㈠ 「宏觀網路流量」的定義是什麼有哪些異常檢測方法
一種互聯網宏觀流量異常檢測方法(2007-11-7 10:37) 摘要:網路流量異常指網路中流量不規則地顯著變化。網路短暫擁塞、分布式拒絕服務攻擊、大范圍掃描等本地事件或者網路路由異常等全局事件都能夠引起網路的異常。網路異常的檢測和分析對於網路安全應急響應部門非常重要,但是宏觀流量異常檢測需要從大量高維的富含雜訊的數據中提取和解釋異常模式,因此變得很困難。文章提出一種分析網路異常的通用方法,該方法運用主成分分析手段將高維空間劃分為對應正常和異常網路行為的子空間,並將流量向量影射在正常子空間中,使用基於距離的度量來檢測宏觀網路流量異常事件。公共互聯網正在社會生活的各個領域發揮著越來越重要的作用,與此同時,由互聯網的開放性和應用系統的復雜性所帶來的安全風險也隨之增多。2006年,國家計算機網路應急技術處理協調中心(CNCERT/CC)共接收26 476件非掃描類網路安全事件報告,與2005年相比增加2倍,超過2003—2005年3年的總和。2006年,CNCERT/CC利用部署的863-917網路安全監測平台,抽樣監測發現中國大陸地區約4.5萬個IP地址的主機被植入木馬,與2005年同期相比增加1倍;約有1千多萬個IP地址的主機被植入僵屍程序,被境外約1.6萬個主機進行控制。黑客利用木馬、僵屍網路等技術操縱數萬甚至上百萬台被入侵的計算機,釋放惡意代碼、發送垃圾郵件,並實施分布式拒絕服務攻擊,這對包括骨幹網在內的整個互聯網網路帶來嚴重的威脅。由數萬台機器同時發起的分布式拒絕服務攻擊能夠在短時間內耗盡城域網甚至骨幹網的帶寬,從而造成局部的互聯網崩潰。由於政府、金融、證券、能源、海關等重要信息系統的諸多業務依賴互聯網開展,互聯網骨幹網路的崩潰不僅會帶來巨額的商業損失,還會嚴重威脅國家安全。據不完全統計,2001年7月19日爆發的紅色代碼蠕蟲病毒造成的損失估計超過20億美元;2001年9月18日爆發的Nimda蠕蟲病毒造成的經濟損失超過26億美元;2003年1月爆發的SQL Slammer蠕蟲病毒造成經濟損失超過12億美元。針對目前互聯網宏觀網路安全需求,本文研究並提出一種宏觀網路流量異常檢測方法,能夠在骨幹網路層面對流量異常進行分析,在大規模安全事件爆發時進行快速有效的監測,從而為網路防禦贏得時間。1 網路流量異常檢測研究現狀在骨幹網路層面進行宏觀網路流量異常檢測時,巨大流量的實時處理和未知攻擊的檢測給傳統入侵檢測技術帶來了很大的挑戰。在流量異常檢測方面,國內外的學術機構和企業不斷探討並提出了多種檢測方法[1]。經典的流量監測方法是基於閾值基線的檢測方法,這種方法通過對歷史數據的分析建立正常的參考基線范圍,一旦超出此范圍就判斷為異常,它的特點是簡單、計算復雜度小,適用於實時檢測,然而它作為一種實用的檢測手段時,需要結合網路流量的特點進行修正和改進。另一種常用的方法是基於統計的檢測,如一般似然比(GLR)檢測方法[2],它考慮兩個相鄰的時間窗口以及由這兩個窗口構成的合並窗口,每個窗口都用自回歸模型擬合,並計算各窗口序列殘差的聯合似然比,然後與某個預先設定的閾值T 進行比較,當超過閾值T 時,則窗口邊界被認定為異常點。這種檢測方法對於流量的突變檢測比較有效,但是由於它的閾值不是自動選取,並且當異常持續長度超過窗口長度時,該方法將出現部分失效。統計學模型在流量異常檢測中具有廣闊的研究前景,不同的統計學建模方式能夠產生不同的檢測方法。最近有許多學者研究了基於變換域進行流量異常檢測的方法[3],基於變換域的方法通常將時域的流量信號變換到頻域或者小波域,然後依據變換後的空間特徵進行異常監測。P. Barford等人[4]將小波分析理論運用於流量異常檢測,並給出了基於其理論的4類異常結果,但該方法的計算過於復雜,不適於在高速骨幹網上進行實時檢測。Lakhina等人[5-6]利用主成分分析方法(PCA),將源和目標之間的數據流高維結構空間進行PCA分解,歸結到3個主成分上,以3個新的復合變數來重構網路流的特徵,並以此發展出一套檢測方法。此外還有一些其他的監測方法[7],例如基於Markov模型的網路狀態轉換概率檢測方法,將每種類型的事件定義為系統狀態,通過過程轉換模型來描述所預測的正常的網路特徵,當到來的流量特徵與期望特徵產生偏差時進行報警。又如LERAD檢測[8],它是基於網路安全特徵的檢測,這種方法通過學習得到流量屬性之間的正常的關聯規則,然後建立正常的規則集,在實際檢測中對流量進行規則匹配,對違反規則的流量進行告警。這種方法能夠對發生異常的地址進行定位,並對異常的程度進行量化。但學習需要大量正常模式下的純凈數據,這在實際的網路中並不容易實現。隨著宏觀網路異常流量檢測成為網路安全的技術熱點,一些廠商紛紛推出了電信級的異常流量檢測產品,如Arbor公司的Peakflow、GenieNRM公司的GenieNTG 2100、NetScout公司的nGenius等。國外一些研究機構在政府資助下,開始部署宏觀網路異常監測的項目,並取得了較好的成績,如美國研究機構CERT建立了SiLK和AirCERT項目,澳大利亞啟動了NMAC流量監測系統等項目。針對宏觀網路異常流量監測的需要,CNCERT/CC部署運行863-917網路安全監測平台,採用分布式的架構,能夠通過多點對骨幹網路實現流量監測,通過分析協議、地址、埠、包長、流量、時序等信息,達到對中國互聯網宏觀運行狀態的監測。