应用NetFlow技术分析企业网络异常流量.doc

应用NetFlow技术分析企业网络异常流量 黄 晨 (中国石化股份有限公司安庆分公司信息中心 安庆 246001 ) 摘要本文从的视角，利用NetFlow相结合的方法，对网异常流量特征进行分析如何在网络层面对异常流量采取措施，并给出典型网异常流量分析蠕虫病毒。关键词异常流量流量分析NetFlow 病毒前言 ?????? 近年来，随着互联网在全球的迅速发展和应用的快速普及，网已成为的信息承载。网的正常应用流量，形形色色的异常流量也随之而来，影响到网的正常运行，威胁用户主机的安全和正常使用。网异常流量的典型案例对网异常流量的特征进行了深入分析，进而提出在网络层面对网异常流量，NetFlow简介 NetFlow技术起源 Netlow技术最早是于1996年由思科公司的Darren Kerr和Barry Bruins发明的，经过多年的技术演进，Netlow已成为互联网领域公认的最主要的IP/MPLS流量分析和计量行业标准，广泛用于网络安全管理。利用Netlow技术能对IP/MPLS网络的通信流量进行详细的行为模式分析和计量，并提供网络运行的准确统计数据，异常通信流量检测和参数定性分析。 IP网络中的数据流（Flow）信息 为对网络中的异常流量进行检测，首先要对网络中不同类型业务的正常通信进行基线分析，包括测量和统计不同业务日常的流量和流向数据并计算基线的合理范围。为完成不同类型业务的测量工作，需要对网络中传输的各种类型数据包进行区分。通过分析网络中不同Flow间的差别，可以发现判断任何两个IP数据包是否属于同一个Flow实际上可以通过分析IP数据包的下属7个属性来实现，即数据包的： 源IP地址 目标IP地址 源通信端口号 目标通信端口号 第三层协议类型 TOS字节（DSCP） 网络设备输入（或输出）的逻辑网络端口（ifIndex） 思科公司的Netflow技术就是利用分析IP数据包的上述7个属性，可以快速区分网络中传送的各种不同类型业务的Flow。Netflow的处理机制 为进一步提高Netflow技术对网络流量/流向信息进行采集和统计的效率和灵活性，Netflow还引进了多级的处理流程，如下图所示： 在预处理阶段，Netflow可以首先根据网络管理的需要对特定级别的数据流进行过滤或对高速网络端口进行数据包抽样，这样可以在确保需要的管理信息被采集和统计的同时，减少网络设备的处理负荷，增加全系统的可扩展性。 在后处理阶段，Netflow可以选择把采集到的数据流原始统计信息全部输出，由上层管理服务器统一接收后再进行数据的分类处理和汇总；也可以选择由网络设备自身对原始统计信息进行多种形式的数据汇聚，只把汇总后的统计结果发送给上层管理服务器。 3 利用Netflow技术进行安全管理 利用Netflow技术，对网络异常通信的检测，重点防范DDoS攻击和大范围的蠕虫病毒发作，处理流程如下： 管理准备阶段：预先在网络设备上启动Netflow，并把Netflow采集到的网络通信流量和流向数据发送给。管系统通过分析日常Netflow采集到的统计数据，可以事先掌握网络的流量分布状况以及全网通信的正常基线，并以此为依据为日后可能出现的通信异常进行评估。攻击发现和识别阶段：由于Netflow管理代理是内嵌在网络设备中的，当网络流量突然出现异常时，Netflow可以迅速做出反应。异常通信的流量和流向统计信息可以被实时汇总到系统。攻击确认和分类阶段：根据分析出的异常通信的具体属性，以及与网络通信正常基线的比对，可以快速定性出现的通信异常是否为网络安全攻击、确定安全攻击的类型和评估本次攻击的危险程度及可能造成的影响范围。攻击追踪阶段：在确定安全攻击的类型和危险级别后，为便于在源头阻塞安全攻击，需要为进一步澄清安全攻击出现的原始来源以及除主要攻击源外是否还存在其它安全危险来源。处理阶段：在确认了所有主要安全攻击的来源后，可根据本次所受攻击的特点采用相应技术手段实施事故应急处理，如为出现攻击的网络端口配置入向或出向的访问控制列表对特定类型通信流量进行限速等。通过这些技术措施可以对网络安全攻击流量进行阻断，防止其对大范围网络的运行造成影响。后续监视阶段：在安全攻击被阻断后，全网所有设备中的Netflow管理代理还会继续对网络通信流量进行采集和检测，汇总到管理系统的统计数据可以评估是否所有攻击都已经被屏蔽，并持续监视是否还有新的安全攻击的出现。 异常流量分析要对网异常流量进行分析，首先要深入了解其产生原理及特征，数据，对异常流量的种类、流向、产生后果、数据包类型、地址、端口等多个方面进行分析。从异常流量流向来看，常见的异常流量可分为三种情况：网外对本网内的攻击本网内对网外的攻击网内攻击异常流量的种类 ??????对网造成重大影响的异常流量主要有以下几