一種互聯網宏觀流量異常檢測方法(2007-11-7 10:37) 摘要:網路流量異常指網路中流量不規則地顯著變化。網路短暫擁塞、分布式拒絕服務攻擊、大范圍掃描等本地事件或者網路路由異常等全局事件都能夠引起網路的異常。網路異常的檢測和分析對於網路安全應急響應部門非常重要,但是宏觀流量異常檢測需要從大量高維的富含雜訊的數據中提取和解釋異常模式,因此變得很困難。文章提出一種分析網路異常的通用方法,該方法運用主成分分析手段將高維空間劃分為對應正常和異常網路行為的子空間,並將流量向量影射在正常子空間中,使用基於距離的度量來檢測宏觀網路流量異常事件。公共互聯網正在社會生活的各個領域發揮著越來越重要的作用,與此同時,由互聯網的開放性和應用系統的復雜性所帶來的安全風險也隨之增多。2006年,國家計算機網路應急技術處理協調中心(CNCERT/CC)共接收26 476件非掃描類網路安全事件報告,與2005年相比增加2倍,超過2003—2005年3年的總和。2006年,CNCERT/CC利用部署的863-917網路安全監測平台,抽樣監測發現中國大陸地區約4.5萬個IP地址的主機被植入木馬,與2005年同期相比增加1倍;約有1千多萬個IP地址的主機被植入僵屍程序,被境外約1.6萬個主機進行控制。黑客利用木馬、僵屍網路等技術操縱數萬甚至上百萬台被入侵的計算機,釋放惡意代碼、發送垃圾郵件,並實施分布式拒絕服務攻擊,這對包括骨幹網在內的整個互聯網網路帶來嚴重的威脅。由數萬台機器同時發起的分布式拒絕服務攻擊能夠在短時間內耗盡城域網甚至骨幹網的帶寬,從而造成局部的互聯網崩潰。由於政府、金融、證券、能源、海關等重要信息系統的諸多業務依賴互聯網開展,互聯網骨幹網路的崩潰不僅會帶來巨額的商業損失,還會嚴重威脅國家安全。據不完全統計,2001年7月19日爆發的紅色代碼蠕蟲病毒造成的損失估計超過20億美元;2001年9月18日爆發的Nimda蠕蟲病毒造成的經濟損失超過26億美元;2003年1月爆發的SQL Slammer蠕蟲病毒造成經濟損失超過12億美元。針對目前互聯網宏觀網路安全需求,本文研究並提出一種宏觀網路流量異常檢測方法,能夠在骨幹網路層面對流量異常進行分析,在大規模安全事件爆發時進行快速有效的監測,從而為網路防禦贏得時間。1 網路流量異常檢測研究現狀在骨幹網路層面進行宏觀網路流量異常檢測時,巨大流量的實時處理和未知攻擊的檢測給傳統入侵檢測技術帶來了很大的挑戰。在流量異常檢測方面,國內外的學術機構和企業不斷探討並提出了多種檢測方法[1]。經典的流量監測方法是基於閾值基線的檢測方法,這種方法通過對歷史數據的分析建立正常的參考基線范圍,一旦超出此范圍就判斷為異常,它的特點是簡單、計算復雜度小,適用於實時檢測,然而它作為一種實用的檢測手段時,需要結合網路流量的特點進行修正和改進。另一種常用的方法是基於統計的檢測,如一般似然比(GLR)檢測方法[2],它考慮兩個相鄰的時間窗口以及由這兩個窗口構成的合並窗口,每個窗口都用自回歸模型擬合,並計算各窗口序列殘差的聯合似然比,然後與某個預先設定的閾值T 進行比較,當超過閾值T 時,則窗口邊界被認定為異常點。這種檢測方法對於流量的突變檢測比較有效,但是由於它的閾值不是自動選取,並且當異常持續長度超過窗口長度時,該方法將出現部分失效。統計學模型在流量異常檢測中具有廣闊的研究前景,不同的統計學建模方式能夠產生不同的檢測方法。最近有許多學者研究了基於變換域進行流量異常檢測的方法[3],基於變換域的方法通常將時域的流量信號變換到頻域或者小波域,然後依據變換後的空間特徵進行異常監測。P. Barford等人[4]將小波分析理論運用於流量異常檢測,並給出了基於其理論的4類異常結果,但該方法的計算過於復雜,不適於在高速骨幹網上進行實時檢測。Lakhina等人[5-6]利用主成分分析方法(PCA),將源和目標之間的數據流高維結構空間進行PCA分解,歸結到3個主成分上,以3個新的復合變數來重構網路流的特徵,並以此發展出一套檢測方法。此外還有一些其他的監測方法[7],例如基於Markov模型的網路狀態轉換概率檢測方法,將每種類型的事件定義為系統狀態,通過過程轉換模型來描述所預測的正常的網路特徵,當到來的流量特徵與期望特徵產生偏差時進行報警。