高校图书馆网络异常流量分析和研究.docVIP

高校图书馆网络异常流量分析和研究 　　〔摘 要〕网络运行的管理及维护，很大程度上都依赖于对网络流量参数的监测。本文在当前高校图书馆网络发展现状的大背景下，通过网络流量监测系统，对高校图书馆教育网络进行了实时流量监测，在对图书馆的交换机、路由器和服务器等设备进行流量监控的同时，使我们在第一时间发现网络异常流量，并对这个结果进行分析研究，以期达到保障数字图书馆安全运转的目的。 　　〔关键词〕网络异常；MRTG；网络流量 　　1 概 述 　　1.1 网络异常概念 　　在正常的网络秩序下，每个网络活动的参与者遵照网络协议使用网络，从网络中获取信息，参与网络交流。但是正如现实社会中会发生异常事故及犯罪行为一样，在网络社会中也存在由于网络故障、网络非法活动导致网络中的部分功能失常或停止服务的现象。 　　网络异常（Anomaly）是指网络行为出现与之偏离的情形。“正常”意味着遵从常态或者说常规典型的模型，没有出乎我们想象，在意料之中的状态。遵循我们给其设定的水准或模式[1]。而“异常”意味着出现了与“正常”相反的情形，违背了我们的期望。“正常”行为会由于网络环境的变化而改变，例如会随着网络的动态变化、噪音等随之改变。 　　网络设备出现故障、配置不正确、网络过载、遭受扫描和攻击、中毒等，都会引起网络的异常。按照网络异常的原因可以分为两类[2]：第一类是网络故障和性能问题引发的异常；第二类是与网络安全相关的异常。 　　网络故障相关异常是网络设备、端口、链路等发生故障时导致的网络行为异常，如某条链路速率的瞬间增高或降低。这时候链路流量通常会发生陡峭的或者几乎是瞬时的变化。例如网络设备端口故障或者链路突然中断，会导致链路速率立刻下降为0；网络设备故障会导致相关的链路流量下降为0；路由配置错误可能导致某条链路的流量突然变大。这类异常可以由“陡峭的”或者几乎是瞬间的改变明显地识别出来。 　　网络性能相关异常一般是由于用户的访问量突然增大或设备配置错误所导致的网络拥挤。比如高校的选修课报名，学生们都在一个时间段对服务器进行访问，这样就会导致报名服务器的访问量突然增大，如果服务器配置不高，网络带宽不够的话，就会出现流量超负荷的现象；报文使用不当引发广播风暴，路由器和交换机出现环路这都会导致网络负荷过大，设备性能下降或者瘫痪。此类的异常现象表现出的数据集会激增或者说在一个时间段内的流量突然变化。 　　网络安全相关异常指利用网络安全漏洞进行的网络扫描、攻击、病毒等。 　　网络扫描也叫安全漏洞扫描，是对已知或未知的目标进行探测。这是黑客常利用的方法，当扫描到能够被其所利用的系统漏洞的时候，再进行攻击破坏。其表现的方式是一个源地址对单个或多个IP地址，或其不同端口进行发送数据。网络扫描是常见的网络异常行为。 　　拒绝服务攻击（Denial of Service，DoS），为什么叫拒绝服务呢？凡是造成合法用户不能正常访问网络服务的行为都可算是拒绝服务攻击。拒绝服务攻击的目的就是要阻止合法用户的正方访问，以达到攻击者的非法目的。攻击者对服务器发送大量数据包，使服务器的资源耗尽，造成网络拥塞或者服务器瘫痪，从而不能对用户的请求及时应答。也就是对服务器的网络资源、CPU、内存、系统连接数进行耗尽，直至服务器无法相应请求。 　　分布式拒绝服务攻击（Distributed Denial of Service，DDoS）可以说DOS是DDOS的前身，但DDOS和DOS是有所不同的，DDOS侧重于通过许多肉机（被入侵过或可间接利用的主机）同时向攻击目标发送大量的请求数据包。攻击的主机越多，发送的数据包数量就越多，数据包如洪水般涌向受害主机，对合法用户的数据包进行淹没，导致合法用户无法使用服务器的资源。 　　蠕虫病毒利用操作系统和应用程序的漏洞进行传播。网络病毒不但会对个人主机造成危害，并且病毒会主动从互联网上下载更新更多的病毒，并主动传播，可以造成局域网内的大量主机中毒，在传播的过程中，病毒会扫描网络，探测漏洞并主动攻击，会大量占用网络带宽资源，导致网络拥塞。 　　网络异常会严重影响网络性能，造成网络拥塞，严重的甚至会造成网络中断，服务停止。对此应迅速做出响应，及时发现问题并给予保障有效运行的措施。 　　传统的网络安全技术侧重于企业用户网络的系统入侵检测、防病毒软件或防火墙，这类安全措施通常只能检测到已知的网络入侵行为，而由于互联网中网络异常行为的多变性、复杂性，这类系统只能在一定程度上防止网络中的入侵行为。 　　异常检测的思想是首先建立用户正常的行为模式，并且假定所有入侵行为都是与正常行为不同的。在每一次用户行为产生后，都将其测量值与其正常的行为模式进行比较，当活动行为模式与正常行为模式发生显著偏离时即认为是异常，从而触发相应机制，向管理员提