本文基於863-917網路安全監測平台獲取流量信息,構成監測矩陣,矩陣的行向量由源地址數量、目的地址數量、傳輸控制協議(TCP)位元組數、TCP報文數、數據報協議(UDP)位元組數、UDP報文數、其他流量位元組數、其他流量報文書、WEB流量位元組數、WEB流量報文數、TOP10個源IP占總位元組比例、TOP10個源IP占總報文數比例、TOP10個目的IP占總位元組數比例、TOP10個目的IP占總報文數比例14個部分組成,系統每5分鍾產生一個行向量,觀測窗口為6小時,從而形成了一個72×14的數量矩陣。由於在這14個觀測向量之間存在著一定的相關性,這使得利用較少的變數反映原來變數的信息成為可能。本項目採用了主成份分析法對觀測數據進行數據降維和特徵提取,下面對該演算法的工作原理進行介紹。 2 主成分分析技術主成分分析是一種坐標變換的方法,將給定數據集的點映射到一個新軸上面,這些新軸稱為主成分。主成分在代數學上是p 個隨機變數X 1, X 2……X p 的一系列的線性組合,在幾何學中這些現線性組合代表選取一個新的坐標系,它是以X 1,X 2……X p 為坐標軸的原來坐標系旋轉得到。新坐標軸代表數據變異性最大的方向,並且提供對於協方差結果的一個較為簡單但更精練的刻畫。主成分只是依賴於X 1,X 2……X p 的協方差矩陣,它是通過一組變數的幾個線性組合來解釋這些變數的協方差結構,通常用於高維數據的解釋和數據的壓縮。通常p 個成分能夠完全地再現全系統的變異性,但是大部分的變異性常常能夠只用少量k 個主成分就能夠說明,在這種情況下,這k 個主成分中所包含的信息和那p 個原變數做包含的幾乎一樣多,於是可以使用k 個主成分來代替原來p 個初始的變數,並且由對p 個變數的n 次測量結果所組成的原始數據集合,能夠被壓縮成為對於k 個主成分的n 次測量結果進行分析。運用主成分分析的方法常常能夠揭示出一些先前不曾預料的關系,因而能夠對於數據給出一些不同尋常的解釋。當使用零均值的數據進行處理時,每一個主成分指向了變化最大的方向。主軸以變化量的大小為序,一個主成分捕捉到在一個軸向上最大變化的方向,另一個主成分捕捉到在正交方向上的另一個變化。設隨機向量X '=[X 1,X 1……X p ]有協方差矩陣∑,其特徵值λ1≥λ2……λp≥0。考慮線性組合:Y1 =a 1 'X =a 11X 1+a 12X 2……a 1pX pY2 =a 2 'X =a 21X 1+a 22X 2……a 2pX p……Yp =a p'X =a p 1X 1+a p 2X 2……a p pX p從而得到:Var (Yi )=a i' ∑a i ,(i =1,2……p )Cov (Yi ,Yk )=a i '∑a k ,(i ,k =1,2……p )主成分就是那些不相關的Y 的線性組合,它們能夠使得方差盡可能大。第一主成分是有最大方差的線性組合,也即它能夠使得Var (Yi )=a i' ∑a i 最大化。我們只是關注有單位長度的系數向量,因此我們定義:第1主成分=線性組合a 1'X,在a1'a 1=1時,它能夠使得Var (a1 'X )最大;第2主成分=線性組合a 2 'X,在a2'a 2=1和Cov(a 1 'X,a 2 'X )=0時,它能夠使得Var (a 2 'X )最大;第i 個主成分=線性組合a i'X,在a1'a 1=1和Cov(a i'X,a k'X )=0(k<i )時,它能夠使得Var (a i'X )最大。由此可知主成分都是不相關的,它們的方差等於協方差矩陣的特徵值。總方差中屬於第k個主成分(被第k個主成分所解釋)的比例為:如果總方差相當大的部分歸屬於第1個、第2個或者前幾個成分,而p較大的時候,那麼前幾個主成分就能夠取代原來的p個變數來對於原有的數據矩陣進行解釋,而且信息損失不多。在本項目中,對於一個包含14個特徵的矩陣進行主成分分析可知,特徵的最大變化基本上能夠被2到3個主成分捕捉到,這種主成分變化曲線的陡降特性構成了劃分正常子空間和異常子空間的基礎。3 異常檢測演算法本項目的異常流量檢測過程分為3個階段:建模階段、檢測階段和評估階段。下面對每個階段的演算法進行詳細的介紹。3.1 建模階段本項目採用滑動時間窗口建模,將當前時刻前的72個樣本作為建模空間,這72個樣本的數據構成了一個數據矩陣X。在試驗中,矩陣的行向量由14個元素構成。主成份分為正常主成分和異常主成份,它們分別代表了網路中的正常流量和異常流量,二者的區別主要體現在變化趨勢上。正常主成份隨時間的變化較為平緩,呈現出明顯的周期性;異常主成份隨時間的變化幅度較大,呈現出較強的突發性。根據采樣數據,判斷正常主成分的演算法是:依據主成分和采樣數據計算出第一主成分變數,求第一主成分變數這72個數值的均值μ1和方差σ1,找出第一主成分變數中偏離均值最大的元素,判斷其偏離均值的程度是否超過了3σ1。如果第一主成分變數的最大偏離超過了閾值,取第一主成份為正常主成分,其他主成份均為異常主成分,取主成份轉換矩陣U =[L 1];如果最大偏離未超過閾值,轉入判斷第下一主成分,最後取得U =[L 1……L i -1]。第一主成份具有較強的周期性,隨後的主成份的周期性漸弱,突發性漸強,這也體現了網路中正常流量和異常流量的差別。在得到主成份轉換矩陣U後,針對每一個采樣數據Sk =xk 1,xk 2……xk p ),將其主成份投影到p維空間進行重建,重建後的向量為:Tk =UU T (Sk -X )T計算該采樣數據重建前與重建後向量之間的歐氏距離,稱之為殘差:dk =||Sk -Tk ||根據采樣數據,我們分別計算72次采樣數據的殘差,然後求其均值μd 和標准差σd 。轉換矩陣U、殘差均值μd 、殘差標准差σd 是我們構造的網路流量模型,也是進行流量異常檢測的前提條件。 