危险一目了然 异常流量监测系统详解

作为一名系统管理员，您是否经常遭遇下列问题？

　　问题一：网络利用率很高，宽带被大量占用，经常有流量暴涨导致网络拥堵——到底是谁在使用网络，在使用网络运行什么程序，导致拥堵的原因是什么，如何找到“凶手”？

　　问题二：网络带宽不足，需要优化，但缺乏统计数据为未来网络建设计划及决策做支撑。

　　问题三：用户抱怨服务器不响应请求，网络中断，但是原因不详——到底是服务器负载太高的原因，还是网络拥堵呢？

　　问题四：希望获得详细的网络管理报表，如：IP地址，服务端口及协议的流量分布等。

　　应用异常流量分析可以解决上述问题，这是网络性能管理重要的一环。其原理就如同医生使用X光、超声波一样，可以透视企业内部网络运作情况，对网络威胁做到一目了然。

　　一、网络异常流量监测技术现状和发展趋势

　　根据对网络异常流量的采集方式可将网络异常流量监测技术分为：基于网络流量全镜像的监测技术、基于SNMP的监测技术和基于Netflow的监测技术三种常用技术。

　　基于网络流量全镜像的监测技术。网络流量全镜像采集是目前IDS主要采用的网络流量采集模式，其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备，实现网络流量的无损复制和镜像采集。和其他两种流量采集方式相比，流量镜像采集的最大特点是能够提供丰富的应用层信息。

　　基于SNMP的流量监测技术。基于SNMP的流量信息采集实质上是通过提取网络设备Agent提供的MIB（管理对象信息库）中收集一些具体设备及流量信息有关的变量。基于SNMP收集的网络流量信息包括：输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数等。

　　基于Netflow的流量监测技术。Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集，在此基础上实现的流量信息采集效率和效果均能够满足网络流量异常监测的需求。

　　目前网络异常流量监测技术呈现迅猛发展的态势，技术和产品不断推陈出新，正朝着越来越智能化的方向发展，具体表现在：流量自学习能力，可以更加精确地掌握网络中实际的正常流量的情况，为判断异常流量提供有力的依据；蠕虫攻击特征检测，可以提高已知蠕虫特征的攻击监测准确性，也可以提高监测未知蠕虫攻击的能力；攻击源的自动追溯，可以提高攻击源的定位效率，从而大大提高应急响应的速度。