Netflow 网络异常流量的监测原理

《Netflow 网络异常流量的监测原理》由会员分享，可在线阅读，更多相关《Netflow 网络异常流量的监测原理（8页珍藏版）》请在装配图网上搜索。

1、Netflow网络异常流量的监测原理Netflow对网络数据的采集具有大覆盖小成本的明显优势，在Netflow在安全领域的应用与传统的DPI的方式和系统扫描的方式，却有着明显的不同。使得这类产品在定位和实现的功能上和传统大IDSIPS也不一样。NetworkBehaviorAnomalyDetection(网络行为异常检测)是NetFlow安全的原理基础。Netflow流量数据只能分析到协议的第四层，只能够分析到IP地址、协议和端口号，但是受限制于无法进行包的内容分析，这样就无法得到网络中一些病毒、木马行为的报文特征。它是从网络流量的行为特征的统计数据进行网络异常的判定的。网络行为的异常很大一

2、方面是对网络基线数据的违背，反应到一个监控网段范围，往往呈现的就是网络流量的激增和突减。而在针对网络单个IP的监测的时候分析的是这单个ip来源或者目的ip流量的行为模式，tcp的流量模型等等来进行判断。GenieATM对网络异常流量的NBAD的检测具体如下面三点：11流量异常(TrafficAnomaly)侦测流量异常模型是将基线模板(BaselineTemplate)应用于使用者所设定的监测范围内(因特网、互联自治域、子网、路由器、服务器、interface、监测条件等多种模型)，流量异常侦测模型主要凭借系统实时对网络中正常流量形成流量基线，再根据网络正常的网络流量模型来动态分析网络中的异常

3、流量，以期最早时间发现网络中流量的激增和突减。针对不同的网络监测范围，用户可使用定义不同的流量基线模板进行监控。系统支持自动建立及更新流量基线，也允许管理员手动设定和调整基线的参数和取值期间，并排除某些受异常流量攻击的特定日列入计算，以免影响基线的准确性。通过参数的设定，系统能根据对网络效能的影响，将网络异常流量的严重性分为多个等级，包括：正常、中度异常(yellow)、高度异常(red)，并允许使用者透过参数设定，对每个检测范围设定合适的参数。根据不同的网络范围，也提供不同监测模板让用户选择，从模板的部分可设定各种流量监测的临界值，不同的网络边界可设定不同的流量监测临界值。模板的类型有系统开

4、发、用户自定义以及自动学习三种。此外，系统也提供多种单位，方便用户选择。异常发生后，系统将自动分析当时的流量特征，并可藉由异常查看器读取这些讯息(参阅下方图6.2)，包含细部图形与发生的时间区块、来源地址与目的地址分析、协议与端口号分析、网络界面分析等。00ODGE00095004000Lioch9600Lock回颍型08-201O：4-B流呈力勺:771D7医戸卿/(査生ACL浇虽决曜Sit.】P1350W904K700004BB.DD503001B0.0D5.62K2d0002.31K1B.DD132.DD552.QDn.oo46.002.20Kn.oo1B7.DD42D1DKI35KBi

5、dQBEDD5B3DD244DD1BDD10:30raw*閤:|创0卜。金创id：柿汕Ij|vjE：歸挺戸闍就150.&5T150I&1335K2D9S5.HT131W.117.182.-13SO(202.224115a30746.106Jffl163.95.13i5.7t1i37.l65Jfi2ft2.15j203.7q299.7072.-U.2S31253SEEU2D243.1%1B5来旺肃WSticpsaiqa/33393EBDKicpnasstedso:5157U1(57217153Efl22LO2涛量务新w.Oj0iggLSSO1E49JDHIUD1D1354WPcheb/iHfni

6、1D55K时ZWlt92.6Bpp;Qtr1日宁+斗p*3iGraphTim血D7工D3创M匹:LIF*凹収沪兰幵1瞄閒；0.2Svy|曲行0D8-2D10l71-200-K-lOOrtK)-50Bti0-o.na3rucc图6.2客户网流量异常产生ACL与流量快照1.2协议滥用异常(Protocol-MisuseAnomaly)侦测即使在流量不大的情况下，寸于网络中常见的DoS/DDoS攻击和协议滥用，GenieATM也能透过系统内建的攻击流量模式定义比对流量，并配合检测基线参数的检查，有效发现网络上的攻击流量。目前GenieATM系统内建协议滥用异常的攻击流量模式定义(Protocol-M

7、isuseAnomalyDefinition),详列如下：ICMPMisuse大量发送的ICMP封包,超过了临界值IPProtocolNullIPProtocol=0的异常流量TCPFlagNullorMisuseLandAttackTCPFragmentUDPFragmentUDPFloodingTCPSYNFloodingTCPRSTFloodingHostTotalTraffic透过比对通讯协议TCP，发现TCPFlag=0,或其他SYN+FIN,SYN+RST,FIN与ACK及RST等使用异常来源IP地址等于目地的IP地址TCP通讯协议封包,来源端埠号及目的端埠号等于0UDP通讯协议封

8、包,来源端埠号及目的端埠号等于0大量发送UDP的封包,超过了临界值大量发送的TCPSYN封包,超过了临界值大量发送的TCPRST封包,超过了临界值对某台主机大量发送的流量,超过了临界值用户可在“网络异常协议滥用异常”中自行设定：包含启用与否、判定是否为攻击的测试时间和在上述的协议滥用侦测类型的警戒值(参阅图6.5)。此外,用户可针对客户网与外部网络设定不同的协议异常滥用的阈值,使网络管理更加方便。逛輯晞定畫用翼蘇乘-本射及于銅男常肖iM界匣的S盡価WEi5120010ProtDcol-Misu-EeAnomaly:Host:TatalTraffic寻IIIT1sbpe35i2aaaa啟甲中71

