萬 斌 李密娜

（國家電網(wǎng)公司景德鎮(zhèn)供電分公司 江西 333000）

0 引言

網(wǎng)絡使用過程中，確保網(wǎng)絡流量的正常是網(wǎng)絡健康有序運行的基礎，是網(wǎng)絡可持續(xù)發(fā)展的重要因素，網(wǎng)絡流量異常檢測及分析是網(wǎng)絡及安全管理領域的重要研究內(nèi)容。網(wǎng)絡流量異常是指對網(wǎng)絡正常使用造成不良影響的網(wǎng)絡流量模式，引起網(wǎng)絡流量異常的原因很多。主要包括：（1）網(wǎng)絡攻擊，如 DDoS攻擊、DoS攻擊、端口查看等。（2）導致數(shù)據(jù)量模式改變的網(wǎng)絡病毒，如蠕蟲病毒等。（3）網(wǎng)絡的使用問題，如大量的P2P的應用模式對網(wǎng)絡流量造成影響。（4）網(wǎng)絡誤配置及網(wǎng)絡存儲耗盡等。

網(wǎng)絡流量的異常檢測是指在網(wǎng)絡流量的運行過程中，針對網(wǎng)絡流量的監(jiān)測，及時找出存在流量異常的情況，并明確網(wǎng)絡流量異常的時間節(jié)點及地點。網(wǎng)絡流量的異常檢測具有全局性、整體性、動態(tài)性、連貫性等特點，網(wǎng)絡流量的異常檢測的目的在于及時地發(fā)現(xiàn)網(wǎng)絡流量存在異常的情況，及時將風險進行有效地排除，確保網(wǎng)絡流量運行的安全性。網(wǎng)絡流量異常的分析是在網(wǎng)絡流量異常情況檢測的基礎上，根據(jù)檢測結(jié)果，有效地辨析導致異常情況的原因及所屬類型，有效地診斷網(wǎng)絡異常情況的類型。流量異常檢測及分析是網(wǎng)絡流量異常監(jiān)視及響應應用的基礎，便于網(wǎng)絡及安全管理人員排查網(wǎng)絡異常、維護網(wǎng)絡正常運轉(zhuǎn)、保證網(wǎng)絡的安全。

1 網(wǎng)絡流量的概述

1.1 網(wǎng)絡流量數(shù)據(jù)

