一種網絡流量分析工具

汪文杰

摘要：網絡流量作為網絡上傳輸?shù)臄?shù)據量，對網絡安全應用具有重要意義，如何實現(xiàn)信息網網絡流量的采集、分析是網絡運維的重難點。本文實現(xiàn)了信息網網絡流量的實時采集存儲，建立分析檢測模型，快速發(fā)現(xiàn)信息網面臨的安全風險及潛在的安全隱患，為信息網安全提供智能化、自動化支撐。

關鍵詞：網絡流量；安全風險；分析模型

中圖分類號：TP393.06 文獻標識碼：A 文章編號：1007-9416（2017）10-0067-02

1 引言

隨著信息網的迅速發(fā)展和企業(yè)信息化程度的不斷提高，如何保證信息網的網絡可用性和關鍵業(yè)務的暢通運行對網絡運維管理有著至關重要的作用。網絡流量作為信息網網絡的主要存在以下問題：

（1）信息網網絡流量無法實現(xiàn)實時監(jiān)控，對流量異常的終端網絡設備也無法排查，在一定程度上增加了終端網絡安全的風險。

（2）信息網業(yè)務形式越來越豐富，網絡流量占用率也急劇增長，當網絡發(fā)生故障或者攻擊時，由于整個網絡龐大，整個故障排查過程耗時耗力，不能及時定位故障源、消除通信故障，給安全生產帶來了一定的風險[2]。

為此項目開展了信息網網絡流量分析工具[1]，建立分布式的網絡統(tǒng)一、上下一體的安全風險[2]監(jiān)測與態(tài)勢評估分析模型[3]體系，提供統(tǒng)一全網安全策略、風險監(jiān)測、主動防御的技術手段，為實施網絡安全指揮提供態(tài)勢感知和決策支持的工具。

2 工具原理及功能

2.1 工具原理

網絡流量分析工具基于 pcap/WinPcap 庫開發(fā)，提供了捕獲、注入、分析和構建數(shù)據包的功能，主要使用其捕獲部分提供的相關方法進行二次開發(fā)。模塊依據以太網拓撲發(fā)現(xiàn)系統(tǒng)獲取的拓撲結構，通過SNMP功能周期性地查詢目標以太網絡上交換機設備的MIB管理變量，并基于獲取的MIB值進行故障檢測算法處理后發(fā)現(xiàn)網絡流量，生成流量數(shù)據信息，并利用分析模型對流量數(shù)據訓練挖掘，發(fā)現(xiàn)可疑行為（如圖1）。網絡流量分析工具主要包含5個關鍵功能，具體如下：

（1）網絡流量實時監(jiān)測：基于pcap/WinPcap庫開發(fā)，實時獲取流量數(shù)據包中的源IP、目標IP、源端口、目標端口等流量數(shù)據包信息，并實時分析檢測，為網絡運維管理人員提供實時參考。

（2）長連接流量分析：以獲取到的網絡流量為基礎，利用固有算法模型，對長時間發(fā)送單個數(shù)據包的異常流量信息，分析其可疑行為。

（3）高風險協(xié)議模型：網絡協(xié)議是網絡上所有設備之間通信規(guī)則的集合，通過流量監(jiān)測發(fā)現(xiàn)網絡上異常的協(xié)議行為，報告給網絡運維管理人員為其提供運維參考。

（4）流量異常告警：使用SNMP協(xié)議在網絡環(huán)境中直接獲取流量，基于網絡流量實時監(jiān)測功能，對異常的流量實時告警。

（5）常見攻擊模型預測：網絡攻擊在網絡環(huán)境中時有發(fā)生，綜合網絡中常見的攻擊工具，對其分析并建立攻擊模型。以網絡流量為基礎，利用回歸算法對模型進行正確性驗證，將符合模型的攻擊行為定義為網絡攻擊。

2.2 工具實現(xiàn)

工具主要針對信息網絡拓撲中的網絡流量實時采集、分析、告警，并建立網絡攻擊模型對網絡流量中的攻擊行為進行深度分析，利用算法建立固有網絡模型，為網絡管理人員分析網絡攻擊行為提供決策化參考并統(tǒng)一告警。本工具提供統(tǒng)一全網安全策略、風險監(jiān)測、主動防御的技術手段，為實施網絡安全指揮提供態(tài)勢感知和決策支持的工具。其具體功能如下：

基于pcap/WinPcap庫實現(xiàn)網絡流量的實時采集和監(jiān)測、分析網絡異常長連接行為和高風險協(xié)議。建立固有常見攻擊模型，分析網絡流量中的網絡攻擊行為并對網絡異常告警。具體見圖2所示。

3 結語

通過該工具運用，實現(xiàn)信息網網絡流量監(jiān)測和分析的態(tài)勢評估工具，解決了故障的排查時間，能快速及時的解決網絡拓撲故障問題，在一定程度上減少人力、物力消耗，保障信息網的正常生產，極大提升了信息網絡的運維管理效率。

參考文獻

[1]韓良秀.基于網絡流量的性能研究，復旦大學，2002.

[2]何啟源.基于TCP/IP的網絡流量監(jiān)測系統(tǒng)模型的研究.計算機系統(tǒng)應用，2006（06）：30-33.