《网络流量监控-网络流量监控概述》由会员分享,可在线阅读,更多相关《网络流量监控-网络流量监控概述(52页珍藏版)》请在金锄头文库上搜索。
1、北京邮电大学 朱洪亮网络流量监控概述北京邮电大学信息安全中心 教师信息朱洪亮 v联系方式:13811703181 v邮箱: 欢迎交流!北京邮电大学信息安全中心 课程主要内容内容基础知识:网 络基础、异常 流量攻击单机流量监测 技术及工具: Wireshark、 Sniffer、 Winpcap、 MRTG等专用网络流量 监测技术: xFlow、RTFM 、IPFIX、硬件 流量监测等流量监测应用 :DPI、网络业 务分析、用户 行为分析等网络流量控制 技术:QoS流 控、TCP反馈 重发、旁路控 制手段等网络流量监控 概述北京邮电大学信息安全中心 推荐阅读书籍 1.刘芳等著,网络流量监测与控制
2、,北京邮电大学出版社, 2009 2. 美桑德斯等著,诸葛建伟,陈霖,许伟林译, Wireshark数据包分析实战(第2版),人民邮电出版社, 2013。 3.吕雪峰,彭文波,宋泽宇著,网络分析技术揭秘:原理、 实践与WinPcap深入解析,机械工业出版社,2012. 4.寇晓蕤,罗军勇,蔡延荣编著,网络协议分析,机械工业 出版社,2009 5.高彦刚著,实用网络流量分析技术,电子工业出版社, 2009北京邮电大学信息安全中心 课程要求v目标:掌握网络流量监控核心思想 v开放式 v成绩:平时(期中)+期末成绩 v期末:论文(初定)北京邮电大学信息安全中心 本节主要内容名词释义1网络流量监控意义
3、和价值2宽带网络构成3流量监控的手段4现实中的流量监控5北京邮电大学信息安全中心 名词释义 名词 网络:本课所说的网络,主要指宽带互联网。实际上更 多的是以宽带网作为场景,相关方法理论也适应于其他 信息网络。 流量:来自英文traffic,翻译不太准确。流字比较贴切, 量字的定义比较窄,实际上不只是其大小的一个量,我 们提到的流量指网络上传输的数据信息。 监控:是监测和控制的意思。监测指针对网络流量采用 特定手段进行长期不间断的监视和测量;控制是指按照 特定目的针对网络流量进行特定的动作,如进行限制或 者限速等 监听:一般指采取比较特定手段或设备等技术手段,对 相应的声音或事态的发展进行探听的
4、一种行为。如果手 段比较隐蔽则为窃听。监听范围一般比较广,不局限于 网络,包括电子信号等。用于网络主要指被动监视。与 监测英语均可对应monitor北京邮电大学信息安全中心 本节主要内容名词释义1网络流量监控意义和价值2宽带网络构成3流量监控的手段4现实中的流量监控5北京邮电大学信息安全中心 网络流量监控意义和价值国家层面网络管理安全管理增值服务北京邮电大学信息安全中心 国家战略需要 网络内容管控 意识形态方面,如GFW 非法内容过滤,如暴力色情等 舆情内容监控,除可爬取外也可流量监听还原,取证等 情报搜集分析渗透与反渗透、网络监听是重要手段之一 赛搏空间战 传统战争形态及战争观发生急剧变化,
5、崭新形态的网络 政治、网络经济、网络文化、网络军事、网络外交等形 成 各国成立网络司令部,宣布网络主权,如美国确立的核 、太空、赛搏空间三位一体的国家安全战略。各国均通 过各种手段占据网络高地北京邮电大学信息安全中心 科学规划和扩容 网络流量监测前 如果流量长期过大,最简单的方法就是扩容 缺点:一味扩容投资巨大、重复建设、投入收益比很差 、网络扩展性差等 网络流量监测后 可以通过对流量历史数据的趋势分析,能够提前预测何 时流量会增加到需要扩容的地步,从而提前采取措施 通过对流量的分析,还可预测某处扩容后对于其他各处 的影响等 推测因为流量过大对用户上网体验的影响,以及不同业 务的不同QoS的保
