如发现有乱码，请点击下面链接浏览原文
正文摘录:

《现代电子技术》2006年第21期总第236期》通信与信息技术q利用NetFlow分析网络流量，具有方便、快捷、高效的特点，特别是在较大网络的管理中，NetFlow更能体现出其独特的优势，因此成为网络管理的重要手段与工具。3基于NetFlow的流量分析通过使用NetFlow可以获得许多与网络流量相关的统计信息。例如，流量的源／目的IP地址、源／目的端口号都会被记录下来，可以据此计算出每天／每小时每个IP的流量，了解哪些用户大量使用网络资源。通过其使用的TcP／uDP端口号，分析使用了哪些协议与应用程序，根据其IP地址作进一步分析，可以得到该用户完整的使用行为。根据几种知名软件所使用的端口号，可以分析用户是否使用P2P大量下载信息。通过对NetFlow流量数据的分析，还可发现用户的异常行为或某种攻击。如果病毒攻击或人为利用TCP／IP协议的漏洞恶意进行的攻击具有某种流特征，通过分析可以及时发现这种攻击”]。常见的攻击都具有一定的流特征：(1)不同的端口扫描攻击具有不同的特征：如TCP连接扫描异常流量的典型特征是数据包协议类型为6(TCP)，流大小为40B(通常为TCP的SYN连接请求)，源IP地址在不同流中大量重复出现；(2)蠕虫病毒的攻击有以下几点共性：攻击确定的端口，小时间段内产生大量数据包，数据包有固定的长度；(3)垃圾邮件具有以下的典型特征：数据包协议类型为6(TCP)，目的端口为25，源IP地址在不同流中大量重复出现；(4)拒绝服务(DOS)攻击可以利用TCP协议的缺陷，通过SYN打开半开的TCP连接，占用系统资源，使合法用户被排斥而不能建立正常连接。其流特征是同一源IP、一目的IP、目的端口在流中大量重复出现。由于IP协议本身的缺陷，包中的源地址是可以伪造的，现在很多[)oS工具可以伪装源地址，因此不易追踪到攻击源主机。分布式拒绝服务(DDoS)攻击把I=)oS攻击又发展了一步，将攻击行为自动化，可以协调多台计算机上的进程发起攻击。如果发起攻击的计算机在同一管理域内，通过对流量的数据流特征进行分析，可在一定程度上发现这种攻击。NetFlow流量数据还可用作帐务计算的基础数据。NetFlow所产生的数据除了源和目的地址外，还包含使用时间、传递的包数量与字节数量、端口号和其他相关数据等。采用基于流量的计费方式，用户对应IP的所有流量信息都被记录下来，可按照流量多少进行计费；同时还可对流量进行区分，分为国际流量、国内流量、域内流量分别计费；同时各类流量又有流入和流出之分，可对各种流量和时段设定不同费用邙0。通过使用NetFlow进行长期流量监测，可以了解网络与应用程序的使用情况，从而为网络进行升级评估与规划。利用监测数据判断是需要增加某个设备接口，升级某个节点效能，或是需要增加网络带宽，还是只要增加QoS机制，就能使关键应用程序在现有网络资源下满足使用者需求。为利用NetFlow实现网络的监控、测量和统计，必须在合适的路由器上配置合适的采集参数”]。例如，监控特定蠕虫病毒流特征的路由器，其流的输出周期应在合理范围内，输出周期太大，达不到病毒监控目的。又如，使用’NetFlow计费，不必在网络中的每台路由器上都打开Net—Flow，通常只需在边界路由器上进行设置。本文假设所有路由器都进行了合适的NetFlow配置。4NetFlow流量分析器的设计4.1NetFlow流量分析器的体系结构基于上述NetFlow协议原理与流量分析方法，本文设计了一种NetFlow流量分析器。其体系结构如图2所示。NetFlow流量分析器采用了B／S结构，基于’Web来实现。配置数据采用XMI。来完成，由于XML解析器是公共的代码，所以在图中并未表示。图2NetFlow流量分析器的体系结构下面分别讨论NetFlow流量分析器各个模块的功能。数据库数据库的表包括公用表和模块相关的表。公用表包括原始数据表和聚合数据表，模块相关的表指的是与实现各个模块功能相关的数据表。NetFlow流量采集模块实现对流量的采集。在指定端口监听和接收UDP数据包，解析数据并将数据入库；流量数据预处理模块完成数据的聚合。NetFlow上报的数据量非常大，如果不通过聚合手段对数据进行预先压缩，对硬件设备的性能要求将会非常高。例如可在一段时间△￡内，将源IP地址相同的流进行聚合，用作流量计费。聚合可以采用是分钟、”小时、优天结合的方式；是分钟、n小时的时间周期必须是天的约数，并且满足聚合方式走分钟一”小时一m天。聚合方式可以自由定义，例