计算机网络流量已经变迁网络安全管理的次要伎俩,朱文介绍了通过深度报文检测技艺来优化网络流量,同时完成模型的设计和技艺实现,通过测试说明,本网络流量模型设计能够抵达优化网络流量设计的手腕。
【关键词】RAT 流量 流量分析
随着
计算机网络的快速发展和进步,网络流量分析受到越来越多的关切。高效合理地运行网络流量实时候析系统,可正正在最长时间内发现安全,并正正在第一时间中止分析,确定源。网络流量分析的基础是协议识别技艺,长远的主要方法有常用端口识别、深度报文检测DPI、深度流检测DFI,以及这多少种方法的混合。
DPI技艺是一种基于特征字的识别技艺,可根据没有同协议的特征来检测和识别出细致的运用协议。DPI存正正在检测准确率高、原理相对于于简单、实现速度快等多个优点,因而存正正在较为广泛的运用。朱文介绍的网络流量实时候析系统(以下简称RT-TMA,Real-Time network Traffic Monitor and Analysis system)就是采用DPI技艺来实现协议识别的。
网络流量监测模块设计
底层协议分析模块:OSI模型由7层网络协议共同组成,数据是经过封装当前由上至下传送的。因此,关于网络协议中止分析也需要由上至下执行。类似,关于网络层、链层的传输协议中止分析识别当前重组协议,将协议头部外延含的数据信息传递给上层分析,由此持续到网络传输层,都以协议包头信息关于内中止分析处理,这也是重组人时机话的基础。
重组人时机话模块:由于网络传输注定会存正在数据丢失、真理等成就,数据包也是经过没有同的网络传输径到达用户终端,到达时数据包的顺序很可以会发生变化。正正在数据包传输历程中,主要由网络协议关于内中止有效主宰,一旦出现数据包丢失等情况,系统会自动重新发送数据包,由此,人时机话重组必须可以关于付数据包错序和重新传输的成就,以实现人时机话重组的高频次。
网络协议识别模块:
计算机网络流量实时系统的核心是网络协议识别引擎,HTTP传输协议、P2P传输协议等都是基于网络协议识别引擎基础上实现的。网络协议识别引擎可以使用其特征与人时机话重组数据中止有效匹配,还可以使用数据交互等特征关于数据信息中止深入分析。
运用层协议分析模块:运用层协议分析是正正在完成人时机话重组之上实现的,对于于整体实现P2P传输协议的运用来说,是基于网络协议识别之上关于人时机话重组中止的深品位数据分析和识别。
运用层协议的分析
1.基于人时机话中止协议识别
正正在完成人时机话重组当前,需要关于每一个人时机话中止采样识别。正常情况下都会按迎策略关于人时机话表中止
计算机网络流量实时候析系统可以同时处理256至1024集体时机话,关于每一个人时机话的识别都需要关于人时机话事前的若干个数据包执行处理,畸形情况下没有会逾越16个数据包,当前的全部数据包则按照预先调度的主宰策略完成处理操作。由于P2P运用的网络连接部门多、传输量大,如果想要关于P2P网络连接中止准确分析和处理,必须采用基于人时机话的协议识别技艺。
2.基于端口、特征码中止协议识别
对于于SSH、DNS和Telnet等传统运用来说,都可以采取简单端口识别技艺,但是,由于P2P运用的尤其性,必须采用动态端口识别技艺。因此,可以采取特征码的识别技艺关于P2P运用中止分析识别。由于P2P运用协议属于天上协议,又是根据RFC中止规范的,对于于其协议实现的研究可以采用特征码识别方式,但是,特征码识别又是基于人时机话之上实现的,因此需要关于人时机话事前的多少个数据包中止匹配,可以采用人时机话采用识别方式。
3.基于运用层中止协议分析
为了深层协议识别的检测,类似于P2P运用改观了端口使用方式,采用随机和专用端口。此类运用必须基于运用层协议分析基础上,关于内中止深品位的协议探索。当BT客户端关于数据信息中止下载时,首先要执行Tracker查询,通过HTTP传输协议中的GET告诉来吸引互联网络络传来的数据信息,再将请求照应传送给下载端。正正在HTTP传输协议请求数据报文中,包含了Bit Torrent特征值,由此,必须关于HTTP传输协议中止有效识别,再基于此协议基础上关于人时机话执行深入探索识别。对于准于以上这种情况,需要正正在人时机话基础上关于运用层数据包执行深品位分析,从而正正在HTTP数据包中将BT特征值识别出来。
