當下社會網絡和信息化技術的發展，越來越多的信息系統也擁有越來越高的普及度。那么作為一個網絡管理員，如何確保復雜網絡高效、安全、可靠地平穩運行，是面臨的越來越嚴峻的問題。面對復雜多樣的網絡事件和警報，需要引入數據挖掘與事件關聯技術。通過對市、縣國網企業內網等高安全等級網絡面臨的安全威脅和防御需求進行深入分析，本文把數據分析與網絡事件進行關聯應用到了網絡故障管理與分析系統當中，主要對復雜網絡中的網絡事件的數據進行詳細的分析。設計一個完整的網絡事件告警與數據分析系統，將數據抓包、解碼、重組與管理員主觀看到的網絡事件相關聯，并且對事件收集、數據處理等進行了詳細描述。

　　關鍵詞事件關聯;數據抓包;數據分析

　　選題意義

　　隨著現代科技的發展，網絡辦公已成為日常辦公的模式，信息系統網絡已成為國網公司工作的重要組成部分。由于其規模大，部署復雜，網絡在運行過程中會不可避免出現一些故障，如網絡出現丟包、后臺訪問慢或者不可訪問、網絡環路、網絡中內外網誤聯等問題。遭遇過交換機回路事件的網絡管理員都知道“交換機環路”如一個人牙痛一樣，讓人無從下手。這些故障如果不及時處理，影響正常工作，甚至造成違規外聯事件和泄密事件。

　　如何快速發現并定位網絡故障呢?企業網絡規模不斷擴大，內網、外網、生產網以及個人使用無線網絡充斥其中，各種網絡事件、安全事件、安全隱患充斥其中，這對網絡管理工具和防護工具有了更高要求。為了能幫助管理人員從容應對現在的網絡事件和威脅，我們研究一套網絡異常數據分析及網絡事件故障快速定位工具，能提高網絡事件處理時效性;本次研發的工具可對網絡數據進行分析，時時呈現網絡狀態，發現異常數據，及時發現網絡中的環路、攻擊、惡意域名、內外網誤聯等事件，定位事件源，并記錄相應日志，為信息管理人員掌握網絡情況、發現并處理網絡故障提供了可靠依據，簡化了分析網絡報文的工作時間，提高工作效率。

　　研究內容和解決方法

　　對于管理員來說網絡故障告警比較重要性，同時網絡中故障的發現與管理也很重要。本文是在復雜的網絡環境中，針對網絡告警事件進行相關性研究，分析報警事件發生時的實時數據包。通過告警的網絡事件與實時數據包關聯分析以及相關性分析，可以將所發生告警事件進行相關性分析，這樣就有利于將多數的告警歸類成少量告警，并以此來過濾掉大量誤報的數據以及與主要故障不相關的非必要的告警。這樣不僅可以使得網絡管理員較為輕松地找到故障發生的根本原因，及時排除故障，而且還可以根據相關性分析，提醒管理員近期可能發生的故障，從而從根本上保證了網絡可靠、穩定的運行。

　　(一)研究內容

　　本次研發的工具主要目的是為了提高網絡的安全可靠性，及時發現網絡中環路、網絡攻擊、惡意域名、內外網誤聯等事件，并記錄相應日志。為信息管理人員掌握網絡情況、發現并處理網絡事件提供了可靠依據。研究內容體現在以下方面:

　　(1)研究數據包的獲取及數據包解碼分析。數據包通過交換機的鏡像口或者trunk口獲取。通過trunk口識別交換機劃分的vlanID。數據包解碼可以把數據包深度解析，把數據的控制部分和數據部分分別存儲，提高數據的解碼的速度。自動分析網絡中的數據，發現網絡中的威脅事件，定位故障，基于應用、IP、端口等圖表展現網絡情況，方便管理人員掌握整體情況。研究內網異常終端的發現。在交換機的trunk口，通過數據抓包和分析，呈現每個VLAN的在線終端及MAC，發現內網中的異常終端。

