邵國林，陳興蜀，尹學(xué)淵，葉曉鳴

?

基于流量結(jié)構(gòu)穩(wěn)定性的服務(wù)器網(wǎng)絡(luò)行為描述：建模與系統(tǒng)

邵國林，陳興蜀，尹學(xué)淵，葉曉鳴

(四川大學(xué)計(jì)算機(jī)學(xué)院 成都 610065)

針對(duì)現(xiàn)有基于異常特征庫匹配的流量檢測(cè)方法難以適應(yīng)日趨復(fù)雜的網(wǎng)絡(luò)環(huán)境需要的問題，對(duì)服務(wù)器網(wǎng)絡(luò)流量進(jìn)行了大量觀測(cè)和研究，綜合正常流量在某些屬性上的固有穩(wěn)定性及特定服務(wù)在流量層面表現(xiàn)出的穩(wěn)定性，提取相應(yīng)的流量特征，同時(shí)提出了流量結(jié)構(gòu)穩(wěn)定性的概念，并基于此對(duì)服務(wù)器的正常網(wǎng)絡(luò)行為輪廓進(jìn)行刻畫，依據(jù)當(dāng)前流量結(jié)構(gòu)偏離正常輪廓的程度對(duì)服務(wù)器網(wǎng)絡(luò)異常行為進(jìn)行檢測(cè)。針對(duì)流量結(jié)構(gòu)差異性的定量刻畫問題，提出了一種基于Spie Chart的可視化度量方法，并基于一臺(tái)郵件服務(wù)器流量實(shí)現(xiàn)了系統(tǒng)，通過實(shí)驗(yàn)驗(yàn)證了系統(tǒng)對(duì)常見網(wǎng)絡(luò)攻擊及未知網(wǎng)絡(luò)異常的檢測(cè)效果。

正常行為模型; 服務(wù)器安全防護(hù); 網(wǎng)絡(luò)異常檢測(cè); 流量結(jié)構(gòu)穩(wěn)定性

服務(wù)器通常作為IT系統(tǒng)中的核心設(shè)備通過網(wǎng)絡(luò)對(duì)外界提供特定服務(wù)，因此服務(wù)器的安全防護(hù)顯得尤為重要?，F(xiàn)有的服務(wù)器網(wǎng)絡(luò)安全防護(hù)從研究手段方面，可主要分為以下3類：

1) 基于主機(jī)或網(wǎng)絡(luò)邊界的IDS、IPS研究；

2) 基于服務(wù)器日志關(guān)聯(lián)分析與挖掘；

3) 基于服務(wù)器網(wǎng)絡(luò)流量分析。

IDS、IPS研究主要根據(jù)入侵檢測(cè)的思想編寫特定的攻擊流量特征，對(duì)非法網(wǎng)絡(luò)請(qǐng)求進(jìn)行告警和防護(hù)。SNORT[1]是目前最常用的輕量級(jí)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，此外也有許多研究[2-4]基于SNORT進(jìn)行改進(jìn)，提出了入侵檢測(cè)模型?；谌罩镜姆?wù)器安全檢測(cè)主要通過數(shù)據(jù)挖掘[5-6]、關(guān)聯(lián)分析[7-8]等方法對(duì)服務(wù)器各方面的日志信息進(jìn)行全方位的分析，從而檢測(cè)服務(wù)器面臨的攻擊和潛在威脅。目前從流量分析角度檢測(cè)服務(wù)器網(wǎng)絡(luò)異常的研究較多，根據(jù)流量分析方法，主要分為基于統(tǒng)計(jì)分析、信號(hào)處理、數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)等研究方法。文獻(xiàn)[9]從流量自相似統(tǒng)計(jì)特性的角度提出了異常流量檢測(cè)模型；文獻(xiàn)[10]提出了基于小波分析的網(wǎng)絡(luò)流量異常檢測(cè)方法；文獻(xiàn)[11]基于數(shù)據(jù)挖掘算法抽取流量特征，利用K-Means聚類方法自適應(yīng)的產(chǎn)生模型檢測(cè)Dos攻擊；文獻(xiàn)[12]將K-Means聚類算法和ID3決策樹學(xué)習(xí)算法用于網(wǎng)絡(luò)異常流量的檢測(cè)。文獻(xiàn)[13]提出了一種基于貝葉斯網(wǎng)絡(luò)與時(shí)間序列分析的異常流量檢測(cè)方法。