3.2 檢測階段在通過建模得到網路流量模型後,對於新的觀測向量N,(n 1,n 2……np ),採用與建模階段類似的分析方法,將其中心化:Nd =N -X然後將中心化後的向量投影到p維空間重建,並計算殘差:Td =UUTNdTd =||Nd -Td ||如果該觀測值正常,則重建前與重建後向量應該非常相似,計算出的殘差d 應該很小;如果觀測值代表的流量與建模時發生了明顯變化,則計算出的殘差值會較大。本項目利用如下演算法對殘差進行量化:3.3 評估階段評估階段的任務是根據當前觀測向量的量化值q (d ),判斷網路流量是否正常。根據經驗,如果|q (d )|<5,網路基本正常;如果5≤|q (d )|<10,網路輕度異常;如果10≤|q (d )|,網路重度異常。4 實驗結果分析利用863-917網路安全監測平台,對北京電信骨幹網流量進行持續監測,我們提取6小時的觀測數據,由於篇幅所限,我們給出圖1—4的時間序列曲線。由圖1—4可知單獨利用任何一個曲線都難以判定異常,而利用本演算法可以容易地標定異常發生的時間。本演算法計算結果如圖5所示,異常發生時間在圖5中標出。我們利用863-917平台的回溯功能對於異常發生時間進行進一步的分析,發現在標出的異常時刻,一個大規模的僵屍網路對網外的3個IP地址發起了大規模的拒絕服務攻擊。 5 結束語本文提出一種基於主成分分析的方法來劃分子空間,分析和發現網路中的異常事件。本方法能夠准確快速地標定異常發生的時間點,從而幫助網路安全應急響應部門及時發現宏觀網路的流量異常狀況,為迅速解決網路異常贏得時間。試驗表明,我們採用的14個特徵構成的分析矩陣具有較好的識別准確率和分析效率,我們接下來將會繼續尋找更具有代表性的特徵來構成數據矩陣,並研究更好的特徵矩陣構造方法來進一步提高此方法的識別率,並將本方法推廣到短時分析中。6 參考文獻[1] XU K, ZHANG Z L, BHATTACHARYYA S. Profiling Internet backbone traffic: Behavior models and applications [C]// Proceedings of ACM SIGCOMM, Aug 22- 25, 2005, Philadelphia, PA, USA. New York, NY,USA:ACM,2005:169-180.[2] HAWKINS D M, QQUI P, KANG C W. The change point model for statistical process control [J]. Journal of Quality Technology,2003, 35(4).[3] THOTTAN M, JI C. Anomaly detection in IP networks [J]. IEEE Transactions on Signal Processing, 2003, 51 )8):2191-2204.[4] BARFORD P, KLINE J, PLONKA D, et al. A signal analysis of network traffic anomalies [C]//Proceedings of ACM SIGCOMM Intemet Measurement Workshop (IMW 2002), Nov 6-8, 2002, Marseilles, France. New York, NY,USA:ACM, 2002:71-82.[5] LAKHINA A, CROVELLA M, DIOT C. Mining anomalies using traffic feature distributions [C]// Proceedings of SIGCOMM, Aug 22-25, 2005, Philadelphia, PA, USA. New York, NY,USA: ACM, 2005: 217-228.[6] LAKHINA A, CROVELLA M, DIOT C. Diagnosing network-wide traffic anomalies [C]// Proceedings of ACM SIGCOMM, Aug 30 - Sep 3, 2004, Portland, OR, USA. New York, NY,USA: ACM, 2004: 219-230.[7] SCHWELLER R, GUPTA A, PARSONS E, et al. Reversible sketches for efficient and accurate change detection over network data streams [C]//Proceedings of ACM SIGCOMM Internet Measurement Conference (IMC』04), Oct 25-27, 2004, Taormina, Sicily, Italy. New York, NY,USA: ACM, 2004:207-212.[8] MAHONEY M V, CHAN P K. Learning rules for anomaly detection of hostile network traffic [C]// Proceedings of International Conference on Data Mining (ICDM』03), Nov 19-22, Melbourne, FL, USA . Los Alamitos, CA, USA: IEEE Computer Society, 2003:601-604.
