摘 要:随着校园网日益规模化和复杂化,校园网安全威胁越来越严重,因网络攻击等因素导致网络流量异常时有发生,流量异常检测与处理显得日益重要。 本文对校园网络中流量异常进行分类,分析产生各种流量异常的原因,并提出相应的检测与处理方法;针对目前网络攻击异常处理方法存在的不足,从确保校园用户正常业务不受任何影响的前提出发,设计出一种校园网异常流量检测与清洗模型,提高校园网络流量异常处理能力。
关键词:校园网;流量异常分类;异常检测与处理;流量清洗方法
中图分类号: TP393 文献标识码:A
1 引 言
随着校园网络规模不断扩大与复杂化,校园网络服务同时呈现多样化和复杂化,对网络性能的要求也越来越高。校园网中有教育教学信息管理系统、网上教学、视频会议、电子图书、电子邮件服务、网上购物、网上游戏等各种应用诸全,称得上多业务网络,基本上实现与国际互联网的完全接轨。多种应用基于p2p 、流媒体技术、云运算等新型技术,需占用大量的校园网络有限资源。同时,校园网络安全面临着严峻挑战,网络流量异常时常发生,特别是DDOS、蠕虫、恶意代码、网络扫描及黑客攻击越来越多,这对网络性能、安全管理及网管人员素养提出更高的要求。由于学校教学作息时间的规律性决定校园网络行为特征及日常运行也具有规律,因此正常情况下校园网络流量变化也具有规律性,这就使得网络流量异常管理具有规律可循。本文针对校园网络情况首先阐述了流量异常概念、分类;然后对校园网中引起各种流量异常的原因进行分析,并对各类异常提出了相应的解决办法;接着针对目前解决网络攻击异常在方法上存在的不足,设计出一种异常流量检测、清洗与回注的解决模型,并对其关键算法进行介绍,最后进行小结。2 校园网异常流量检测及处理办法2.1 流量异常与流量异常
网络流量是单位时间内通过网络设备或传输介质的信息量(报文数、包数或字节数)[1-2]。只有知道网络正常情况下的行为特征,我们才能判断什么是流量异常。我们把有限的带宽资源承载着非预期的流量,定义为异常流量。异常流量的存在是网络流量产生异常的重要情形。
2.2 校园网流量异常产生原因及分类
流量异常一般是指非用户正常上网产生的流量,比如病毒、网络攻击等造成的流量异常。在校园中,由于资料的有限,一些热门服务如网络游戏或其他大量的P2P应用等,连接用户数过多,使得核心设备不堪负载而出现异常情况比较频繁。因此,从校园网络用户群体角度考虑,可把网络流量异常分为三类:网络故障引起的异常、连接数异常和网络攻击异常。
1)设备故障异常。因网络设备自身出现故障而引起流量异常,例如校园网中各类服务器故障、路由器故障、交换机故障以及网线接口故障等。这些故障引网络拓朴结构发生变化或链路中断,从而引起流量异常。
2) 连接数异常。各用户争夺热门服务或重要资源,发起的对外连接数过多,造成核心设备负载过大影响正常流量的使用。例如,网络相关课程教学中学生同时访问某一服务器;课余时段大量学生使用P2P服务;还有一年一度的高考招生填报志愿时段,客户访问量短期猛增而且不可预测引起网络流量异常等多种情况。
3)网络攻击异常。是指网络中出现恶意病毒,对网络中某个目标进行攻击时出现的异常[3]。校园网中常见的有蠕虫病毒、DOS/DDOS攻击和端口扫描攻击。例如当校园网内某台上网主机感染蠕虫病毒时,导致该主机疯狂地进行主机探测,这时网络中会出现蠕虫病毒特征包,网络中会大量充斥这种包,从而引起业务数据丢失,网络流量过载,或者网络拥塞,是非用户正常上网产生的流量异常。
2.3 流量异常检测与处理
2.3.1 异常监控与检测
在校园环境下,由于教学作息时间具有规律性,各种服务群体相对稳定,使得正常情况下学校教学楼、行政楼、学生公寓等各区域网络流量也呈现出周期性规律,因此,校园网络管理相对容易。
