Netflow 网络异常流量的监测原理

Netflow 网络异常流量的监测原理

Netflow 对网络数据的采集具有大覆盖小成本的明显优势，在Netflow在安全领域的应用与传统的DPI的方式和系统扫描的方式，却有着明显的不同。使得这类产品在定位和实现的功能上和传统大IDS／IPS也不一样。

Network Behavior Anomaly Detection（网络行为异常检测）是NetFlow安全的原理基础。Netflow流量数据只能分析到协议的第四层，只能够分析到IP 地址、协议和端口号，但是受限制于无法进行包的内容分析，这样就无法得到网络中一些病毒、木马行为的报文特征。它是从网络流量的行为特征的统计数据进行网络异常的判定的。

网络行为的异常很大一方面是对网络基线数据的违背，反应到一个监控网段范围，往往呈现的就是网络流量的激增和突减。而在针对网络单个IP的监测的时候分析的是这单个IP来源或者目的IP流量的行为模式，TCP的流量模型等等来进行判断。GenieATM对网络异常流量的NBAD的检测具体如下面三点：

1.1流量异常(Traffic Anomaly) 侦测

流量异常模型是将基线模板(Baseline Template)应用于使用者所设定的监测范围内（因特网、互联自治域、子网、路由器、服务器、interface、监测条件等多种模型），流量异常侦测模型主要凭借系统实时对网络中正常流量形成流量基线，再根据网络正常的网络流量模型来动态分析网络中的异常流量，以期最早时间发现网络中流量的激增和突减。针对不同的网络监测范围，用户可使用定义不同的流量基线模板进行监控。系统支持自动建立及更新流量基线，也允许管理员手动设定和调整基线的参数和取值期间，并排除某些受异常流量攻击的特定日列入计算，以免影响基线的准确性。通过参数的设定，系统能根据对网络效能的影响，将网络异常流量的严重性分为多个等级，包括：正常、中度异常(yellow)、高度异常(red)，并允许使用者透过参数设定，对每个检测范围设定合适的参数。

根据不同的网络范围，也提供不同监测模板让用户选择，从模板的部分可设定各种流量监测的临界值，不同的网络边界可设定不同的流量监测临界值。模板的类型有系统开发、用户自定义以及自动学习三种。此外，系统也提供多种单位，方便用户选择。

异常发生后，系统将自动分析当时的流量特征，并可藉由异常查看器读取这些讯息(参

阅下方图6.2)，包含细部图形与发生的时间区块、来源地址与目的地址分析、协议与端口号分析、网络界面分析等。

图6.2 客户网流量异常产生ACL与流量快照

1.2 协议滥用异常(Protocol-Misuse Anomaly) 侦测

即使在流量不大的情况下，对于网络中常见的DoS/DDoS攻击和协议滥用，GenieATM 也能透过系统内建的攻击流量模式定义比对流量，并配合检测基线参数的检查，有效发现网络上的攻击流量。目前GenieATM系统内建协议滥用异常的攻击流量模式定义(Protocol-Misuse Anomaly Definition)，详列如下：

ICMP Misuse 大量发送的ICMP封包，超过了临界值

IP Protocol Null IP Protocol = 0的异常流量

TCP Flag Null or Misuse 透过比对通讯协议TCP，发现TCP Flag = 0，或其他SYN+FIN, SYN+RST, FIN 与ACK及RST等使用异常

Land Attack 来源IP地址等于目地的IP地址

TCP Fragment TCP通讯协议封包，来源端埠号及目的端埠号等

于0

UDP Fragment UDP通讯协议封包，来源端埠号及目的端埠号等

于0

UDP Flooding 大量发送UDP的封包，超过了临界值

TCP SYN Flooding 大量发送的TCP SYN 封包，超过了临界值

TCP RST Flooding 大量发送的TCP RST 封包，超过了临界值

Host Total Traffic 对某台主机大量发送的流量，超过了临界值

用户可在“网络> 异常> 协议滥用异常”中自行设定：包含启用与否、判定是否为攻击的测试时间和在上述的协议滥用侦测类型的警戒值(参阅图 6.5)。此外，用户可针对客户网与外部网络设定不同的协议异常滥用的阈值，使网络管理更加方便。

图6.5 设定协议异常临界值

在异常查看器报表中，可针对协议滥用，作更进一步的侦测(参阅图6.6)，包含细部图形与发生的时间区块、被攻击的IP主机地址、流量特征(如：协议与端口号/TCP Flag)、路由器接口的攻击流量分析等，还可针对特定的IP产生ACL档案，供路由器作流量管控，将被攻击的IP讯息送至流量清洗设备，以隔绝攻击流量，或对发生协议滥用的计算机执行实时流量快照。

图6.6 异常事件的详细分析

1.3 网络应用异常(Application Anomaly/Signature) 侦测

GenieATM系统提供的第三种侦测模型是网络应用异常(Application Anomaly)。系统可以封包长度、联机封包数、联机位数、通讯协议、端口号、TCP Flag、TOS值、网络非法地址(Dark IP Address)、及网络地址(Prefix)等流量特征，进行定义比对的异常流量侦测模型，用以支持针对网络蠕虫（病毒）与DoS/DDoS攻击特性所设计的特征比对，侦测已知的网络攻击。除系统内建的攻击特征定义外(如MS Blaster、Sasser、Code Red、SQL Slammer 等)，使用者也可手动增加/修改攻击/病毒的特征信息。

此外，系统会自动透过BGP路由表的查找或是系统管理员的设定，检

测该流量的来源或目地的IP地址是否为网络非法地址(Dark IP Address)。值得注意的是，GenieATM系统能自动地透过「本域网络(Home Network)」中的设定检验，判断某地址是否为网络非法地址或是网络运营商所分发的私

有地址(Private Address)，并能产生网络非法地址区块的异常流量报告。

用户可在“网络> 异常> 网络应用异常” 中自行设定，包含启用与否、以持续时间判定是否为攻击、和警戒阈值。对某些蠕虫攻击，在网络应用异常中，也可针对某些已知蠕虫特性(Code Red、SQL Slammer)作设定与防护(例如某些特定已知的埠号攻击或封包长度)。

图6.7 针对流量特性判定为异常或攻击

在“状态> 异常查看器”中还可针对网络应用异常，作更进一步的侦测(参阅图6.8)，包含细部图形与发生的时间区块，除此之外，在更精细的数据中可针对特定IP产生ACL档案，或是对发生网络应用异常的计算机执行实时流量快照。