高校圖書館網(wǎng)絡(luò)異常流量分析與研究

本文格式為Word版，下載可任意編輯——高校圖書館網(wǎng)絡(luò)異常流量分析與研究

〔摘要〕網(wǎng)絡(luò)運(yùn)行的管理及維護(hù)，很大程度上都憑借于對(duì)網(wǎng)絡(luò)流量參數(shù)的監(jiān)測。本文在當(dāng)前高校圖書館網(wǎng)絡(luò)進(jìn)展現(xiàn)狀的大背景下，通過網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)，對(duì)高校圖書館教導(dǎo)網(wǎng)絡(luò)舉行了實(shí)時(shí)流量監(jiān)測，在對(duì)圖書館的交換機(jī)、路由器和服務(wù)器等設(shè)備舉行流量監(jiān)控的同時(shí)，使我們?cè)诘谝粫r(shí)間察覺網(wǎng)絡(luò)奇怪流量，并對(duì)這個(gè)結(jié)果舉行分析研究，以期達(dá)成保障數(shù)字圖書館安好運(yùn)轉(zhuǎn)的目的。

〔關(guān)鍵詞〕網(wǎng)絡(luò)奇怪；MRTG；網(wǎng)絡(luò)流量

1概述

1.1網(wǎng)絡(luò)奇怪概念

在正常的網(wǎng)絡(luò)秩序下，每個(gè)網(wǎng)絡(luò)活動(dòng)的參與者遵照網(wǎng)絡(luò)協(xié)議使用網(wǎng)絡(luò)，從網(wǎng)絡(luò)中獲取信息，參與網(wǎng)絡(luò)交流。但是正如現(xiàn)實(shí)社會(huì)中會(huì)發(fā)生奇怪事故及犯罪行為一樣，在網(wǎng)絡(luò)社會(huì)中也存在由于網(wǎng)絡(luò)故障、網(wǎng)絡(luò)非法活動(dòng)導(dǎo)致網(wǎng)絡(luò)中的片面功能失?；蛑袛喾?wù)的現(xiàn)象。

網(wǎng)絡(luò)奇怪（Anomaly）是指網(wǎng)絡(luò)行為展現(xiàn)與之偏離的情形?！罢！币馕吨駨某B(tài)或者說常規(guī)典型的模型，沒有出乎我們想象，在意料之中的狀態(tài)。遵循我們給其設(shè)定的水準(zhǔn)或模式[1]。而“奇怪”意味著展現(xiàn)了與“正?！毕喾吹那樾?，違背了我們的期望?！罢！毙袨闀?huì)由于網(wǎng)絡(luò)環(huán)境的變化而變更，例如會(huì)隨著網(wǎng)絡(luò)的動(dòng)態(tài)變化、噪音等隨之變更。

網(wǎng)絡(luò)設(shè)備展現(xiàn)故障、配置不正確、網(wǎng)絡(luò)過載、遭遇掃描和攻擊、中毒等，都會(huì)引起網(wǎng)絡(luò)的奇怪。按照網(wǎng)絡(luò)奇怪的理由可以分為兩類[2]：第一類是網(wǎng)絡(luò)故障和性能問題引發(fā)的奇怪；其次類是與網(wǎng)絡(luò)安好相關(guān)的奇怪。

網(wǎng)絡(luò)故障相關(guān)奇怪是網(wǎng)絡(luò)設(shè)備、端口、鏈路等發(fā)生故障時(shí)導(dǎo)致的網(wǎng)絡(luò)行為奇怪，如某條鏈路速率的瞬間增高或降低。這時(shí)候鏈路流量通常會(huì)發(fā)生陡峭的或者幾乎是瞬時(shí)的變化。例如網(wǎng)絡(luò)設(shè)備端口故障或者鏈路突然中斷，會(huì)導(dǎo)致鏈路速率馬上下降為0；網(wǎng)絡(luò)設(shè)備故障會(huì)導(dǎo)致相關(guān)的鏈路流量下降為0；路由配置錯(cuò)誤可能導(dǎo)致某條鏈路的流量突然變大。這類奇怪可以由“陡峭的”或者幾乎是瞬間的變更明顯地識(shí)別出來。