4.关于未知P2P协议的识别
对于于P2P运用来说,为了尽可以识别更多的运用层协议,需要关于未知的P2P运用中止深入探测。但是,由于整体P2P运用的传输信道中止了加密,关于网络管理业带来了较大挑战,为了有效识别整体P2P网络流量,并关于其加以深入分析和统计,朱文采用了近似统计的方法来实现。近似统计的方式是根据P2P网络协议设计的,与其他网络协议存正正在一定差异,只关于数据包头部外延含的信息中止检测,而无需关于数据包的有效载荷中止检测,因此属于高效、简单、便捷的识别方法。
RT-TMA的系统模型与实现
RT-TMA是一种被设计用于高等院校校园网、实验室网络及中小型企业的网络流量实时候析系统。与其他网络流量系统没有同的是,RT-TMA还需求有丰硕的二次开辟接口,为网络流量分析相关开辟人员及科研人员需求理论验证和算法研究的实验院子。
规则库主要包括细致协议的DPI特征字及其检测算法的实现,同时包括传统规范网络运用的端口表,以用于竞争DPI引擎完成关于细致协议的识别。
DPI引擎是RT-TMA的核心,可正正在DPI规则库、数据库(配相信息等)、可选的扩展库以及用户操作等基础上,完成关于网络流量的协议识别、统计、分析等功能。
RT-TMA用户界面作为人机交互界面,主要需求用户操作和管理DPI引擎、显示各类信息等。
网络流量实时监测与主宰主要是关于大批消耗网络资源的运用中止流量和人时机话阻断,包括BT下载运用、P2P运用等,以确保网络资源得到合理使用。首先根据网络协议识别引擎的分析前因,再关于P2P运用、BT运用、PP Live运用等中止深入分析和全面识别,再根据网络流量主宰策略,关于运用层中止实时,一旦发现网络流量异常等情况,即时启动系统日志记录功能,并且向NMS发出报警信息。
朱文提出的
计算机网络流量实时候析系统采用的是旁主宰技艺,旁主宰机制包括三共功能部件,区分是速率估计器、连接标记器和阻断生成器。速率估计器主要是根据吸引到的分批信息与历史信息中止联结,以此抵达每个分批速率匀称;连接标记器主要是通过速率估计器得出的前因,按照一定的策略关于某些网络连接附加阻断标记。当某个网络连接被加上了阻断标记当前,再使用阻断生成器生成伪造阻断分批,以此实现阻断网络连接的前因。
基于DPI的网络流量实时候析系统正正在网络管理与网络安全防护中起着非常次要的作用,而长远的网络流量实时候析大都对于准于运行商的核心网络,价格昂贵。此外,作为高校使用的网络流量分析系统,还需存正在盈余的可扩展接口,再没有正正在完成网络管理与安全防护的同时,需求学生认知实习、性实验以及科研支撑。为此,朱文提出了一种基于DPI的网络流量实时候析系统RT-TMA。该系统存正正在高可扩展性、实现简单、接口丰硕等特性,可较好地中意高等院校,特别是高校实验讲课中心关于网络流量实时候析系统的需要。
RT-TMA主要对于准于高等院校、实验讲课中心和中小企业的网络中止流量分析,此外,RT-TMA还可作为科研院子和实验院子来使用,因此,正正在RT-TMA的实现中,采用先实现全部功能再中止性能优化、先实现基本功能再中止二次扩展的思。
结 语
朱文介绍了深度报文的网络流量实时候析系统的设计方案和关键技艺实现方法,并给出了系统的运行测试前因。该方法对于于网络流量分析系统的开辟、DPI算法研究等,都存正正在较高的参考价钱。
参考文献:
[1]孙跃进,王向超.基于MRTG的校园网络流量[J].中国高高科技信息,2009(01).
[2]董加敏,王斌.基于SNMP协议的高校网络流量管理系统的研究[J].广州大学学报(自然科学版),2009(01).
[3]胡孟杰.一种网络流量算法设计[J].计算机与数字工程,2009(06).