又如LERAD檢測[8],它是基於網路安全特徵的檢測,這種方法通過學習得到流量屬性之間的正常的關聯規則,然後建立正常的規則集,在實際檢測中對流量進行規則匹配,對違反規則的流量進行告警。這種方法能夠對發生異常的地址進行定位,並對異常的程度進行量化。但學習需要大量正常模式下的純凈數據,這在實際的網路中並不容易實現。隨著宏觀網路異常流量檢測成為網路安全的技術熱點,一些廠商紛紛推出了電信級的異常流量檢測產品,如Arbor公司的Peakflow、GenieNRM公司的GenieNTG 2100、NetScout公司的nGenius等。國外一些研究機構在政府資助下,開始部署宏觀網路異常監測的項目,並取得了較好的成績,如美國研究機構CERT建立了SiLK和AirCERT項目,澳大利亞啟動了NMAC流量監測系統等項目。針對宏觀網路異常流量監測的需要,CNCERT/CC部署運行863-917網路安全監測平台,採用分布式的架構,能夠通過多點對骨幹網路實現流量監測,通過分析協議、地址、埠、包長、流量、時序等信息,達到對中國互聯網宏觀運行狀態的監測。本文基於863-917網路安全監測平台獲取流量信息,構成監測矩陣,矩陣的行向量由源地址數量、目的地址數量、傳輸控制協議(TCP)位元組數、TCP報文數、數據報協議(UDP)位元組數、UDP報文數、其他流量位元組數、其他流量報文書、WEB流量位元組數、WEB流量報文數、TOP10個源IP占總位元組比例、TOP10個源IP占總報文數比例、TOP10個目的IP占總位元組數比例、TOP10個目的IP占總報文數比例14個部分組成,系統每5分鍾產生一個行向量,觀測窗口為6小時,從而形成了一個72×14的數量矩陣。由於在這14個觀測向量之間存在著一定的相關性,這使得利用較少的變數反映原來變數的信息成為可能。本項目採用了主成份分析法對觀測數據進行數據降維和特徵提取,下面對該演算法的工作原理進行介紹。 2 主成分分析技術主成分分析是一種坐標變換的方法,將給定數據集的點映射到一個新軸上面,這些新軸稱為主成分。主成分在代數學上是p 個隨機變數X 1, X 2……X p 的一系列的線性組合,在幾何學中這些現線性組合代表選取一個新的坐標系,它是以X 1,X 2……X p 為坐標軸的原來坐標系旋轉得到。新坐標軸代表數據變異性最大的方向,並且提供對於協方差結果的一個較為簡單但更精練的刻畫。主成分只是依賴於X 1,X 2……X p 的協方差矩陣,它是通過一組變數的幾個線性組合來解釋這些變數的協方差結構,通常用於高維數據的解釋和數據的壓縮。通常p 個成分能夠完全地再現全系統的變異性,但是大部分的變異性常常能夠只用少量k 個主成分就能夠說明,在這種情況下,這k 個主成分中所包含的信息和那p 個原變數做包含的幾乎一樣多,於是可以使用k 個主成分來代替原來p 個初始的變數,並且由對p 個變數的n 次測量結果所組成的原始數據集合,能夠被壓縮成為對於k 個主成分的n 次測量結果進行分析。運用主成分分析的方法常常能夠揭示出一些先前不曾預料的關系,因而能夠對於數據給出一些不同尋常的解釋。當使用零均值的數據進行處理時,每一個主成分指向了變化最大的方向。主軸以變化量的大小為序,一個主成分捕捉到在一個軸向上最大變化的方向,另一個主成分捕捉到在正交方向上的另一個變化。設隨機向量X '=[X 1,X 1……X p ]有協方差矩陣∑,其特徵值λ1≥λ2……λp≥0。考慮線性組合:Y1 =a 1 'X =a 11X 1+a 12X 2……a 1pX pY2 =a 2 'X =a 21X 1+a 22X 2……a 2pX p……Yp =a p'X =a p 1X 1+a p 2X 2……a p pX p從而得到:Var (Yi )=a i' ∑a i ,(i =1,2……p )Cov (Yi ,Yk )=a i '∑a k ,(i ,k =1,2……p )主成分就是那些不相關的Y 的線性組合,它們能夠使得方差盡可能大。第一主成分是有最大方差的線性組合,也即它能夠使得Var (Yi )=a i' ∑a i 最大化。