網(wǎng)絡在運行過程中，勢必會產(chǎn)生流量數(shù)據(jù)，這是網(wǎng)絡運行的基礎，也是網(wǎng)絡流量異常檢測的載體。如果網(wǎng)絡運行不產(chǎn)生數(shù)據(jù)，那么就不會需要網(wǎng)絡流量的異常檢測。網(wǎng)絡流量數(shù)據(jù)源可以分成數(shù)據(jù)包分析、網(wǎng)絡流和SNMP統(tǒng)計數(shù)據(jù)。數(shù)據(jù)包分析是指流經(jīng)網(wǎng)絡或網(wǎng)絡鏈路上的IP數(shù)據(jù)包進行解碼分析、統(tǒng)計分析；網(wǎng)絡流是在特定的源和目的端點之間的某一單向應用數(shù)據(jù)包序列的聚合，由支持網(wǎng)絡流功能的路由器按照所轉(zhuǎn)發(fā)的數(shù)據(jù)包的屬性進行聚集所產(chǎn)生。一個網(wǎng)絡流由一組屬性唯一識別：源IP地址、目的IP地址、源端口、目的端口、協(xié)議類型、服務類型、路由器輸入接口等。網(wǎng)絡流對數(shù)據(jù)包的信息缺乏感知能力，也就是說網(wǎng)絡流并不涵蓋信息內(nèi)容，網(wǎng)絡流也不會因為信息內(nèi)容的不同而產(chǎn)生不同的流量，網(wǎng)絡流只會針對信息內(nèi)容的數(shù)據(jù)大小及特征來有效地辨析網(wǎng)絡流的運行情況。這是網(wǎng)絡流運行的主要特點，也是網(wǎng)絡流的主要運行標準?？傮w來看，數(shù)據(jù)包分析是一種網(wǎng)路流量數(shù)據(jù)的最典型的類型，在實踐過程中，這種數(shù)據(jù)類型的運行標準較高，粒度最細，涉及到的內(nèi)容非常廣泛，在這種類型下，網(wǎng)絡流量中的任何數(shù)據(jù)及相關細節(jié)都能被網(wǎng)絡流量感應。與數(shù)據(jù)包分析相反，SNMP的數(shù)據(jù)要粗大很多，這種流量數(shù)據(jù)類型的包含內(nèi)容也相對較窄，在實踐過程中，這種數(shù)據(jù)類型僅僅包括一些轉(zhuǎn)發(fā)性質(zhì)的流量統(tǒng)計信息，而不像數(shù)據(jù)包分析一樣可以包含全面的數(shù)據(jù)信息。而且在數(shù)據(jù)信息的運行過程中，這種流量數(shù)據(jù)類型并不會對數(shù)據(jù)信息的特點進行記錄，更無法體現(xiàn)數(shù)據(jù)信息的內(nèi)容及相關細節(jié)。網(wǎng)絡流的粒度大小相對均衡，它實際上的大小應該是在上述兩種網(wǎng)絡流量數(shù)據(jù)之間，與數(shù)據(jù)包分析類似，網(wǎng)絡流的內(nèi)容主要是指網(wǎng)絡數(shù)據(jù)的特點及特質(zhì)，但對網(wǎng)絡數(shù)據(jù)信息的內(nèi)容涉及不深。這三種網(wǎng)絡流量數(shù)據(jù)在實踐運用過程中各有特色，一般而言，在網(wǎng)絡流量異常檢測時，數(shù)據(jù)包分析及網(wǎng)絡流的作用會得到體現(xiàn)，這兩種類型可以在網(wǎng)絡流量出現(xiàn)異常情況時，可以通過對異常情況的分析與追蹤，及時地診斷網(wǎng)絡異常情況的類型。而SNMP則不具備這方面的功能，它的主要作用在于數(shù)據(jù)信息的統(tǒng)計工作?？傊?，在以上三種網(wǎng)絡流量數(shù)據(jù)的類型中，數(shù)據(jù)包分析的作用是相對較大的，數(shù)據(jù)包分析可以較好地運用到網(wǎng)絡流量異常情況的檢測過程中，對網(wǎng)絡流量異常情況的檢測效率較高，檢測方法相對科學合理，能夠有效地檢測到網(wǎng)絡流量中存在的異常情況。因此在網(wǎng)絡流量異常檢測中，多采用網(wǎng)絡流數(shù)據(jù)包分析技術。

1.2 網(wǎng)絡流量的異常分類

網(wǎng)絡是一個開放性的系統(tǒng)，在網(wǎng)絡運行過程中，造成網(wǎng)絡流量異常情況的類型非常豐富。網(wǎng)絡流量一旦出現(xiàn)異常情況，極有可能影響網(wǎng)絡的安全運行，同時也會對網(wǎng)絡流量造成嚴重的浪費。因此在網(wǎng)絡流量的檢測與分析中，應該有效地辨析網(wǎng)絡流量的異常情況，做好網(wǎng)絡流量異常情況的分類與整理工作。

1.2.1 網(wǎng)絡操作不良

在網(wǎng)絡流量的使用過程中，因網(wǎng)絡操作存在的故障或網(wǎng)絡操作存在異常等情況，使網(wǎng)絡流量出現(xiàn)異常。如在網(wǎng)絡流量的運行過程中，由于網(wǎng)絡設備的變化，特別是網(wǎng)絡網(wǎng)關設備的改變等因素，都會影響網(wǎng)絡流量的變化，使網(wǎng)絡流量在運行過程中出現(xiàn)異常情況。如原來的網(wǎng)絡設備出現(xiàn)故障，需要更換網(wǎng)絡設備，在新的網(wǎng)絡設備增加后，會在一定程度上影響網(wǎng)絡流量的大小。因網(wǎng)絡操作不良等造成的網(wǎng)絡流量異常情況具備一定的特點，在網(wǎng)絡操作的初始階段，網(wǎng)絡流量的異常變化是特別明顯的，流量的變化也是非常急劇的，但在網(wǎng)絡流量異常情況的初始階段結(jié)束后，網(wǎng)絡流量恢復了平穩(wěn)，即便存在變化，其變化也是微小的，也是相對平穩(wěn)的，更是不容易被人直觀發(fā)現(xiàn)的。

