IP网流量检测技术及部署策略

爱卫生

本文摘自《信息与电脑（理论版）》2012年11期。【作者】 李海良；

【机构】 河南省电信公司；

【摘要】 随着计算机以及网络技术的快速发展,我国已经步入了信息化时代。在享受信息化带来诸多便利的同时。各种各样网络安全问题也在不断的困扰着人们的网络生活。IP网络面临十分严峻的网络安全形势,在目前众多的网络安全技术中,网络流量异常监测技术是解决异常流量问题的首要技术手段。

【关键词】 IP网流量； 检测技术； 流量管理；

安全技术和安全管理是网络安全建设必不可少的两个重要元素。其中，安全技术是安全系统的支撑，而安全管理则是手段。随着网络信息技术的不断深入研究与发展，网络信息安全管理工作水平有了明显提升，但是，却没有太多质的改变。高质量的计算机网络安全技术接口能够对网络数据进行有效的控制，当前现有使用的技术接口普遍安全性薄弱，并缺乏快捷的宽带加以辅助，而且，对于电话以及实时图像功能也不能给予有力支持，这些方面需要进一步的研究与加强。

1.网络异常流量监测技术现状

1.1网络异常流量监测技术现状

根据对网络异常流量的采集方式可将网络异常流量监测技术分为：基于网络流量全镜像的监测技术、基于SNMP的监测技术和基于Netflow的监测技术三种常用技术。

首先，基于网络流量全镜像的监测技术。网络流量全镜像采集是目前IDS主要采用的网络流量采集模式。其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备，实现网络流量的无损复制和镜像采集。和其它两种流量采集方式相比，流量镜像采集的最大特点是能够提供丰富的应用层信息。

其次，基于SNMP的流量监测技术。基于SNMP的流量信息采集，实质上是通过提取网络设备Agent提供的MIB(管理对象信息库）中收集一些具体设备及流量信息有关的变量。基于SNMP收集的网络流量信息包括：输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。

最后，基于Netflow的流量监测技术。Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集，在此基础上实现的流量信息采集效率和效果均能够满足网络流量异常监测的需求。

2.流量管理的应对及举措

2.1流量管理分析系统建设目标

由于IP网流量管理技术还处于发展阶段，业界还没有统一的规范和技术标准。目前在流量管理技术应用方面，大多数的厂商采用深层包检测技术结合行为模式识别技术来实现流量管理，少数厂商则采用纯流状态分析（DFI)技术来实现流量管理。在流量管理分析系统搭建方面，根据其功能实现的方式主要分为集中控制和边缘控制两种。集中控制指流量分析和控制等在同一网络层面进行；边缘控制指流量分析和控制可以在不同网络层面进行，但由中心服务器进行控制命令的下发。根据对各主流厂家技术和产品的跟踪了解，目前一般厂商只能做到集中控制，而不能实现控制和分析分离，管理系统相对封闭，业务加载和扩展升级开放性较为有限。

基于目标架构的流量管理分析系统所包含的业务控制、用户行为分析和业务开放部分可以在逻辑上实现关联、物理上实现相对独立，从而具有良好的灵活性和开放性。随着技术发展，流量管理分析系统的采集分析设备可以根据管控需求灵活部署在IP网各个网络层面的链路上，控制设备则相对集中部署，进而实现边缘控制的目标。此外，流量管理平台的各个功能实体可以通过接口或其他方式与第三方实现对接，从而增强运营商对流量管理的主导权。

基于目标架构的流量管理分析系统能够克服目前对流量感知度不够的问题，从而实现基于应用/用户的流量控制、用户行为分析和增值业务开发等应用，通过对管道的精细化经营降低网络运营成本，提高网络效益。

基于目标架构的流量管理分析系统能够通过集中的业务管理平台对各类应用进行统一的分析和策略控制，可以按照运营商制定的业务规则和策略通过业务管理平台来实现各类增值业务，即根据市场计划和发展策略，运营商可以对不同业务的开展制定业务生存周期、业务营销强度、业务营销对象等相应的业务规则，同时根据不同的规则对不同业务流量提供干扰、抑制等相应的业务控制策略；同时系统应提供针对业务的分权分级管理手段，使得运营商内部不同层面的管理人员按照相应权限在系统上实现灵活管理。

2.2 流量管理分析系统建设原则

针对技术及系统选择，根据对各主流厂家技术和产品的跟踪并结合中国国内已经部署的案例，电信运营商应在建设中采用目前相对成熟的深度包检测结合行为特征分析技术，在具体系统选择时，应基于以下原则进行：

首先，系统的性能和功能：流量管理系统的性能与分析的复杂性、提供增值服务的多少、控制的复杂性直接相关。系统应能够满足对高带宽链路的线性检测，实现各类应用业务的精确识别和基于用户/业务的控制。

其次，灵活性：由于业务的不可预知性，整个系统必须具备相当高的灵活性，平台功能实现实体能够灵活地分散或者集中部署到网络的各个层面。

最后，升级能力：系统能力的提升最好能直接通过增加设备简单实现，避免对整个系统的架构进行调整。为了应对不断涌现的IP业务新应用，系统应做到策略信息的完善和更新升级能力，应当能够在线增加新应用分析能力，并能够提供标准化的升级接口，以便根据具体的应用实施二次开发。

2.3 险及应对措施

在实践中进行流量管理系统的建设，会受到诸多方面不确定性因素的影响，例如受到当今社会技术发展的限制，以及投资成本等方面的因素，于此同时还存在某些实施风险，例如竞争风险以及政策风险等，因此笔者经过总结认为，针对这些风险的产生需要有做出有针对性的对策。

