㈠ “宏观网络流量”的定义是什么有哪些异常检测方法
一种互联网宏观流量异常检测方法(2007-11-7 10:37) 摘要:网络流量异常指网络中流量不规则地显着变化。网络短暂拥塞、分布式拒绝服务攻击、大范围扫描等本地事件或者网络路由异常等全局事件都能够引起网络的异常。网络异常的检测和分析对于网络安全应急响应部门非常重要,但是宏观流量异常检测需要从大量高维的富含噪声的数据中提取和解释异常模式,因此变得很困难。文章提出一种分析网络异常的通用方法,该方法运用主成分分析手段将高维空间划分为对应正常和异常网络行为的子空间,并将流量向量影射在正常子空间中,使用基于距离的度量来检测宏观网络流量异常事件。公共互联网正在社会生活的各个领域发挥着越来越重要的作用,与此同时,由互联网的开放性和应用系统的复杂性所带来的安全风险也随之增多。2006年,国家计算机网络应急技术处理协调中心(CNCERT/CC)共接收26 476件非扫描类网络安全事件报告,与2005年相比增加2倍,超过2003—2005年3年的总和。2006年,CNCERT/CC利用部署的863-917网络安全监测平台,抽样监测发现中国大陆地区约4.5万个IP地址的主机被植入木马,与2005年同期相比增加1倍;约有1千多万个IP地址的主机被植入僵尸程序,被境外约1.6万个主机进行控制。黑客利用木马、僵尸网络等技术操纵数万甚至上百万台被入侵的计算机,释放恶意代码、发送垃圾邮件,并实施分布式拒绝服务攻击,这对包括骨干网在内的整个互联网网络带来严重的威胁。由数万台机器同时发起的分布式拒绝服务攻击能够在短时间内耗尽城域网甚至骨干网的带宽,从而造成局部的互联网崩溃。由于政府、金融、证券、能源、海关等重要信息系统的诸多业务依赖互联网开展,互联网骨干网络的崩溃不仅会带来巨额的商业损失,还会严重威胁国家安全。据不完全统计,2001年7月19日爆发的红色代码蠕虫病毒造成的损失估计超过20亿美元;2001年9月18日爆发的Nimda蠕虫病毒造成的经济损失超过26亿美元;2003年1月爆发的SQL Slammer蠕虫病毒造成经济损失超过12亿美元。针对目前互联网宏观网络安全需求,本文研究并提出一种宏观网络流量异常检测方法,能够在骨干网络层面对流量异常进行分析,在大规模安全事件爆发时进行快速有效的监测,从而为网络防御赢得时间。1 网络流量异常检测研究现状在骨干网络层面进行宏观网络流量异常检测时,巨大流量的实时处理和未知攻击的检测给传统入侵检测技术带来了很大的挑战。在流量异常检测方面,国内外的学术机构和企业不断探讨并提出了多种检测方法[1]。经典的流量监测方法是基于阈值基线的检测方法,这种方法通过对历史数据的分析建立正常的参考基线范围,一旦超出此范围就判断为异常,它的特点是简单、计算复杂度小,适用于实时检测,然而它作为一种实用的检测手段时,需要结合网络流量的特点进行修正和改进。另一种常用的方法是基于统计的检测,如一般似然比(GLR)检测方法[2],它考虑两个相邻的时间窗口以及由这两个窗口构成的合并窗口,每个窗口都用自回归模型拟合,并计算各窗口序列残差的联合似然比,然后与某个预先设定的阈值T 进行比较,当超过阈值T 时,则窗口边界被认定为异常点。这种检测方法对于流量的突变检测比较有效,但是由于它的阈值不是自动选取,并且当异常持续长度超过窗口长度时,该方法将出现部分失效。统计学模型在流量异常检测中具有广阔的研究前景,不同的统计学建模方式能够产生不同的检测方法。最近有许多学者研究了基于变换域进行流量异常检测的方法[3],基于变换域的方法通常将时域的流量信号变换到频域或者小波域,然后依据变换后的空间特征进行异常监测。P. Barford等人[4]将小波分析理论运用于流量异常检测,并给出了基于其理论的4类异常结果,但该方法的计算过于复杂,不适于在高速骨干网上进行实时检测。Lakhina等人[5-6]利用主成分分析方法(PCA),将源和目标之间的数据流高维结构空间进行PCA分解,归结到3个主成分上,以3个新的复合变量来重构网络流的特征,并以此发展出一套检测方法。此外还有一些其他的监测方法[7],例如基于Markov模型的网络状态转换概率检测方法,将每种类型的事件定义为系统状态,通过过程转换模型来描述所预测的正常的网络特征,当到来的流量特征与期望特征产生偏差时进行报警。又如LERAD检测[8],它是基于网络安全特征的检测,这种方法通过学习得到流量属性之间的正常的关联规则,然后建立正常的规则集,在实际检测中对流量进行规则匹配,对违反规则的流量进行告警。这种方法能够对发生异常的地址进行定位,并对异常的程度进行量化。但学习需要大量正常模式下的纯净数据,这在实际的网络中并不容易实现。随着宏观网络异常流量检测成为网络安全的技术热点,一些厂商纷纷推出了电信级的异常流量检测产品,如Arbor公司的Peakflow、GenieNRM公司的GenieNTG 2100、NetScout公司的nGenius等。国外一些研究机构在政府资助下,开始部署宏观网络异常监测的项目,并取得了较好的成绩,如美国研究机构CERT建立了SiLK和AirCERT项目,澳大利亚启动了NMAC流量监测系统等项目。针对宏观网络异常流量监测的需要,CNCERT/CC部署运行863-917网络安全监测平台,采用分布式的架构,能够通过多点对骨干网络实现流量监测,通过分析协议、地址、端口、包长、流量、时序等信息,达到对中国互联网宏观运行状态的监测。