1.2.2 網(wǎng)絡突發(fā)流量

當某個網(wǎng)絡信息或內(nèi)容的興趣點較高，吸引力較大，那么網(wǎng)站的訪問量就會突然增大。對于很多站點而言，它們的網(wǎng)絡容量是有限的，網(wǎng)絡的帶寬和處理能力也是有限的，當服務器處于繁忙狀態(tài)或者網(wǎng)絡堵塞時，網(wǎng)站的性能就會下降。網(wǎng)絡突發(fā)流量的特征是指它們會在網(wǎng)絡中存在一定的時限，在這個時限內(nèi)，新的網(wǎng)絡用戶不斷地進入網(wǎng)絡系統(tǒng)，從而引發(fā)了網(wǎng)絡流量的巨大變化?？傻冗@個時限過了之后，網(wǎng)路的流量恢復平穩(wěn)，很多網(wǎng)絡站點的服務器為了應對網(wǎng)絡突發(fā)流量，往往會在突發(fā)流量到來之際，提升服務器的性能，增加帶寬的處理能力。不過由于網(wǎng)絡突發(fā)流量具有非常明顯的時間性，因此網(wǎng)絡站點提升服務器規(guī)格及進行拓展帶寬的應對方式，實質(zhì)上浪費了處理能力。一般內(nèi)容分發(fā)網(wǎng)絡或者按需要計算處理設施，能夠有效地應對網(wǎng)絡突發(fā)流量。

1.2.3 網(wǎng)絡濫用

直接導致網(wǎng)絡流量存在異常情況的行為還包括網(wǎng)絡濫用，網(wǎng)絡濫用不是指網(wǎng)絡的隨意使用，而是指在網(wǎng)絡運用中，存在著DoS/DDoS攻擊和端口查看。這種網(wǎng)絡流量的異常行為在實踐中并不容易被檢測出來，運用傳統(tǒng)的網(wǎng)絡流量檢測技術，很難有效地提升檢測的質(zhì)量，也很難保障全面有效地網(wǎng)絡檢測。不過運用其他的網(wǎng)絡流量檢測技術能夠科學有效地將網(wǎng)絡流量異常情況檢測出來，一般往往運用網(wǎng)絡流數(shù)據(jù)中按流計數(shù)的異常特征進行檢測。

1.2.4 蠕蟲傳播

導致網(wǎng)絡流量存在異常情況的原因還包括病毒傳播，這是一種常見的網(wǎng)絡流量異常情況。網(wǎng)絡流量在使用的過程中，會產(chǎn)生一種蠕蟲的病毒，這種病毒具備一定的生長功能，可以存在病毒的網(wǎng)絡流量進行一定的復制，從而使得病毒在網(wǎng)絡流量中不斷地傳播與擴散。這種病毒的檢測在實踐運用中一般很難有效地檢測出來，因為病毒傳播的速度較快，病毒傳播的范圍較廣，如果未采用科學全面的檢測技術很難將蠕蟲病毒快速有效地檢測出來。因此在蠕蟲病毒的檢測工作中，應該在全網(wǎng)范圍內(nèi)進行安全檢測，對全網(wǎng)的流量實行逐一的檢測，并根據(jù)網(wǎng)絡流量的特點分析，有效地辨析網(wǎng)絡流量特點變化，對比不同的網(wǎng)絡流量變化來有效地剔除網(wǎng)絡流量中的異常情況。