首先，竞争风险。有力的实施流量管理，那么对于用户网络资源的使用势必会进一步的加以规范。某些高端用户所享受的业务服务将会拥有更高的质量，然而对于社会中较为普通的客户而言，实施流量控制措施那么就限制了其在使用网络资源的随意性，这样一来就造成这样一种现象，针对普通用户的感知度就产生直线下降，并且投诉率便会进一步增加。所以，在进行流量管理实施的前期阶段，相关工作人员就需要全面有力的做好流量控制实施策略，以及针对实施力度更是需要有效的把握好，对于客户本身情况也需要及时的进行了解，关注客户本身对网络感知度的变化，与此同时在现代社会经济市场中，需要将宣传力以及推广进一步的加大力度，在进行具体实施工程中锁需要有力的树立的业务模式应当是“高价高质”，只有这样针对网络和业务实现全面流量管理，才能够进一步更好的做出具体实施，以及为下一步流量管理奠定良好的基础。

其次，政策风险。在实践中进行流量管理，针对实际情况可能会涉及到某些用户的隐私方面，所以运营商在进行流量分析以及进行科学合理运用的时候，相关部门以及专业人才，需要对此进行多维数据的综合评估，这样才能够最大化的有效避免正常法律风险。

3.全面加强网络安全管理建议

3.1加强网络安全管理重要性的认识程度

要想真正的提高我国的网络信息安全水平，就必须在促进网络安全技术发展的同时，提高对网络信息安全管理工作的重视程度，优化管理，提高质量。从大量的安全事故可以看出，尽管市面上的安全产品层出不穷，但是，人们的网络安全担忧却越来越明显。其中的主要因素包括网络的规模剧增、日趋复杂等，在这种网络环境中，单凭网络安全技术是无法高效实现网络安全的。只有实现网络技术和网络安全管理兼顾，提升管理人员以及用户的安全意识，加强相应的法规制度建设、规范网络市场运营模式，才能够从根本上保证网络安全。

3.2 促进网络安全管理法规的完善

网络安全管理工作要想切实完成，就必须有完善的法律法规作为执行的基本依据，否则，将会在执行的过程中，引起不必要的纠纷或者产生众多“漏网之鱼”。在长期的不懈努力下，我国在法律法规的建设方面已经取得了很多成果，并建立的独立的法制信息安全管理机构，并发布了一系列的有关安全技术标准。但和网络技术的发展速度相比，仍呈现出一定的滞后性，这为相关部门在对网络犯罪行为进行打击的过程中，常因为缺乏对应的法律条例而陷入“尴尬境地”，更是使犯罪分子逍遥
法外。因此，要促进我国网络信息安全法规的完善工作。确保在安全管理过程中，有法可依，有理可循，不让网络犯罪分子逍遥法外。

3.3 网络安全技术的实施与改进

在网络病毒防范上面，对于局域网可以安设给予服务器操作系统平台的防病毒软件；对于互联网则需要网管的防毒软件；并且，在诸如电子邮件的交换过程中，也要进行病毒防范；

注重对系统漏洞的查询工作，用户应该主动安装各类行之有效的扫描、处理漏洞的软件，并及时更新。系统的工作人员甚至可以利用黑客工作，进行模拟攻击以便于查找漏洞，及时处理；防火墙的使用，能够有效的控制数据进入内网，阻止黑客的意外访问，有效的降低黑客的犯罪几率；采用入侵检测技术，对系统中未经授权或者异常现象及时监测，能够有效的避免违反安全策略行为。

另外，有关的技术人员也要在高质量的网络安全技术接口的研制上多下功夫，促使电话以及实时图像功能早日能够高质量实现。要真正使用保证网络中的数据信息的管理，就必须要使用正确的安全策略，对于网络的管理和技术上的更新安全是非常重要的。因此，要真正实现网络防范或者新技术的应用，则需要网络安全中心管理员不断升级和完善自身的防御、控制措施。

4.结语

随着我国技术的快速发展，我国已经逐渐的步入了网络信息化时代，并且在网络中，与世界的联系越来越紧密。然而，正是因为计算机网络的开放性以及连通性，造成了网络的流量管理工作相当复杂，其中的安全隐患更是层出不穷。因此，网络异常流量监测技术必将在电信IP网络占有十分重要的地位，并发挥显著作用。

参考文献：
[1]杨虎，张大方，谢鲲，雷渊明，何施茗.Netfilter/Iptables框架下
基于TCP滑动窗口的串行流量控制算法[J].计算机工程与科学.2009(10)
[2]朱晓平，黄戈.基于802.1x和Iptables的校园网安全认证系统实现[J].合肥学院学报（自然科学版）.2009(02)
[3]王保平，张哲，张新刚.基于UPnP和Iptables的IDS与路由器联动的研究[J].河南大学学报（自然科学版）.2009(04)
[4]彭智朝，陈代武，朱素英.基于IPTABLES的集群式防火墙系统研究与实现[J].微计算机信息.2010(21)
[5]彭彩红，罗庆云，贺卫红，范进.计算机网络安全分析与防范技术[J].南华大学学报（自然科学版）.2005(02)
[6]黄锋.高校校园网信息安全突发事件危机预防中存在的问题及其对策研究[J].咸宁学院学报.2010(09)
[7]安宝宇1，2宫哲1，2肖达1，2谷利泽1，2杨义先1，2.具有隐式可信第三方的云存储数据持有性审计[J].哈尔滨工程大学学报.2012(08)
[8]刘树森，王汝传.基于隐马尔可夫模型的P2P流量控制管理系统[J].南京邮电大学学报（自然科学版）.2009(04)
[9]牛小敏.立足电磁防护拓展支撑范围确保网络安全高效一一专访中国电信电磁防护支撑中心主任陈雅璁[J].电信技术.2010(08)