不一致，但兩種檢測方式都可以較好地檢測網絡流量中存在的異常情況。

3 總結

在網絡的運行過程中，因系統故障、設備原因、病毒原因、操作原因等會導致網絡流量出現異常情況。在網絡流量出現異常情況時，應該及時地運用網絡流量的異常檢測技術，分門別類地進行全網檢測或者鏈路檢測，然后分析異常情況的特點及特質，分析異常情況的產生原因，進行異常情況的確定，并診斷異常情況的類型，采取積極的措施來解決網絡流量的異常情況，確保網絡的高速穩定地運行。在網絡流量的檢測過程中，還可以根據網絡流量異常情況的特點，選擇在線檢測或離線檢測的方式。

[1]夏正敏.基于分形的網絡流量分析及異常檢測技術研究[J].上海交通大學.2012.

[2]王樹瑾.改進 QoS實時監測動態模型的研究[D].黑龍江大學.2013.

[3]陳明兵,劉知貴.用于網絡流量異常檢測的數據采集方法的研究[J].電腦知識與技術.2009.

[4]任志良,鄧志東,帥典勛，孫增圻.計算機網絡模型中的復雜性現象分析[J].清華大學學報(自然科學版).2002.

[5]楊強,谷利澤.基于模糊綜合評判的入侵檢測告警處置模型[A].2009通信理論與技術新發展——第十四屆全國青年通信學術會議論文集[C].2009.

[6]王建榮.基于自相似特性的片上網絡流量分析與建模[D].電子科技大學.2011.

[7][美]Chris Sanders.譯：諸葛建偉,陳霖,許偉林.Wireshark 數據包分析實戰.人民郵電出版社.2013.