現(xiàn)有的檢測(cè)方法主要基于誤用檢測(cè)的思路，針對(duì)特定的網(wǎng)絡(luò)攻擊特點(diǎn)，編寫特定的流量檢測(cè)規(guī)則，從而形成一個(gè)已知攻擊特征庫，然后將采集的流量數(shù)據(jù)與特征庫一一匹配，若匹配某項(xiàng)特征，則對(duì)異常報(bào)警輸出[14]。基于誤用(基于異常特征)的檢測(cè)方法的缺點(diǎn)是，必須針對(duì)每種攻擊編寫對(duì)應(yīng)的規(guī)則，系統(tǒng)需要維護(hù)龐大的特征庫。然而隨著網(wǎng)絡(luò)及應(yīng)用環(huán)境日趨復(fù)雜，原有策略難以檢測(cè)出層出不窮的新型網(wǎng)絡(luò)攻擊，而且在不同應(yīng)用場(chǎng)景下，對(duì)網(wǎng)絡(luò)異常的界定更是存在許多分歧(除網(wǎng)絡(luò)攻擊外，網(wǎng)絡(luò)配置錯(cuò)誤和用戶操作異常等原因都會(huì)導(dǎo)致網(wǎng)絡(luò)異常)，因此基于異常特征的檢測(cè)方法適應(yīng)性及擴(kuò)展性日益難以滿足防護(hù)需求。

針對(duì)上述問題，本文采用基于時(shí)間序列的流量統(tǒng)計(jì)方法，對(duì)某郵件服務(wù)器流量進(jìn)行了長時(shí)間的流量觀測(cè)，對(duì)能夠表現(xiàn)流量結(jié)構(gòu)穩(wěn)定性的屬性及方法進(jìn)行了研究。本文研究發(fā)現(xiàn)，正常網(wǎng)絡(luò)流量在某些屬性上表現(xiàn)出一定的穩(wěn)定性，同時(shí)特定服務(wù)在流量層面也表現(xiàn)出一定的穩(wěn)定性。本文根據(jù)以上研究成果提取出相應(yīng)的網(wǎng)絡(luò)流量特征，提出了流量結(jié)構(gòu)穩(wěn)定性的概念，然后基于流量結(jié)構(gòu)穩(wěn)定性對(duì)服務(wù)器的正常網(wǎng)絡(luò)行為進(jìn)行刻畫。本文基于上述模型實(shí)現(xiàn)了服務(wù)器網(wǎng)絡(luò)行為描述系統(tǒng)，并通過實(shí)驗(yàn)驗(yàn)證了正常情況下流量結(jié)構(gòu)穩(wěn)定性的存在，以及根據(jù)流量結(jié)構(gòu)偏離正常輪廓的程度進(jìn)行異常檢測(cè)的有效性。

1 流量結(jié)構(gòu)穩(wěn)定性研究及特征分析

1.1 基于統(tǒng)計(jì)的流量結(jié)構(gòu)描述

為了刻畫和表示服務(wù)器網(wǎng)絡(luò)正常模型，本文對(duì)某郵件服務(wù)器進(jìn)行了長時(shí)間的流量觀測(cè)，對(duì)流量在各個(gè)方面的屬性進(jìn)行了研究，提取出能夠表征流量穩(wěn)定的屬性。為了刻畫流量的狀態(tài)和穩(wěn)定性，本文基于流量穩(wěn)定屬性提出了流量結(jié)構(gòu)及流量結(jié)構(gòu)穩(wěn)定性的概念。

定義1(流量結(jié)構(gòu)) 一定期間網(wǎng)絡(luò)流量各屬性值的大小、規(guī)模、分布、及變化的綜合狀態(tài)，說明網(wǎng)絡(luò)流量在特定時(shí)間內(nèi)的統(tǒng)計(jì)特性和綜合表現(xiàn)情況。

流量結(jié)構(gòu)主要包括兩層含義：各流量屬性及屬性間的構(gòu)成關(guān)系。本文主要基于熵、相關(guān)性等數(shù)學(xué)方法，對(duì)特定時(shí)間窗口內(nèi)的流量統(tǒng)計(jì)屬性進(jìn)行描述，綜合各屬性值以及各屬性在系統(tǒng)中的構(gòu)成(所占比重)表示流量結(jié)構(gòu)的概念。

定義2(流量結(jié)構(gòu)穩(wěn)定性) 對(duì)一定期間網(wǎng)絡(luò)流量結(jié)構(gòu)的變動(dòng)程度的刻畫，表現(xiàn)了網(wǎng)絡(luò)在流量層面的穩(wěn)定情況。

