Netflow 网络异常流量的监测原理

Netflow 网络异常流量的监测原理Netflow 对网络数据的采集具有大覆盖小成本的明显优势，在Netflow在安全领域的应用与传统的DPI的方式和系统扫描的方式，却有着明显的不同。

使得这类产品在定位和实现的功能上和传统大IDS／IPS也不一样。

Network Behavior Anomaly Detection（网络行为异常检测）是NetFlow安全的原理基础。

Netflow流量数据只能分析到协议的第四层，只能够分析到IP 地址、协议和端口号，但是受限制于无法进行包的内容分析，这样就无法得到网络中一些病毒、木马行为的报文特征。

它是从网络流量的行为特征的统计数据进行网络异常的判定的。

网络行为的异常很大一方面是对网络基线数据的违背，反应到一个监控网段范围，往往呈现的就是网络流量的激增和突减。

而在针对网络单个IP的监测的时候分析的是这单个IP来源或者目的IP流量的行为模式，TCP的流量模型等等来进行判断。

GenieATM对网络异常流量的NBAD的检测具体如下面三点：1.1流量异常(Traffic Anomaly) 侦测流量异常模型是将基线模板(Baseline Template)应用于使用者所设定的监测范围内（因特网、互联自治域、子网、路由器、服务器、interface、监测条件等多种模型），流量异常侦测模型主要凭借系统实时对网络中正常流量形成流量基线，再根据网络正常的网络流量模型来动态分析网络中的异常流量，以期最早时间发现网络中流量的激增和突减。

针对不同的网络监测范围，用户可使用定义不同的流量基线模板进行监控。

系统支持自动建立及更新流量基线，也允许管理员手动设定和调整基线的参数和取值期间，并排除某些受异常流量攻击的特定日列入计算，以免影响基线的准确性。

通过参数的设定，系统能根据对网络效能的影响，将网络异常流量的严重性分为多个等级，包括：正常、中度异常(yellow)、高度异常(red)，并允许使用者透过参数设定，对每个检测范围设定合适的参数。

