基于DFI和DPI技术的异常流量监控.pdfVIP

绿盟辩技王羹窳 攘黉：本文酸撩述异常流鬣羧控的应用场景人手，洋细解释了蒸手DFI和DPI的睡种辩常流量捡溯学段，并遴纷了对毙 分析。然后提出了一种全新的异常流量控制方案的技术设想。 关键词：DFIlDPI，异常流量；流量监控；应用殿访问控制策略 O前嚣 的瑞口与其它端点通讯，通过分析流记录可以找别这些被高 随籍企业各种应用系统的建设和完善，SNMP采集的信度疑似P2P端点间的拓扑犬系，并使用一个人工定义的拓扑 怠无法攥绘流量豹纲嚣转薤，魄翔菜静应鹅占鬟总豢觉多 赘鬃疆来篱量这整强羚关系。当特薤壤这蠲一定承擎，鬻哥 少?某个IP地址的网络用量是参少?运维人员要想知道这类确认该主机为P2P端点。 问题的答案，需要通过采集实际流量的方式进行统计。甄对 (5)封包字节数大：为了提高传输效率，P2P流量的封 近年秉瓣络攻击鹜戆季羲繁豹趋势，哭统谴鬣常应雳流鐾黪跑 包字骛数蒸会缀失，除了纂擎P2P酶1P漤蠹包，一般P2P-F 例也无法满足运维需求了。对肄常流量进行分析监控成为流 载的数据包至少都在1200字节左右，这跫与其它应用另一个 量分析系统主要功能。 明避的差异。 l。2。2 Flow P2P流鏊的{亏为模式特酝 l摹予DFl(DeepInspect)的异常漉鏊检测 (1)大量奄闲连接：P2P端点通常都会有很多空闲连接， 1．1攻击与蠕虫传播的流量检测 在流记录上就表现为很多流蹩非常少的记录。 基爹DFI的捡测技术一令童要优势就是可以高效准确昀 《2》UDP／TCP菸稃：有些骛豫酶应用，懿DNS， 捡溅密鬻络攻击秘蠕虫传播。糕这里硼密这个标题，楚为了 NETBIOS，IRC，游戏和多媒体业务流嫠等，这些应用都有 论述体系的完整性。因为DFI技术在这方丽的应用涉及的问 题比较多，需要单独成文论述，所以关于这个方蘧的梭测原 配派嬲这些漉爨。 理详凳本稍箭一朝审《电信lP绢络异常流豢及其辁耩》。 (3)同时充当客户端和服务器(角色分析)：通常服务器 1．2P2P流量检测 的邋讯模式是接收资源请求信息，然后搬供相应的数据资源。 由乎泷数据(Netflow或sFlow)是经过渡二聚豹且通常郝是 藤数据资源麓浚藿大枣一般郝远运大子请求绉塞戆溅鐾。因 擒样产搬的，数据义仪包含fP鼷信息丽没裔应用层信怠。因 此，如果一个燕机输送出的数据远远大平接受到的数据，我 此很多人对基于DFI的P2P检测技术抱有一定成见，认为它 们就可以判断这个主机的角色是“服务器”。反之，则是“客 不一定能缀准确的捻测剑P2P潍蹩。然薅实际情况却楚嬲乎 户壤”。P2P端爨接毂衣发送瀚漉量建乎大零襁当，鞠琵霹暖 这些入的意科，DFI技术不仅可以榆测P2P流堡，丽且稔溯盼 看作是同时充当“客户端”和“服务器”。 准确度还相当高。这是因为P2P流量与其它网络应用甜鲜明 1．2．3P2P流肇拎测效果释疑 的区别，针对这些特链进亍亍综念检测，便霹以准确的检测出 P2P流爨。 量进行更细致的分类，甚象可以按照不同的P2