網(wǎng)絡(luò)性能相關(guān)奇怪一般是由于用戶的訪問量突然增大或設(shè)備配置錯(cuò)誤所導(dǎo)致的網(wǎng)絡(luò)擁擠。譬如高校的選修課報(bào)名，學(xué)生們都在一個(gè)時(shí)間段對(duì)服務(wù)器舉行訪問，這樣就會(huì)導(dǎo)致報(bào)名服務(wù)器的訪問量突然增大，假設(shè)服務(wù)器配置不高，網(wǎng)絡(luò)帶寬不夠的話，就會(huì)展現(xiàn)流量超負(fù)荷的現(xiàn)象；報(bào)文使用不當(dāng)引發(fā)播送風(fēng)暴，路由器和交換機(jī)展現(xiàn)環(huán)路這都會(huì)導(dǎo)致網(wǎng)絡(luò)負(fù)荷過大，設(shè)備性能下降或者癱瘓。此類的奇怪現(xiàn)象表現(xiàn)出的數(shù)據(jù)集會(huì)激增或者說在一個(gè)時(shí)間段內(nèi)的流量突然變化。

網(wǎng)絡(luò)安好相關(guān)奇怪指利用網(wǎng)絡(luò)安好漏洞舉行的網(wǎng)絡(luò)掃描、攻擊、病毒等。

網(wǎng)絡(luò)掃描也叫安好漏洞掃描，是對(duì)已知或未知的目標(biāo)舉行探測。這是黑客常利用的方法，當(dāng)掃描到能夠被其所利用的系統(tǒng)漏洞的時(shí)候，再舉行攻擊破壞。其表現(xiàn)的方式是一個(gè)源地址對(duì)單個(gè)或多個(gè)IP地址，或其不同端口舉行發(fā)送數(shù)據(jù)。網(wǎng)絡(luò)掃描是常見的網(wǎng)絡(luò)奇怪行為。

拒絕服務(wù)攻擊（DenialofService，DoS），為什么叫拒絕服務(wù)呢？只要造成合法用戶不能正常訪問網(wǎng)絡(luò)服務(wù)的行為都可算是拒絕服務(wù)攻擊。拒絕服務(wù)攻擊的目的就是要阻攔合法用戶的正方訪問，以達(dá)成攻擊者的非法目的。攻擊者對(duì)服務(wù)器發(fā)送大量數(shù)據(jù)包，使服務(wù)器的資源耗盡，造成網(wǎng)絡(luò)擁塞或者服務(wù)器癱瘓，從而不能對(duì)用戶的苦求實(shí)時(shí)應(yīng)答。也就是對(duì)服務(wù)器的網(wǎng)絡(luò)資源、CPU、內(nèi)存、系統(tǒng)連接數(shù)舉行耗盡，直至服務(wù)器無法相應(yīng)苦求。

分布式拒絕服務(wù)攻擊（DistributedDenialofService，DDoS）可以說DOS是DDOS的前身，但DDOS和DOS是有所不同的，DDOS側(cè)重于通過大量肉機(jī)（被入侵過或可間接利用的主機(jī)）同時(shí)向攻擊目標(biāo)發(fā)送大量的苦求數(shù)據(jù)包。攻擊的主機(jī)越多，發(fā)送的數(shù)據(jù)包數(shù)量就越多，數(shù)據(jù)包如洪水般涌向受害主機(jī)，對(duì)合法用戶的數(shù)據(jù)包舉行吞噬，導(dǎo)致合法用戶無法使用服務(wù)器的資源。

蠕蟲病毒利用操作系統(tǒng)和應(yīng)用程序的漏洞舉行傳播。網(wǎng)絡(luò)病毒不但會(huì)對(duì)個(gè)人主機(jī)造成危害，并且病毒會(huì)主動(dòng)從互聯(lián)網(wǎng)上下載更新更多的病毒，并主動(dòng)傳播，可以造成局域網(wǎng)內(nèi)的大量主機(jī)中毒，在傳播的過程中，病毒會(huì)掃描網(wǎng)絡(luò)，探測漏洞并主動(dòng)攻擊，會(huì)大量占用網(wǎng)絡(luò)帶寬資源，導(dǎo)致網(wǎng)絡(luò)擁塞。

網(wǎng)絡(luò)奇怪會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能，造成網(wǎng)絡(luò)擁塞，嚴(yán)重的甚至?xí)斐删W(wǎng)絡(luò)中斷，服務(wù)中斷。對(duì)此應(yīng)急速做出響應(yīng)，實(shí)時(shí)察覺問題并賦予保障有效運(yùn)行的措施。

傳統(tǒng)的網(wǎng)絡(luò)安好技術(shù)側(cè)重于企業(yè)用戶網(wǎng)絡(luò)的系統(tǒng)入侵檢測、防病毒軟件或防火墻，這類安好措施通常只能檢測到已知的網(wǎng)絡(luò)入侵行為，而由于互聯(lián)網(wǎng)中網(wǎng)絡(luò)奇怪行為的多變性、繁雜性，這類系統(tǒng)只能在確定程度上防止網(wǎng)絡(luò)中的入侵行為。