㈡ 網路流量和流量監控與分析
掌控者網路監控軟體——內網版
一、 功能列表:
移動存儲設備管理
安全審計、上網行為管理
電子文檔控管、數據防泄密
IT資產管理、補丁管理
網路維護、流控管理
身份認證、接入控制
二、移動存儲設備管理:
控制是否可以使用移動存儲設備,支持分組、分個人、分時段。
分組、分個人、分時段注冊移動存儲設備,對移動存儲設備存儲區域進行加密處理。
對移動存儲設備生物取樣指紋鑒別,控制設備的讀寫許可權。
對移動存儲設備的插拔、在設備中讀取、訪問、新建、修改、剪切、復制、重命名、移動、刪除等詳細記錄。
對設備中的數據操作許可權做以精細化控制和管理,包括讀取、修改和刪除。有效防止對文檔的非授權操作,避免重要文檔被篡改或者惡意刪除。
對在修改或者刪除時對數據進行自動備份,主動防禦數據破壞,以防萬一。
三、安全審計 上網行為管理:
禁止或允許使用的應用軟體,分時段控制,支持模糊關鍵字,如「QQ」
禁止或允許使用的應用軟體,分時段控制, 支持模糊關鍵字,如「163」
可自定義客戶端上網的時間,如:從周一、周四、8:00-12:00不能上網。
同時監控多個客戶端屏幕,一屏顯示支持2X2,3X3,4X4,遠程截取客戶端即時屏幕。
遠程實時監視屏幕並錄像,可後台播放所有記錄屏幕影像。
記錄上網信息,對客戶端所登錄的網站進行詳細記錄,統計每日上網(數據、餅圖、柱圖)。
詳細記錄文件復制、粘貼、剪切、改名、刪除等操作,統計應用行為(數據、餅圖、柱圖)。
保護客戶端文件,可設定訪問、修改、改名或刪除等文件操作許可權。
對客戶端列印的文件的名字和頁數及其相關內容記錄。
對QQ/MSN/TM/RTX/SKYPE/貿易通/UC/雅虎通/淘寶旺旺等聊天內容監控記錄。
監控客戶端在論壇和各網站上發布的帖子。
管理客戶端在論壇和各網站上可發跌的內容或禁止發帖。
監控客戶端的郵件發送的正文、標題、收發件人以及附件
客戶端異常、非法卸載等報警,可自動阻斷、關機 、啟動 、發通知信息。
對網路客戶端流量進行監控報警,客戶端輸入或輸出流量超過管理員設定閾值時報警,可自動阻斷、關機 、啟動 、發通知信息。
客戶端硬體信息變化報警,可自動阻斷、關機 、啟動 、發通知信息。
客戶端軟體信息變化報警,可自動阻斷、關機 、啟動 、發通知信息。
非法連接互聯網報警,可自動阻斷、關機 、啟動 、發通知信息。
非法外來設備報警,可自動阻斷、關機 、啟動 、發通知信息。
四、電子文檔控管、數據防泄密:
在不影響用戶使用習慣的情況下,強制透明自 動加密涉密資料以及重要數據;控制泄密資料以郵件、即時通信工具、 U盤拷貝等方式泄密。即使發到外網數據在沒有客戶端的情況下無法正常使用,強制打開將以亂碼方式顯示,看不到文件的明文。這也是杜絕泄密的有效辦法從 泄密文件根源上來解決問題。
軟體預置大量常見格式,特殊格式可自定義,對任何文件加密解密、對任何目錄加密解密、發送加密文件到可信郵箱時文件具備自動解密功能。
解密數據流程化,各級領導協同審批。
根據單位組織架構指定不同的加密策略等級,將不同類型的圖檔根據實際情況設置為不同的密級,針對不同密級的文檔,只有特定的用戶擁有該密級許可權方可查看。
對脫離區域網的外網用戶,如:合作夥伴、供應商等離線文件操作保護,對移動辦公用戶進行靈活合理的控制。
定義終端用戶可以對文件訪問、修改、刪除許可權。
以部門為單位定義要加密的圖檔格式,定義登錄人員可瀏覽的圖檔格式。
制定客戶端機器的某些文檔或目錄禁止被剪切、復制、刪除、重命名,從而保障文檔的安全性,不被誤刪除或非法刪除。
客戶端機器重要文件進行自動備份或手動備份,做到重要文檔的安全備份,保障公司資料安全。核心資料因故意破壞或者異常操作刪除時,系統自動備份破壞刪除的文件到伺服器。
五、網路維護、流控管理:
對客戶端ip、mac進行綁定,對私自撥號非法外聯、無線網卡進行限制禁用。
禁止使用或允許修改IP地址,網關,DNS等信息。
對終端機器的違規行為進行報警,多種處理方式:鎖定鍵盤滑鼠、注銷 重啟 關機、遠程通知等。
對客戶端進行遠程網路配置,如:IP地址,網關,DNS,電腦名稱等信息。
對所有計算機批量網路配置,如:IP地址,網關,DNS等信息。
禁止使用或允許修改IP地址,網關,DNS等信息。
禁止使用或允許使用「撥號連接 非法外聯」。
遠程修改客戶端IE設置,如:主頁,安全級別等信息。
定時清理客戶端垃圾文件。
管理客戶端共享資源,可分類阻止共享任何文件夾。
遠程調試客戶端,可完全接管客戶端的鍵盤,滑鼠,屏幕。
集中、定時、不定時發送文件或安裝程序。
