【摘 要】計算機網絡流量監控已經成為網絡安全管理的重要手段,本文介紹了通過深度報文檢測技術來優化網絡流量監控,同時完成模型的設計和技術實現,通過測試說明,本網絡流量模型設計能夠達到優化網絡流量設計的目的。

【關鍵詞】RAT 流量監控 流量分析

隨著計算機網絡的快速發展和普及,網絡流量監控分析受到越來越多的關注。高效合理地運行網絡流量實時監控分析系統,可在最短時間內發現安全威脅,并在第一時間進行分析,確定攻擊源。網絡流量監控分析的基礎是協議識別技術,目前的主要方法有常用端口識別、深度報文檢測DPI、深度流檢測DFI,以及這幾種方法的混合。

DPI技術是一種基于特征字的識別技術,可根據不同協議的特征來檢測和識別出具體的應用協議。DPI具有檢測準確率高、原理相對簡單、實現速度快等多個優點,因而具有較為廣泛的應用。本文介紹的網絡流量實時監控分析系統(以下簡稱RT-TMA,Real-Time network Traffic Monitor and Analysis system)就是采用DPI技術來實現協議識別的。

網絡流量監測模塊設計

底層協議分析模塊:OSI模型由7層網絡協議共同組成,數據是經過封裝之后由上至下傳送的。因此,對網絡協議進行分析也需要由上至下實施。例如,對網絡層、鏈路層的傳輸協議進行分析識別之后重組協議,將協議頭部內包含的數據信息傳遞給上層分析,由此持續到網絡傳輸層,都以協議包頭信息對其進行分析處理,這也是重組會話的基礎。

重組會話模塊:由于網絡傳輸必然會存在數據丟失、位置錯誤等問題,數據包也是經過不同的網絡傳輸路徑到達用戶終端,到達時數據包的順序很可能會發生變化。在數據包傳輸過程中,主要由網絡協議對其進行有效控制,一旦出現數據包丟失等情況,系統會自動重新發送數據包,由此,會話重組必須可以應付數據包錯序和重新傳輸的問題,以實現會話重組的高效率。

網絡協議識別模塊:計算機網絡流量實時監控系統的核心是網絡協議識別引擎,HTTP傳輸協議、P2P傳輸協議等都是基于網絡協議識別引擎基礎上實現的。網絡協議識別引擎可以利用其特征與會話重組數據進行有效匹配,還可以利用數據交互等特征對數據信息進行深入分析。

應用層協議分析模塊:應用層協議分析是在完成會話重組之上實現的,對于部分實現P2P傳輸協議的應用來說,是基于網絡協議識別之上對會話重組進行的深層次數據分析和識別。

應用層協議的分析

1.基于會話進行協議識別

在完成會話重組之后,需要對每一個會話進行采樣識別。通常情況下都會按照相應策略對會話表進行維護,計算機網絡流量實時監控分析系統可以同時處理256至1024個會話,對每一個會話的識別都需要對會話之前的若干個數據包實施處理,一般情況下不會超過16個數據包,之后的全部數據包則按照預先部署的控制策略完成處理操作。由于P2P應用的網絡連接數量多、傳輸量大,如果想要對P2P網絡連接進行準確分析和處理,必須采用基于會話的協議識別技術。

2.基于端口、特征碼進行協議識別

對于SSH、DNS和Telnet等傳統應用來說,都可以采取簡單端口識別技術,但是,由于P2P應用的特殊性,必須采用動態端口識別技術。因此,可以采取特征碼的識別技術對P2P應用進行分析識別。由于P2P應用協議屬于公開協議,又是根據RFC進行規范的,對于其協議實現的研究可以采用特征碼識別方式,但是,特征碼識別又是基于會話之上實現的,因此需要對會話之前的幾個數據包進行匹配,可以采用會話采用識別方式。

3.基于應用層進行協議分析

為了躲避深層協議識別的檢測,類似于P2P應用轉變了端口使用模式,采用隨機和專用端口。此類應用必須基于應用層協議分析基礎上,對其進行深層次的協議探索。當BT客戶端對數據信息進行下載時,首先要實施Tracker查詢,通過HTTP傳輸協議中的GET命令來接收互聯網傳來的數據信息,再將請求響應傳送給下載端。在HTTP傳輸協議請求數據報文中,包含了Bit Torrent特征值,由此,必須對HTTP傳輸協議進行有效識別,再基于此協議基礎上對會話實施深入探索識別。針對以上這種情況,需要在會話基礎上對應用層數據包實施深層次分析,從而在HTTP數據包中將BT特征值識別出來。

