张小卫
随着计算机网络的快速发展和普及,网络流量监控分析受到越来越多的关注。高效合理地运行网络流量实时监控分析系统,可在最短时间内发现安全威胁,并在第一时间进行分析,确定攻击源。网络流量监控分析的基础是协议识别技术,目前的主要方法有常用端口识别、深度报文检测DPI、深度流检测DFI,以及这几种方法的混合。
DPI技术是一种基于特征字的识别技术,可根据不同协议的特征来检测和识别出具体的应用协议。DPI具有检测准确率高、原理相对简单、实现速度快等多个优点,因而具有较为广泛的应用。本文介绍的网络流量实时监控分析系统(以下简称RT-TMA,Real-Time network Traffic Monitor and Analysis system)就是采用DPI技术来实现协议识别的。
底层协议分析模块:OSI模型由7层网络协议共同组成,数据是经过封装之后由上至下传送的。因此,对网络协议进行分析也需要由上至下实施。例如,对网络层、链路层的传输协议进行分析识别之后重组协议,将协议头部内包含的数据信息传递给上层分析,由此持续到网络传输层,都以协议包头信息对其进行分析处理,这也是重组会话的基础。
重组会话模块:由于网络传输必然会存在数据丢失、位置错误等问题,数据包也是经过不同的网络传输路径到达用户终端,到达时数据包的顺序很可能会发生变化。在数据包传输过程中,主要由网络协议对其进行有效控制,一旦出现数据包丢失等情况,系统会自动重新发送数据包,由此,会话重组必须可以应付数据包错序和重新传输的问题,以实现会话重组的高效率。
网络协议识别模块:计算机网络流量实时监控系统的核心是网络协议识别引擎,HTTP传输协议、P2P传输协议等都是基于网络协议识别引擎基础上实现的。网络协议识别引擎可以利用其特征与会话重组数据进行有效匹配,还可以利用数据交互等特征对数据信息进行深入分析。
应用层协议分析模块:应用层协议分析是在完成会话重组之上实现的,对于部分实现P2P传输协议的应用来说,是基于网络协议识别之上对会话重组进行的深层次数据分析和识别。
在完成会话重组之后,需要对每一个会话进行采样识别。通常情况下都会按照相应策略对会话表进行维护,计算机网络流量实时监控分析系统可以同时处理256至1024个会话,对每一个会话的识别都需要对会话之前的若干个数据包实施处理,一般情况下不会超过16个数据包,之后的全部数据包则按照预先部署的控制策略完成处理操作。由于P2P应用的网络连接数量多、传输量大,如果想要对P2P网络连接进行准确分析和处理,必须采用基于会话的协议识别技术。
对于SSH、DNS和Telnet等传统应用来说,都可以采取简单端口识别技术,但是,由于P2P应用的特殊性,必须采用动态端口识别技术。因此,可以采取特征码的识别技术对P2P应用进行分析识别。由于P2P应用协议属于公开协议,又是根据RFC进行规范的,对于其协议实现的研究可以采用特征码识别方式,但是,特征码识别又是基于会话之上实现的,因此需要对会话之前的几个数据包进行匹配,可以采用会话采用识别方式。
为了躲避深层协议识别的检测,类似于P2P应用转变了端口使用模式,采用随机和专用端口。此类应用必须基于应用层协议分析基础上,对其进行深层次的协议探索。当BT客户端对数据信息进行下载时,首先要实施Tracker查询,通过HTTP传输协议中的GET命令来接收互联网传来的数据信息,再将请求响应传送给下载端。在HTTP传输协议请求数据报文中,包含了Bit Torrent特征值,由此,必须对HTTP传输协议进行有效识别,再基于此协议基础上对会话实施深入探索识别。针对以上这种情况,需要在会话基础上对应用层数据包实施深层次分析,从而在HTTP数据包中将BT特征值识别出来。
对于P2P应用来说,为了尽可能识别更多的应用层协议,需要对未知的P2P应用进行深入探测。但是,由于部分P2P应用的传输信道进行了加密,对网络监控管理业带来了较大挑战,为了有效识别部分P2P网络流量,并对其加以深入分析和统计,本文采用了近似统计的方法来实现。近似统计的方式是根据P2P网络协议设计的,与其他网络协议具有一定差异,只对数据包头部内包含的信息进行检测,而无需对数据包的有效载荷进行检测,因此属于高效、简单、便捷的识别方法。
RT-TMA是一种被设计用于高等院校校园网、实验室网络及中小型企业的网络流量实时监控分析系统。与其他网络流量监控系统不同的是,RT-TMA还提供有丰富的二次开发接口,为网络流量监控分析相关开发人员及科研人员提供理论验证和算法研究的实验平台。
规则库主要包括具体协议的DPI特征字及其检测算法的实现,同时包括传统规范网络应用的端口表,以用于配合DPI引擎完成对具体协议的识别。
DPI引擎是RT-TMA的核心,可在DPI规则库、数据库(配置信息等)、可选的扩展库以及用户操作等基础上,完成对网络流量的协议识别、统计、分析等功能。
RT-TMA用户界面作为人机交互界面,主要提供用户操作和管理DPI引擎、显示各类信息等。
网络流量实时监测与控制主要是对大量消耗网络资源的应用进行流量限制和会话阻断,包括BT下载应用、P2P应用等,以确保网络资源得到合理使用。首先根据网络协议识别引擎的分析结果,再对P2P应用、BT应用、PP Live应用等进行深入分析和全面识别,再根据网络流量控制策略,对应用层进行实时监控,一旦发现网络流量异常等情况,立刻启动系统日志记录功能,并且向NMS发出报警信息。
本文提出的计算机网络流量实时监控分析系统采用的是旁路控制技术,旁路控制机制包括三个功能部件,分别是速率估计器、连接标记器和阻断生成器。速率估计器主要是根据接收到的分组信息与历史信息进行结合,以此达到每个分组速率平均;连接标记器主要是通过速率估计器得出的结果,按照一定的策略对某些网络连接附加阻断标记。当某个网络连接被加上了阻断标记之后,再利用阻断生成器生成伪造阻断分组,以此实现阻断网络连接的结果。
基于DPI的网络流量实时监控分析系统在网络管理与网络安全防护中起着非常重要的作用,而目前的网络流量实时监控分析大都针对运行商的核心骨干网络,价格昂贵。此外,作为高校使用的网络流量监控分析系统,还需具备足够的可扩展接口,以便在完成网络管理与安全防护的同时,提供学生认知实习、开放性实验以及科研支撑。为此,本文提出了一种基于DPI的网络流量实时监控分析系统RT-TMA。该系统具有高可扩展性、实现简单、接口丰富等特性,可较好地满足高等院校,特别是高校实验教学中心对网络流量实时监控分析系统的需要。
RT-TMA主要针对高等院校、实验教学中心和中小企业的网络进行流量监控分析,此外,RT-TMA还可作为科研平台和实验平台来使用,因此,在RT-TMA的实现中,采用先实现全部功能再进行性能优化、先实现基本功能再进行二次扩展的思路。
本文介绍了深度报文的网络流量实时监控分析系统的设计方案和关键技术实现方法,并给出了系统的运行测试结果。该方法对于网络流量监控分析系统的开发、DPI算法研究等,都具有较高的参考价值。
[1] 孙跃进,王向超.基于MRTG的校园网络流量监控[J].中国科技信息,2009(01).
[2] 董加敏,王斌.基于SNMP协议的高校网络流量监控管理系统的研究[J].广州大学学报(自然科学版),2009(01).
[3] 胡孟杰.一种网络流量监控算法设计[J].计算机与数字工程,2009(06).