本文基于863-917网络安全监测平台获取流量信息,构成监测矩阵,矩阵的行向量由源地址数量、目的地址数量、传输控制协议(TCP)字节数、TCP报文数、数据报协议(UDP)字节数、UDP报文数、其他流量字节数、其他流量报文书、WEB流量字节数、WEB流量报文数、TOP10个源IP占总字节比例、TOP10个源IP占总报文数比例、TOP10个目的IP占总字节数比例、TOP10个目的IP占总报文数比例14个部分组成,系统每5分钟产生一个行向量,观测窗口为6小时,从而形成了一个72×14的数量矩阵。由于在这14个观测向量之间存在着一定的相关性,这使得利用较少的变量反映原来变量的信息成为可能。本项目采用了主成份分析法对观测数据进行数据降维和特征提取,下面对该算法的工作原理进行介绍。 2 主成分分析技术主成分分析是一种坐标变换的方法,将给定数据集的点映射到一个新轴上面,这些新轴称为主成分。主成分在代数学上是p 个随机变量X 1, X 2……X p 的一系列的线性组合,在几何学中这些现线性组合代表选取一个新的坐标系,它是以X 1,X 2……X p 为坐标轴的原来坐标系旋转得到。新坐标轴代表数据变异性最大的方向,并且提供对于协方差结果的一个较为简单但更精练的刻画。主成分只是依赖于X 1,X 2……X p 的协方差矩阵,它是通过一组变量的几个线性组合来解释这些变量的协方差结构,通常用于高维数据的解释和数据的压缩。通常p 个成分能够完全地再现全系统的变异性,但是大部分的变异性常常能够只用少量k 个主成分就能够说明,在这种情况下,这k 个主成分中所包含的信息和那p 个原变量做包含的几乎一样多,于是可以使用k 个主成分来代替原来p 个初始的变量,并且由对p 个变量的n 次测量结果所组成的原始数据集合,能够被压缩成为对于k 个主成分的n 次测量结果进行分析。运用主成分分析的方法常常能够揭示出一些先前不曾预料的关系,因而能够对于数据给出一些不同寻常的解释。当使用零均值的数据进行处理时,每一个主成分指向了变化最大的方向。主轴以变化量的大小为序,一个主成分捕捉到在一个轴向上最大变化的方向,另一个主成分捕捉到在正交方向上的另一个变化。设随机向量X '=[X 1,X 1……X p ]有协方差矩阵∑,其特征值λ1≥λ2……λp≥0。考虑线性组合:Y1 =a 1 'X =a 11X 1+a 12X 2……a 1pX pY2 =a 2 'X =a 21X 1+a 22X 2……a 2pX p……Yp =a p'X =a p 1X 1+a p 2X 2……a p pX p从而得到:Var (Yi )=a i' ∑a i ,(i =1,2……p )Cov (Yi ,Yk )=a i '∑a k ,(i ,k =1,2……p )主成分就是那些不相关的Y 的线性组合,它们能够使得方差尽可能大。第一主成分是有最大方差的线性组合,也即它能够使得Var (Yi )=a i' ∑a i 最大化。我们只是关注有单位长度的系数向量,因此我们定义:第1主成分=线性组合a 1'X,在a1'a 1=1时,它能够使得Var (a1 'X )最大;第2主成分=线性组合a 2 'X,在a2'a 2=1和Cov(a 1 'X,a 2 'X )=0时,它能够使得Var (a 2 'X )最大;第i 个主成分=线性组合a i'X,在a1'a 1=1和Cov(a i'X,a k'X )=0(k<i )时,它能够使得Var (a i'X )最大。由此可知主成分都是不相关的,它们的方差等于协方差矩阵的特征值。总方差中属于第k个主成分(被第k个主成分所解释)的比例为:如果总方差相当大的部分归属于第1个、第2个或者前几个成分,而p较大的时候,那么前几个主成分就能够取代原来的p个变量来对于原有的数据矩阵进行解释,而且信息损失不多。在本项目中,对于一个包含14个特征的矩阵进行主成分分析可知,特征的最大变化基本上能够被2到3个主成分捕捉到,这种主成分变化曲线的陡降特性构成了划分正常子空间和异常子空间的基础。3 异常检测算法本项目的异常流量检测过程分为3个阶段:建模阶段、检测阶段和评估阶段。下面对每个阶段的算法进行详细的介绍。3.1 建模阶段本项目采用滑动时间窗口建模,将当前时刻前的72个样本作为建模空间,这72个样本的数据构成了一个数据矩阵X。在试验中,矩阵的行向量由14个元素构成。主成份分为正常主成分和异常主成份,它们分别代表了网络中的正常流量和异常流量,二者的区别主要体现在变化趋势上。正常主成份随时间的变化较为平缓,呈现出明显的周期性;异常主成份随时间的变化幅度较大,呈现出较强的突发性。根据采样数据,判断正常主成分的算法是:依据主成分和采样数据计算出第一主成分变量,求第一主成分变量这72个数值的均值μ1和方差σ1,找出第一主成分变量中偏离均值最大的元素,判断其偏离均值的程度是否超过了3σ1。如果第一主成分变量的最大偏离超过了阈值,取第一主成份为正常主成分,其他主成份均为异常主成分,取主成份转换矩阵U =[L 1];如果最大偏离未超过阈值,转入判断第下一主成分,最后取得U =[L 1……L i -1]。第一主成份具有较强的周期性,随后的主成份的周期性渐弱,突发性渐强,这也体现了网络中正常流量和异常流量的差别。在得到主成份转换矩阵U后,针对每一个采样数据Sk =xk 1,xk 2……xk p ),将其主成份投影到p维空间进行重建,重建后的向量为:Tk =UU T (Sk -X )T计算该采样数据重建前与重建后向量之间的欧氏距离,称之为残差:dk =||Sk -Tk ||根据采样数据,我们分别计算72次采样数据的残差,然后求其均值μd 和标准差σd 。转换矩阵U、残差均值μd 、残差标准差σd 是我们构造的网络流量模型,也是进行流量异常检测的前提条件。 