6、证 可针对性提出具有全网动态实时监测与自校正能力的拓 扑的优化设计与管理北京邮电大学信息安全中心 计费和公平分配资源 现状 少量用户占用大部分网络资源,而大量用户占用资源却 很少,即使同一类付费用户,流量也可能十倍百倍的差 别 按流量收费的弊端 计算机动作的自动化(流量产生)与用户愿望的不一致 计算机接受的信息可能不是用户想要的,如病毒 计算机发送的信息也可能不是用户想发的如吸费软件、 或作为肉鸡被动发送的,所以完全按流量付费不太合理 流量监测分析的作用 可以统计出业务类型、服务等级、通信时间、时长等参 数,可为基于IP的计费应用和服务等级协议(SLA)的校 验服务提供数据依据(如抖动延迟、传
7、输速率等)北京邮电大学信息安全中心 网络运行维护 在网络运维的作用 流量异常的监测可以作为网络故障分析的一个辅助手段 ,网络中某部分出现问题,就会有相应的流量异常 方法 正常情况下的流量模型作为基线 在汇聚一定量主机的网络出口,以一天为一个周期,每 天的时间流量曲线有很好的相似性 工作日和周末、节假日有显著不同 通过对网络中一些特定流量的长期监控,有助于了解网 络流量模型,形成的基线数据供分析网络使用状况,并 能即使发布异常警报北京邮电大学信息安全中心 提高网络资源利用率 流量监测可以发现: 可以发现信息流动的路由不合理:某些链路很忙而其他 可能很闲; 有便宜的路线没有用却用了贵的; 分析网络
8、内部访问其他外部网络的业务特点和主要去向 ,从而掌握用户访问的热点 某些用户访问的数据却在遥远的某个服务器等等 基于监测数据可以: 修改路由配置或网络连接减少支出,增加收入 调整多出口流量负载均衡,重要链路带宽设置,设定 QoS等网络优化措施提升网络资源利用率 合理部署热点服务器,包括内容分发策略等等北京邮电大学信息安全中心 发现和防止网络中的“坏”行为 “坏”行为: 对网络中的设备、网络业务、使用网络的用户及网络本 身造成损害的行为; 包括攻击、病毒、僵尸网络、垃圾邮件、间谍软件、流 氓软件等; 呈现逐年变化和有增无减的趋势 发现“坏”行为的方法: 滥用检测:如防火墙、杀毒软件、IDS等,通
9、过发现“坏” 行为特征的信息流完成检测 异常检测:通过建立正常流量的基线,发现与之偏离的 异常行为来判断“坏”行为 滥用检测准确率高,能判断具体“坏”行为;异常检测能检 测未知攻击,有时可能不能具体确定北京邮电大学信息安全中心 用户行为分析 针对性营销是目前主要的商业手法 如线上广告:互联网领导者google 2013年线上广告占整 个行业1/3,为其主要营收 运营商去管道化,通过用户行为分析为其增值业务提供 主要支撑 用户行为分析方法 通过对网络流量数据的积累、分析、挖掘,如用户上网 时间习惯、关注的热点内容,可以了解用户的真正需求 ,分析处用户的价值和增值点 利用网络资源,制定相应的营销策
10、略,提升用户对网络 的依赖性和忠诚度,构建较好的盈利模式 例如通过搜集到的用户上网行为数据,采用大数据分析 ,了解用户喜好,针对性推送广告是目前网络广告的主 要模式北京邮电大学信息安全中心 网络业务分析 业务类型 可盈利业务和非盈利业务 不同业务运行模式如P2P模式和C/S模式,对网络流量的 占用量差异很大以及对运营者的价值等 各类业务如:搜索、门户、游戏、影视、购物、聊天、 邮件、VoIP电话等 网络分析目的 可以了解相关业务的主要受众、最受欢迎部分和最具价 值部分等等 利用这些信息可以做网络业务分析,从而可以有针对性 地开发出有吸引力的业务北京邮电大学信息安全中心 本节主要内容名词释义1网
