高校图书馆网络异常流量分析与研究

〔摘 要〕网络运行的管理及维护，很大程度上都依赖于对网络流量参数的监测。本文在当前高校图书馆网络发展现状的大背景下，通过网络流量监测系统，对高校图书馆教育网络进行了实时流量监测，在对图书馆的交换机、路由器和服务器等设备进行流量监控的同时，使我们在第一时间发现网络异常流量，并对这个结果进行分析研究，以期达到保障数字图书馆安全运转的目的。

〔关键词〕网络异常；MRTG；网络流量

1 概 述

1.1 网络异常概念

在正常的网络秩序下，每个网络活动的参与者遵照网络协议使用网络，从网络中获取信息，参与网络交流。但是正如现实社会中会发生异常事故及犯罪行为一样，在网络社会中也存在由于网络故障、网络非法活动导致网络中的部分功能失常或停止服务的现象。

网络异常（Anomaly）是指网络行为出现与之偏离的情形。“正常”意味着遵从常态或者说常规典型的模型，没有出乎我们想象，在意料之中的状态。遵循我们给其设定的水准或模式[1]。而“异常”意味着出现了与“正常”相反的情形，违背了我们的期望。“正常”行为会由于网络环境的变化而改变，例如会随着网络的动态变化、噪音等随之改变。

网络设备出现故障、配置不正确、网络过载、遭受扫描和攻击、中毒等，都会引起网络的异常。按照网络异常的原因可以分为两类[2]：第一类是网络故障和性能问题引发的异常；第二类是与网络安全相关的异常。

网络故障相关异常是网络设备、端口、链路等发生故障时导致的网络行为异常，如某条链路速率的瞬间增高或降低。这时候链路流量通常会发生陡峭的或者几乎是瞬时的变化。例如网络设备端口故障或者链路突然中断，会导致链路速率立刻下降为0；网络设备故障会导致相关的链路流量下降为0；路由配置错误可能导致某条链路的流量突然变大。这类异常可以由“陡峭的”或者几乎是瞬间的改变明显地识别出来。

网络性能相关异常一般是由于用户的访问量突然增大或设备配置错误所导致的网络拥挤。比如高校的选修课报名，学生们都在一个时间段对服务器进行访问，这样就会导致报名服务器的访问量突然增大，如果服务器配置不高，网络带宽不够的话，就会出现流量超负荷的现象；报文使用不当引发广播风暴，路由器和交换机出现环路这都会导致网络负荷过大，设备性能下降或者瘫痪。此类的异常现象表现出的数据集会激增或者说在一个时间段内的流量突然变化。

网络安全相关异常指利用网络安全漏洞进行的网络扫描、攻击、病毒等。

网络扫描也叫安全漏洞扫描，是对已知或未知的目标进行探测。这是黑客常利用的方法，当扫描到能够被其所利用的系统漏洞的时候，再进行攻击破坏。其表现的方式是一个源地址对单个或多个IP地址，或其不同端口进行发送数据。网络扫描是常见的网络异常行为。

拒绝服务攻击（Denial of Service，DoS），为什么叫拒绝服务呢？凡是造成合法用户不能正常访问网络服务的行为都可算是拒绝服务攻击。拒绝服务攻击的目的就是要阻止合法用户的正方访问，以达到攻击者的非法目的。攻击者对服务器发送大量数据包，使服务器的资源耗尽，造成网络拥塞或者服务器瘫痪，从而不能对用户的请求及时应答。也就是对服务器的网络资源、CPU、内存、系统连接数进行耗尽，直至服务器无法相应请求。

分布式拒绝服务攻击（Distributed Denial of Service，DDoS）可以说DOS是DDOS的前身，但DDOS和DOS是有所不同的，DDOS侧重于通过许多肉机（被入侵过或可间接利用的主机）同时向攻击目标发送大量的请求数据包。攻击的主机越多，发送的数据包数量就越多，数据包如洪水般涌向受害主机，对合法用户的数据包进行淹没，导致合法用户无法使用服务器的资源。

蠕虫病毒利用操作系统和应用程序的漏洞进行传播。网络病毒不但会对个人主机造成危害，并且病毒会主动从互联网上下载更新更多的病毒，并主动传播，可以造成局域网内的大量主机中毒，在传播的过程中，病毒会扫描网络，探测漏洞并主动攻击，会大量占用网络带宽资源，导致网络拥塞。

网络异常会严重影响网络性能，造成网络拥塞，严重的甚至会造成网络中断，服务停止。对此应迅速做出响应，及时发现问题并给予保障有效运行的措施。

传统的网络安全技术侧重于企业用户网络的系统入侵检测、防病毒软件或防火墙，这类安全措施通常只能检测到已知的网络入侵行为，而由于互联网中网络异常行为的多变性、复杂性，这类系统只能在一定程度上防止网络中的入侵行为。

异常检测的思想是首先建立用户正常的行为模式，并且假定所有入侵行为都是与正常行为不同的。在每一次用户行为产生后，都将其测量值与其正常的行为模式进行比较，当活动行为模式与正常行为模式发生显著偏离时即认为是异常，从而触发相应机制，向管理员提出警告，或主动做出有关反应。异常检测不关注于具体的入侵行为，通用性较强，而且可以发现未知的攻击模式。

异常检测系统的结构一般包括3个部分[3]：数据获取、建模、检测。异常检测是个分析的过程，系统的分析是建立在持续地监测对象并对对象的活动进行记录。在分布式的环境下，这些活动信息将被融合在一起并进行预处理。