arp防火牆實時保護客戶端機器安全,杜絕arp病毒,arp攔截日誌匯總。
客戶端埠通信協議實時分析,跟蹤記錄。
內、外網即時流量管理,超過設定峰值報警。
歷史流量統計,內網輸出,輸入,外網輸出,輸入。
互聯網流量控制,可分配客戶端帶寬,如最大流量100K。
協議和網路埠控制可阻斷客戶端的相關協議和埠。
檢測和防止非法機器接入內網,一旦接入,自動阻斷。
六、身份認證、接入控制:
強身份認證:非授權用戶接入網路需要身份認證,在用戶身份認證時,可綁定用戶接入IP、MAC、接入備IP、埠等信息,進行強身份認證,防止帳號盜用、限定帳號所使用的終端,確保接入用戶的身份安全。
網路隔離區:對於安全狀態評估不合格的用戶,可以限制其訪問許可權,被隔離到網路隔離區,待危險終端到達安全級別後方可入網。
軟體安裝和運行檢測:檢測終端軟體的安裝和運行狀態。可以限制接入網路的用戶必須安裝、運行或禁安裝、運行其中某些軟體。對於不符合安全策略的用戶可以記錄日誌、提醒或隔離。
終端授信認證:對於外來計算機由於業務需要接入內網或者訪問Internet時,針對對方IP、MAC等埠做授信暫時放行。
內網安全域:可以限制用戶只能在允許的時間和網路IP段內(接入設備和埠)使用網路。
㈢ 第七章 流量監控與分析工具常用的網路流量監測方法有幾種分別是什麼
所謂網路流量分析,是指通過一定的技術手段,實時監測用戶網路七層結構中各層的流量分布,進行協議、流量的綜合分析,從而有效的發現、預防網路流量和應用上的瓶頸,為網路性能的優化提供依據。通過流量分析幫助管理人員了解到網路中哪個用戶正在大量的下載或者上傳數據,判定出網路中是哪個用戶在佔用了大量的帶寬,是由於哪個用戶造成了網路的緩慢。通過流量分析管理,可以使網路管理人員掌握網路負載狀況,及時發現網路結構的不合理,或是網路性能瓶頸,根據網內應用及不同業務使用情況,為用戶提供高品質的網路服務,避免了網路帶寬和伺服器瓶頸問題。通過流量分析管理,可以使網路管理人員快速掌握網路流量的實時狀況,網內應用及不同業務在不同的時間段的使用情況,快速展示某個時間段內的流量概況,幫助管理人員分析網路流量的忙閑時。目前市面上的網路流量分析軟體很多,但是實現方式大致分為三類,通過這三種網路流量分析的採集技術,來實現網路流量的分析。2、埠鏡像(Portmirroring),也叫做埠掃描或埠監控功能,是在很多管理型交換機中的一個功能,其被用在一個網路交換機上來發送所有分組的拷貝,在一個交換機埠查看來監控在另一個交換機埠的網路連接。也就是把所有的交換機埠的數據,都拷貝一份到這個埠上,所有的數據都進行採集。3、通過協議如netflow或者netstream等。根據需求和採集技術特點選擇上述的三種技術,各有各的優點和缺點,其中的網路混雜模式,主要用於一個比較小的網路中,一般一個小的區域網內使用,比如網吧等,通過這種技術實現的軟體比較多,如果sniffer等。缺點也很明顯,就是對網路帶寬的佔用比較大。建議在非關鍵性的小網路中使用。另外一種通過埠鏡像實現,特點是通過交換機來實現,缺點也比較明顯,就是所有的埠的數據都要拷貝一份給監控埠,增加了交換機的負擔,比較嚴重的影響交換機的性能。一般在公司網路的出口交換機上使用,比如監控公司中人員的互聯網連接等。第三種通過思科的netflow協議或者華為的netstream協議,特點是佔用網路帶寬最小,切採集的數據最全,一般用在比較大的企業網路中,原理就是交換機本身將通過的數據計數,而不做數據的拷貝。這樣,就大大降低了交換機的負擔。市面上的軟體也比較多,比較重要的廠商如摩卡軟體等。下面以摩卡軟體的NTA軟體來舉例說明網路流量分析的功能。摩卡軟體網路流量分析的優勢摩卡軟體在行業內具有十年的IT運維管理經驗,摩卡軟體在全國超過23家的大客戶現場積累了深厚的應用平台運維管理經驗,其中對於網路流量監控的優勢在於:支持協議種類多:從思科的netflow到華為的netstream,到IPFIX、sflow等都支持。適用的范圍比較廣:從宏觀上監控整個網路中的流量,從二層到七層,所有的流量的情況。支持自定義的應用的監控:軟體支持自定義的網路應用的監控。友好的用戶界面:從用戶的界面出發,更容易讀懂和使用。
㈣ 企業如何防範異常流量
