屬性上都表 現(xiàn)出的穩(wěn)定性��,當(dāng)這類屬性嚴(yán)重偏離正常屬性值時���,往往預(yù)示著網(wǎng)絡(luò)異常的出現(xiàn)����;特定服 務(wù)的流量穩(wěn)定性表現(xiàn)表示的是由服務(wù)器承載的特定服務(wù)和應(yīng)用帶來的在流量層面的穩(wěn)定 性表現(xiàn)�,當(dāng)這類穩(wěn)定性減弱時�����,往往表示服務(wù)器由于某種因素干擾而無法提供正常服務(wù)�;因 此正常流量固有的穩(wěn)定性能夠刻畫正常網(wǎng)絡(luò)流量的流量結(jié)構(gòu),同時將異常網(wǎng)絡(luò)流量區(qū)分開 來��;比如網(wǎng)絡(luò)流量中的SYN包的比例總體較小�,當(dāng)網(wǎng)絡(luò)流量達(dá)到一定規(guī)模時,SYN包的比例 在短時間內(nèi)也能表現(xiàn)出一定的穩(wěn)定性����,如果發(fā)生SYN包的比例顯著增大的情形,則很說明 服務(wù)器的網(wǎng)絡(luò)流量在某些方面出現(xiàn)了異常�,通常SYN掃描或類似攻擊會引起SYN包比例顯 著提高。
[0104] 圖9-12為對SYN包比例、IP信息熵�����、IP相關(guān)性����、TTL分布四個流量屬性的統(tǒng)計結(jié) 果;如圖9所示�,SYN包比例屬性考察的是在特定時間間隔內(nèi),SYN標(biāo)志為1的數(shù)據(jù)包占總 數(shù)據(jù)包的比例��;圖9為對連續(xù)1000個時間窗口對SYN包比例的統(tǒng)計結(jié)果���,每個散列點表示 對應(yīng)時間窗口的SYN包比例���,由圖可看出散列點基本集中于10 2數(shù)量級的位置,且較穩(wěn)定��, 因該屬性值較小不便展示�,因此對X軸坐標(biāo)做了對數(shù)處理;從圖可以看出SYN包比例屬性從 統(tǒng)計學(xué)的角度來看具有一定的穩(wěn)定性����,如果該屬性發(fā)生顯著變化�����,則可能是受到了攻擊�,在 可視化的餅圖中表現(xiàn)為對比餅圖中相應(yīng)的扇形面積與基準(zhǔn)餅圖對應(yīng)的扇形面積差超過設(shè) 定的閾值�����,系統(tǒng)會發(fā)出警示���;如圖10所示,IP信息熵是對特定時間間隔內(nèi)訪問IP的分散情 況的描述��,屬性值穩(wěn)定維持于4左右����,如果該屬性值發(fā)生顯著變化,則可能是受到了攻擊���, 在可視化餅圖中表現(xiàn)為對應(yīng)扇形面積與基準(zhǔn)餅圖對應(yīng)的扇形面積差超過設(shè)定閾值����,系統(tǒng)發(fā) 出警示����;如圖11所示���,正常情況下短時間間隔內(nèi)IP訪問的相關(guān)性基本上在0.99以上,如 果短時間內(nèi)IP訪問的相關(guān)性發(fā)生突變���,在可視化的餅圖中表現(xiàn)為相應(yīng)的扇形面積與基準(zhǔn) 餅圖對應(yīng)的扇形面積差超過設(shè)定的閾值�,系統(tǒng)會發(fā)出警示����;圖12為TTL(生存時間值)在 (0-255)出現(xiàn)的概率分布情況,顯示TTL屬性在某些值上集中體現(xiàn)�����,在64及52處出現(xiàn)的概 率最大��;如果該屬性值發(fā)生顯著變化���,則可能是受到攻擊�����,在可視化餅圖中表現(xiàn)為對應(yīng)扇形 面積與基準(zhǔn)餅圖對應(yīng)的扇形面積差超過設(shè)定閾值��,系統(tǒng)會發(fā)出警示�����。
[0105] 特定的服務(wù)和應(yīng)用的特點以及網(wǎng)絡(luò)用戶的習(xí)慣等特點����,也能夠?qū)е铝髁吭谀承?性表現(xiàn)出穩(wěn)定性,這種由業(yè)務(wù)特性以及用戶特性帶來的宏觀穩(wěn)定性通常不具有一般性��,而 由服務(wù)器的功能決定�;所以在對不同的服務(wù)器進行監(jiān)測時,系統(tǒng)根據(jù)統(tǒng)計的歷史數(shù)據(jù)和計 算結(jié)果確定需要統(tǒng)計的網(wǎng)絡(luò)流量屬性結(jié)構(gòu)���;例如對于一臺郵件服務(wù)器而言�,其SMTP(簡單 郵件傳輸協(xié)議)及POP3 (郵局協(xié)議版本3)的流量必然占大多數(shù)�,如果網(wǎng)絡(luò)中突然P2P流量 居多��,則表明可能出現(xiàn)異常����。