3.2 检测阶段在通过建模得到网络流量模型后,对于新的观测向量N,(n 1,n 2……np ),采用与建模阶段类似的分析方法,将其中心化:Nd =N -X然后将中心化后的向量投影到p维空间重建,并计算残差:Td =UUTNdTd =||Nd -Td ||如果该观测值正常,则重建前与重建后向量应该非常相似,计算出的残差d 应该很小;如果观测值代表的流量与建模时发生了明显变化,则计算出的残差值会较大。本项目利用如下算法对残差进行量化:3.3 评估阶段评估阶段的任务是根据当前观测向量的量化值q (d ),判断网络流量是否正常。根据经验,如果|q (d )|<5,网络基本正常;如果5≤|q (d )|<10,网络轻度异常;如果10≤|q (d )|,网络重度异常。4 实验结果分析利用863-917网络安全监测平台,对北京电信骨干网流量进行持续监测,我们提取6小时的观测数据,由于篇幅所限,我们给出图1—4的时间序列曲线。由图1—4可知单独利用任何一个曲线都难以判定异常,而利用本算法可以容易地标定异常发生的时间。本算法计算结果如图5所示,异常发生时间在图5中标出。我们利用863-917平台的回溯功能对于异常发生时间进行进一步的分析,发现在标出的异常时刻,一个大规模的僵尸网络对网外的3个IP地址发起了大规模的拒绝服务攻击。 5 结束语本文提出一种基于主成分分析的方法来划分子空间,分析和发现网络中的异常事件。本方法能够准确快速地标定异常发生的时间点,从而帮助网络安全应急响应部门及时发现宏观网络的流量异常状况,为迅速解决网络异常赢得时间。试验表明,我们采用的14个特征构成的分析矩阵具有较好的识别准确率和分析效率,我们接下来将会继续寻找更具有代表性的特征来构成数据矩阵,并研究更好的特征矩阵构造方法来进一步提高此方法的识别率,并将本方法推广到短时分析中。6 参考文献[1] XU K, ZHANG Z L, BHATTACHARYYA S. Profiling Internet backbone traffic: Behavior models and applications [C]// Proceedings of ACM SIGCOMM, Aug 22- 25, 2005, Philadelphia, PA, USA. New York, NY,USA:ACM,2005:169-180.[2] HAWKINS D M, QQUI P, KANG C W. The change point model for statistical process control [J]. Journal of Quality Technology,2003, 35(4).[3] THOTTAN M, JI C. Anomaly detection in IP networks [J]. IEEE Transactions on Signal Processing, 2003, 51 )8):2191-2204.[4] BARFORD P, KLINE J, PLONKA D, et al. A signal analysis of network traffic anomalies [C]//Proceedings of ACM SIGCOMM Intemet Measurement Workshop (IMW 2002), Nov 6-8, 2002, Marseilles, France. New York, NY,USA:ACM, 2002:71-82.[5] LAKHINA A, CROVELLA M, DIOT C. Mining anomalies using traffic feature distributions [C]// Proceedings of SIGCOMM, Aug 22-25, 2005, Philadelphia, PA, USA. New York, NY,USA: ACM, 2005: 217-228.[6] LAKHINA A, CROVELLA M, DIOT C. Diagnosing network-wide traffic anomalies [C]// Proceedings of ACM SIGCOMM, Aug 30 - Sep 3, 2004, Portland, OR, USA. New York, NY,USA: ACM, 2004: 219-230.[7] SCHWELLER R, GUPTA A, PARSONS E, et al. Reversible sketches for efficient and accurate change detection over network data streams [C]//Proceedings of ACM SIGCOMM Internet Measurement Conference (IMC’04), Oct 25-27, 2004, Taormina, Sicily, Italy. New York, NY,USA: ACM, 2004:207-212.[8] MAHONEY M V, CHAN P K. Learning rules for anomaly detection of hostile network traffic [C]// Proceedings of International Conference on Data Mining (ICDM’03), Nov 19-22, Melbourne, FL, USA . Los Alamitos, CA, USA: IEEE Computer Society, 2003:601-604.
