网络流量监测分析系统在校园网络管理中的应用

[摘 要] 针对校园网络管理存在的问题，建立基于NetFlow技术的网络流量监测分析系统，及其在网络管理中的实际应用。

[关键词] NetFlow 监测 蠕虫病毒

引言

随着校园网络建设的不断发展，日益增长的网络用户和接入设备都给校园网络系统的运维管理带来了极大的挑战，网络管理人员在管理网络时普遍遇到以下几个问题：

(1)网络带宽的可视性:网络带宽利用率如何?网络带宽是如何被消耗的?主要用户有哪些?网络中是否产生异常流量?网络出口为何拥塞?如何才能根据网络使用的状况进行合理的网络带宽规划?

(2)网络应用的可视性:当前网络中各种应用分别产生了多少流量?主要占用网络带宽的应用是哪些?重要的网络应用是否得到了重点保障?

(3)用户应用管理的可视性:用户流量从哪里来,到哪里去?如何了解用户在特定时间的具体应用?哪些用户占用的带宽、连接数等网络资源最多?哪些服务器接收的流量和连接数最多?

1、现有网络流量监测技术的简介及比较

1.1简单网络管理协议SNMP

SNMP是当前设备支持和应用范围广的一种监控技术。网络管理者通过SNMP (Simple Network Management Protocol)协议的工具从支持SNMP的网络设备搜集网络流量数据。优点是通过这种方式取得信息不会造成处理上过重的负担，对读取网络设备的利用率、工作状态时可发挥很强的功效。缺点是SNMP提供的只是粗糙、简略的资料，这些信息只能让管理者发现问题，却无法进一步解决问题。同时由于无法得到网络层以上的信息，所以不适用排查流量内部的信息，故无法满足网络流量细粒化分析的要求。

1.2网络流量全镜像嗅探技术

网络探针(sniffer)或是类似的监听工具部署在网络设备上，将网络设备的流量通过镜像的方式传捕捉到特定的服务器上进行存储，再进行分析。其技术特点能提供丰富的应用层信息，但缺点也非常明显。网络管理者很难从监听工具所提供的信息来掌握整体网络的状态，此外，由于要对整个网络流量进行同步全镜像，又要对网络流量进行存储和分析，分析数据包非常耗费时间，所以对网络影响比较大，对于资源和人员的消耗也是很大的，这种方式显然不适合学校环境下的网络管理。

2、基于NetFlow技术的网络流量监测分析系统

2.1 NetFlow流量采集器

本文的网络流量监测分析系统的数据流量采集非常简单，只需要在防火墙中对NetFlow收集器的IP地址及监听端口号进行简单的配置（如图1），就可以把通过防火墙的流量以UDP包的形式发送给收集器，再由收集器收集、分析并整理。由于流采集器仅仅采集IP数据流的统计，更深入的分析由NetFlow数据分析器来完成，所以在网络上启用流采集功能后，对设备转发数据包的性能影响不大，即使在网络流量较大时，流采集器也能正常工作。

图1 防火墙配置

2.2 NetFlow流收集、数据分析服务器

本系统用NetFlow Analyzer打造NetFlow流收集、分析服务器，本软件安装比较简单，需要IIS支持，默认WEB是8080，而且不需要在软件中添加任何设备，只需要网络设备配置正确软件就可以显示相应流量。NetFlow Analyzer具有30多种不同的图表和报表，并带有能深入分析特定明细的选项，便于用户直接访问重要的信息。用户可以在线查看不同时段的图表，并将其输出为PDF格式，能帮助用户将NetFlow输出设备分组到不同的组别，以便进行针对性监控，以及向用户授予访问权限。允许创建许多用户，通过赋予不同的访问权限，可以选择性地允许访问并查看流量图表，及生成流量报表等。NetFlow Analyzer提供了Web用户界面，因此用户仅需一个Web浏览器即可从网络中的任何地方轻易查看到WAN链路的流量报表和即时快照。NetFlow Analyzer可以在Windows和Linux平台上运行。