我們只是關注有單位長度的系數向量,因此我們定義:第1主成分=線性組合a 1'X,在a1'a 1=1時,它能夠使得Var (a1 'X )最大;第2主成分=線性組合a 2 'X,在a2'a 2=1和Cov(a 1 'X,a 2 'X )=0時,它能夠使得Var (a 2 'X )最大;第i 個主成分=線性組合a i'X,在a1'a 1=1和Cov(a i'X,a k'X )=0(k<i )時,它能夠使得Var (a i'X )最大。由此可知主成分都是不相關的,它們的方差等於協方差矩陣的特徵值。總方差中屬於第k個主成分(被第k個主成分所解釋)的比例為:如果總方差相當大的部分歸屬於第1個、第2個或者前幾個成分,而p較大的時候,那麼前幾個主成分就能夠取代原來的p個變數來對於原有的數據矩陣進行解釋,而且信息損失不多。在本項目中,對於一個包含14個特徵的矩陣進行主成分分析可知,特徵的最大變化基本上能夠被2到3個主成分捕捉到,這種主成分變化曲線的陡降特性構成了劃分正常子空間和異常子空間的基礎。3 異常檢測演算法本項目的異常流量檢測過程分為3個階段:建模階段、檢測階段和評估階段。下面對每個階段的演算法進行詳細的介紹。3.1 建模階段本項目採用滑動時間窗口建模,將當前時刻前的72個樣本作為建模空間,這72個樣本的數據構成了一個數據矩陣X。在試驗中,矩陣的行向量由14個元素構成。主成份分為正常主成分和異常主成份,它們分別代表了網路中的正常流量和異常流量,二者的區別主要體現在變化趨勢上。正常主成份隨時間的變化較為平緩,呈現出明顯的周期性;異常主成份隨時間的變化幅度較大,呈現出較強的突發性。根據采樣數據,判斷正常主成分的演算法是:依據主成分和采樣數據計算出第一主成分變數,求第一主成分變數這72個數值的均值μ1和方差σ1,找出第一主成分變數中偏離均值最大的元素,判斷其偏離均值的程度是否超過了3σ1。如果第一主成分變數的最大偏離超過了閾值,取第一主成份為正常主成分,其他主成份均為異常主成分,取主成份轉換矩陣U =[L 1];如果最大偏離未超過閾值,轉入判斷第下一主成分,最後取得U =[L 1……L i -1]。第一主成份具有較強的周期性,隨後的主成份的周期性漸弱,突發性漸強,這也體現了網路中正常流量和異常流量的差別。在得到主成份轉換矩陣U後,針對每一個采樣數據Sk =xk 1,xk 2……xk p ),將其主成份投影到p維空間進行重建,重建後的向量為:Tk =UU T (Sk -X )T計算該采樣數據重建前與重建後向量之間的歐氏距離,稱之為殘差:dk =||Sk -Tk ||根據采樣數據,我們分別計算72次采樣數據的殘差,然後求其均值μd 和標准差σd 。轉換矩陣U、殘差均值μd 、殘差標准差σd 是我們構造的網路流量模型,也是進行流量異常檢測的前提條件。 3.2 檢測階段在通過建模得到網路流量模型後,對於新的觀測向量N,(n 1,n 2……np ),採用與建模階段類似的分析方法,將其中心化:Nd =N -X然後將中心化後的向量投影到p維空間重建,並計算殘差:Td =UUTNdTd =||Nd -Td ||如果該觀測值正常,則重建前與重建後向量應該非常相似,計算出的殘差d 應該很小;如果觀測值代表的流量與建模時發生了明顯變化,則計算出的殘差值會較大。本項目利用如下演算法對殘差進行量化:3.3 評估階段評估階段的任務是根據當前觀測向量的量化值q (d ),判斷網路流量是否正常。根據經驗,如果|q (d )|<5,網路基本正常;如果5≤|q (d )|<10,網路輕度異常;如果10≤|q (d )|,網路重度異常。4 實驗結果分析利用863-917網路安全監測平台,對北京電信骨幹網流量進行持續監測,我們提取6小時的觀測數據,由於篇幅所限,我們給出圖1—4的時間序列曲線。由圖1—4可知單獨利用任何一個曲線都難以判定異常,而利用本演算法可以容易地標定異常發生的時間。本演算法計算結果如圖5所示,異常發生時間在圖5中標出。我們利用863-917平台的回溯功能對於異常發生時間進行進一步的分析,發現在標出的異常時刻,一個大規模的僵屍網路對網外的3個IP地址發起了大規模的拒絕服務攻擊。 5 結束語本文提出一種基於主成分分析的方法來劃分子空間,分析和發現網路中的異常事件。