現在的網路面臨的一個安全性的挑戰,網路上的流量也在成倍的增長,流量的成分也越來越復雜。經濟利益的驅動和網路攻擊技術門檻的降低使得異常流量也呈爆炸式的增長趨勢。現在的攻擊都有明確的目標,大部分集中於游戲網站以及大型企業,攻擊這些地方會獲取一定的贏利。作為一名企業網路管理員,該如何入手防範來勢兇猛異常流量攻擊,才能保護好企業的信息安全呢?發現異常流量問題根源 只要網路無法為真正的用戶提供正常的服務,將它視為異常流量。常見異常流量為網路層DDoS攻擊、應用層DDoS、二層攻擊、蠕蟲傳播等。異常流量的檢測分為兩個過程:流量數據的採集,流量數據的分析。數據採集的方法大體上分為兩類:流量鏡像和流級數據採集。數據的分析方法上也可以分為兩類:基於數據包信息的特徵檢測和行為分析和基於包頭信息的統計分析。 做好兩點保護計算機 目前網路異常流量監測技術呈現迅猛發展的態勢,技術和產品不斷更新,也朝著越來越智能化的方向發展,具體表現在:流量自學習能力,可以更加精確地掌握網路中實際的正常流量的情況,為判斷異常流量提供有力的依據;蠕蟲攻擊特徵檢測,可以提高已知蠕蟲特徵的攻擊監測准確性,也可以提高監測未知蠕蟲攻擊的能力;攻擊源的自動追溯,可以提高攻擊源的定位效率,從而大大提高應急響應的速度。建立異常流量監控與預警機制,建立終端客戶網路,從而為企業提供更精準的信息。當發現這種攻擊時,能夠及時發布一些預警及處理策略,讓企業員工去處理這種網路危機。對企業來說,基礎設施與支撐系統的防護主要通過兩個方面來做: 第一、網路安全邊界的保護。比如:部署結合多種防護技術的多層式防禦架構,應該分別在三個層級建置整合式的解決方案,包括了部署在互聯網網關、網路傳輸過程中和桌面終端的各種創新技術,來達到網路安全保證。 第二、做拒絕服務攻擊的防範。通過路由過濾或ACL(訪問控制列表)的方式可隱藏路由設備等系統的IP地址。註:ACL配置不當或丟失,也會導致用戶數據流異常。 異常流量的疏導和控制 除了以上對基礎設施及支撐系統的保護外,對企業而言,異常流量的疏導和控制的策略更為重要。因為這種攻擊對於企業而言,單單去靠人去跟蹤、去封堵根本不夠,還要藉助一些技術上的手段,主要有三個手段: 第一、採取一定的手段能夠把這些害群之馬踢出來,對異常流量進行疏導與控制。此外,還要向內部網路延伸防範能力,因為往往內部網路既是攻擊源頭,也有可能是受害源頭,爭取把這種邊緣化的網路在根源處就處理掉。 第二、流量清洗網路。流量清洗不僅僅是保護企業網路,更主要保護的是基礎設施不要被別人攻擊。 第三、QoS抑制病毒流量。當攻擊存在的時候,往往不是從一個地方來的,而是來自網路的四面八方,擁塞了網路的出口流量。當發現這種流量存在的時候,必須採取一些動作,在多個區域網邊緣對攻擊流量進行丟棄或流量抑制。
㈤ 關於網路流量分析
10億?!你知道現在最好的ips硬體+軟體能達到什麼程度?效率已經到極限了.
要麼放棄效率,使用大型資料庫;要麼放棄空間大規模使用直接存儲.
㈥ 、網路流量分析中的十大規律分別是哪些
有以下幾條。
一、網路應用透明度問題,通過帶寬管理器可以讓以前未知的網路應用的狀況能夠詳細查看。 二、防範突發的流量激增和未知應用的攻擊,如DoS攻擊等,保障網路安全。 其他信息編輯 播報 三、評估核心應用的價值,通過對核心應用流量的監查,了解核心應用的使用率與效率。 四、保證關鍵應用(如:CRM、VPN、無線網路、視頻會議、VoIP、等)所需的帶寬,保證任何時候關鍵應用不受阻 五、准確評估網路的負載能力以及新應用上線對整體網路應用的影響,保證客戶的IT投資合理性。 六、實現按照用戶的等級提供不同的網路資源配給,保障客戶核心用戶的網路價值。 七、降低網路管理人員的重復操作,並提供應用的量化數據,便於管理層根據應用狀況做出決策。
㈦ 如何處理網站流量突然異常下降
一個網站的關鍵詞排名突然大幅度下降從搜索引擎來得流量減少(國內網站主要是網路搜索引擎)碰到這種情況的站長該如何去分析,從哪些方面去分析呢?分析出來原因之後我們應該怎麼去解決這個問題,具體多久能恢復?西風SEO按個人分析解決網站降權關鍵詞排名倒退的方法與大家分享。或許在網上大家也看過很多類似的軟文或者技術文章。但是能全面分析的並不多,這也算是本人的一個總結吧,總共總結出來以下十大點。
搜索引擎優化的主要工作是通過了解各類搜索引擎如何抓取互聯網頁面、如何進行索引以及如何確定其對某一特定關鍵詞的搜索結果排名等技術,現在網上關於這方面的教程有很多,但很多都是過時的,因為互聯網是在不斷的變化的,互聯網上的牛人,要想成為seo大神,走進這條seo大神群,SEO教程的開頭是五四和一,索引擎優化的最中間是一二加壹,把它們串聯起來,索引擎優化的最後面再加上伍一伍就進來,成為seo大神需要你加入。來對網頁內容進行相關的優化,使其符合用戶瀏覽習慣,在不損害用戶體驗的情況下提高搜索引擎排名,從而提高網站訪問量,最終提升網站的銷售能力或宣傳能力的技術。
一、網站標題改動導致降權