11、络流量监控意义和价值2宽带网络构成3流量监控的手段4现实中的流量监控5北京邮电大学信息安全中心 宽带网络的构成v目前国内的宽带网络体系结构已基本定型几大运营商差别不大,和国际上也基本一致 v基本的分级结构包括国家骨干网、省骨干网、城域网、接入网4个层级,基 本与行政区划分重合 国家骨干网 采用全连接或部分连接的网状网,连接各个省网,国际 出口和到其他运营商的网络出口 国家骨干网-国际出口和省网-国家骨干网的连接一般多于 一条,为保证链路冗余,安全 节点设备用高速路由器,节点间互连一般用10G或2.5G 速率的SDH通道,一般采用波分复用技术在一条光纤传 输多路SDH北京邮电大学信息安全中心 宽
12、带网络的构成 省骨干网(省网) 与国家骨干网不同的地方很少,如果合并,虽可减少网 络层次,但骨干网节点太多(50个左右) 因各省规模相差很大,可变通措施:一些大型城域网和 一些大型IDC可直接接入国家骨干网 不同运营商之间省级一般没有互连,虽构造管理更简单 ,但资源利用不好。如天津网通连到天津电信,需从天 津到北京再到天津兜一个圈子,可能要访问的服务器就 在隔壁机房 在国家骨干网和省网上的流量监测主要服务于网络的运 维和资源调配,包括监测链路及设备是否有流量负担, 是否有异常流量等北京邮电大学信息安全中心 宽带网络的构成 城域网 城域网比较复杂,不像骨干网只使用路由器做节点,其 设备种类较多
13、一个城域网往往连接几十万甚至上百万用户,而骨干网 的外连线路最多不会过百 城域网往往还会再分级:城域骨干网,接入网 分级后,城域骨干网就成为一个纯路由器网络,和省网 大同小异 与骨干网区别:一个运营商很可能建设几个不同的宽带 骨干网,用来提供不同的业务质量等级服务;但建设几 个宽带城域网的可能性极小,因此下一代城域网要能区 分不同业务、不同质量等级,会导致其复杂性北京邮电大学信息安全中心 宽带网络的构成 接入网 骨干网到用户终端间的连接,一般几百米到几千米,称 为“最后一公里” 骨干网采用光纤结构,速度快;接入网接入方式:DSL 、LAN、Cable Modem等,成为网络瓶颈,目前也向 FT
14、TB、FTTH演进 国内DSL占据大部分,家庭宽带如ADSL方式:PC(家庭用户)-ADSL Modem- (电话线) DSLAM (运营商端局集中器设备)- (百M或GE LAN) BAS 或BRAS接入服务器,接入层至此结束 企业或者单位:使用专线接入,不需DSLAM和BAS 接入网一般采用双归(冗余)树形结构,各DSLAM通信 量很少。BAS一般接入一个由三层交换机构成的网络, 该网络可叫做汇聚层北京邮电大学信息安全中心 宽带网络的构成 接入网例子CMNET接入层北京邮电大学信息安全中心 宽带网络中的主要设备v主要包括:骨干路由器、交换机、DSLAM、BAS 、认证服务器 骨干路由器报文
15、路由转发,需保证系统高稳定性和高可靠性 交换机 二层和三层两种 二层交换机只根据自学习得到的MAC地址(记录源MAC 地址或广播)进行MAC帧的转发;三层具有一定的IP路 由能力,但这种能力主要用作增强设备的学习MAC地址 的能力 DSLAM 安装在运营商(俗称端局)的第一个设备 汇聚DSL线路,可连接数百上千台Modem,另一端以以 太网接口接入BAS或三层交换机北京邮电大学信息安全中心 宽带网络中的主要设备 BAS 完成宽带用户的身份认证和IP地址分配工作 目前ADSL用户使用的IP地址都是动态分配 身份认证一般由宽带接入服务器根据用户提供的账号和 密码向认证服务器确认 认证服务器 一个城域网甚至省网才会集中配备一套认证服务器,因 此它的规模一般较大 目前认证协议一般采用RADIUS RADIUS采用C/S模式,不仅指服务器上认证软件,还包 括BAS和RADIUS认证服务器之间通信协议 在认证服务器或BAS都可以记录用户认证过程,该过程 分析也构成流量监测的重要组成部分北京邮电大学信息安全中心 国内骨干网情况v目前国内有四大骨干网:中国教育和科研计算机 网(CERNET)、中国科技网(CSTNET)、中 国金桥信息网(CHINAGBN)、中国公用计算机 互联网(CHINANET) CERN