本方法能夠准確快速地標定異常發生的時間點,從而幫助網路安全應急響應部門及時發現宏觀網路的流量異常狀況,為迅速解決網路異常贏得時間。試驗表明,我們採用的14個特徵構成的分析矩陣具有較好的識別准確率和分析效率,我們接下來將會繼續尋找更具有代表性的特徵來構成數據矩陣,並研究更好的特徵矩陣構造方法來進一步提高此方法的識別率,並將本方法推廣到短時分析中。6 參考文獻[1] XU K, ZHANG Z L, BHATTACHARYYA S. Profiling Internet backbone traffic: Behavior models and applications [C]// Proceedings of ACM SIGCOMM, Aug 22- 25, 2005, Philadelphia, PA, USA. New York, NY,USA:ACM,2005:169-180.[2] HAWKINS D M, QQUI P, KANG C W. The change point model for statistical process control [J]. Journal of Quality Technology,2003, 35(4).[3] THOTTAN M, JI C. Anomaly detection in IP networks [J]. IEEE Transactions on Signal Processing, 2003, 51 )8):2191-2204.[4] BARFORD P, KLINE J, PLONKA D, et al. A signal analysis of network traffic anomalies [C]//Proceedings of ACM SIGCOMM Intemet Measurement Workshop (IMW 2002), Nov 6-8, 2002, Marseilles, France. New York, NY,USA:ACM, 2002:71-82.[5] LAKHINA A, CROVELLA M, DIOT C. Mining anomalies using traffic feature distributions [C]// Proceedings of SIGCOMM, Aug 22-25, 2005, Philadelphia, PA, USA. New York, NY,USA: ACM, 2005: 217-228.[6] LAKHINA A, CROVELLA M, DIOT C. Diagnosing network-wide traffic anomalies [C]// Proceedings of ACM SIGCOMM, Aug 30 - Sep 3, 2004, Portland, OR, USA. New York, NY,USA: ACM, 2004: 219-230.[7] SCHWELLER R, GUPTA A, PARSONS E, et al. Reversible sketches for efficient and accurate change detection over network data streams [C]//Proceedings of ACM SIGCOMM Internet Measurement Conference (IMC』04), Oct 25-27, 2004, Taormina, Sicily, Italy. New York, NY,USA: ACM, 2004:207-212.[8] MAHONEY M V, CHAN P K. Learning rules for anomaly detection of hostile network traffic [C]// Proceedings of International Conference on Data Mining (ICDM』03), Nov 19-22, Melbourne, FL, USA . Los Alamitos, CA, USA: IEEE Computer Society, 2003:601-604.
