基于NetFlow的网络安全事件监测

摘要

随着网络技术的飞速发展,传统的网络管理方法,例如网络嗅探、SNMP等模式因其采集粒度不够精细、硬件开销过大等诸多因素已无法满足高速大规模网络中的监测需求.NetFlow协议正弥补了传统网络管理方法的不足.本文首先浅析基于网络嗅探、SNMP和NetFlow的网络管理模式,比较各种方法的开销、粒度及适用环境,分析其优势和不足,随后重点对NetFlow协议进行详述,并给出了利用该协议通过基于特征、基于统计信息等方法对常见的网络安全事件(例如DDoS、蠕虫、网络扫描等)进行判别的方法和策略.为了能够对所提出的网络安全事件发现方法进行检验,本文搭建了网络实验环境,并开发出相关程序对其进行监管.本文还模拟了网络攻击及安全事件发现过程.经检验,本方法能够较好地发现网络中的安全事件,起到监管网络的作用.