文档介绍:网络异常流量监测技术在电信IP网的应用
由于IP网络环境的开放性以及IPv4在设计时缺乏对安全问题的周详考虑,目前IP网络安全形势严峻,从2001年的红色代码、蓝色代码,到2004年的冲击波、震荡波等蠕虫病毒,无不造成大规模的网络中断,带来了大量的资源浪费和数以亿计的经济损失。
蠕虫病毒攻击和分布式拒绝服务攻击,利用网络服务、系统服务的漏洞或利用网络资源、系统资源的有限性,再有就是利用网络协议和认证机制自身的不完善性,通过在短时间内发动大规模网络攻击,消耗特定资源,实现拒绝服务攻击的攻击目标。因此,在众多的网络安全威胁中,蠕虫病毒攻击和分布式拒绝服务攻击是最难以实现有针对性的主动防御的一类网络攻击。
电信IP网络面临十分严峻的网络安全形势,迫切需要实现针对恶性蠕虫和大规模拒绝服务攻击的安全控制,增强网络的自防御能力。在目前众多的网络安全技术中,网络流量异常监测技术是解决异常流量问题的首要技术手段。
一、网络异常流量监测技术现状与发展趋势
(一)网络异常流量监测技术现状
根据对网络异常流量的采集方式可将网络异常流量监测技术分为:基于网络流量全镜像的监测技术、flow的监测技术三种常用技术。
。网络流量全镜像采集是目前IDS主要采用的网络流量采集模式。其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备,实现网络流量的无损复制和镜像采集。和其它两种流量采集方式相比,流量镜像采集的最大特点是能够提供丰富的应用层信息。
。基于SNMP的流量信息采集,实质上是通过提取网络设备Agent提供的MIB(管理对象信息库)中收集一些具体设备及流量信息有关的变量。基于SNMP收集的网络流量信息包括:输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。
,在此基础上实现的流量信息采集效率和效果均能够满足网络流量异常监测的需求。
表1对以上三种流量监测技术进行了比较。在综合比较三种技术之后,不难得出以下结论:flow的流量监测技术能够满足网络流量异常分析的需要,且信息采集效率高,适合在电信级IP网络中应用。
(二)网络异常流量监测技术发展趋势
目前网络异常流量监测技术呈现迅猛发展的态势,技术和产品不断推陈出新,涌现了许多有代表性的产品,例如Arbor、Scout等厂商都推出了相应的产品。目前电信级IP网网络异常流量监测技术,flow的监测技术为主,flow监测技术的网络异常流量监测产品和系统。从这些产品的发展历程看,不难得出以下结论:网络异常流量监测技术和产品正朝着越来越智能化的方向发展。
异常流量监测系统的智能化主要体现在以下三个方面。
。通过对网络流量的监测掌握网络正常流量模型。此类产品和系统通过监测一段时间的网络流量,建立起一个基于时间的正常流量模型。该模型会在系统内数据库中,对监测网络的各个时间段内的各种协议流量建立一个动态流量基线。当某个时段,某个协议流量与当前基线不符时,会给出一个异常告警,并随着时间积累,会将告警逐步升级。因此,这种智能化的流量学习能力可以