netflow analyzer原理NetFlow Analyzer是一种用于网络流量分析的工具，可以帮助网络管理员监控和管理网络流量。

它的原理是通过收集和分析网络设备上的NetFlow数据，提供实时的流量统计和分析报告。

NetFlow是一种由思科开发的网络流量记录和分析技术，它可以在网络设备上捕获流经设备的数据包，并将相关信息记录下来。

这些信息包括源IP地址、目的IP地址、源端口、目的端口、协议类型、数据包数量、数据包大小等。

NetFlow Analyzer通过解析这些信息，可以得到关于网络流量的详细信息，包括流量的来源、目的地、协议、端口等。

NetFlow Analyzer的工作原理可以分为三个主要步骤：数据收集、数据分析和报告生成。

首先，它通过与网络设备进行通信，收集和获取NetFlow数据。

这些数据可以通过网络设备上的NetFlow功能或者通过配置路由器、交换机等设备来获取。

一旦数据被获取到，NetFlow Analyzer会对这些数据进行解析和分析。

在数据分析阶段，NetFlow Analyzer会对收集到的NetFlow数据进行处理和分析。

它会根据设定的规则和算法，对流量数据进行分类和统计。

例如，可以根据源IP地址或目的IP地址对流量进行分类，统计每个IP地址的流量量；也可以根据端口号或协议类型对流量进行分类，统计每个端口或协议的流量量。

通过对这些数据的分析，可以得到网络流量的整体情况和特征。

在报告生成阶段，NetFlow Analyzer会根据分析得到的结果生成报告。

报告可以以图表、表格等形式展示，并提供详细的统计数据和分析结果。

这些报告可以帮助网络管理员了解网络的使用情况，发现异常流量和网络瓶颈，并采取相应的措施进行优化和改进。

NetFlow Analyzer的原理和功能使其成为网络管理和安全监控的重要工具。

通过实时监控网络流量，可以及时发现和解决网络问题，提高网络的性能和可靠性。

网络流量分析NetFlow协议解析网络流量分析在网络安全和性能监控中起着重要的作用。

而NetFlow协议作为其中一种流量分析的关键工具，在网络管理领域中被广泛应用。

本文将对NetFlow协议进行详细解析，介绍其原理、功能和应用。

一、NetFlow协议简介NetFlow协议是由思科公司于1996年推出的一种网络流量分析技术。

它能够提供流量统计、流量分析和流量监控等功能。

NetFlow协议通过在路由器和交换机上收集、处理和导出流量数据，为网络管理员提供实时的流量信息和网络性能的评估。

二、NetFlow协议的工作原理NetFlow协议的工作原理可以分为三个阶段：数据收集、数据处理和数据导出。

1. 数据收集在网络中的路由器和交换机上，通过配置使其能够将经过设备的流量数据进行收集。

NetFlow支持两种收集方式：Full Flow和Sampled Flow。

Full Flow是指完整地收集每一个流量数据进行处理；Sampled Flow是指以一定的频率采样流量数据进行处理，减少处理开销。

2. 数据处理收集到的流量数据会经过设备内部的处理引擎进行处理。

处理引擎会提取关键信息，如源IP地址、目的IP地址、源端口、目的端口、协议类型等，并基于这些信息生成流记录。

3. 数据导出处理后的流记录会根据配置的规则进行导出。

导出方式有两种：NetFlow v5和NetFlow v9。

NetFlow v5是早期版本，具有广泛的兼容性；NetFlow v9则是最新版本，支持更多的字段，并且具有灵活的配置能力。

三、NetFlow协议的功能NetFlow协议具有以下几个主要功能：1. 流量统计NetFlow可以对流量进行实时统计，包括流量量、带宽利用率、流量峰值等。

这些统计数据可以帮助网络管理员了解网络的负载情况，有助于进行容量规划和性能优化。

2. 流量分析通过对收集到的流量数据进行分析，NetFlow可以帮助管理员发现网络中的异常情况和潜在安全威胁。

第38卷 增刊 电 子 科 技 大 学 学 报 V ol.38 Suppl2009年11月 Journalof University of Electronic Science and Technology of China Nov. 2009 采用Netflow 数据的典型异常流量检测方法田 杨，王 宏，陈晓梅(国防科技大学计算机学院 长沙 410073)【摘要】基于Netflow 数据提出了根据流量特征进行异常检测的方法；分析了造成异常流量的DDoS 和端口扫描的流量特征两种网络攻击行为；并根据其特征进行用户可控的实时异常流量检测，给出告警，报告异常的时空坐标。

用户可以调整自己的参数设置，在计算时间和空间上平衡自己的参数，得到满意的结果。

采用Web 形式和CS 架构模式进行异常监控的实时显示，用户可以实时地在任何连接到服务器的主机设置参数和查看检测结果。

关 键 词 DdoS; 流量特征; netflow; 端口扫描; 实时检测中图分类号 TP393 文献标识码 A doi:10.3969/j.issn.1001-0548.2009.z1.009Typical Traffic Abnormal Detection Based on NetflowTIAN Yang, WANG Hong, and CHEN Xiao-mei(School of Computer, National University of Defence Technology Changsha 410073)Abstract The paper presents a method based on Netflow data and flow’s character to detect abnormal activities in the network. Two behaviors which induce abnormal activities: the properties of DDoS and port scan’s flows are analyzed. And abnormal flows in real time according to the user’s setup is detected, then alert the user and show the abnormal activities coordinates of the time-space. User can balance the time and space’s parameters to get satisfactory result. The CS model on Web is used to detect abnormal flows in real time, the users who connect to the server can setup the parameters and get the result.Key words DDoS; flow character; netflow; port scaning; real time detecting收稿日期： 2009 − 09 − 15作者简介：田 杨(1983 − )，男，硕士，主要从事计算机网络安全方面的研究.网络异常流量是指网络的流量行为偏离其正常行为的情形，引起网络流量异常的原因很多，如网络设备的软硬件异常、网络操作异常、闪现拥挤(flash crowd)、网络攻击行为等。

