【IT专家网独家】随着电信IP网络带宽的不断扩大,网络上的流量也在成倍的增长,流量的成分也越来越复杂。经济利益的驱动和网络攻击技术门槛的降低使得异常流量也呈爆炸式的增长趋势。电信IP网络异常流量分析也成为一个重要课题。
一、异常流量的分类
异常流量的分类有很多方法,但是最切合实际的方法是从网络运维人员的视角进行分类。从运维人员的角度来看,具有以下三个特征之一的流量都属于异常流量:
1) 对网络的正常运行不利,影响网络的正常服务
2) 损害组织机构自身经济利益
3) 违反现行法律法规的流量
注意,这里运维人员对异常流量的判断是主观的,并不仅仅局限于蠕虫传播和DDoS攻击等这些具有普遍危害性的流量。例如对于某些网站,会非常反感竞争对手的恶意下载以及搜索引擎爬虫的频繁访问。从第三方来看,这样的访问是一种正常网络访问,而这些访问会造成网站服务器性能下降,甚至无法为真正的用户提供服务。运维人员自然会将其视为异常流量。按照这样的分类,异常流量包括:
网络层DDoS 攻击:SYN Flooding、ACK Flooding、ICMP Flooding、UDP Flooding 等
应用层DDoS:CC攻击、传奇攻击、SIP攻击、DNS攻击等
蠕虫传播
二层攻击:ARP Flooding、ARP欺骗等
P2P下载流量
控制层攻击:针对路由协议的攻击,如BGP攻击
用户自定义访问行为:如,竞争对手或搜索引擎爬虫的频繁访问、非法VoIP、宽带私接用户、垃圾邮件等
二、异常流量检测技术
异常流量的检测分为两个过程:流量数据的采集,流量数据的分析。数据采集的方法大体上分为两类:流量镜像(SPAN)和流级数据(Netflow或sFlow)采集。(注:有文章把SNMP也当作一种流量采集的方法。由于该方法采集的数据粒度太粗,可供分析的信息也很少,因此实际上很少有人把它作为主要的分析手段,仅仅作为一种辅助的方法,采集到的数据仅仅是作为参考。)数据的分析方法上也可以分为两类:基于数据包信息的特征检测和行为分析)和基于包头信息(或聚合后的包头信息)的统计分析。由于流级数据本质上是一种聚合后的包头信息,不包含应用层及数据净荷(Payload)信息,所以对于流级数据,无法使用第一种检测方法。
下面用两个表格对两种采集方式以及检测方法做一个简单比较。
|
|
镜像数据采集 |
流级数据采集(Netflow, sFlow) |
|
设备支持能力 |
部分设备支持流量镜像
|
Cisco, Juniper,Huawei, Foundry等主流厂商的设备支持 |
|
数据时间特性 |
时间粒度可以很细,实时性较好 |
时间粒度中等,有些延迟 |
|
数据采样支持 |
不支持采样,采集设备可以自行采用 |
支持采样 |
|
信息丰富度 |
包含7层协议信息,但缺少路由相关的信息,如AS, Next hop |
sFlow包含部分7层协议信息,Netflow 和 sFlow均包含路由信息 |
|
对网络的影响 |
对设备性能有一定影响,采集设备嵌入式部署时影响网络的运行。部署完毕后影响消除,但存在单点故障隐患 |
在采样输出情况下,对设备性能影响很小。无须嵌入式部署,对网络的影响很小 |
|
部署的灵活性 |
缺乏灵活性和可扩展性 |
|
|
部署的成本 |
往往需要在多个位置部署,因此成本较高 |
一台设备可以采集多个设备上的流量,因此成本较低 |
|
适合部署位置 |
接入层或汇聚层 |
通常是在核心层 |
|
适用环境 |
链路带宽在千兆以下,流量较小的网络环境 |
适用与各种带宽的网络环境中 |
|
|
基于数据包全部信息的检测 |
基于统计分析的检测 |
|
适用数据源 |
镜像数据 |
镜像数据、流级数据 |
|
基本原理 |
深度包检测,特征匹配,会话重组 |
按照不同的统计规则对包数和字节数以及流数进行统计,对比相应的基线数据 |
|
检测效率 |
较低 |
较高 |
|
准确性 |
准确 |
统计意义上的准确,即在大流量环境下 |
|
适用环境 |
流量较小的网络环境 |
流量较大的网络环境 |