㈡ 网络流量和流量监控与分析
掌控者网络监控软件——内网版
一、 功能列表:
移动存储设备管理
安全审计、上网行为管理
电子文档控管、数据防泄密
IT资产管理、补丁管理
网络维护、流控管理
身份认证、接入控制
二、移动存储设备管理:
控制是否可以使用移动存储设备,支持分组、分个人、分时段。
分组、分个人、分时段注册移动存储设备,对移动存储设备存储区域进行加密处理。
对移动存储设备生物取样指纹鉴别,控制设备的读写权限。
对移动存储设备的插拔、在设备中读取、访问、新建、修改、剪切、复制、重命名、移动、删除等详细记录。
对设备中的数据操作权限做以精细化控制和管理,包括读取、修改和删除。有效防止对文档的非授权操作,避免重要文档被篡改或者恶意删除。
对在修改或者删除时对数据进行自动备份,主动防御数据破坏,以防万一。
三、安全审计 上网行为管理:
禁止或允许使用的应用软件,分时段控制,支持模糊关键字,如“QQ”
禁止或允许使用的应用软件,分时段控制, 支持模糊关键字,如“163”
可自定义客户端上网的时间,如:从周一、周四、8:00-12:00不能上网。
同时监控多个客户端屏幕,一屏显示支持2X2,3X3,4X4,远程截取客户端即时屏幕。
远程实时监视屏幕并录像,可后台播放所有记录屏幕影像。
记录上网信息,对客户端所登录的网站进行详细记录,统计每日上网(数据、饼图、柱图)。
详细记录文件复制、粘贴、剪切、改名、删除等操作,统计应用行为(数据、饼图、柱图)。
保护客户端文件,可设定访问、修改、改名或删除等文件操作权限。
对客户端打印的文件的名字和页数及其相关内容记录。
对QQ/MSN/TM/RTX/SKYPE/贸易通/UC/雅虎通/淘宝旺旺等聊天内容监控记录。
监控客户端在论坛和各网站上发布的帖子。
管理客户端在论坛和各网站上可发跌的内容或禁止发帖。
监控客户端的邮件发送的正文、标题、收发件人以及附件
客户端异常、非法卸载等报警,可自动阻断、关机 、启动 、发通知信息。
对网络客户端流量进行监控报警,客户端输入或输出流量超过管理员设定阈值时报警,可自动阻断、关机 、启动 、发通知信息。
客户端硬件信息变化报警,可自动阻断、关机 、启动 、发通知信息。
客户端软件信息变化报警,可自动阻断、关机 、启动 、发通知信息。
非法连接互联网报警,可自动阻断、关机 、启动 、发通知信息。
非法外来设备报警,可自动阻断、关机 、启动 、发通知信息。
四、电子文档控管、数据防泄密:
在不影响用户使用习惯的情况下,强制透明自 动加密涉密资料以及重要数据;控制泄密资料以邮件、即时通信工具、 U盘拷贝等方式泄密。即使发到外网数据在没有客户端的情况下无法正常使用,强制打开将以乱码方式显示,看不到文件的明文。这也是杜绝泄密的有效办法从 泄密文件根源上来解决问题。
软件预置大量常见格式,特殊格式可自定义,对任何文件加密解密、对任何目录加密解密、发送加密文件到可信邮箱时文件具备自动解密功能。
解密数据流程化,各级领导协同审批。
根据单位组织架构指定不同的加密策略等级,将不同类型的图档根据实际情况设置为不同的密级,针对不同密级的文档,只有特定的用户拥有该密级权限方可查看。
对脱离局域网的外网用户,如:合作伙伴、供应商等离线文件操作保护,对移动办公用户进行灵活合理的控制。
定义终端用户可以对文件访问、修改、删除权限。
以部门为单位定义要加密的图档格式,定义登录人员可浏览的图档格式。
制定客户端机器的某些文档或目录禁止被剪切、复制、删除、重命名,从而保障文档的安全性,不被误删除或非法删除。
客户端机器重要文件进行自动备份或手动备份,做到重要文档的安全备份,保障公司资料安全。核心资料因故意破坏或者异常操作删除时,系统自动备份破坏删除的文件到服务器。
五、网络维护、流控管理:
对客户端ip、mac进行绑定,对私自拨号非法外联、无线网卡进行限制禁用。
禁止使用或允许修改IP地址,网关,DNS等信息。
对终端机器的违规行为进行报警,多种处理方式:锁定键盘鼠标、注销 重启 关机、远程通知等。
对客户端进行远程网络配置,如:IP地址,网关,DNS,电脑名称等信息。
对所有计算机批量网络配置,如:IP地址,网关,DNS等信息。
禁止使用或允许修改IP地址,网关,DNS等信息。
禁止使用或允许使用“拨号连接 非法外联”。
远程修改客户端IE设置,如:主页,安全级别等信息。
定时清理客户端垃圾文件。
管理客户端共享资源,可分类阻止共享任何文件夹。
远程调试客户端,可完全接管客户端的键盘,鼠标,屏幕。
集中、定时、不定时发送文件或安装程序。