2. 常見的網路故障檢測工具有哪些
網路發生故障後,首先是要診斷是協議故障,連通性故障,配置、設備故障,還是DDOS攻擊。找到問題的來源,然後再進行故障排除。常用的網路故障測試命令有ipconfig、ping、tracert、netstat和nslookup。
而排除網路故障工具通常有硬體工具和軟體工具。
硬體工具通常有:數字電壓表、網路測試儀、網路測試儀、高級電纜檢測器等。
軟體工具通常有:網路監視器、網路分析器等。
3. APP端怎麼總是顯示網路異常怎麼檢測問題
APP對於普通用戶來說,就是最直接的應用軟體,來要購買什麼、了解什麼,都可以通過這個APP來解決,所以APP是否流暢直接影響用戶的體驗,崩潰、卡頓、網路異常等問題是最影響用戶體驗的問題,也是移動開發者最大的痛點。
4. 詳細說明常用網路故障的檢測步驟
計算機網路是一個復雜的綜合系統,因此網路故障診斷工作就是顯得繁雜。許多網路管理者都經受過網路異常的困擾。
如果網路忽通忽斷,或者經常出現莫名其妙的現象,那麼網路就可能存在故障隱患。
計算機管理者,經常發現引起網路故障的原因很多,有操作系統引起的,有應用程序沖突引起的,有硬體引起的等。
以下從幾方面來分析網路故障:
1、按照故障性質的不同來分
網路故障劃分為物理故障與邏輯故障兩種。
(1)
物理故障
物理故障稱為硬故障,是指由硬體引起的網路故障。
(2)
邏輯故障
邏輯故障稱為軟故障,是指由軟配置或軟體錯誤等引起的網路故障。
2、按照故障出現的對象來分
(1)
主機故障
主機故障常見的原因就是主機配置不當。
(2)
路由器故障
路由器故障主要是由於路由器設置錯誤、路由演算法自身的
bug
、路由器超負荷等問題導致網路不通或時通時不通的故
障。
(3)
線路故障
線路故障主要是由於線路老化、損壞、接觸不良和中繼設備故障等問題所致。
二、
網路故障檢測與排除的基本方法
1、連通性故障:
連通性故障通常有以下幾種情況:
(1)計算機無法登陸到伺服器。
(2)無法通過區域網接入internet。
(3)在「網上鄰居」
中只能看到自已,而看不到其他計算機,從而無法使用其他計算機上的共享列印機。
(4)計算機無法在網路內訪問其他計算機上的資源。
(5)網路中的部分計算要運行速度異常緩慢等。
連通性故障常見的原因有:
(1)
網卡未安裝或配置錯誤。
(2)
網卡硬體故障。
(3)
網路協議未安裝或設置不正確。
(4)
網線、跳線或信息插座故障;Hub、交換機電源未打開。
(5)
交換機硬體故障或交換機埠硬體故障等。
連通性故障的排除方法如下:
(1)確認連通性故障
當網路出現應用故障時,如無法接入
Internet,可首先嘗試查找網路中的其他計算機。網路使用正常,可排除連通性
故障原因。如雖然無法接入Internet,但能夠在「網上鄰居」中找到其它計算機,或可用
Ping通其他計算機。如果其他網路應用均無法實現,則基本上可以肯定連通性故障,以下的步驟加以排除。
(2)排除網卡或協議故障
首先查看網卡的指示燈是否正常。正常情況下,在不傳數據時,網卡的指示燈閃爍較慢,傳送數據時剛閃爍較快。網
卡的指示燈不亮或是長亮不滅,都表明網路有故障存在。若網卡的指示燈不正常,則說明書發生了連通性故障。可以
先關閉電源,換一塊好網卡。如果故障仍然存在,則說明從這個網卡到網線另一端之間存在問題。對交換機來說,凡
是插有網線的埠指示燈都亮,指示燈的作用只能指示該埠是否連接有終端設備,而不能顯示通信狀態如何。
如果上述方法不能判斷網卡故障的話,可用ping命令排除網卡或協議故障。使用ping命令,ping 本地的IP地址或計算機名,檢查網卡和IP網路協議是安裝好。
5. 計算機網路故障的一般識別與解決方法
故障現象:網路適配器(網卡)設置與計算機資源有沖突。
分析、排除:通過調整網卡資源中的IRQ和I/O值來避開與計算機其它資源的沖突。有些情況還需要通過設置主板的跳線來調整與其它資源的沖突。
.故障現象:網吧區域網中其他客戶機在「網上鄰居」上都能互相看見,而只有某一台計算機誰也看不見它,它也看不見別的計算機。(前提:該網吧的區域網是通過HUB或交換機連接成星型網路結構)
