年月 第31卷第13期计算机工程20057 Vol.3113ComputerEngineeringJuly2005 安全技术文章编号10003428(2005)13013703文献标识码A中图分类号TP393.08 基于NetFlow流量分析的网络攻击行为发现 杨嵘1,2张国清1韦卫3李仰耀1,2 1中国科学院计算技术研究所北京1000802中国科学院研究生院北京1000393联想研究院北京100085 摘要针对当前网络攻击的特点利用基于NetFlow协议的高性能数据采集模式并结合分布分析频度分析等流量分析手段实现了一 种通过NetFlow流量分析发现网络攻击行为的方法 关键词网络攻击NetFlow分布分析频度分析 DiscoveryofNetworkAttackBehavior BasedonNetFlowTrafficAnalysis YANGRong1,2,ZHANGGuoqing1,WEIWei3,LIYangyao1,2 1.InstituteofComputingTechnology,ChineseAcademyofSciences,Beijing100080;2.GraduateSchoolofChineseAcademyofSciences, Beijing100039;3.LegendGroupLimitedAcademy,Beijing100085 AbstractAccordingtothecharacteristicofcurrentnetworkattack,thispaperrealizesonekindofmethodfordiscoveringnetworkattack behaviorbyusingthehighperformancedata-collectingmethodbasedonNetFlowprotocolandthetrafficanalysistechniquesuchasdistribution analysis,frequencyanalysis. KeywordsNetworkattack;NetFlow;Distributionanalysis;Frequencyanalysis 由于任何网络攻击行为或者网络病毒都会在网络上留指定的接收者 下痕迹因此我们根据所获得的网络层数据流分析出该数据利用NetFlow协议执行流量采集的系统分成3个部分 流的来源去向它的行为方式以及一定时间内发生频度等1产生NetFlow流量数据的路由器或者交换设备称为 信息通过和正常网络状况时的流量特征进行比较就能及时NetFlowDeviceNFD2用来采集流量数据的设备称 发现网络中异常的行为针对基于网络的异常攻击行为本为NetFlowCollectorDevice(NFCD)3利用NetFlow数据 文给出了一种利用NetFlow流量分析的网络攻击行为发现方进行各种数据分析和处理的设备称为NetFlowAnalyzer 法它利用Cisco公司开发的NetFlow交换协议提高了获取DeviceNFAD如图1 数据的性能通过对NetFlow流量数据的网络行为分布分析 和频度分析从中发现当前时刻的异常网络数据流不仅大 大减少了数据采集的丢包率同时也避免了由于对新型攻击 模式的不了解而产生的漏报将网络攻击控制在有限的时间 和空间范围内 1基于NetFlow协议的工作原理 NetFlow协议由Cisco公司开发是一种实现网络层高 性能交换的技术NetFlow协议工作方式是通过网络中的交 换设备采集所有当前经过的流数据并将其存放到自身的缓 存中然后按一定的格式发送给指定的服务器利用这种高 性能设备的流缓存FlowCache方式能很好地避免普通采图1NetFlow工作架构 集模式的丢包问题保证了数据采集的完整性下面分别从一般情况下直接使用运营网络承载NFD和NFCD之 两个方面阐述NetFlow协议的特点间的通信信息NFD与NFCD之间使用UDP通信网络上 1.1NetFlow协议架构可以存在数个NFD以及NFCD每个NFD可以在一个或多 NetFlow以流为数据统计的采集单位网络的流Flow个端口上启用NetFlow各个端口对穿越自身的流产生独立 是一个特定来源和目的端的单向数据报文序列也就是来源的统计数据一个NFCD可以收集多个NFD产生的流量数 IP目地IP来源Port目地Port和传输协议5个属性相同 的报文整合成一个流NetFlow协议的核心是对流缓存进行基金项目国家863计划基金资助项目2002AA142030 组织管理最终可提供遵循某种汇聚方法而得到流的统计作者简介杨嵘(1978)男硕士生研究方向计算机网络 数据其处理方法为在一定时间内将流中的数据报文按网络管理张国清CIO