arp防火墙实时保护客户端机器安全,杜绝arp病毒,arp拦截日志汇总。
客户端端口通信协议实时分析,跟踪记录。
内、外网即时流量管理,超过设定峰值报警。
历史流量统计,内网输出,输入,外网输出,输入。
互联网流量控制,可分配客户端带宽,如最大流量100K。
协议和网络端口控制可阻断客户端的相关协议和端口。
检测和防止非法机器接入内网,一旦接入,自动阻断。
六、身份认证、接入控制:
强身份认证:非授权用户接入网络需要身份认证,在用户身份认证时,可绑定用户接入IP、MAC、接入备IP、端口等信息,进行强身份认证,防止帐号盗用、限定帐号所使用的终端,确保接入用户的身份安全。
网络隔离区:对于安全状态评估不合格的用户,可以限制其访问权限,被隔离到网络隔离区,待危险终端到达安全级别后方可入网。
软件安装和运行检测:检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。
终端授信认证:对于外来计算机由于业务需要接入内网或者访问Internet时,针对对方IP、MAC等端口做授信暂时放行。
内网安全域:可以限制用户只能在允许的时间和网络IP段内(接入设备和端口)使用网络。
㈢ 第七章 流量监控与分析工具常用的网络流量监测方法有几种分别是什么
所谓网络流量分析,是指通过一定的技术手段,实时监测用户网络七层结构中各层的流量分布,进行协议、流量的综合分析,从而有效的发现、预防网络流量和应用上的瓶颈,为网络性能的优化提供依据。通过流量分析帮助管理人员了解到网络中哪个用户正在大量的下载或者上传数据,判定出网络中是哪个用户在占用了大量的带宽,是由于哪个用户造成了网络的缓慢。通过流量分析管理,可以使网络管理人员掌握网络负载状况,及时发现网络结构的不合理,或是网络性能瓶颈,根据网内应用及不同业务使用情况,为用户提供高品质的网络服务,避免了网络带宽和服务器瓶颈问题。通过流量分析管理,可以使网络管理人员快速掌握网络流量的实时状况,网内应用及不同业务在不同的时间段的使用情况,快速展示某个时间段内的流量概况,帮助管理人员分析网络流量的忙闲时。目前市面上的网络流量分析软件很多,但是实现方式大致分为三类,通过这三种网络流量分析的采集技术,来实现网络流量的分析。2、端口镜像(Portmirroring),也叫做端口扫描或端口监控功能,是在很多管理型交换机中的一个功能,其被用在一个网络交换机上来发送所有分组的拷贝,在一个交换机端口查看来监控在另一个交换机端口的网络连接。也就是把所有的交换机端口的数据,都拷贝一份到这个端口上,所有的数据都进行采集。3、通过协议如netflow或者netstream等。根据需求和采集技术特点选择上述的三种技术,各有各的优点和缺点,其中的网络混杂模式,主要用于一个比较小的网络中,一般一个小的局域网内使用,比如网吧等,通过这种技术实现的软件比较多,如果sniffer等。缺点也很明显,就是对网络带宽的占用比较大。建议在非关键性的小网络中使用。另外一种通过端口镜像实现,特点是通过交换机来实现,缺点也比较明显,就是所有的端口的数据都要拷贝一份给监控端口,增加了交换机的负担,比较严重的影响交换机的性能。一般在公司网络的出口交换机上使用,比如监控公司中人员的互联网连接等。第三种通过思科的netflow协议或者华为的netstream协议,特点是占用网络带宽最小,切采集的数据最全,一般用在比较大的企业网络中,原理就是交换机本身将通过的数据计数,而不做数据的拷贝。这样,就大大降低了交换机的负担。市面上的软件也比较多,比较重要的厂商如摩卡软件等。下面以摩卡软件的NTA软件来举例说明网络流量分析的功能。摩卡软件网络流量分析的优势摩卡软件在行业内具有十年的IT运维管理经验,摩卡软件在全国超过23家的大客户现场积累了深厚的应用平台运维管理经验,其中对于网络流量监控的优势在于:支持协议种类多:从思科的netflow到华为的netstream,到IPFIX、sflow等都支持。适用的范围比较广:从宏观上监控整个网络中的流量,从二层到七层,所有的流量的情况。支持自定义的应用的监控:软件支持自定义的网络应用的监控。友好的用户界面:从用户的界面出发,更容易读懂和使用。
㈣ 企业如何防范异常流量