要解决网络流量异常问题,重要的是通过监控与检测发现异常。网络舆情监测软件有很多种,但是主要的流程还是差不多,包括信息采集、信息处理和信息服务三个流程。建议采用MRTG、Sniffer Pro软件进行异常流量检测与监控。MRTG[1]也是一个非常有用的网络流量监控软件,而且是免费的,应用方便;它是利用SNMP协议(对互连的网络设备进行管理时遵循的标准协议)去侦测指定的运行有SNMP协议的网络设备,每隔几分钟采样并统计其设备流量。对于校园网络的流量统计与分析,只要在一台电脑上安装MRTG软件并进行相关设置,如进行snmpd配置允许mrtg读取其interface(网络接口) 流量数据,就可得实时可视化结果(图1所示),从而使管理员可以方便的进行管理。Sniffer Pro是最著名的网络流量分析工具之一,是一个具备完整传统功能的网络故障诊断与流量分析工具,不管是在有线网络还是在无线网络中,它都能够给予网管管理人员实时的网络监视、数据包捕获以及故障诊断分析能力。基于便携式软件的解决方案具备最高的性价比,提供的主要功能包括监控、报表,捕获、解码、专家系统智能分析等。
我们通过观察实时流量图,结合查看日志服务器就能及时了解校园网的运行状态,从而采取相应措施对网络出现的问题进行及时调整和解除。
2.3.2 流量异常处理方法
解决流量异常就是随时发现流量异常,及时定位引起网络异常情况的源头,解除异常或有效地控制异常流量的蔓延,及时有针对性地采取措施,保持网络畅通、避免网络阻塞,同时合理地分配带宽,保障主要业务的正常开展。通过异常检测与监控发现异常之后,就可针对不同异常类型采取相应措施予以解除。
对于设备故障异常的检测与解决方法,通常首先采用Ping、tracert查看网络连通性和速度,再结合查看日志进行定位,最后检测端口与硬件,一般情况下此类异常问题均可解决。
对于连接数异常最简单的方法可采用流量优化系统(如Skynet优化系统),针对各种服务调节阀值[3]进行限流限速,最好对协议的连接数进行控制,直接删除过多的连接数或发送阻断报文,以保障主要的服务或重要的客户流量。
对于网络攻击异常解决方法,主要采用主动预防和设备拦截等技术。安装监视、日志或者其他流量分析系统, 攻击发生时, 就可很快地诊断出攻击的类型以及攻击源,要尽可能地修正已发现的问题和系统漏洞, 识别、跟踪或禁止这些机器或网络对我们的访问,如对异常流量的端口流量进行限制;把网络分为多个子网, 并改变IP 地址和主机名,在拒绝服务攻击中, 这种方法是一种较为有效的方法;应用包过滤的技术, 配置正确的路由器和防火墙,采用防火墙或网关等设备进行拦截;从保障主要业务不受影响方面考虑可采用异常流量的清洗与回注技术。
3 校园网异常流量的清洗与回注技术
目前面对各种入侵攻击,传统的防护手段采用防火墙或路由器等设备拦截。一方面由于防火墙或路由器等设备均是基于网络层的检测,而大多数DDOS攻击可以采用合法协议进行攻击,因此传统的防护手段无法正确识别并加以防护。另一方面异常流量的拦截往往以牺牲服务质量为代价,用户正常业务受到较大影响。鉴于这些不足,我们针对校园网络设计一种异常流量清洗与回注的解决方案,模型如图2所示。本方案处理过程包括流量采集模块、异常流量检测模块、业务管理模块、异常流量处理模块。
1)流量采集模块:采用流量镜像或者分光的方式把被保护对象的流量复制缓存空间,或从主干交换机或核心交换机实时采集流量。
2)流量分析与检测模块:对实时流量采用深度数据包检测技术(DPI),也可以通过分析网络设备输出的NetFlow/NetStream/SFlow流信息(DFI),从而深入识别隐藏在背景流量中的攻击报文,识别攻击类型及时并报告业务管理模块。
图2 校园网异常流量检测与清洗模型
3)业务管理模块:控制异常流量处理并报告管理信息:从流量分析与检测模块中获取攻击信息,通知流量处理开启攻击防御;攻击停止或处理完毕时清除缓冲区和恢复相关状态值;针对各种检测和清洗的各种威胁流量,提供丰富的攻击日志和报表统计功能,包括攻击前流量信息、清洗后流量信息、攻击流量大小、时间和排序等信息以及攻击趋势分析等各种报表信息,便于了解网络流量状况。
