淺談網路流量視覺化分析|最新文章

淺談網路流量視覺化分析

103/05/08 17371

謝欣叡｜國家實驗研究院高速網路與計算中心網路與資安組

現今網際網路已成為最主要的訊息傳遞平台，隨著各式各樣網路應用的發展，流量呈現爆炸性地成長，除了正常的服務使用之外，其中亦不乏惡意的流量充斥著。因此，對於網路流量的分析監控，成為了資訊安全防禦工作的一大課題。另一方面，透過分析網路流量，也可得知諸如使用者習性、不同類型應用的流量分佈情形等資訊。綜結以上因素，網路流量視覺化分析在現今網路管理中扮演不可或缺的角色。

網路流量分析最主要的方法是搜集NetFlow資訊。NetFlow為一網路流量統計協定，其中記載了所有流經該設備的IP流量資訊，提供給管理者管理、監測網路狀況之使用。路由器（router）介面會在接收網路封包時，分析其封包的標頭（header）部分來取得流量資料，並將所接到的封包流量的資訊彙整成一筆一筆的網路流（flow），在NetFlow協定中flow是被定義為兩端點間單一方向連續的封包流。當接受到新的封包時，路由器會檢查是否屬於已記錄的flow，如果已存在的話則將新資訊整合到原有的flow資料裡，如果不屬於任何一筆之前的flow記錄，則產生一個新的flow記錄來儲存。符合一定的量或條件時，便打包成UDP封包送往預先設定好接收的主機，進行後續儲存及分析的工作。

舉FlowScan此網路視覺化分析軟體產生的圖片為例，原本NetFlow只是一筆一筆記載流量的來源IP&Port、目的IP&Port、傳輸量等資訊的原始記錄，其網路流量資料數量通常大且繁瑣，難窺其全貌。經由軟體整合分析、與視覺化處理，轉化成人們所容易接受的圖與表後，即可從下面這張圖可以很輕易地看出，各時段的各種網路服務使用情形，以及疑似DOS的攻擊行為。視覺化介面提供了網路管理者一個極為有力的分析工具，可以看出網路及服務狀態是否正常，以及是否有攻擊行為正在發生當中。

參考資料

[1] FlowScan, http://www.caida.org/tools/utilities/flowscan/

資料來源

轉載自「國研院高速網路與計算中心93期電子報」

科發月刊(5221)

淺談網路流量視覺化分析

推薦文章