现在的网络面临的一个安全性的挑战,网络上的流量也在成倍的增长,流量的成分也越来越复杂。经济利益的驱动和网络攻击技术门槛的降低使得异常流量也呈爆炸式的增长趋势。现在的攻击都有明确的目标,大部分集中于游戏网站以及大型企业,攻击这些地方会获取一定的赢利。作为一名企业网络管理员,该如何入手防范来势凶猛异常流量攻击,才能保护好企业的信息安全呢?发现异常流量问题根源 只要网络无法为真正的用户提供正常的服务,将它视为异常流量。常见异常流量为网络层DDoS攻击、应用层DDoS、二层攻击、蠕虫传播等。异常流量的检测分为两个过程:流量数据的采集,流量数据的分析。数据采集的方法大体上分为两类:流量镜像和流级数据采集。数据的分析方法上也可以分为两类:基于数据包信息的特征检测和行为分析和基于包头信息的统计分析。 做好两点保护计算机 目前网络异常流量监测技术呈现迅猛发展的态势,技术和产品不断更新,也朝着越来越智能化的方向发展,具体表现在:流量自学习能力,可以更加精确地掌握网络中实际的正常流量的情况,为判断异常流量提供有力的依据;蠕虫攻击特征检测,可以提高已知蠕虫特征的攻击监测准确性,也可以提高监测未知蠕虫攻击的能力;攻击源的自动追溯,可以提高攻击源的定位效率,从而大大提高应急响应的速度。建立异常流量监控与预警机制,建立终端客户网络,从而为企业提供更精准的信息。当发现这种攻击时,能够及时发布一些预警及处理策略,让企业员工去处理这种网络危机。对企业来说,基础设施与支撑系统的防护主要通过两个方面来做: 第一、网络安全边界的保护。比如:部署结合多种防护技术的多层式防御架构,应该分别在三个层级建置整合式的解决方案,包括了部署在互联网网关、网络传输过程中和桌面终端的各种创新技术,来达到网络安全保证。 第二、做拒绝服务攻击的防范。通过路由过滤或ACL(访问控制列表)的方式可隐藏路由设备等系统的IP地址。注:ACL配置不当或丢失,也会导致用户数据流异常。 异常流量的疏导和控制 除了以上对基础设施及支撑系统的保护外,对企业而言,异常流量的疏导和控制的策略更为重要。因为这种攻击对于企业而言,单单去靠人去跟踪、去封堵根本不够,还要借助一些技术上的手段,主要有三个手段: 第一、采取一定的手段能够把这些害群之马踢出来,对异常流量进行疏导与控制。此外,还要向内部网络延伸防范能力,因为往往内部网络既是攻击源头,也有可能是受害源头,争取把这种边缘化的网络在根源处就处理掉。 第二、流量清洗网络。流量清洗不仅仅是保护企业网络,更主要保护的是基础设施不要被别人攻击。 第三、QoS抑制病毒流量。当攻击存在的时候,往往不是从一个地方来的,而是来自网络的四面八方,拥塞了网络的出口流量。当发现这种流量存在的时候,必须采取一些动作,在多个局域网边缘对攻击流量进行丢弃或流量抑制。
㈤ 关于网络流量分析
10亿?!你知道现在最好的ips硬件+软件能达到什么程度?效率已经到极限了.
要么放弃效率,使用大型数据库;要么放弃空间大规模使用直接存储.
㈥ 、网络流量分析中的十大规律分别是哪些
有以下几条。
一、网络应用透明度问题,通过带宽管理器可以让以前未知的网络应用的状况能够详细查看。 二、防范突发的流量激增和未知应用的攻击,如DoS攻击等,保障网络安全。 其他信息编辑 播报 三、评估核心应用的价值,通过对核心应用流量的监查,了解核心应用的使用率与效率。 四、保证关键应用(如:CRM、VPN、无线网络、视频会议、VoIP、等)所需的带宽,保证任何时候关键应用不受阻 五、准确评估网络的负载能力以及新应用上线对整体网络应用的影响,保证客户的IT投资合理性。 六、实现按照用户的等级提供不同的网络资源配给,保障客户核心用户的网络价值。 七、降低网络管理人员的重复操作,并提供应用的量化数据,便于管理层根据应用状况做出决策。
㈦ 如何处理网站流量突然异常下降
一个网站的关键词排名突然大幅度下降从搜索引擎来得流量减少(国内网站主要是网络搜索引擎)碰到这种情况的站长该如何去分析,从哪些方面去分析呢?分析出来原因之后我们应该怎么去解决这个问题,具体多久能恢复?西风SEO按个人分析解决网站降权关键词排名倒退的方法与大家分享。或许在网上大家也看过很多类似的软文或者技术文章。但是能全面分析的并不多,这也算是本人的一个总结吧,总共总结出来以下十大点。
搜索引擎优化的主要工作是通过了解各类搜索引擎如何抓取互联网页面、如何进行索引以及如何确定其对某一特定关键词的搜索结果排名等技术,现在网上关于这方面的教程有很多,但很多都是过时的,因为互联网是在不断的变化的,互联网上的牛人,要想成为seo大神,走进这条seo大神群,SEO教程的开头是五四和一,索引擎优化的最中间是一二加壹,把它们串联起来,索引擎优化的最后面再加上伍一伍就进来,成为seo大神需要你加入。来对网页内容进行相关的优化,使其符合用户浏览习惯,在不损害用户体验的情况下提高搜索引擎排名,从而提高网站访问量,最终提升网站的销售能力或宣传能力的技术。
一、网站标题改动导致降权
