基于NetFlow的协议识别.pdfVIP

基于NetFlow 的协议识别 1 1 1 1,2 任亚宁 ，吴鹏冲 ，黄小红 ，马严 1 北京邮电大学计算机科学技术学院，北京 (100876) 2 北京邮电大学信息网络中心，北京 (100876) E-mail：renyn@ 摘 要：NetFlow 可以提高网络中IP 流的信息，这些信息可以应用于多方面：网络管理，ISP 计费等。本文主要针对网络流量中的协议识别，并结合NetFlow 所提供的信息，给出了一种 基于NetFlow 的协议识别方案，包括传输层协议识别和应用层协议识别，并给出了系统的框 架、具体实现及结果。本文还比较了几种不同的协议识别方法在NetFlow 中的应用。 关键词：NetFLow ，协议识别，流量分析 1．引言 网络的快速发展和广泛应用给社会经济和生活带来了巨大变化，无论是对网络规 划、网络问题检测、网络使用情况报告还是对提高网络服务质量、检测异常流量来说，流量 的识别都是最基本的前提。近年来，网络流量在形式与种类上都较过去更加复杂，新的应用 协议不断涌现，这给流量识别提出新的挑战。设计针对流量的协议识别[6] ，并结合 NetFlow[1,2,3,4]能提供的详细网络流量信息，能很好地避免网络频宽及运算资源负担过重等优 点。本文主要提出了NetFlow在协议识别方面的应用。 2 ． NetFlow简介 NetFlow技术是Cisco公司开发的一套网络流量监测技术，它运行在路由器中动态地收集 经过路由器的流的信息，并向指定的目的端吐出这些数据。NetFlow 的部署结构如图1所示， 支持NetFlow 的路由器发送NetFlow数据到数据的接收端，接收端对这些数据进行分析，而管 理员则分析这些流的信息用于异常流量分析、网管、网络规划、计费等方面。 图 1 NetFlow 的部署结构 NetFlow 已经成为业界标准，其他路由器厂商如Juniper等也支持NetFlow ，还有一些开源 软件同样能产生NetFlow格式的数据，比如ntop 、NetflowExporter等。流记录被定义为“一段 时间内的某个观测点所通过的一系列分组(packet)” 。路由器每秒检查一次缓存来决定哪些流 过期,并定期通过UDP 的方式把这些过期的流发往指定的目的端。这些被封装的UDP分组包 含一个流头和若干条(不多于30)流记录。 3 ．协议识别简介 协议识别方案主要有3种：基于端口的协议识别、基于关键字的协议识别和基于流量的 [5] 协议识别 。 基于端口的协议识别使用IANA规定的固定端口号来进行相应的应用层协议识别，仅识 别固定端口的应用层协议．其优点是实现简单，消耗系统资源少．而缺点是对于识别采用随 机端口通信(如现在常用的BT软件) 的应用层协议和通过代理进行网络访问的流量却无能为 力．目前大多数协议识别及流量分析方案都采用此种方法。 基于关键字的协议识别实现方法：对每一个到来的数据包进行关键字有哪些信誉好的足球投注网站，精确匹配协 议中出现的关键字．FTP协议的识别是个很好的例子．其优点是匹配精确．而缺点是实现复 杂，对关键字匹配算法效率要求较高，另外为了识别后续的数据流需要保持连接的状态． 基于流量的协议识别利用各种不同的协议所造成的流量的差异来进行协议识别。例如， Web 流一般为短流小报文，而P2P 流一般为长流大报文。该算法要求事先有标准的训练集 可用，即要用已按各个协议分类的报文集合来训练识别器，使其在使用的过程中根据已知的 标准答案和新计算的流测度，按照某种判别算法得出当前流所属的类别。该算法在性能上低 于基于端口的方法，高于基于关键字的方法，但是这种方法目前还处于研究阶段，与实际应 用还有差距。 4 ．NetFlow系统的构建及结果 4 ．1系统的构建 NetFlow版本分为V1,V5,V