這種情況一般不會馬上降權,而是一般在改標題之後一個星期到幾個星期之間出現網站關鍵詞浮動或者不看見。這主要是因為網路的數據更新。我們知道,一個網站的標題就是一個網站的靈魂。該標題的行為只要有3種:1、候建站時由於標題的設計錯誤,需要在優化的過程中改變標題。2、由於用戶需求的的改變或者網站的發展,需要改變標題。3、輕信他人之詞、無主見改變標題,把網站的標題當游戲,經常改動。改變網站標題之後由於和內容的匹配性會出現差別,也和搜索引擎保留網站的數據有差異。這樣輕微的是導致關鍵詞浮動,嚴重的導致快照消失。所以遇見這樣的情況,首先是想到有沒有改動網站標題。這種情況非常明顯的判斷就是網站內容也有排名會繼續有排名,而且更新內容會有收錄。但是首頁快照的恢復速度偏慢。是因為此時搜索引擎的數據沒有及時跟上或者是在重新考驗的原因。恢復的辦法沒有什麼特殊有效的辦法。按網站的常規操作就行。
二、網站改版導致關鍵詞浮動或者網站被K
一般網站由於成長的需要,需要不斷的擴大或者改進用戶體驗需要改版,而在網站改版之後肯定會和原來的內容、版面以及用戶體驗完全不一樣了。即使是再智能的搜索引擎都是靠數據說話的。你的用戶體驗再好,但是和原有的基礎數據完全不同。這樣就會導致搜索引擎完會認定你的是一個新網站。會重新進入網站的考察期。這樣對於本身用戶黏度高的網站或者網路推廣較好的網站影響較少。
再有一點網站改版也勢必會產生佔比非常高的死鏈接。尤其是大網站的改版,產生的死鏈接是不可計數。如果一條條的去提交搜索引擎,那基本上是不可能的。雖然有robots屏蔽或者301永久重定向(現在網路推出了網站改版工具但是作用也並不是很大,數據延遲比較厲害本人親測)小型企業站可以採用提交死鏈的辦法提交了。這類網站改版導致降權或者被K最好的辦法還是加大網路推廣的力度。避開搜索引擎增大網站的曝光率。進行針對性的用戶營銷以及網站的常規優化相結合的辦法使網站能從其中快速恢復。但是網站中404頁面不可缺少。
三、網站內容質量突然降低或內容不匹配
有的在網站排名初期,原創是寫得好,排名也不錯。但是慢慢的發現網站轉化率低下,失去當時的熱情了。網站內容的增加使用採集工具或者手工採集導致網站突然內容質量降低,這樣出現的關鍵詞排名浮動是很正常的。網站長期不按用戶的需求去更新導致網站內容過時或者時效性內容沒有跟上時間。這種情況的解決辦法最容易的就是還原初期的常規優化。而且關鍵詞排名恢復速度也會很快。
四、網站空間不穩定導致關鍵詞排名浮動
由於貪小便宜購買便宜空間,空間經常出問題或者出來了問題空間商的服務質量差導致。這種情況如果網站前期內容質量好,搜索引擎賦予的信任度高如果是某一個時期空間出問題那也僅僅就是關鍵詞浮動一下,如果搜索引擎賦予的權重低,那麼嚴重會導致全站被K。而且恢復起來比較吃力。
五、網站被攔截或者網站疏於管理導致網站降權
即使是一個正規網站也需要經常檢查網站的安全,如果被人掛馬遭遇到金山、QQ管家、等網路安全聯盟或者360的攔截。雖然關鍵詞排名暫時不會掉太多。但是會導致無人點擊,這樣最終的結果就是關鍵詞排名直降到底,恢復難度加大。輕則個把月重則半年。出現攔截應該馬上解決問題然後申訴。因為申訴的手裡主動權掌握在別人手裡,是比較麻煩的。網站疏於管理被人掛黑鏈接或者網站有鏈接指向被降權網站導致網站被牽連降權也是一個很重要原因。
六、網站內容出現敏感詞導致網站被降權
網站出現敏感詞或者敏感內容一般指沒有設計好的工具採集人為修改或者論壇對於敏感詞或者敏感內容的控制不嚴格所導致的。敏感詞或者敏感內容有時效性的敏感詞以及長期的敏感詞之分,敏感詞或者敏感內容的范圍太廣我們不好定義但是企業站關於時局評論等是不能出現的,灰色或者法律不允的詞或者內容都是不應該出現。這種敏感詞或者敏感內容一旦出現在網站有可能會導致網站的排名迅速跳水。解決之後很長一段時間都不能恢復。而且沒有有效的辦法去恢復,只能等快照更新之後慢慢自然恢復。
七、網站被惡意鏡像 內容大量被人家抄襲
網站由於路徑問題以及伺服器安全問題等網站被人惡意鏡像了或者網站內容被人大量採集而採集你內容的網站權重比你網站的要高,這樣會導致你網頁的關鍵詞排名上不去,這個是非常好理解的,同樣的內容別人受眾多、站內體驗好,所以排名靠前也是非常正常的,這樣會導致小站很被動,只能依靠不斷的更新老內容或者高質量內容來維持網站的排名。因為全靠外鏈來帶動權重很不現實。
八、作弊被發現或者優化過度
網站作弊被發現我們一般想到的就是全站採集,刷流量、刷點擊PV/UV、刷垃圾外鏈、站群的惡意鏈接、鏈接農場、購買黑鏈、購買友情鏈接等等,這個被發現了處罰是很正常的,但是網站作弊和優化過度僅僅就一層紙那麼厚的距離,即使是正規優化只要你使用不當也會認定為作弊。就像外鏈或者程序使用不當。如果全部做成一樣網站模板、