網(wǎng)絡流量異常檢測及分析是建立在網(wǎng)絡流量的概述的基礎上的，只有明確網(wǎng)絡流量的特征及網(wǎng)絡流量異常情況的分類，才能有效地真正地實行網(wǎng)絡流量的異常檢測及分析工作。

2 網(wǎng)絡流量異常檢測與分析

2.1 網(wǎng)絡流量異常檢測的范圍

網(wǎng)絡流量異常檢測的范圍不是固定的，而應該根據(jù)網(wǎng)絡流量異常情況的特質(zhì)及檢測難易程度來有效地運用網(wǎng)絡流量異常檢測技術，從而確定網(wǎng)絡流量異常檢測的范圍。

2.1.1 全網(wǎng)異常檢測

全網(wǎng)異常檢測是一種相對復雜相對系統(tǒng)的檢測工程，在全網(wǎng)異常檢測中，應該根據(jù)全網(wǎng)流量的異常情況，有效地運用檢測技術。因為全網(wǎng)異常檢測的標準比較高，如果在實踐中未能有效地運用相應的檢測技術，那么全網(wǎng)異常檢測的功用自然難以發(fā)揮，還會造成全網(wǎng)檢測技術及資金的巨大浪費。因此在全網(wǎng)異常檢測中，應該注重科學合理地選擇數(shù)據(jù)采集點，由根據(jù)分析實際異常情況采集、分析全網(wǎng)的通訊數(shù)據(jù)包，實行全面的網(wǎng)絡異常檢測。

2.1.2 鏈路異常檢測

鏈路異常檢測是一種局部檢測，與全網(wǎng)異常檢測不同，鏈路異常檢測只注重在某一鏈路中存在的網(wǎng)路流量異常情況進行針對性地檢測。這種檢測的目的性較強，檢測技術的標準相對較低，在確定的范圍內(nèi)，只需要運用一定的檢測技術，就可以順利地辨析網(wǎng)絡流量的異常情況，并根據(jù)網(wǎng)絡流量的異常情況，及時地診斷網(wǎng)絡流量異常情況的類型。

2.2 流量異常分析的深度

2.2.1 異常檢測

網(wǎng)絡流量的異常檢測是指在網(wǎng)絡流量的運行過程中，有效地確定網(wǎng)絡流量的異常情況，并及時地檢測出網(wǎng)絡異常情況的時間及發(fā)生異常點及異常原因。針對網(wǎng)絡流量異常檢測的技術標準，并不一致，在網(wǎng)絡流量的檢測過程中，根據(jù)異常情況的特點，在未診斷出異常情況的類型時，根據(jù)特點來針對性地選擇運用哪種網(wǎng)絡流量檢測技術。一般采用數(shù)據(jù)包深度分析來進行網(wǎng)絡流量的全網(wǎng)檢測，這種檢測方法能夠?qū)⒕W(wǎng)絡流量的異常情況精準地確定異常點、異常原因，在什么時間節(jié)點發(fā)生了網(wǎng)絡流量的異常情況。

2.2.2 異常確定

在網(wǎng)絡流量出現(xiàn)異常情況后，異常確定能夠有效地辨析網(wǎng)絡流量異常情況的特征。網(wǎng)絡流量的異常情況往往都具備各自的特征，這種特征是網(wǎng)絡流量異常檢測的重點內(nèi)容，因為網(wǎng)絡流量的異常檢測的目的不在于精準地找出異常情況，而是根據(jù)異常情況的特質(zhì)及特點，來診斷網(wǎng)絡流量異常情況的類型，以便做出及時地針對性地解決措施，保障網(wǎng)絡流量數(shù)據(jù)的安全性，保障網(wǎng)絡運行的科學與高效。