分析、排除:檢查這台計算機系統工作是否正常;檢查這台計算機的網路配置;檢查這台計算機的網卡是否正常工作;檢查這台計算機上的網卡設置與其他資源是否有沖突;檢查網線是否斷開;檢查網線接頭接觸是否正常。
故障現象:網吧區域網中有兩個網段,其中一個網網段的所有計算機都不能上網際網路。(前提:該網吧的區域網通過兩個HUB或交換機連接著兩個的網段)
分析、排除:兩個網段的干線斷了或干線兩端的接頭接處不良。檢查伺服器中對該網段的設置項。
故障現象:網吧區域網中所有的計算機在「網上鄰居」上都能互相看見。(前提:該網吧的區域網是通過HUB或交換機連接成星型網路結構)
分析、排除:檢查HUB或交換機工作是否正常。
故障現象:網吧區域網中某台客戶機在「網上鄰居」上都能看到伺服器,但就是不能上網際網路。(前提:伺服器指代理網吧區域網其他客機上網際網路的那台計算機,以下同)
分析、排除:檢查這台客戶機TCP/IP協議的設置,檢查這台客戶機中IE瀏覽器的設置,檢查伺服器中有關對這台客戶機的設置項。
故障現象:網吧整個區域網上的所有的計算機都不能上網際網路。
分析、排除:伺服器系統工作是否正常;伺服器是否掉線了;數據機工作是否正常;局端工作是否正常。
故障現象:網吧區域網中除了伺服器能上網其他客戶機都不能上網。
分析、排除:檢查HUB或交換機工作是否正常;檢查伺服器與HUB或交換機連接的網路部分(含:網卡、網線、接頭、網路配置)工作是否正常;檢查伺服器上代理上網的軟體是否正常啟動運行;設置是否正常。
故障現象:進行撥號上網操作時,MODEN沒有撥號聲音,始終連接不上網際網路,MODEN上指示燈也不閃。
分析、排除:電話線路是否占線;接MODEN的伺服器的連接(含:連線、接頭)是否正常;電話線路是否正常,有無雜音干擾;撥號網路配置是否正確;MODEN的配置設置是否正確,檢查撥號音的音頻或脈沖方式是否正常。
故障現象:系統檢測不到MODEN(若MODEN是正常的)。
分析、排除:重新安裝一遍MODEN,注意通訊埠的正確位置。
故障現象:連接網際網路速度過慢。
分析、排除:檢查伺服器系統設置在「撥號網路」中的埠連接速度是否是設置的最大值;線路是否正常;可通過優化MODEN的設置來提高連接的速度;通過修改注冊表也可以提高上網速度;同時上網的客戶機是否很多;若是很多,而使連接速度過慢是正常現象。
故障現象:計算機屏幕上出現「錯誤678」 或「錯誤 650」 的提示框。
分析、排除:一般是你所撥叫的伺服器線路較忙、占線,暫時無法接通,你可進一會後繼續重撥。
故障現象:計算機屏幕上出現「錯誤680:沒有撥號音。請檢測數據機是否正確連到電話線。」或者「There is no dialtone。 Make sure your Modem is connected to the phone line
properly。」的提示框。
分析、排除:檢測數據機工作是否正常,是否開啟;檢查電話線路是否正常,是否正確接入數據機,接頭有無松動。
6. 區塊鏈網路的有哪些指標可以用於異常檢測
指標只要是評分
區塊鏈網早就搬了,李笑來聯合國內大佬花了幾千萬把他們給搞倒了。
7. 基於機器學習的區塊鏈網路異常檢測 作為一個小白,應該從那方面來進行了解那,麻煩大佬指點一下,謝謝
個人覺得區塊鏈開發技術層面講就沒有靠譜之說,無非是你選擇什麼樣的研發技術團,即使你選擇了比較好的研發技術團,也未必能實現你所要求的區塊鏈技術,不同行業和領域有不同的技術指標,更何況這個復雜的新技術。另外一點還要讓研發技術團認同你需要應用的機器行業思維,否則開發出來的產品也不可能符合你的要求。我們專注區塊鏈技術專業領域落地,項目已經進行了一年多的時間,還沒有成功落地。難度在於推翻傳統模式會觸及很大的利益鏈條,所以必須是一個慢慢滲透的過程。
按照你講的:基於機器學習的區塊鏈,可以理解為你在問一個技術問題。
以上回答,希望對你有所幫助。
8. 網路常見故障分類和排查
在現行的網路管理體制中,由於網路故障的多樣性和復雜性,網路故障分類方法也不盡相同。根據網路故障的性質可以分為物理故障與邏輯故障,也可以根據網路故障的對象分為線路故障、路由器故障和主機故障.