这种情况一般不会马上降权,而是一般在改标题之后一个星期到几个星期之间出现网站关键词浮动或者不看见。这主要是因为网络的数据更新。我们知道,一个网站的标题就是一个网站的灵魂。该标题的行为只要有3种:1、候建站时由于标题的设计错误,需要在优化的过程中改变标题。2、由于用户需求的的改变或者网站的发展,需要改变标题。3、轻信他人之词、无主见改变标题,把网站的标题当游戏,经常改动。改变网站标题之后由于和内容的匹配性会出现差别,也和搜索引擎保留网站的数据有差异。这样轻微的是导致关键词浮动,严重的导致快照消失。所以遇见这样的情况,首先是想到有没有改动网站标题。这种情况非常明显的判断就是网站内容也有排名会继续有排名,而且更新内容会有收录。但是首页快照的恢复速度偏慢。是因为此时搜索引擎的数据没有及时跟上或者是在重新考验的原因。恢复的办法没有什么特殊有效的办法。按网站的常规操作就行。
二、网站改版导致关键词浮动或者网站被K
一般网站由于成长的需要,需要不断的扩大或者改进用户体验需要改版,而在网站改版之后肯定会和原来的内容、版面以及用户体验完全不一样了。即使是再智能的搜索引擎都是靠数据说话的。你的用户体验再好,但是和原有的基础数据完全不同。这样就会导致搜索引擎完会认定你的是一个新网站。会重新进入网站的考察期。这样对于本身用户黏度高的网站或者网络推广较好的网站影响较少。
再有一点网站改版也势必会产生占比非常高的死链接。尤其是大网站的改版,产生的死链接是不可计数。如果一条条的去提交搜索引擎,那基本上是不可能的。虽然有robots屏蔽或者301永久重定向(现在网络推出了网站改版工具但是作用也并不是很大,数据延迟比较厉害本人亲测)小型企业站可以采用提交死链的办法提交了。这类网站改版导致降权或者被K最好的办法还是加大网络推广的力度。避开搜索引擎增大网站的曝光率。进行针对性的用户营销以及网站的常规优化相结合的办法使网站能从其中快速恢复。但是网站中404页面不可缺少。
三、网站内容质量突然降低或内容不匹配
有的在网站排名初期,原创是写得好,排名也不错。但是慢慢的发现网站转化率低下,失去当时的热情了。网站内容的增加使用采集工具或者手工采集导致网站突然内容质量降低,这样出现的关键词排名浮动是很正常的。网站长期不按用户的需求去更新导致网站内容过时或者时效性内容没有跟上时间。这种情况的解决办法最容易的就是还原初期的常规优化。而且关键词排名恢复速度也会很快。
四、网站空间不稳定导致关键词排名浮动
由于贪小便宜购买便宜空间,空间经常出问题或者出来了问题空间商的服务质量差导致。这种情况如果网站前期内容质量好,搜索引擎赋予的信任度高如果是某一个时期空间出问题那也仅仅就是关键词浮动一下,如果搜索引擎赋予的权重低,那么严重会导致全站被K。而且恢复起来比较吃力。
五、网站被拦截或者网站疏于管理导致网站降权
即使是一个正规网站也需要经常检查网站的安全,如果被人挂马遭遇到金山、QQ管家、等网络安全联盟或者360的拦截。虽然关键词排名暂时不会掉太多。但是会导致无人点击,这样最终的结果就是关键词排名直降到底,恢复难度加大。轻则个把月重则半年。出现拦截应该马上解决问题然后申诉。因为申诉的手里主动权掌握在别人手里,是比较麻烦的。网站疏于管理被人挂黑链接或者网站有链接指向被降权网站导致网站被牵连降权也是一个很重要原因。
六、网站内容出现敏感词导致网站被降权
网站出现敏感词或者敏感内容一般指没有设计好的工具采集人为修改或者论坛对于敏感词或者敏感内容的控制不严格所导致的。敏感词或者敏感内容有时效性的敏感词以及长期的敏感词之分,敏感词或者敏感内容的范围太广我们不好定义但是企业站关于时局评论等是不能出现的,灰色或者法律不允的词或者内容都是不应该出现。这种敏感词或者敏感内容一旦出现在网站有可能会导致网站的排名迅速跳水。解决之后很长一段时间都不能恢复。而且没有有效的办法去恢复,只能等快照更新之后慢慢自然恢复。
七、网站被恶意镜像 内容大量被人家抄袭
网站由于路径问题以及服务器安全问题等网站被人恶意镜像了或者网站内容被人大量采集而采集你内容的网站权重比你网站的要高,这样会导致你网页的关键词排名上不去,这个是非常好理解的,同样的内容别人受众多、站内体验好,所以排名靠前也是非常正常的,这样会导致小站很被动,只能依靠不断的更新老内容或者高质量内容来维持网站的排名。因为全靠外链来带动权重很不现实。
八、作弊被发现或者优化过度
网站作弊被发现我们一般想到的就是全站采集,刷流量、刷点击PV/UV、刷垃圾外链、站群的恶意链接、链接农场、购买黑链、购买友情链接等等,这个被发现了处罚是很正常的,但是网站作弊和优化过度仅仅就一层纸那么厚的距离,即使是正规优化只要你使用不当也会认定为作弊。就像外链或者程序使用不当。如果全部做成一样网站模板、