[0106] 圖13-16為對一臺郵件服務(wù)器流量屬性統(tǒng)計的結(jié)果,如13為其服務(wù)器端口分布情 況統(tǒng)計����,圖13表明對當(dāng)前觀測服務(wù)器而言�,25 (SMTP服務(wù))���、80 (HTTP (超文本傳輸協(xié)議)服 務(wù))及110(P0P3)端口訪問較多��,其他端口訪問較少��;如果突然出現(xiàn)某個端口訪問過大或過 小���,則可能是受到外部攻擊;圖14為郵件服務(wù)器協(xié)議分布統(tǒng)計結(jié)果�����,主要包括TCP (傳輸控 制協(xié)議)�����、UDP(用戶數(shù)據(jù)報協(xié)議)及ICMP(控制報文協(xié)議)���;從圖中可以看出UDP和ICMP所 占比例較少��;由圖14可以看出TCP流量占了絕大多數(shù)�,UDP及ICMP比例基本在10 2至10 4 之間,且UDP比例略過于ICMP比例�;圖15為IP包負(fù)載長度分布的統(tǒng)計結(jié)果,數(shù)據(jù)包長分布 反映的是網(wǎng)絡(luò)中各種長度的包的組成情況��;由圖15可知當(dāng)前網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)包長度出現(xiàn) 兩極分化的情況�,即短包(30-50左右)和滿負(fù)載的包(接近MTU的最大值),而其他長度的 數(shù)據(jù)包比例較?�?���;如果數(shù)據(jù)包分布結(jié)構(gòu)突然出現(xiàn)變化,則表明網(wǎng)絡(luò)可能受到攻擊��,系統(tǒng)會發(fā) 出警示��;圖16為訪問端口分布情況統(tǒng)計結(jié)果�����,數(shù)據(jù)包訪問情況描述的是每個IP訪問服務(wù)器 端口個數(shù)的情況�����,由服務(wù)器提供服務(wù)的單一性和一致性決定了每個IP能訪問的服務(wù)器的 端口數(shù)較少且基本一致�;由圖16可知,在每個時間窗口內(nèi)���,絕大多數(shù)IP訪問服務(wù)器端口數(shù) 小于3,當(dāng)某些IP訪問服務(wù)器大量端口時��,則表明可能發(fā)生網(wǎng)絡(luò)攻擊���,系統(tǒng)會發(fā)出警示。
[0107] 本發(fā)明解決了基于誤用的檢測方法帶來的問題���,將關(guān)注重點從刻畫異常轉(zhuǎn)移到描 述正常���,采用基于異常的檢測思想檢測網(wǎng)絡(luò)攻擊和異常流量;基于正常流量穩(wěn)定性原理對 異常流量進行檢測�����,抽取和選擇出與相應(yīng)服務(wù)器類型相適應(yīng)的一系列描述穩(wěn)定性的屬性��, 以不同系數(shù)的流量屬性表示成流量結(jié)構(gòu)���,以流量結(jié)構(gòu)表示當(dāng)前網(wǎng)絡(luò)狀態(tài)���;然后根據(jù)歷史數(shù) 據(jù)動態(tài)構(gòu)建適用于當(dāng)前流量結(jié)構(gòu)的正常網(wǎng)絡(luò)行為輪廓�;用差異性度量的方法比較當(dāng)前流量 結(jié)構(gòu)與正常流量結(jié)構(gòu)的差異��,根據(jù)差異值大小判斷網(wǎng)絡(luò)是否正常�。
[0108] 本發(fā)明可以檢測出層出不窮的新型網(wǎng)絡(luò)攻擊,適應(yīng)日趨復(fù)雜的網(wǎng)絡(luò)環(huán)境���,在檢測 中占據(jù)主動地位�����。
[0109] 以上所述僅為本發(fā)明的較佳實施例而已����,并不用以限制本發(fā)明����,凡在本發(fā)明的精 神和原則之內(nèi)所作的任何修改、等同替換和改進等����,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
【主權(quán)項】
