网络测量系统

网络测量系统

网络测量系统是一个基于被动测量技术对网络业务流进行实时监视，并分析和评估网络性能的网络被动测量系统，其系统配置如图1所示。

探针分布在各级网络中的监测点上，是测量操作的实际执行者，其上驻留有多个网络测量工具。根据监测中心用策略语言描述的测量请求，组合调度各种网络测量功能，收集、缓冲和提炼测量数据，并根据需要将结果传回监测中心。

监测中心是测量任务的发起点，也是测量结果的汇集点。根据网络测量策略的语义，在特定事件(状态)发生时向探针(组)发出测量请求，并将探针返回的测量结果进行分析和显示。
注册服务器提供一些公共服务，如组件信息服务、系统时钟服务、组件注册和管理服务等。

策略服务器提供策略的解释和存储。策略(policy)定义了系统需要完成的行为或期望达到的状态。它把行为的控制和行为的执行分割开来，即定义了什么行为什么时候必须执行，但没有定义该行为包括什么具体动作。所以只要修改策略，就可以在不中断系统服务的情况下改变系统的行为和属性而无需重新编程实现。

图1 网络测量系统配置图

攻击检测与追踪
根据对SYN Flooding攻击的分析，在网络测量平台上开发了检测和追踪SYN Flooding攻击的两个组件DetSYN和TraceSYN，并且和其他测量工具一样，位于探针上。监测中心通过策略系统调用远程探针上的检测工具监视特定的服务器；如果出现异常，则加强检测，同时采取积极的保护自救措施；一旦确认攻击，立即向监测中心告警；监测中心再根据告警向可疑用户网中的探针(组)发布追踪任务；探针执行完追踪任务后返回追踪结果；监测中心汇总生成攻击追踪报告，确认一个或多个可能的攻击源(网络)；最后，针对这些攻击源采取一些主动防御措施，在源头遏制攻击的发生。

基于网络测量系统的SYN Flooding攻击防御机制