4)流量清洗与回注模块:发现攻击报文时,迅速地将被攻击用户的流量牵引到异常流量处理模块来,采用先进的“并行流过滤”、“智能流量检测”等技术对其进行清洗。清洗可采用在线和旁路部署两种方式。采用旁路部署的方法时,可以实现对流量的按需清洗,在任何情况下都不会影响正常流量。当采用在线部署模式下,可以实现实时清洗。清洗之后再通过策略路由、MPLS VPN、GRE VPN等方式将干净回注给用户,用户正常业务不受任何影响。
流量清洗与回注算法如下:
步骤1 准备:利用BGPBorder协议(Border Gateway Protocol,边界网关协议),首先和被保护域的旁路设备建立BGP Peer。
步骤2 清洗启动:异常流量检测系统通过镜像或者分光的方式把被保护对象的流量复制过来,按照测试部件中的安全策略基线,判断是否有攻击发生,如果发现有攻击发生,立即进入步骤3
步骤3 清洗与回注:发生攻击时,业务中心通过BGP协议向旁路设备发送BGP更新路由通告,更新旁路设备上的路由策略,将流经所有旁路设备上的被保护对象的IP流量动态地牵引到清洗模块进行清洗,并把清洗后的“干净”流量回注给被保护对象。
步骤4清洗结束:当检测模块检测到攻击停止时,清洗模块根据事先设置好的模式,选择自动或手动停止牵引,弃放缓存空间,返回步骤2。
4 结束语
随着校园网规模扩大和应用的复杂化,网络攻击异常和连接数异常较普遍,严重影响校园网络服务质量和网络性能,我们应该采用主动检测、预防控制和设备拦截技术为主要处理手段。本文针对校园网提出的各种处理方法实用便捷,引入的流量清洗与回注方案具有一定的参考价值。在校园网络中对于重要的业务服务我们建议启用流量检测与清洗方案,目前市场上已有异常流量清洗产品,由于实时清洗对预存容量与速度要求较高,因此一般以硬件产品为主,我们可以根据业务需要选择使用。
参考文献
[1] 史忠植.MRTG 的研究与部署[J].计算机应用,2004,24(3).
[2] 郝星文,李怀诚.网络流量分析系统的设计与实现[D].北京:北京邮电大学,2005.
[3] 常莉.浅析校园网络流量的监控策略[J].信息与电脑(理论版),2005,20(2):21-25.
[4] ERIC MAIWALD.网络安全实用教程[M].北京: 清华大学出版社, 2003.
[5] DUFFIELD N,GROSSGLAUSER M. Trajectory sampling for direct traffic observation[J].Preceedings of the ACM SIGCOMM 2000,271-282.
[6] DUFFIELD N, LUND C, THORUP M. Charging from sampled network usage.in: ACM SIGCOMM Internet Measurement Workshop 2001, San Francisco, CA[J].November 1-2,2001,245-256.
[7] DUFFIELD N, LUND C, THORUP M. Properties and Prediction of Flow Statistics from Sampled Packet Streams.in: ACM SIGCOMM Internet Measurement Workshop 2002, Marseille, France[J].November 6-8,2002,159-171.
[8] 高传善, 钱松荣, 毛迪林. 数据通信与计算机网络[M] . 北京: 高等教育出版社, 2003.
[9] [美] WILLIAM STALLINGS. 密码编码学与网络安全: 原理与实践[M]. 2 版. 北京: 电子工业出版社,2001.
[10]卿斯汉. 密码学与计算机网络安全[M] .北京: 清华大学出版社, 2001.