9、1Gbps35120009Pratocol-Misuse.Anomaly!UI3PFlO&dingProtocol-MlBUSSAHomgly-TCPRTFloodingFratocol-MisuseAnomaly：LandAttack5120007=120004ProtDECil-Mis-uEeAnomalysTCPFragment5120003Prot口匸口l-Mis-useAnomaljf：lCPFlagNullcrMisuxeID512CJQQ1Pot口rnl-MisuseomalzTCPSYNFloading12CICICISProtoccil-Mis-useAnomalyiUDPF

10、Tigment53120006Frotocfll-Misuse.Anomaly；ICMPMisusegS12Q002Prot口e口l-Mis-useAnDmaly:!?Prnt口calNull图6.5设定协议异常临界值PP5-IPP5-IPPS$PPID龜用中GJ2取用中ra2DzIDID5ftiB邨1和S界疽KLEPPSTRpps刁2.i5Kn越jt面IMIZOO-CTi-iSXl.tiC-41M.OO-ZiM-OO67S1DKPP*52E90Wtw/mlrkF-iKhet.m3O.B7K1E4J0DL&PPSIB韓血Pacligts.-niiiiiEtias-zVlktLmk67510*5

11、2650632：.07K16+.00ppfBTtff/mlrKsrs1DK52B303O.B7K1E4J0DHrppsBftf.-,!mlnb.Pa异常网络应用异常”中自行设定，包含启用与否、以持续时间判定是否为攻击、和警戒阈值。对某些蠕虫攻击，在网络应用异常中，也可针对某些已知蠕虫特性(CodeRed、SQLSlammer)作设定与防护(例如某些特定已知的埠号攻击或封包长度)。5130356ApplicationAnomaly?2oaoi:iao事用中二S-tt対曲Fla*之射包童:上醸尊E!戒:Warni(毎回Flow之僮元甜埶毎IH制包之性嗣胜;Z碍:TOSffl：DarkIP;Pref

12、ix；S7654311-卜ZJI-Q图6.7针对流量特性判定为异常或攻击在“状态异常查看器”中还可针对网络应用异常，作更进一步的侦测(参阅图6.8)，包含细部图形与发生的时间区块，除此之外，在更精细的数据中可针对特定IP产生ACL档案，或是对发生网络应用异常的计算机执行实时流量快照。Mom*rhruM匚L9216H.12.LGSHQt轲閒曲朿時關叛直齐向Ere.P132166121Q3bpl25BKPP#53D193aK-F-nMln.3iaonG200Lwk0bptppfrByt-H/mlhP-Mh4te/Mln.LmUlopiMCDS2E4SDD5D1S4K2Q.nnEE00回1cpMBI

13、2G4D5D1S4KgunEGgnIcpMBIS264SDD5D13Q.nnEG00IcpM&IT2G4SDD5D1MR2Q.nnEG002E4505D1S4K3Q.DDEEDOn1cpiMSfc3264SDD5D13Q.nnEG00蚀M空2G4SDD5D1MR2Q.nnEG001cpM5TJ2E4505D1S4K3Q.DDEEDOn1opiMS2E4SDD5D1S4K2Q.nnEE00iLpiMCCC2G4D5D1S4KgunEGgnDifc.FbpiPP*F-echeb/Mln.Lxh137.K14fi225539101IDseas-aa.aaEDg2111902+15291D1IDsee

14、n-aa.aaEDg图6.8对特定IP产生ACL与流量快照（网络应用异常）异常查看器报表的资源类型与异常类型数据，详列如下：资源类型类别异常类型全局协定滥用TCPSYNFloodingIPProtocolNullTCPFlagNullorMisuseTCPFragmentUDPFragmentUDPFloodingICMPMisuseLandAttackTCPRSTFloodingHostTotalTraffic网络应用SQLSlammerCodeRedSasserMSBlasterDark_IPDetectionTCPPORTSCANDNSFloodingTrojian.HeloagUser

15、Define资源类型类别异常类型子网流量分析流量分析协定滥用TCPSYNFloodingIPProtocolNullTCPFlagNullorMisuseTCPFragmentUDPFragmentUDPFloodingICMPMisuseLandAttackTCPRSTFloodingHostTotalTraffic网络应用SQLSlammerCodeRedSasserMSBlasterDark_IPDetectionTCPPORTSCANDNSFloodingTrojian.HeloagUserDefine监测条件流量分析流量分析界面分析流量分析流量分析VPN流量分析流量分析协定滥用TCP

16、SYNFloodingIPProtocolNullTCPFlagNullorMisuseTCPFragmentUDPFragmentUDPFloodingICMPMisuseLandAttackTCPRSTFloodingHostTotalTraffic网络应用SQLSlammerCodeRedSasserMSBlasterDarkIPDetectionTCPPORTSCANDNSFloodingTrojian.HeloagUserDefine资源类型类别异常类型VPNSite流量分析流量分析协定滥用TCPSYNFloodingIPProtocolNullTCPFlagNullorMisuseTCPFragmentUDPFragmentUDPFloodingICMPMisuseLandAttackTCPRSTFloodingHostTotalTraffic网络应用SQLSlammerCodeRedSasserMSBlasterDark_IPDetectionTCPPORTSCANDNSFloodingTrojian.HeloagUserDefine