一、按網路故障的性質劃分
1.物理故障
物理故障,是指設備或線路損壞、插頭松動、線路受到嚴重電磁干擾等情況。比如說,網路中某條線路突然中斷,如已安裝網路監控軟體就能夠從監控界面上發現該線路流量突然掉下來或系統彈出報警界面,更直接的反映就是處於該線路埠上的無線電管理信息系統無法使用。
解決方法:首先用DOS命令集中的ping命令檢查線路與網路管理中心伺服器埠是否連通,如果不連通,則檢查埠插頭是否松動,如果松動則插緊,再用ping命令檢查,如果已連通則故障解決。也有可能是線路遠離網路管理中心的那端插頭松動,則需要檢查終端設備的連接狀況。如果插口沒有問題,則可利用網線測試設備進行通路測試,發現問題應重新更換一條網線。
另一種常見的物理故障就是網路插頭誤接。這種情況經常是沒有搞清網路插頭規范或沒有弄清網路拓撲結構的情況下導致的。
解決方法:熟悉掌握網路插頭規范,如T568A和T568B,搞清網線中每根線的顏色和意義,做出符合規范的插頭。 還有一種情況,比如兩個路由器直接連接,這時應該讓一台路由器的出口連接另一路由器的入口,而這台路由器的入口連接另一路由器的出口才行,這時製作的網線就應該滿足這一特性,否則也會導致網路誤解。不過像這種網路連接故障顯得很隱蔽,要診斷這種故障沒有什麼特別好的工具,只有依靠網路管理的經驗進行解決。
2. 邏輯故障
邏輯故障中的一種常見情況就是配置錯誤,就是指因為網路設備的配置原因而導致的網路異常或故障。配置錯誤可能是路由器埠參數設定有誤,或路由器路由配置錯誤以致於路由循環或找不到遠端地址,或者是網路掩碼設置錯誤等。比如,同樣是網路中某條線路故障,發現該線路沒有流量,但又可以Ping通線路兩端的埠,這時很可能就是路由配置錯誤導致循環了。
解決方法:診斷該故障可以用traceroute工具,可以發現在traceroute的結果中某一段之後,兩個IP地址循環出現。這時,一般就是線路遠端把埠路由又指向了線路的近端,導致IP包在該線路上來回反復傳遞。這時需要更改遠端路由器埠配置,把路由設置為正確配置,就能恢復線路了。當然處理該故障的所有動作都要記錄在日誌中,防止再次出現。
邏輯故障中另一類故障就是一些重要進程或埠關閉,以及系統的負載過高。比如,路由器的SNMP進程意外關閉或死掉,這時網路管理系統將不能從路由器中採集到任何數據,因此網路管理系統失去了對該路由器的控制。還有,也是線路中斷,沒有流量,這時用ping發現線路近端的埠ping不通。
解決方法:檢查發現該埠處於down的狀態,就是說該埠已經給關閉了,因此導致故障。這時只需重新啟動該埠,就可以恢復線路的連通了。 此外,還有一種常見情況是路由器的負載過高,表現為路由器CPU溫度太高、CPU利用率太高,以及內存餘量太小等,雖然這種故障不能直接影響網路的連通,但卻影響到網路提供服務的質量,而且也容易導致硬體設備的損害。
二、按網路故障的對象劃分
1.線路故障
線路故障最常見的情況就是線路不通,診斷這種故障可用ping檢查線路遠端的路由器埠是否還能響應,或檢測該線路上的流量是否還存在。一旦發現遠端路由器埠不通,或該線路沒有流量,則該線路可能出現了故障。這時有幾種處理方法。首先是ping線路兩端路由器埠,檢查兩端的埠是否關閉了。如果其中一端埠沒有響應則可能是路由器埠故障。如果是近端埠關閉,則可檢查埠插頭是否松動,路由器埠是否處於down的狀態;如果是遠端埠關閉,則要通知線路對方進行檢查。進行這些故障處理之後,線路往往就通暢了。
如果線路仍然不通,一種可能就得線路本身的問題,看是否線路中間被切斷;另一種可能就是路由器配置出錯,比如路由循環了。就是遠端埠路由又指向了線路的近端,這樣線路遠端連接的網路用戶就不通了,這種故障可以用traceroute來診斷。解決路由循環的方法就是重新配置路由器埠的靜態路由或動態路由。
2.路由器故障
事實上,線路故障中很多情況都涉及到路由器,因此也可以把一些線路故障歸結為路由器故障。但線路涉及到兩端的路由器,因此在考慮線路故障是要涉及到多個路由器。有些路由器故障僅僅涉及到它本身,這些故障比較典型的就是路由器CPU溫度過高、CPU利用率過高和路由器內存餘量太小。其中最危險的是路由器CPU溫度過高,因為這可能導致路由器燒毀。而路由器CPU利用率過高和路由器內存餘量太小都將直接影響到網路服務的質量,比如路由器上丟包率就會隨內存餘量的下降而上升。檢測這種類型的故障,需要利用MIB變數瀏覽器這種工具,從路由器MIB變數中讀出有關的數據,通常情況下網路管理系統有專門的管理進程不斷地檢測路由器的關鍵數據,並及時給出報警。而解決這種故障,只有對路由器進行升級、擴內存等,或者重新規劃網路的拓撲結構.