3、网络流量监测分析系统的实际应用

3.1监控网络运行情况，建立网络运行基线

监控网络是网络管理员的重要任务之一。只有发现了问题，才有可能解决问题。通过网络流量监控分析系统就能帮助网络管理员及时发现网络问题。系统采用web的界面，网络管理员能对全网络流量实施监测并以图形化展现，实现网络的可视性与可控性，系统提供带宽监控的实时报表，包括主机、协议、会话排行等。除预置的带宽报表外，还可以根据IP地址、主机名、协议等搜索特定的带宽使用明细。系统还能呈现接口当前、平均和最高的带宽使用情况。利用这些带宽使用的统计数据，即可了解某个接口相关的主机、应用和会话占用了多少带宽。通过系统的历史带宽使用趋势图，可以显示一天、一周、一月和一年内的带宽使用趋势。借助这些统计数据，不仅可以了解网络带宽的使用情况，更关键的是管理员就可以建立在网络正常情况下行为特征，也就是网络运行基准线。然后根据基线，对带宽利用参数设置阈值，当阈值被超越时产生告警，通知管理员。这非常有助于及时发现网络异常问题并采取相应的措施。

3.2对网络协议进行排序，分析网络的应用情况,优化应用性能

网络管理员常常会遇到这样的问题：网络的带宽不断地增加，但用户却在不断抱怨网络越来越慢。分析原因，一方面是在当今时代依赖网络传输的应用和服务也越来越多，网络带宽的增长赶不上应用的增长；另一方面，一些非关键的应用（QQ、BT迅雷下载、网络视频点播）等却占用了大多数的带宽资源，造成关键业务无法正常使用网络。要解决这些问题，首先要根据各种应用在网络中的关键程度，在网络中给予不同的优先级别。通过网络流量监控分析系统，可以对网络协议进行排序，分析网络的应用情况，优化应用性能；实现基于业务的流量流向和流量成分的分析性能，分析总体业务发展趋势和访问行为，为网络瓶颈排除和性能优化提供依据；可以对网络资源的使用情况进行精细化管理，避免因为资源使用过度或使用状况不明所导致的网络服务质量下降。

3.3及时发现网络的异常流量，查找蠕虫病毒的源头

网络异常流量是指网络攻击、网络病毒、网络突发访问、网络故障、网络新用户的加入等引起的网络流量异常，这种异常往往给网络和计算机用户带来极大损失甚至是致命危害．常见网络异常流量有如下几种：DoS及DDoS攻击；异常网络操作；蠕虫病毒等。特别是以计算机蠕虫病毒为代表的网络攻击已经成为最难对付的网络安全事件之一。

蠕虫病毒有四个重要的特征：①在一个短的时间段，向不同IP地址发起的首次连接数很多；②收到的首次连接请求的响应很少；③首次连接请求的目的端口基本上一致；④发出的连接请求数据包很小。利用这四个特征，我们可以发现大部分蠕虫病毒，对未知蠕虫病毒也一样。

根据蠕虫病毒的特征，用以下两种常用的方法进一步识别、分析，最终定位受感染的主机：

①Top N：基于Top N发现网络异常的方法有两个：Top N会话和Top N数据。Top N指出一个主机发出大量的连接请求到一个或多个目的主机，连接请求数已远远超过正常的连接数。Top N数据定义的是一段时期内两个网络节点或一个节点到一个地址段的连续的大量网络数据传输。一般出现这两种情况是由于新的计算机蠕虫病毒、DoS/DDoS攻击、网络扫描或其他网络滥用。服务器实时监控网络流量，对流记录以Top N会话或Top N数据进行递减排序。例如，流记录显示一台主机发起的连接数与收到响应包的比值超过我们设定的阈值，就报警。或者，一台主机发送的数据包与接收到的数据包比值超过我们设定的阈值，就报警。

②模式匹配：模式匹配是基于流分析的另一种可以检测网络异常行为的方法。通过筛选流记录，那么“可疑的”的流字段将被标识出来。流记录中的所有的流字段都可以用于模式匹配，但源IP地址、目的IP地址、源端口和目的端口是最常用的。一般来说，为了发起一次攻击，大多数的攻击会有一个特定的端口。比如说，震荡波蠕虫工作在445端口。管理员通过对流记录的目的端口进行过滤，可以发现相应的攻击。这种方法易于使用并可用在大多数的案例中，虽然可能存在误报问题。

最后，根据威胁级别，制定并实施防范措施，如安全策略、QoS策略、负载分担策略等，防止所有潜在源再度对网络产生类似的威胁。同时，实施反应措施后，继续密切监视网络，确保威胁被彻底根除，,还可以根据蠕虫病毒特征生成一个病毒检测模板，便于日后定期检测。

4、结论

通过建立基于NetFlow技术的网络流量监测分析系统，可以更好地监控网络的运行情况，及时地发现网络异常流量，提高网络运行维护水平。■

推荐访问： 网络管理 监测 网络流量 校园 分析

---