2.2.3 異常診斷

異常診斷是網(wǎng)絡流量異常檢測中的核心內(nèi)容，在異常檢測、異常確定等基礎上，人們掌握了網(wǎng)絡流量異常情況發(fā)生的時間、發(fā)生的地點、發(fā)生的特征，即可以對網(wǎng)絡異常情況進行科學的診斷。異常診斷可以辨別異常情況的類型，同時還可以根據(jù)異常情況的類型，有效地找出出現(xiàn)網(wǎng)絡流量異常情況的原因。在網(wǎng)絡流量的使用過程中，導致網(wǎng)絡流量出現(xiàn)異常情況的原因是多方面的，既有網(wǎng)絡配置的原因，同時也包括蠕蟲病毒等攻擊。通過異常診斷后，人們可以獲知網(wǎng)絡流量異常情況的原因，然后針對性地采取措施來解決網(wǎng)絡流量的異常情況。

2.3 實時檢測與回溯檢測

根據(jù)網(wǎng)絡流量存在的異常情況，還可以運用實時檢測或者回溯檢測的方式。所謂的實時檢測，就是在網(wǎng)絡運行的過程中，根據(jù)網(wǎng)絡流量存在的異常情況，對網(wǎng)絡進行實時的異常檢測，及時地發(fā)現(xiàn)網(wǎng)絡流量的異常情況，并及時地運用相應的措施來解決網(wǎng)絡流量中存在的問題。運用實時檢測需要注意的是在檢測過程中，要實時地對網(wǎng)絡流量的數(shù)據(jù)進行采集與分析。不過現(xiàn)階段實時檢測的方法并不系統(tǒng)，檢測的效果與質(zhì)量也較難得到保障。因此為提升網(wǎng)絡流量異常檢測的科學性，應該積極地改良網(wǎng)絡流量在線檢測技術?；厮輽z測是針對網(wǎng)絡流量的實時檢測技術發(fā)展起來的?；厮輽z測時，無需網(wǎng)絡運行，只需要對網(wǎng)絡運行中的歷史痕跡及相關信息數(shù)據(jù)的日志、保存的原始數(shù)據(jù)內(nèi)容進行分析，就可以實現(xiàn)回溯檢測?；厮輽z測與實時檢測的側(cè)重點不一樣，在具體的檢測過程中，所依據(jù)的數(shù)據(jù)信息也不一致，但兩種檢測方式都可以較好地檢測網(wǎng)絡流量中存在的異常情況。

3 總結(jié)

在網(wǎng)絡的運行過程中，因系統(tǒng)故障、設備原因、病毒原因、操作原因等會導致網(wǎng)絡流量出現(xiàn)異常情況。在網(wǎng)絡流量出現(xiàn)異常情況時，應該及時地運用網(wǎng)絡流量的異常檢測技術，分門別類地進行全網(wǎng)檢測或者鏈路檢測，然后分析異常情況的特點及特質(zhì)，分析異常情況的產(chǎn)生原因，進行異常情況的確定，并診斷異常情況的類型，采取積極的措施來解決網(wǎng)絡流量的異常情況，確保網(wǎng)絡的高速穩(wěn)定地運行。在網(wǎng)絡流量的檢測過程中，還可以根據(jù)網(wǎng)絡流量異常情況的特點，選擇在線檢測或離線檢測的方式。

[1]夏正敏.基于分形的網(wǎng)絡流量分析及異常檢測技術研究[J].上海交通大學.2012.

[2]王樹瑾.改進 QoS實時監(jiān)測動態(tài)模型的研究[D].黑龍江大學.2013.

[3]陳明兵,劉知貴.用于網(wǎng)絡流量異常檢測的數(shù)據(jù)采集方法的研究[J].電腦知識與技術.2009.

[4]任志良,鄧志東,帥典勛，孫增圻.計算機網(wǎng)絡模型中的復雜性現(xiàn)象分析[J].清華大學學報(自然科學版).2002.

[5]楊強,谷利澤.基于模糊綜合評判的入侵檢測告警處置模型[A].2009通信理論與技術新發(fā)展——第十四屆全國青年通信學術會議論文集[C].2009.

[6]王建榮.基于自相似特性的片上網(wǎng)絡流量分析與建模[D].電子科技大學.2011.

[7][美]Chris Sanders.譯：諸葛建偉,陳霖,許偉林.Wireshark 數(shù)據(jù)包分析實戰(zhàn).人民郵電出版社.2013.