数据获取模块是异常检测系统中的根基，它主要负责提取受保护系统的数据单元，系统中传输的数据，完成数据的收集和预处理工作，为检测模块提供基础的源数据，是检测系统的数据收集器。

建模和检测是系统的核心部分。建模是对对象行为特征进行学习，产生对象正常使用模式，最终获得检测对象的正常行为。形成模型后用来评测新的异常事件，测量他们和新建模型的偏离度。检测模块对采集到的数据建立一个特征模式，然后对这个采集到的模式与建立的模式进行比对，如果超出既定模式的范围，就认定为异常行为，并产生警告信息。如没有超出，就重新对这个行为进行学习，并和以前的既定模式进行组合形成新的模式。由于用户行为是不断演化的，因此用户行为模式必须被定期重构，提供适应新环境的机制。

网络异常检测的目标是发现网络或系统中的异常行为，保护网络和网络中的主机，减少病毒和黑客对计算机和网络造成的危害。它的对象可以是一台主机也可以是大规模网络集。网络异常检测的数据来源包括以下几种。

（1）主机日志：用来审计使用计算机人员对计算机操作行为的记录。例如：用户登录、修改和访问文件，调用系统程序等行为。

（2）SNMP信息：通过SNMP和RMON协议获得网络设备的流量统计信息，如端口出入字节数、端口出入数据报文数、错误数据报文数等信息。

（3）主动测量数据：通过主动测量获得网络性能数据，监视网络运行状况。

（4）流量数据：监测网络中的各种流量信息，对其进行特征分析，发现网络中的异常行为。这些流量数据可以是Netflow格式的流数据，也可以是包含完整数据报文或报文头的原始报文数据。可以只对一个网段的流量数据进行分析，也可以同时对多个网段的数据进行关联分析，对全网的异常状况进行检测。

（5）路由数据：监视路由器BGP、OSPF等路由更新信息，分析网络异常。

在网络安全方面，异常检测是网络入侵检测的一种重要手段，是入侵检测系统的主要研究方向。在入侵检测领域的一个基本而且重要的假设是：异常事件从安全角度来看都是可疑的，或者说有害的；异常检测的前提是假设异常行为包含入侵行为，但是在正常/异常和无害/入侵的概念之间存在着本质的区别，入侵行为和异常行为在实际的网络环境下往往不是一对一的关系。这样的情况是经常发生的：假设我们在设置路由器的时候不小心发生了环路，造成网络不通，它并不是入侵行为，但它却是异常行为情况。因此入侵和异常检测结果之间会出现4种可能。

（1）入侵但非异常：活动行为是入侵，但并没有显示出异常。这种情形是与异常检测的前提相违背的。系统根本不能探测到此类活动，因此系统会产生错误报告，显示系统没有被入侵。

（2）非入侵但异常：活动是非入侵性的，但是检测系统判断它是异常的，并报告它是入侵性的，这种情况下检测系统错误地报告了入侵性。

（3）非入侵非异常：活动是非入侵性的，异常检测系统也判断该活动行为是正常行为。异常检测系统可以正确地对这类行为做出判断。

（4）入侵且异常：活动行为是入侵行为，异常检测系统也检测到其行为模式偏离了正常的行为模式，系统显示为异常。系统检测到的结果正是我们想得到的信息。

各项网络技术的发展和应用大大增加了系统误报的概率，即使系统模型十分完美的情况下也会出现误报和漏报的问题。

2 网络异常实例分析

当我们突然感觉到网速下降，或访问不了服务器，等等突发影响我们利用图书馆网络资源的情况发生， 那么我们就需要查看网络了，需要我们找到问题和解决问题。

有一次，我们感觉上网的速度比平常慢了挺多，以为是图书馆电子阅览室的上网人员增多所致。但是查看阅览室的出口流量和以往的流量差不多，在80M左右。但是通过基于SNMP协议的MRTG流量监控系统一看总出口流量却在180M左右，这个流量比以往的流量大出了好多，肯定是网络出现了问题，查看各个端口的流量，最后发现了症结所在。原来是图书馆一台服务器被非法入侵了，被用做了游戏服务器，导致网络流量激增。图1就是那台服务器的MRTG流量图，服务器流量瞬间突增到100M。图1 中毒服务器流量图

进行杀毒和系统安全设置，排除故障。图2 中毒前服务器每月流量统计图表

通过对比我们就可以发现问题，对服务器长时间的监控会形成一个定量，这个定量就是我们对比的依据，所测的数据比较以往数据的平均值高出多少，或低于多少，什么值算是正常范围，经过长时间的测量我们就会根据本单位的实际情况得出一个定值。

3 结 语

在基于网络异常流量分析技术的基础上，通过对图书馆的数据流入和流出量进行监控和分析，经过长时间的监控对图书馆网络流量形成了一个定量，这些流量数值在一个常量的范围内，当流量数值和这个定量出现比较大的差异时就说明网络异常的出现，经实践证明通过异常流量的分析，能够及时的发现网络出现的问题，缩短了查找故障点和排除故障的时间。

参考文献

[1]Maxion R A，Feather F E.A case study of Ethernet anomalies in a distributed computing environment[J].IEEE Transactions on Reliability，1990，39（4）：433-443.

[2]Thottan M，Ji C.Anomaly detection in IP networks[J].IEEE Transactions on Signal Processing，2003，51（8）：2191-2204.

[3]Estevez-Tapiador J M，Garcia-Teodoro P，Diaz-Verdejo J E.Anomaly detection methods in wired networks：a survey and taxonomy[J].Computer Communications，2004，27（16）：1569-1584.