【全解析】EN18031标准下的NMM网络监控机制

NMM - 1规定，如果设备是网络设备，应提供网络监控机制，用于检测其处理的网络流量中是否存在DoS攻击的迹象。在复杂的网络环境中，DoS攻击随时可能发生，它会干扰网络的正常运行，影响设备对合法用户的服务。通过部署NMM网络监控机制，网络设备能够及时发现异常流量，为防范攻击争取时间。

为实现对DoS攻击的有效检测，NMM机制提供了多种方法和措施。例如，基于行为或模式的检测方式，通过对网络流量的实时监测，分析流量的特征和模式，判断是否存在异常。当网络中出现大量来自同一源IP的请求，远超出正常范围时，就可能是DoS攻击的迹象。

另外，监测网络数据报也是重要手段之一。这包括监测在一定时间范围内的数据报数量，查看是否有数据报来自设备未配置的网络或目的地为设备外的网络，以及检查是否存在畸形和被修改的数据报等。通过这些细致的检查，能够及时发现潜在的攻击行为。

NMM机制存在多种实现方式，不同的实现方式适用于不同的网络环境和设备类型：

1.基于GTP消息的监测（IC.NMM - 1.GTPFiltering）：这种方式主要基于对GPRS隧道协议消息的监测和过滤。在实际应用中，网络设备会对GTP消息进行实时监控，验证消息发送者的授权情况，并对不同的GTP消息制定和应用相应规则。通过这些操作，确保网络设备能够及时发现并阻止利用GTP协议漏洞进行的DoS攻击。

2.基于IP数据包的检测（IC.NMM - 1.IPPacketFiltering）：该方式聚焦于特定的互联网协议数据包，如ICMP和ARP。网络设备会对这些数据包进行监测，一旦检测到模拟的ICMP或ARP基于DoS攻击，就会及时采取措施，如限制相关功能，以减轻攻击的影响。

3.通用监测方式（IC.NMM - 1.Generic）：当网络设备采用的监测机制不属于上述两种时，就归为通用监测方式。在这种方式下，设备会综合评估网络流量，利用网络分析工具揭示处理的协议类型，并根据相关风险文档，判断流量是否正常。

NMM网络监控机制在EN18031标准中占据着重要地位。它通过明确的要求、多样化的检测方法和灵活的实现方式，为网络设备提供了强大的安全防护能力。无论是设备制造商还是网络管理者，都应充分重视NMM机制，将其融入到网络安全体系中，共同构建一个安全、稳定的网络环境。 

领世达实验室

实验室拥有中国CNAS、ISO9001、国家高新技术等多项资质，聚焦于物联网设备、无线通信类设备及相关产品的网络信息安全测试认证。主要研究和测试方向包括物联网与车联网安全、系统与软件安全、密码学与安全协议、射频测试与EMC等