4.對未知P2P協議的識別

對于P2P應用來說,為了盡可能識別更多的應用層協議,需要對未知的P2P應用進行深入探測。但是,由于部分P2P應用的傳輸信道進行了加密,對網絡監控管理業帶來了較大挑戰,為了有效識別部分P2P網絡流量,并對其加以深入分析和統計,本文采用了近似統計的方法來實現。近似統計的方式是根據P2P網絡協議設計的,與其他網絡協議具有一定差異,只對數據包頭部內包含的信息進行檢測,而無需對數據包的有效載荷進行檢測,因此屬于高效、簡單、便捷的識別方法。

RT-TMA的系統模型與實現

RT-TMA是一種被設計用于高等院校校園網、實驗室網絡及中小型企業的網絡流量實時監控分析系統。與其他網絡流量監控系統不同的是,RT-TMA還提供有豐富的二次開發接口,為網絡流量監控分析相關開發人員及科研人員提供理論驗證和算法研究的實驗平臺。

規則庫主要包括具體協議的DPI特征字及其檢測算法的實現,同時包括傳統規范網絡應用的端口表,以用于配合DPI引擎完成對具體協議的識別。

DPI引擎是RT-TMA的核心,可在DPI規則庫、數據庫(配置信息等)、可選的擴展庫以及用戶操作等基礎上,完成對網絡流量的協議識別、統計、分析等功能。

RT-TMA用戶界面作為人機交互界面,主要提供用戶操作和管理DPI引擎、顯示各類信息等。

網絡流量實時監測與控制主要是對大量消耗網絡資源的應用進行流量限制和會話阻斷,包括BT下載應用、P2P應用等,以確保網絡資源得到合理使用。首先根據網絡協議識別引擎的分析結果,再對P2P應用、BT應用、PP Live應用等進行深入分析和全面識別,再根據網絡流量控制策略,對應用層進行實時監控,一旦發現網絡流量異常等情況,立刻啟動系統日志記錄功能,并且向NMS發出報警信息。

本文提出的計算機網絡流量實時監控分析系統采用的是旁路控制技術,旁路控制機制包括三個功能部件,分別是速率估計器、連接標記器和阻斷生成器。速率估計器主要是根據接收到的分組信息與歷史信息進行結合,以此達到每個分組速率平均;連接標記器主要是通過速率估計器得出的結果,按照一定的策略對某些網絡連接附加阻斷標記。當某個網絡連接被加上了阻斷標記之后,再利用阻斷生成器生成偽造阻斷分組,以此實現阻斷網絡連接的結果。

基于DPI的網絡流量實時監控分析系統在網絡管理與網絡安全防護中起著非常重要的作用,而目前的網絡流量實時監控分析大都針對運行商的核心骨干網絡,價格昂貴。此外,作為高校使用的網絡流量監控分析系統,還需具備足夠的可擴展接口,以便在完成網絡管理與安全防護的同時,提供學生認知實習、開放性實驗以及科研支撐。為此,本文提出了一種基于DPI的網絡流量實時監控分析系統RT-TMA。該系統具有高可擴展性、實現簡單、接口豐富等特性,可較好地滿足高等院校,特別是高校實驗教學中心對網絡流量實時監控分析系統的需要。

RT-TMA主要針對高等院校、實驗教學中心和中小企業的網絡進行流量監控分析,此外,RT-TMA還可作為科研平臺和實驗平臺來使用,因此,在RT-TMA的實現中,采用先實現全部功能再進行性能優化、先實現基本功能再進行二次擴展的思路。

結 語

本文介紹了深度報文的網絡流量實時監控分析系統的設計方案和關鍵技術實現方法,并給出了系統的運行測試結果。該方法對于網絡流量監控分析系統的開發、DPI算法研究等,都具有較高的參考價值。

參考文獻:

[1]孫躍進,王向超.基于MRTG的校園網絡流量監控[J].中國科技信息,2009(01).

[2]董加敏,王斌.基于SNMP協議的高校網絡流量監控管理系統的研究[J].廣州大學學報(自然科學版),2009(01).

[3]胡孟杰.一種網絡流量監控算法設計[J].計算機與數字工程,2009(06).