奇怪檢測的思想是首先建立用戶正常的行為模式，并且假定全體入侵行為都是與正常行為不同的。在每一次用戶行為產(chǎn)生后，都將其測量值與其正常的行為模式舉行對(duì)比，當(dāng)活動(dòng)行為模式與正常行為模式發(fā)生顯著偏離時(shí)即認(rèn)為是奇怪，從而觸發(fā)相應(yīng)機(jī)制，向管理員提出警告，或主動(dòng)做出有關(guān)回響。奇怪檢測不關(guān)注于概括的入侵行為，通用性較強(qiáng)，而且可以察覺未知的攻擊模式。

奇怪檢測系統(tǒng)的布局一般包括3個(gè)片面[3]：數(shù)據(jù)獲取、建模、檢測。奇怪檢測是個(gè)分析的過程，系統(tǒng)的分析是建立在持續(xù)地監(jiān)測對(duì)象并對(duì)對(duì)象的活動(dòng)舉行記錄。在分布式的環(huán)境下，這些活動(dòng)信息將被融合在一起并舉行預(yù)處理。

數(shù)據(jù)獲取模塊是奇怪檢測系統(tǒng)中的根基，它主要負(fù)責(zé)提取受養(yǎng)護(hù)系統(tǒng)的數(shù)據(jù)單元，系統(tǒng)中傳輸?shù)臄?shù)據(jù)，完成數(shù)據(jù)的收集和預(yù)處理工作，為檢測模塊供給根基的源數(shù)據(jù)，是檢測系統(tǒng)的數(shù)據(jù)收集器。

建模和檢測是系統(tǒng)的核心片面。建模是對(duì)對(duì)象行為特征舉行學(xué)習(xí)，產(chǎn)生對(duì)象正常使用模式，最終獲得檢測對(duì)象的正常行為。形成模型后用來評(píng)測新的奇怪事情，測量他們和新建模型的偏離度。檢測模塊對(duì)采集到的數(shù)據(jù)建立一個(gè)特征模式，然后對(duì)這個(gè)采集到的模式與建立的模式舉行比對(duì)，假設(shè)超出既定模式的范圍，就認(rèn)定為奇怪行為，并產(chǎn)生警告信息。如沒有超出，就重新對(duì)這個(gè)行為舉行學(xué)習(xí)，并和以前的既定模式舉行組合形成新的模式。由于用戶行為是不斷演化的，因此用戶行為模式務(wù)必被定期重構(gòu)，供給適應(yīng)新環(huán)境的機(jī)制。

網(wǎng)絡(luò)奇怪檢測的目標(biāo)是察覺網(wǎng)絡(luò)或系統(tǒng)中的奇怪行為，養(yǎng)護(hù)網(wǎng)絡(luò)和網(wǎng)絡(luò)中的主機(jī)，裁減病毒和黑客對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)造成的危害。它的對(duì)象可以是一臺(tái)主機(jī)也可以是大規(guī)模網(wǎng)絡(luò)集。網(wǎng)絡(luò)奇怪檢測的數(shù)據(jù)來源包括以下幾種。

（1）主機(jī)日志：用來審計(jì)使用計(jì)算機(jī)人員對(duì)計(jì)算機(jī)操作行為的記錄。例如：用戶登錄、修改和訪問文件，調(diào)用系統(tǒng)程序等行為。

（2）SNMP信息：通過SNMP和RMON協(xié)議獲得網(wǎng)絡(luò)設(shè)備的流量統(tǒng)計(jì)信息，如端口出入字節(jié)數(shù)、端口出入數(shù)據(jù)報(bào)文數(shù)、錯(cuò)誤數(shù)據(jù)報(bào)文數(shù)等信息。

（3）主動(dòng)測量數(shù)據(jù)：通過主動(dòng)測量獲得網(wǎng)絡(luò)性能數(shù)據(jù)，監(jiān)視網(wǎng)絡(luò)運(yùn)行狀況。

（4）流量數(shù)據(jù)：監(jiān)測網(wǎng)絡(luò)中的各種流量信息，對(duì)其舉行特征分析，察覺網(wǎng)絡(luò)中的奇怪行為。這些流量數(shù)據(jù)可以是Netflow格式的流數(shù)據(jù)，也可以是包含完整數(shù)據(jù)報(bào)文或報(bào)文頭的原始報(bào)文數(shù)據(jù)。可以只對(duì)一個(gè)網(wǎng)段的流量數(shù)據(jù)舉行分析，也可以同時(shí)對(duì)多個(gè)網(wǎng)段的數(shù)據(jù)舉行關(guān)聯(lián)分析，對(duì)全網(wǎng)的奇怪狀況舉行檢測。

