跳到主要內容

科技大觀園商標

分類項目
Menu

淺談網路流量視覺化分析

103/05/08 瀏覽次數 17206
現今網際網路已成為最主要的訊息傳遞平台,隨著各式各樣網路應用的發展,流量呈現爆炸性地成長,除了正常的服務使用之外,其中亦不乏惡意的流量充斥著。因此,對於網路流量的分析監控,成為了資訊安全防禦工作的一大課題。另一方面,透過分析網路流量,也可得知諸如使用者習性、不同類型應用的流量分佈情形等資訊。綜結以上因素,網路流量視覺化分析在現今網路管理中扮演不可或缺的角色。

網路流量分析最主要的方法是搜集NetFlow資訊。NetFlow為一網路流量統計協定,其中記載了所有流經該設備的IP流量資訊,提供給管理者管理、監測網路狀況之使用。路由器(router)介面會在接收網路封包時,分析其封包的標頭(header)部分來取得流量資料,並將所接到的封包流量的資訊彙整成一筆一筆的網路流(flow),在NetFlow協定中flow是被定義為兩端點間單一方向連續的封包流。當接受到新的封包時,路由器會檢查是否屬於已記錄的flow,如果已存在的話則將新資訊整合到原有的flow資料裡,如果不屬於任何一筆之前的flow記錄,則產生一個新的flow記錄來儲存。符合一定的量或條件時,便打包成UDP封包送往預先設定好接收的主機,進行後續儲存及分析的工作。

舉FlowScan此網路視覺化分析軟體產生的圖片為例,原本NetFlow只是一筆一筆記載流量的來源IP&Port、目的IP&Port、傳輸量等資訊的原始記錄,其網路流量資料數量通常大且繁瑣,難窺其全貌。經由軟體整合分析、與視覺化處理,轉化成人們所容易接受的圖與表後,即可從下面這張圖可以很輕易地看出,各時段的各種網路服務使用情形,以及疑似DOS的攻擊行為。視覺化介面提供了網路管理者一個極為有力的分析工具,可以看出網路及服務狀態是否正常,以及是否有攻擊行為正在發生當中。

參考資料
OPEN
回頂部