1. 一種服務(wù)器網(wǎng)絡(luò)行為描述方法����,其特征在于:包括以下步驟: (1) 通過數(shù)據(jù)包嗅探模塊獲取出入服務(wù)器的流量信息; (2) 通過流量屬性抽取與計算模塊將流量信息根據(jù)流量屬性進行抽取��,按時間窗口對 各流量屬性對應(yīng)流量進行統(tǒng)計���,構(gòu)成歷史數(shù)據(jù)���; (3) 通過與歷史數(shù)據(jù)實時交互的系統(tǒng)參數(shù)學(xué)習(xí)模塊對獲取的歷史數(shù)據(jù)進行計算,得到 基于流量結(jié)構(gòu)穩(wěn)定性的系統(tǒng)參數(shù)����; (4) 根據(jù)系統(tǒng)參數(shù)和歷史數(shù)據(jù)構(gòu)建動態(tài)正常流量輪廓; (5) 根據(jù)當(dāng)前流量信息�����,構(gòu)建當(dāng)前流量結(jié)構(gòu)����; (6) 將正常流量輪廓和當(dāng)前流量結(jié)構(gòu)用差異性度量的方法比較,根據(jù)差異值大小判斷 網(wǎng)絡(luò)是否正常���。2. 根據(jù)權(quán)利要求1所述的一種服務(wù)器網(wǎng)絡(luò)行為描述方法���,其特征在于:所述系統(tǒng)參數(shù) 學(xué)習(xí)模塊的計算步驟如下: A���、 以時間窗口為單位獲取流量結(jié)構(gòu)屬性值,表示當(dāng)前時間窗口的流量結(jié)構(gòu)��,得到基于 時間窗口的流量結(jié)構(gòu)樣本���; B��、 剔除流量結(jié)構(gòu)樣本中的異常值����,獲得正常流量結(jié)構(gòu)樣本�; C、 根據(jù)正常流量結(jié)構(gòu)樣本��,分別統(tǒng)計各流量屬性的標(biāo)準(zhǔn)差σ和平均值μ��,計算對應(yīng)屬 性的變異系數(shù)cv:D���、 計算對應(yīng)屬性的穩(wěn)定系數(shù)α (η):Ε����、得到基于穩(wěn)定系數(shù)的系統(tǒng)參數(shù)。3. 根據(jù)權(quán)利要求2所述的一種服務(wù)器網(wǎng)絡(luò)行為描述方法�����,其特征在于:所述步驟B基 于格拉布斯準(zhǔn)則對樣本進行異常值剔除�。4. 根據(jù)權(quán)利要求1所述的一種服務(wù)器網(wǎng)絡(luò)行為描述方法��,其特征在于:所述流量結(jié)構(gòu) 采用可視化的餅圖表示�,每個扇形表示流量的一種屬性,第η個屬性對應(yīng)扇形的角度θ (η) 計算方法如下:將數(shù)據(jù)進行歸一化處理���,正常流量輪廓作為基準(zhǔn)餅圖��,當(dāng)前流量結(jié)構(gòu)作為比較餅圖�����,兩 個餅圖對應(yīng)扇形的面積差為偏離度的衡量值�。
【專利摘要】本發(fā)明公開了一種服務(wù)器網(wǎng)絡(luò)行為描述方法��,包括以下步驟:(1)獲取出入服務(wù)器的流量信息�;(2)根據(jù)流量屬性對流量信息進行抽取,按時間窗口對各流量屬性對應(yīng)流量進行統(tǒng)計�����,構(gòu)成歷史數(shù)據(jù);(3)對歷史數(shù)據(jù)進行計算得到基于流量結(jié)構(gòu)穩(wěn)定性的系統(tǒng)參數(shù)����;(4)構(gòu)建動態(tài)正常流量輪廓;(5)構(gòu)建當(dāng)前流量結(jié)構(gòu)��;(6)用差異性度量方法比較正常流量輪廓和當(dāng)前流量結(jié)構(gòu)���,根據(jù)差異值大小判斷網(wǎng)絡(luò)是否正常����;本發(fā)明可以適應(yīng)日趨復(fù)雜的網(wǎng)絡(luò)環(huán)境����,可以檢測出部分新型網(wǎng)絡(luò)攻擊,可以在檢測中占據(jù)主動地位�����。
【IPC分類】H04L29/06, H04L12/26
【公開號】CN105071985
【申請?zhí)枴緾N201510442715
【發(fā)明人】陳興蜀, 邵國林, 尹學(xué)淵, 葉曉鳴, 江天宇
【申請人】四川大學(xué)
【公開日】2015年11月18日
【申請日】2015年7月24日