多個頁面同一標題(很多套用ASP程序就有這個BUG),頁面相似度過高,無內容頁面,少內容頁面等等充斥網站,只要達到一定的量就是作弊。或者同一頁面多同一URL鏈接指向都是屬於這種。
九、網路網站排名規則變換
網路每一次的大更新都會加入新的關鍵詞排名規則,如果變動較大的話即使你是用正規的優化手段只要哪一點和他更新的規則有沖突躺著也不一定就會中槍。所以要善於觀察,對於一些特殊的優化技巧不要過於頻繁的使用。尤其是出發點和用戶體驗相違背的技巧。
總結:關於網站優化之中網站降權關鍵詞排名大幅度浮動以及網站被K的十個重點原因大致如此,如何判斷一個網站的降權我們可以採取排除法一個個去排除,單一的某一個方面導致網站被K的案例很少。大部分的還只是導致網站降權。一般的來說網站的被K都是由於其中幾點都有觸犯導致多點觸發性處罰導致網站被K。一個個去排除一個個解決這樣才能快速的恢復網站的降權。
㈧ 怎樣設置網路異常流量的發生
從某種程度上來講,互聯網異常流量永遠不會消失而且從技術上目前沒有根本的解決辦法,但對網管人員來說,可以利用許多技術手段分析異常流量,減小異常流量發生時帶來的影響和損失,以下是處理網路異常流量時可以採用的一些方法及工具:
1. 判斷異常流量流向
因為目前多數網路設備只提供物理埠入流量的NetFlow數據,所以採集異常流量NetFlow數據之前,首先要判斷異常流量的流向,進而選擇合適的物理埠去採集數據。
流量監控管理軟體是判斷異常流量流向的有效工具,通過流量大小變化的監控,可以幫助我們發現異常流量,特別是大流量異常流量的流向,從而進一步查找異常流量的源、目的地址。
目前最常用的流量監控工具是免費軟體MRTG,下圖為利用MRTG監測到的網路異常流量實例,可以看出被監測設備埠在當天4:00至9:30之間產生了幾十Mbps的異常流量,造成了該埠的擁塞(峰值流量被拉平)。
如果能夠將流量監測部署到全網,這樣在類似異常流量發生時,就能迅速找到異常流量的源或目標接入設備埠,便於快速定位異常流量流向。
有些異常流量發生時並不體現為大流量的產生,這種情況下,我們也可以綜合異常流量發生時的其它現象判斷其流向,如設備埠的包轉發速率、網路時延、丟包率、網路設備的CPU利用率變化等因素。
㈨ 如何分析網站流量狀況
網站訪問統計分析的作用可歸納為下列幾個方面:
(1)及時掌握網站推廣的效果,減少盲目性;
(2)分析各種網站運營手段的效果,為制定和修正網站運營策略提供依據;
(3)通過網站訪問數據分析進行網站運營診斷,包括對各項網站推廣活動的效果分析、網站優化狀況診斷等;
(4)了解用戶訪問網站的行為,為更好地滿足用戶需求提供支持;
(5)作為網站運營效果評價的參考指標。
統計分析指標
通常說的網站流量(traffic)是指網站的訪問量,是用來描述訪問一個網站的用戶數量以及用戶所瀏覽的網頁數量等指標,常用的統計指標包括網站的獨立用戶數量、總用戶數量(含重復訪問者)、網頁瀏覽數量、每個用戶的頁面瀏覽數量、用戶在網站的平均停留時間等。
網站訪問統計分析的基礎是獲取網站流量的基本數據,根據網上營銷新觀察的相關文章,網站流量統計指標大致可以分為三類,每類包含若干數量的統計指標。
(1)網站流量指標
網站流量統計指標常用來對網站效果進行評價,主要指標包括:
獨立訪問者數量(unique visitors);
重復訪問者數量(repeat visitors);
頁面瀏覽數(page views);
每個訪問者的頁面瀏覽數(Page Views per user);
某些具體文件/頁面的統計指標,如頁面顯示次數、文件下載次數等。
(2)用戶行為指標
用戶行為指標主要反映用戶是如何來到網站的、在網站上停留了多長時間、訪問了那些頁面等,主要的統計指標包括:
用戶在網站的停留時間;
用戶來源網站(也叫「引導網站」);
用戶所使用的搜索引擎及其關鍵詞;
在不同時段的用戶訪問量情況等。
(3)用戶瀏覽網站的方式 時間 設備、瀏覽器名稱和版本、操作系統
用戶瀏覽網站的方式相關統計指標主要包括:
用戶上網設備類型;
用戶瀏覽器的名稱和版本;
訪問者電腦解析度顯示模式;
用戶所使用的操作系統名稱和版本;
用戶所在地理區域分布狀況等。
PHPStat的網站訪問分析報告的基礎是以上述網站流量基本指標,同時參考了其他第三方的統計數據,以便獲得更深入的網站訪問統計分析報告。
㈩ 如何分析網站流量異常,謝謝!
看流量曲線圖就知道了,一般IP:PV=1:3,賽伯溫工作室網路訪問流量提升!