（5）路由數(shù)據(jù)：監(jiān)視路由器BGP、OSPF等路由更新信息，分析網(wǎng)絡(luò)奇怪。

在網(wǎng)絡(luò)安好方面，奇怪檢測是網(wǎng)絡(luò)入侵檢測的一種重要手段，是入侵檢測系統(tǒng)的主要研究方向。在入侵檢測領(lǐng)域的一個(gè)根本而且重要的假設(shè)是：奇怪事情從安好角度來看都是可疑的，或者說有害的；奇怪檢測的前提是假設(shè)奇怪行為包含入侵行為，但是在正常/奇怪和無害/入侵的概念之間存在著本質(zhì)的識(shí)別，入侵行為和奇怪行為在實(shí)際的網(wǎng)絡(luò)環(huán)境下往往不是一對(duì)一的關(guān)系。這樣的處境是經(jīng)常發(fā)生的：假設(shè)我們?cè)谠O(shè)置路由器的時(shí)候不提防發(fā)生了環(huán)路，造成網(wǎng)絡(luò)不通，它并不是入侵行為，但它卻是奇怪行為處境。因此入侵和奇怪檢測結(jié)果之間會(huì)展現(xiàn)4種可能。

（1）入侵但非奇怪：活動(dòng)行為是入侵，但并沒有顯示出奇怪。這種情形是與奇怪檢測的前提相違背的。系統(tǒng)根本不能探測到此類活動(dòng)，因此系統(tǒng)會(huì)產(chǎn)生錯(cuò)誤報(bào)告，顯示系統(tǒng)沒有被入侵。

（2）非入侵但奇怪：活動(dòng)是非入侵性的，但是檢測系統(tǒng)判斷它是奇怪的，并報(bào)告它是入侵性的，這種處境下檢測系統(tǒng)錯(cuò)誤地報(bào)告了入侵性。

（3）非入侵非奇怪：活動(dòng)是非入侵性的，奇怪檢測系統(tǒng)也判斷該活動(dòng)行為是正常行為。奇怪檢測系統(tǒng)可以正確地對(duì)這類行為做出判斷。

（4）入侵且奇怪：活動(dòng)行為是入侵行為，奇怪檢測系統(tǒng)也檢測到其行為模式偏離了正常的行為模式，系統(tǒng)顯示為奇怪。系統(tǒng)檢測到的結(jié)果正是我們想得到的信息。

各項(xiàng)網(wǎng)絡(luò)技術(shù)的進(jìn)展和應(yīng)用大大增加了系統(tǒng)誤報(bào)的概率，即使系統(tǒng)模型特別完備的處境下也會(huì)展現(xiàn)誤報(bào)和漏報(bào)的問題。

2網(wǎng)絡(luò)奇怪實(shí)例分析

當(dāng)我們突然感覺到網(wǎng)速下降，或訪問不了服務(wù)器，等等突發(fā)影響我們利用圖書館網(wǎng)絡(luò)資源的處境發(fā)生，那么我們就需要查看網(wǎng)絡(luò)了，需要我們找到問題和解決問題。

有一次，我們感覺上網(wǎng)的速度比平常慢了挺多，以為是圖書館電子閱覽室的上網(wǎng)人員增多所致。但是查看閱覽室的出口流量和以往的流量差不多，在80M左右。但是通過基于SNMP協(xié)議的MRTG流量監(jiān)控系統(tǒng)一看總出口流量卻在180M左右，這個(gè)流量比以往的流量大出了好多，斷定是網(wǎng)絡(luò)展現(xiàn)了問題，查看各個(gè)端口的流量，結(jié)果察覺了癥結(jié)所在。原來是圖書館一臺(tái)服務(wù)器被非法入侵了，被用做了嬉戲服務(wù)器，導(dǎo)致網(wǎng)絡(luò)流量激增。圖1就是那臺(tái)服務(wù)器的MRTG流量圖，服務(wù)器流量瞬間突增到100M。圖1中毒服務(wù)器流量圖

舉行殺毒和系統(tǒng)安好設(shè)置，擯棄故障。圖2中毒前服務(wù)器每月流量統(tǒng)計(jì)圖表

通過比較我們就可以察覺問題，對(duì)服務(wù)器長時(shí)間的監(jiān)控會(huì)形成一個(gè)定量，這個(gè)定量就是我們比較的依據(jù)，所測的數(shù)據(jù)對(duì)比以往數(shù)據(jù)的平均值高出多少，或低于多少，什么值算是