·152-
科技论坛
气象网DMZ区突发事件的分类和检测分析
谢勇1全秋浩2陈需
（1、吉林省气象服务中心，吉林长春1300622、吉林省气象信息网络中心，吉林长春130062）
摘要：随着网络技术在气象领城的快建发展，气象网DMZ区的网络突发事件在不断增加，对气象业务的影响也来题大，对突发事件的分类和检测分析显得尤为重要。本文通过对气象网DMZ区典型的异常流量突发事件进行综合分析，总结出了儿种检测网络异常的实用方法
关键词：网络；流量分析；异常检测
网络突发事件是困扰网管员的棘手间题，尤其当气象网DMZ区出现异常时，往往会在短时间内造成通讯网络的拥塞，随之而来的丢包、延时和抖动等间题将导致业务整体摊资常规的网络监控手段通常仅能够看到突发现象，网管员出于安全考虑，会立即对DMZ区内所有设备限停，再逐一检测查找根源，这样虽能解除间题，但劳民伤财，所以，寻求好的分析方法是解决此类间题的关键
1异常突发事件带来的安全隐患
异常流量突发将直接导致网络拥塞，由于气象网DMZ区采用的是分组交换网络模式，所以业务网内的网络拥塞大多是由分组转发结点超载引起的。产生拥塞的原因很多，主要是由于网络中一个或若干个路由交换设备的数据负载相对它的承载能力过重，多余的数据包只能在缓存队列中堆载待发，从而造成严重的传输时延和抖动。在研究拥塞现象时，描述网络性能的指标主要有两个：Throughput(春吐量）、Response time(点对点时延).它们与offeredload(网络负载)有关，三者之间的关系可以用图1表示（上图表示春吐量，下图表示时延）：
显然，当Throughput(春吐量）达到Clifr(严重朗溃）时，Response time(时延）斜率增大，koadl(网络负载)几乎失去传输能力，形成deadlock(死锁)，固此，当流量在协商值内，网络春吐量是能保证的，一且溢出，则谨出部分会被缓冲基至拒绝，最终导致网络拥塞或崩溃。
2网络突发事件的实例分析
2.1突发事件判定。RED认为，Intemet的流量本身就有很大的突发性，短时间内振幅较大，运行一段时间后会自动下降到一个正常值。这属于正常情况，若是一直持续大流量突发，才称为异常流量,所以是否异常的关键在于：大流量突发事件持续时间的长短
2.2突发事件溯源。当确定网络拥塞时，首先要通过潮源的方式排查出源头，从而解开堵塞点：
2.2.1现象。气象网DMZ区出现访间和下载速度异常暖慢，服务网站报E0F出错，网速从200kh/s降至40b/s左右，整个DMZ区内面临着网络瘫换，分析原因有以下几种情况：aDMZ区的接人交换机故障；b防火墙安全设备故障；e.个别服务器中毒
2.2.2潮源。首先.排查现象a..找出故障机对应的交换机：通过DMZ 区的IP地址列表查找出接人交换机.该设备型号为BDCOMS2524.属于24口的千兆交换机.交换机指示灯外观显示正常：其次，排查现象b，检查交换机和防火墙的配置文件：排查思路：通过管理地址，登录到安全设备上查看配置文件，从而确定设备运行状态是否正常，然后进一步检查各增口流量是否异常，从中找出堵塞点实行抑包
2.3堵塞点处理。根据抓包软件我们找到了故障机，利用监控软件对其接入程序进行监控，图2可知,Java.exe进程发生异常，我们进一步
Knee
Throu ghput
Resp ense sise
Loed Loe
clirt
图1拥塞现象（congestion）
利用专杀软件分析攻击源，发现是病毒利用Javaexe 的软件漏洞进行Dos攻击所致，具体情况如下：
从扫描结果中我们发现，"sl安装挂起exe"是用于sl数据库部署的免重启插件，可以涨加为信任；lei exe文件的前身是leixt文件，属于气象短信网关的配置文件，目前无法打开，已经已被病毒感染；余下的 ipzexe 和 sottexeback 文
eeCeR 口国
en Da
ERRNESEESEIEO1S
图2流量监控结果
E
件，均为病毒文件。至此我们对两病毒文件进行了查杀，同时修复了软件BUG,再没监控到上述的异常流量突发现象
3突发事件的分类与检测 3.1异常流量分类
3.1.1网络行为：P2P等下载、恶意占用网络资源。P2P即点对点对等联网，可以从多个主机上分段分片下载资源,同时将有下载行为的主机转为服务站点，下载的资源作为种子继续上传，这种应用会恶意占用网络资源，从面致使网络拥塞。
3.12业务习惯：大量业务集中，网络资源拥挤。一般气象各类报文和格点数据的获取时间大多集中在15：30-17:00.该时段的网络看吐量非常大流量会达到峰值大量下载上传行为就会造成网络拥塞
3.13攻击行为：网络攻击的同时伴随着网络扫描。网络扫描是实施网络攻击的前奏，一般会主动地对打开的端口进行刺探，在单位时间内访间大量不间的目标IP或同一目标IP的所有开发端日，具有持续时间短，数据包量大等特点，而扫描的目的就是为了攻击。Ds攻击是最常见的一种攻击行为。
32检测方法的探讨：根据上述分析，我们发现网络异常都有一个共同点：各种异常流量行为通过对网络骨干的充斥使网络拥塞，造成网络丢包、时延增大，严重时可能造成网络牵，所以归纳出检测方法：
3.21设置流量图值，调整时间策略。CERNET目前规定：一个IP每天的国际流人量不能超过1G.超过1G的IP会给出生整。所以对DMZ 区内各业务机的流入量应予以控制，对有下载需求的主机设置自由阔值，而对于网站等可访间系统，可以设置静止阀值，从而有效避免网络资源浪费
3.22采用硬件防火墙的过滤技术。网管员可以根据各个业务的逻辑层配置IP包过滤表，利用防火墙对数据包的源地址、源端口、目的地址、目的端口等进行过滤，允许或阻拦来自或去往访间某些IP地址或端口，从而限制住某些主机、某些应用，阻断不合法的数据包。
3.23结合软件的统计检测技术。引入网络回溯分析系统，对过去一段时间业务区的网络情况进行检测，从得出的数据中判断间题所在，当用户行为的变化导致相应指标的持续、显著变化时，及时进行告警，此方法的优点是能发现阅值方法和防火墙过滤技术难以发现的间题
总之，网络维护离不开技术经验，善用网络工具，交流排障心得，是网管人员成功运维的关键。
参考文献
[1]李鹏，胃创柏基于流量分析的网络入侵检测浅析]中国科技信息， 2009(5 ):9091
[2]题五秀.异常流量对网络的影响及检测方法[科技信息，2008(33)： 491492.