　　(2)研究網絡威脅事件。例如研究ARP掃描、廣播風暴、IP地址沖突、SQL注入攻擊、ARP攻擊等事件，分析相關事件的原理及特征，歸類整理為事件特征庫。 (3)研究以矩陣顯示網絡情況。研究以流量矩陣和事件矩陣顯示網絡情況。事件矩陣可以設置事件閾值顯示當前網絡中高頻發生的事件，例如ARP攻擊等事件可快速過濾出來。流量矩陣可基于TCP、udp、arp、單播、多播、廣播、傳輸方向等元素，顯示網絡狀況。(4)研究網絡流量的實時監控及異常事件告警方式。

　　(二)解決方案

　　本次研發的工具是在交換機的鏡像口或者trunk口進行數據抓包分析的基礎上，發現及定位網絡中的故障信息，為信息管理人員提供網絡的運行情況，提升故障處理時效性。

　　1.系統架構本工具有遠程管理軟件和數據采集分析器構成;數據采集分析器的數據采集口接在交換機的鏡像口或者trunk口獲取數據并分析，遠程管理軟件安裝在筆記本電腦上連接到數據采集分析器的管理口。ETH0:管理口，接安裝遠程管理軟件的終端。ETH1:數據分析口，接交換機的trunk口和鏡像口獲取數據分析。

　　2.功能研發功能研發分為:數據采集模塊、數據解碼分析模塊、事件告警模塊、日志記錄模塊。

　　(1)數據采集模塊。把數據分析接口設置為混雜模式，可以在交換機的鏡像口或trunk口獲取數據。

　　(2)數據解碼分析模塊。通過研究ARP掃描、廣播風暴、IP地址沖突、SQL注入攻擊、ARP攻擊等事件，分析相關事件的原理及特征，歸類整理為事件特征庫，提高數據分析和事件識別的速度;通過數據包解碼分析，提取數據報文的IP地址信息，實現IP資源統計區分，自主定義內網合法終端IP地址段，實現異常終端和MAC地址的發現，通過和交換機的配合實現對網絡事件的定位。

　　(3)事件告警模塊。通過與事件特征庫進行特征比對，快速發現網絡事件，并把網絡事件及故障源顯示在告警區域;設置矩陣的閾值也可以顯示網絡中的故障事件，通過設置事件閾值顯示當前網絡中高頻發生的事件，例如ARP攻擊等事件可快速過濾出來。流量矩陣可基于TCP、udp、arp、單播、多播、廣播、傳輸方向等元素，顯示網絡狀況。

　　(4)日志記錄模塊。可以把一段時間網絡的數據抓包及分析情況記錄在本地，方便日后的事件溯源。

　　(三)功能的實現數據包捕獲和解碼、統計分析、智能分析是網絡數據包分析的基本分析方法，它們大致分為實時網絡流量分析、流量統計分析、協議統計分析、數據包大小分布、主機和流量統計分析、會話統計等方面。對網絡流量進行全面數據采集和統計分析，包括對每條鏈路進行集中或單獨分析，并能根據用戶的實際情況提供各種圖形界面對結果進行展示。

　　實時統計主機的流量、收發包數、標志位情況、收發包比例、會話數等。通過主機的流量統計參數可以快速找到可疑主機，幫助網絡管理者定位問題。通過對網絡中主機的會話情況進行統計，包括物理會話、IP會話等，并能對這些會話提供時間、流量、數據包等進行排序，會話分析可以對網絡情況進行詳細的展示，并能快速發現主機的異常情況。

　　通過數據采集模塊抓取流量數據，對捕獲到的數據包進行實時解碼，解碼的格式包括概要解碼、字段解碼、十六進制解碼等數據包解碼信息。正常情況下在網絡活動中網絡協議類型和訪問數量很多，非專業的數據包抓包工具對數據包的解析程度也不相同。通過對比數據包解碼信息，我們可以直觀的看到網絡中傳輸的原始數據包信息，以此能夠明確網絡中的攻擊現象和故障源頭。

　　通過鏡像或者trunk口，交換機能夠將選定端口或中傳輸的流量復制發送到指定的交換機端口，該端口一般稱為流量監控端口，數據采集模塊只需接入該端口就可以分析到其他端口的網絡流量。通過對數據包的解析和重組進行數據分析，分析網絡事件的特性，歸類整理為事件特征庫。當發現類似于ARP掃描、廣播風暴、IP地址沖突、SQL注入攻擊、ARP攻擊等事件，會以告警形式把網絡事件及故障源通知給網絡管理員，同時把一段時間網絡的數據抓包及分析形式以矩陣方式直觀展現出來。

