一种网络流量分析工具

汪文杰

摘要：网络流量作为网络上传输的数据量，对网络安全应用具有重要意义，如何实现信息网网络流量的采集、分析是网络运维的重难点。本文实现了信息网网络流量的实时采集存储，建立分析检测模型，快速发现信息网面临的安全风险及潜在的安全隐患，为信息网安全提供智能化、自动化支撑。

关键词：网络流量；安全风险；分析模型

中图分类号：TP393.06 文献标识码：A 文章编号：1007-9416（2017）10-0067-02

1 引言

随着信息网的迅速发展和企业信息化程度的不断提高，如何保证信息网的网络可用性和关键业务的畅通运行对网络运维管理有着至关重要的作用。网络流量作为信息网网络的主要存在以下问题：

（1）信息网网络流量无法实现实时监控，对流量异常的终端网络设备也无法排查，在一定程度上增加了终端网络安全的风险。

（2）信息网业务形式越来越丰富，网络流量占用率也急剧增长，当网络发生故障或者攻击时，由于整个网络庞大，整个故障排查过程耗时耗力，不能及时定位故障源、消除通信故障，给安全生产带来了一定的风险[2]。

为此项目开展了信息网网络流量分析工具[1]，建立分布式的网络统一、上下一体的安全风险[2]监测与态势评估分析模型[3]体系，提供统一全网安全策略、风险监测、主动防御的技术手段，为实施网络安全指挥提供态势感知和决策支持的工具。

2 工具原理及功能

2.1 工具原理

网络流量分析工具基于 pcap/WinPcap 库开发，提供了捕获、注入、分析和构建数据包的功能，主要使用其捕获部分提供的相关方法进行二次开发。模块依据以太网拓扑发现系统获取的拓扑结构，通过SNMP功能周期性地查询目标以太网络上交换机设备的MIB管理变量，并基于获取的MIB值进行故障检测算法处理后发现网络流量，生成流量数据信息，并利用分析模型对流量数据训练挖掘，发现可疑行为（如图1）。网络流量分析工具主要包含5个关键功能，具体如下：

（1）网络流量实时监测：基于pcap/WinPcap库开发，实时获取流量数据包中的源IP、目标IP、源端口、目标端口等流量数据包信息，并实时分析检测，为网络运维管理人员提供实时参考。

（2）长连接流量分析：以获取到的网络流量为基础，利用固有算法模型，对长时间发送单个数据包的异常流量信息，分析其可疑行为。

（3）高风险协议模型：网络协议是网络上所有设备之间通信规则的集合，通过流量监测发现网络上异常的协议行为，报告给网络运维管理人员为其提供运维参考。

（4）流量異常告警：使用SNMP协议在网络环境中直接获取流量，基于网络流量实时监测功能，对异常的流量实时告警。

（5）常见攻击模型预测：网络攻击在网络环境中时有发生，综合网络中常见的攻击工具，对其分析并建立攻击模型。以网络流量为基础，利用回归算法对模型进行正确性验证，将符合模型的攻击行为定义为网络攻击。

2.2 工具实现

工具主要针对信息网络拓扑中的网络流量实时采集、分析、告警，并建立网络攻击模型对网络流量中的攻击行为进行深度分析，利用算法建立固有网络模型，为网络管理人员分析网络攻击行为提供决策化参考并统一告警。本工具提供统一全网安全策略、风险监测、主动防御的技术手段，为实施网络安全指挥提供态势感知和决策支持的工具。其具体功能如下：

基于pcap/WinPcap库实现网络流量的实时采集和监测、分析网络异常长连接行为和高风险协议。建立固有常见攻击模型，分析网络流量中的网络攻击行为并对网络异常告警。具体见图2所示。

3 结语

通过该工具运用，实现信息网网络流量监测和分析的态势评估工具，解决了故障的排查时间，能快速及时的解决网络拓扑故障问题，在一定程度上减少人力、物力消耗，保障信息网的正常生产，极大提升了信息网络的运维管理效率。

参考文献

[1]韩良秀.基于网络流量的性能研究，复旦大学，2002.

[2]何启源.基于TCP/IP的网络流量监测系统模型的研究.计算机系统应用，2006（06）：30-33.