多个页面同一标题(很多套用ASP程序就有这个BUG),页面相似度过高,无内容页面,少内容页面等等充斥网站,只要达到一定的量就是作弊。或者同一页面多同一URL链接指向都是属于这种。
九、网络网站排名规则变换
网络每一次的大更新都会加入新的关键词排名规则,如果变动较大的话即使你是用正规的优化手段只要哪一点和他更新的规则有冲突躺着也不一定就会中枪。所以要善于观察,对于一些特殊的优化技巧不要过于频繁的使用。尤其是出发点和用户体验相违背的技巧。
总结:关于网站优化之中网站降权关键词排名大幅度浮动以及网站被K的十个重点原因大致如此,如何判断一个网站的降权我们可以采取排除法一个个去排除,单一的某一个方面导致网站被K的案例很少。大部分的还只是导致网站降权。一般的来说网站的被K都是由于其中几点都有触犯导致多点触发性处罚导致网站被K。一个个去排除一个个解决这样才能快速的恢复网站的降权。
㈧ 怎样设置网络异常流量的发生
从某种程度上来讲,互联网异常流量永远不会消失而且从技术上目前没有根本的解决办法,但对网管人员来说,可以利用许多技术手段分析异常流量,减小异常流量发生时带来的影响和损失,以下是处理网络异常流量时可以采用的一些方法及工具:
1. 判断异常流量流向
因为目前多数网络设备只提供物理端口入流量的NetFlow数据,所以采集异常流量NetFlow数据之前,首先要判断异常流量的流向,进而选择合适的物理端口去采集数据。
流量监控管理软件是判断异常流量流向的有效工具,通过流量大小变化的监控,可以帮助我们发现异常流量,特别是大流量异常流量的流向,从而进一步查找异常流量的源、目的地址。
目前最常用的流量监控工具是免费软件MRTG,下图为利用MRTG监测到的网络异常流量实例,可以看出被监测设备端口在当天4:00至9:30之间产生了几十Mbps的异常流量,造成了该端口的拥塞(峰值流量被拉平)。
如果能够将流量监测部署到全网,这样在类似异常流量发生时,就能迅速找到异常流量的源或目标接入设备端口,便于快速定位异常流量流向。
有些异常流量发生时并不体现为大流量的产生,这种情况下,我们也可以综合异常流量发生时的其它现象判断其流向,如设备端口的包转发速率、网络时延、丢包率、网络设备的CPU利用率变化等因素。
㈨ 如何分析网站流量状况
网站访问统计分析的作用可归纳为下列几个方面:
(1)及时掌握网站推广的效果,减少盲目性;
(2)分析各种网站运营手段的效果,为制定和修正网站运营策略提供依据;
(3)通过网站访问数据分析进行网站运营诊断,包括对各项网站推广活动的效果分析、网站优化状况诊断等;
(4)了解用户访问网站的行为,为更好地满足用户需求提供支持;
(5)作为网站运营效果评价的参考指标。
统计分析指标
通常说的网站流量(traffic)是指网站的访问量,是用来描述访问一个网站的用户数量以及用户所浏览的网页数量等指标,常用的统计指标包括网站的独立用户数量、总用户数量(含重复访问者)、网页浏览数量、每个用户的页面浏览数量、用户在网站的平均停留时间等。
网站访问统计分析的基础是获取网站流量的基本数据,根据网上营销新观察的相关文章,网站流量统计指标大致可以分为三类,每类包含若干数量的统计指标。
(1)网站流量指标
网站流量统计指标常用来对网站效果进行评价,主要指标包括:
独立访问者数量(unique visitors);
重复访问者数量(repeat visitors);
页面浏览数(page views);
每个访问者的页面浏览数(Page Views per user);
某些具体文件/页面的统计指标,如页面显示次数、文件下载次数等。
(2)用户行为指标
用户行为指标主要反映用户是如何来到网站的、在网站上停留了多长时间、访问了那些页面等,主要的统计指标包括:
用户在网站的停留时间;
用户来源网站(也叫“引导网站”);
用户所使用的搜索引擎及其关键词;
在不同时段的用户访问量情况等。
(3)用户浏览网站的方式 时间 设备、浏览器名称和版本、操作系统
用户浏览网站的方式相关统计指标主要包括:
用户上网设备类型;
用户浏览器的名称和版本;
访问者电脑分辨率显示模式;
用户所使用的操作系统名称和版本;
用户所在地理区域分布状况等。
PHPStat的网站访问分析报告的基础是以上述网站流量基本指标,同时参考了其他第三方的统计数据,以便获得更深入的网站访问统计分析报告。
㈩ 如何分析网站流量异常,谢谢!
看流量曲线图就知道了,一般IP:PV=1:3,赛伯温工作室网络访问流量提升!