　　創新點

　　(一)網絡協議解碼分析快速呈現事件真相通過“所見即所得”協議分析模式對網絡事件報文進行解碼，歸類、閾值設定、智能關聯分析等策略預制和自定義規則，快速呈報事件關鍵線索。通過交換機trunk端口將所有VLAN的信息傳過來，系統通過數據包解碼實現IP資源統計區分，定義內網終端IP地址段，實現異常終端和MAC地址的發現，通過和交換機的配合實現網絡的快速發現和處理。

　　(二)網絡數據包VLAN解碼通過交換機trunk接入對數據包報文分析研究，解決抓包工具和交換機網管對各個VLAN無法全局呈現的不足，對通過VLAN號找到網絡事件的影響者提供了重要保障。

　　(三)網絡數據端口檢測工具接在交換機的鏡像口，可對整個網絡的流量進行監控和分析。通過內置的安全策略規則庫，對已知的網絡端口掃描、后門木馬、TCP、UDP等協議滲透、攻擊進行識別報警。也可以添加自定義監控對象，靈活的設置策略，對某個IP或者IP地址段、某個端口或者端口群組進行監控和告警。(四)網絡故障定位通過系統內置的網絡專家診斷設置對ARP掃描、ARP廣播風暴、IP地址沖突，網絡回路等網絡故障進行檢測，通過mac地址和VLANlD配合交換機進行定位。

　　結語

　　開發的工具可實現內網網絡環路、ARP事件告警、網絡數據端口檢測、終端識別及監控等功能，這些功能對運維人員的工作提供幫助，快速發現、定位故障，保障網絡的安全，提高了管理人員的工作效率。

　　(一)實現內網異常終端發現通過交換機trunk端口將所有VLAN的信息透傳過來，系統通過數據包解碼實現IP資源統計區分，定義內網合法終端IP地址段，實現異常終端和MAC地址的發現，通過和交換機的配合實現異常終端的定位。

　　(二)實現內網VLANID識別及IP地址統計通過交換機trunk接入，可識別內網的vlanID，并可統計每個VLAN的在線IP有多少。

　　(三)實現網絡數據端口檢測工具接在交換機的鏡像口，可對整個網絡的流量進行監控和分析。通過內置的安全策略規則庫，對已知的網絡端口掃描、后門木馬、TCP、UDP等協議滲透、攻擊進行識別報警。也可以添加自定義監控對象，靈活的設置策略，對某個IP或者IP地址段、某個端口或者端口群組進行監控和告警。

　　(四)網絡故障定位通過系統內置的網絡專家診斷設置對ARP掃描、ARP廣播風暴、IP地址沖突等網絡故障進行檢測和定位。該研究的應用反饋，在實踐上有著較為重要的意義。可實現實時數據包的捕獲和分析，對高速網絡數據包捕獲速度匹配也進行了算法改進，可協助運維人員快速發現網絡攻擊和故障，定位網絡故障源，明確網絡通信情況，縮短了運維人員發現、處理故障的時間，提高了效率。隨著網絡應用軟件和網絡技術的飛速發展，其研究和應用范圍還要不斷擴大，該工具小巧，部署靈活，在日常的巡查或檢查工作中攜帶，能快速發現網絡的故障，有效提高了工作效率，保障了網絡安全，社會效益顯著。

　　參考文獻：

　　[1]張同升.基于P2DR2信息系統安全策略研究[J].信息安全與通信保密，2013(5):90-92.

　　[2]付鈺，李洪成，吳曉平，等.基于大數據分析的APT攻擊檢測研究綜述[J].通信學報，2015，36(11):1-14.

　　[3]楊英杰，冷強，常德顯，等.基于屬性攻擊圖的網絡動態威脅分析技術研究[J].電子與信息學報，2019(8):1838-1846.

　　[4]李立勛，張斌，董書琴.網絡動態防御體系下主機安全威脅分析方法[J].網絡與信息安全學報，2018(4):48-55.

　　[5]肖海林.網絡告警關聯規則挖掘系統的研究與設計[D].成都:電子科技人學，2007.

　　[6]王樂鵬，潘華，等.電網企業信息化原理及應用[D]北京:中國電力出版社，2007:5-15.

　　作者：張文豐李麒邱逸軒狄亞平焦曉波