【摘 要】计算机网络流量监控已经成为网络安全管理的重要手段,本文介绍了通过深度报文检测技术来优化网络流量监控,同时完成模型的设计和技术实现,通过测试说明,本网络流量模型设计能够达到优化网络流量设计的目的。
【关键词】RAT 流量监控 流量分析
随着计算机网络的快速发展和普及,网络流量监控分析受到越来越多的关注。高效合理地运行网络流量实时监控分析系统,可在最短时间内发现安全威胁,并在第一时间进行分析,确定攻击源。网络流量监控分析的基础是协议识别技术,目前的主要方法有常用端口识别、深度报文检测DPI、深度流检测DFI,以及这几种方法的混合。
DPI技术是一种基于特征字的识别技术,可根据不同协议的特征来检测和识别出具体的应用协议。DPI具有检测准确率高、原理相对简单、实现速度快等多个优点,因而具有较为广泛的应用。本文介绍的网络流量实时监控分析系统(以下简称RT-TMA,Real-Time network Traffic Monitor and Analysis system)就是采用DPI技术来实现协议识别的。
网络流量监测模块设计
底层协议分析模块:OSI模型由7层网络协议共同组成,数据是经过封装之后由上至下传送的。因此,对网络协议进行分析也需要由上至下实施。例如,对网络层、链路层的传输协议进行分析识别之后重组协议,将协议头部内包含的数据信息传递给上层分析,由此持续到网络传输层,都以协议包头信息对其进行分析处理,这也是重组会话的基础。
重组会话模块:由于网络传输必然会存在数据丢失、位置错误等问题,数据包也是经过不同的网络传输路径到达用户终端,到达时数据包的顺序很可能会发生变化。在数据包传输过程中,主要由网络协议对其进行有效控制,一旦出现数据包丢失等情况,系统会自动重新发送数据包,由此,会话重组必须可以应付数据包错序和重新传输的问题,以实现会话重组的高效率。
网络协议识别模块:计算机网络流量实时监控系统的核心是网络协议识别引擎,HTTP传输协议、P2P传输协议等都是基于网络协议识别引擎基础上实现的。网络协议识别引擎可以利用其特征与会话重组
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