另一種路由器故障就是自身的配置錯誤。比如配置的協議類型不對,配置的埠不對等。這種故障比較少見,在使用初期配置好路由器基本上就不會出現了。
3.主機故障
主機故障常見的現象就是主機的配置不當。比如,主機配置的IP地址與其他主機沖突,或IP地址根本就不在子網范圍內,這將導致該主機不能連通。如泰州無線電管理處的網段范圍是172.17.14.1—172.17.14.253,所以主機地址只有設置在此段區間內才有效。還有一些服務設置的故障。比如E-Mail伺服器設置不當導致不能收發E-Mail,或者域名伺服器設置不當將導致不能解析域名。主機故障的另一種可能是主機安全故障。比如,主機沒有控制其上的finger,rpc,rlogin等多餘服務。而惡意攻擊者可以通過這些多餘進程的正常服務或bug攻擊該主機,甚至得到該主機的超級用戶許可權等。
另外,還有一些主機的其他故障,比如不當共享本機硬碟等,將導致惡意攻擊者非法利用該主機的資源。發現主機故障是一件困難的事情,特別是別人惡意的攻擊。一般可以通過監視主機的流量、或掃描主機埠和服務來防止可能的漏洞。當發現主機受到攻擊之後,應立即分析可能的漏洞,並加以預防,同時通知網路管理人員注意。現在,各市都安裝了防火牆,如果防火牆地址許可權設置不當,也會造成網路的連接故障,只要在設置使用防火牆時加以注意,這種故障就能解決。
9. 異常檢測有哪些主要的分析方法
1. 概率統計方法
在基於異常檢測技術的IDS中應用最早也是最多的一種方法。
首先要對系統或用戶的行為按照一定的時間間隔進行采樣,樣本的內容包括每個會話的登錄、退出情況,CPU和內存的佔用情況,硬碟等存儲介質的使用情況等。
將每次採集到的樣本進行計算,得出一系列的參數變數對這些行為進行描述,從而產生行為輪廓,將每次采樣後得到的行為輪廓與已有輪廓進行合並,最終得到系統和用戶的正常行為輪廓。IDS通過將當前採集到的行為輪廓與正常行為輪廓相比較,來檢測是否存在網路入侵行為。
2. 預測模式生成法
假設條件是事件序列不是隨機的而是遵循可辨別的模式。這種檢測方法的特點是考慮了事件的序列及其相互聯系,利用時間規則識別用戶行為正常模式的特徵。通過歸納學習產生這些規則集,並能動態地修改系統中的這些規則,使之具有較高的預測性、准確性。如果規則在大部分時間是正確的,並能夠成功地運用預測所觀察到的數據,那麼規則就具有高可信度。
3. 神經網路方法
基本思想是用一系列信息單元(命令)訓練神經單元,這樣在給定一組輸入後、就可能預測出輸出。與統計理論相比,神經網路更好地表達了變數間的非線性關系,並且能自動學習並更新。實驗表明UNIX系統管理員的行為幾乎全是可以預測的,對於一般用戶,不可預測的行為也只佔了很少的一部分。