Netflow网络流量分析手册Netflow网络流量分析手册作者：聂晓亮（毛蛋哥）目录一、作者简介 (4)二、为什么会有这本书 (5)三、流量分析原理 (6)(一)原始流量分析方式 (6)(二)Netflow分析方式 (6)四、流量采样 (8)(一)在网络设备上开启Netflow功能 (8)(二)网络设备不支持Netflow (9)1.部署方式 (9)2.安装Fprobe (11)3.启动Fprobe (11)4.镜像流量至Fprobe服务器 (12)5.检测是否收到Netflow数据 (12)五、部署服务器 (13)(一)硬件需求 (13)(二)安装FreeBSD (13)(三)安装Nfsen (14)1.安装apache22 (14)2.安装php5 (14)3.安装nfsen (15)(四)安装PortTracker (15)(五)访问Nfsen (16)六、抓贼攻略 (18)(一)了解网络运行状况 (18)(二)什么协议吞了带宽 (22)(三)抓出罪魁祸首 (25)七、感谢 (30)一、作者简介本书作者聂晓亮，网名毛蛋哥。

2004年毕业于北京联合大学信息工程学院，热爱网络相关知识及摄影，机缘巧合参加了Cisco认证培训，并获得了一些成绩。

本书写于2008年10月，作者目前状态工作较为舒适，故有空闲时间完成此书。

聂晓亮（毛蛋哥）拥有自己的Blog及Wiki空间，其中记录了作者的工作、生活、学习。

作者希望通过此书以及Blog、Wiki同全世界的网络爱好者分享其知识与快乐。

聂晓亮（毛蛋哥）的Blog：聂晓亮（毛蛋哥）的Wiki：欢迎交流：********************二、为什么会有这本书在工作的几年当中，经常有朋友和一些网友问我一些关于流量分析的问题，诸如：●我们局域网怎么这么慢，是不是有人在下BT？●192.168.0.1也没人用，怎么网卡疯狂闪烁，它在做什么？●老板让我查查服务器为什么总是那么大流量，可我不知道从何下手。

一、前言近年来，随着互联网在全球的迅速发展和各种互联网应用的快速普及，互联网已成为人们日常工作生活中不可或缺的信息承载工具。

然而，伴随着互联网的正常应用流量，网络上形形色色的异常流量也随之而来，影响到互联网的正常运行，威胁用户主机的安全和正常使用。

本文从互联网运营商的视角，对互联网异常流量的特征进行了深入分析，进而提出如何在网络层面对互联网异常流量采取防护措施，其中重点讲述了NetFlow分析在互联网异常流量防护中的应用及典型案例。

二、NetFlow简介本文对互联网异常流量的特征分析主要基于NetFlow数据，因此首先对NetFlow做简单介绍。

1. NetFlow概念NetFlow是一种数据交换方式，其工作原理是：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow 缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow 缓存同时包含了随后数据流的统计信息。

一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流，且所有数据包具有共同的传输层源、目的端口号。

2. NetFlow数据采集针对路由器送出的NetFlow数据，可以利用NetFlow数据采集软件存储到服务器上，以便利用各种NetFlow数据分析工具进行进一步的处理。

Cisco提供了Cisco NetFlow Collector（NFC）采集NetFlow数据，其它许多厂家也提供类似的采集软件。

下例为利用NFC2.0采集的网络流量数据实例：211.*.*.57|202.*.*.12|Others|localas|9|6|2392|80|80|1|40|1出于安全原因考虑，本文中出现的IP地址均经过处理。

NetFlow数据也可以在路由器上直接查看，以下为从Cisco GSR路由器采集的数据实例，：gsr #att 2 （登录采集NetFlow数据的GSR 2槽板卡）LC-Slot2>sh ip cache flowSrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP PktsGi2/1 219.*.*.229 PO4/2 217.*.*.228 06 09CB 168D 2Gi2/1 61.*.*.23 Null 63.*.*.246 11 0426 059A 1本文中的NetFlow数据分析均基于NFC采集的网络流量数据，针对路由器直接输出的Neflow数据，也可以采用类似方法分析。