本文研究發(fā)現(xiàn)服務(wù)器網(wǎng)絡(luò)流量在某些屬性上表現(xiàn)出一定的穩(wěn)定性，具體表現(xiàn)在SYN包比例、IP信息熵和相關(guān)性、TTL分布、端口分布、協(xié)議分布、包長分布、端口訪問數(shù)等方面。因此，本文從正常網(wǎng)絡(luò)流量的固有穩(wěn)定性和特定服務(wù)的流量穩(wěn)定性表現(xiàn)兩方面入手，以流量結(jié)構(gòu)的穩(wěn)定性作為網(wǎng)絡(luò)流量穩(wěn)定的描述手段，對(duì)服務(wù)器網(wǎng)絡(luò)流量正常模型進(jìn)行研究。正常網(wǎng)絡(luò)流量的固有穩(wěn)定性表現(xiàn)出正常流量在任何應(yīng)用和場(chǎng)景下，流量在某些屬性上都表現(xiàn)出的穩(wěn)定性，當(dāng)這類屬性嚴(yán)重偏離正常值時(shí)，通常當(dāng)前網(wǎng)絡(luò)異常。特定服務(wù)的流量穩(wěn)定性表現(xiàn)表示的是由服務(wù)器承載的特定服務(wù)和應(yīng)用帶來的在流量層面的穩(wěn)定性表現(xiàn)，當(dāng)這類穩(wěn)定性減弱時(shí)，通常表示服務(wù)器由于某種因素干擾而無法提供正常服務(wù)。

信息熵可以獲取流量特征在分布變化上的有效信息[15]，相關(guān)性能有效檢測(cè)流量突發(fā)情形(如DDos攻擊[16])，本文根據(jù)各屬性的屬性值特點(diǎn)及穩(wěn)定性情況采取信息熵、相關(guān)性等表示方法，選取了若干流量特征，對(duì)流量結(jié)構(gòu)進(jìn)行描述。

1.2 正常網(wǎng)絡(luò)流量的固有穩(wěn)定性及特征提取

正常網(wǎng)絡(luò)流量在某些屬性上表現(xiàn)出固有的穩(wěn)定性，不因服務(wù)和應(yīng)用的不同而有所差異，且其穩(wěn)定性易顯著地被攻擊流量擾動(dòng)，因此正常流量固有的穩(wěn)定性能夠刻畫正常網(wǎng)絡(luò)流量的輪廓，同時(shí)將異常網(wǎng)絡(luò)流量區(qū)分開來。如流量中的SYN包比例通常較小，當(dāng)流量達(dá)到一定規(guī)模時(shí)，即使在短時(shí)間內(nèi)也能表現(xiàn)出一定的穩(wěn)定性；如果網(wǎng)絡(luò)中SYN包比例突然顯著增大，則說明服務(wù)器的網(wǎng)絡(luò)流量在某些方面出現(xiàn)了異常。

本文對(duì)正常情況下網(wǎng)絡(luò)流量在各屬性上的穩(wěn)定性表現(xiàn)進(jìn)行了研究，選取若干穩(wěn)定性效果較好的屬性進(jìn)行了深入分析，圖1為SYN包比例、IP信息熵、IP相關(guān)性、TTL分布4類流量屬性在連續(xù)1 000個(gè)時(shí)間窗口內(nèi)的統(tǒng)計(jì)結(jié)果，由圖可看出各屬性在屬性值上具有較穩(wěn)定的分布。其中SYN包比例穩(wěn)定于10-2數(shù)量級(jí)；IP信息熵屬性值穩(wěn)定維持于4左右；IP相關(guān)性基本在0.99以上；TTL屬性值分布穩(wěn)定，在64及52處出現(xiàn)概率最大。

本文根據(jù)這些屬性特點(diǎn)分別提取出對(duì)應(yīng)的流量特征：

1) SYN包比例：SYN包占總包數(shù)的比例；

2) IP信息熵：根據(jù)信息熵定義，針對(duì)IP序列中各IP對(duì)應(yīng)流量占比求取的熵值；

3) IP相關(guān)性：當(dāng)前時(shí)間窗口內(nèi)IP序列及各IP對(duì)應(yīng)流量與上一時(shí)間窗口的相關(guān)性；

4) TTL分布熵：根據(jù)信息熵定義，針對(duì)各TTL對(duì)應(yīng)流量占比求取的熵值。需要注明的是，本文主要采取基于時(shí)間序列的統(tǒng)計(jì)方法，因此各網(wǎng)絡(luò)特征都是特定時(shí)間窗口內(nèi)的統(tǒng)計(jì)結(jié)果；此外，為了便于計(jì)算和比較，特征2)和特征3)對(duì)IP進(jìn)行了映射處理，IP代指映射后的邏輯IP。

a. SYN包比例分布

b. IP信息熵分布

c. IP相關(guān)性分布

d. TTL屬性值分布

圖1 正常網(wǎng)絡(luò)流量固有屬性的穩(wěn)定性表現(xiàn)

1.3 特定服務(wù)表現(xiàn)的流量穩(wěn)定性及特征提取

通常由于特定服務(wù)和應(yīng)用的特點(diǎn)、以及相關(guān)用戶的生活、工作習(xí)慣等特點(diǎn)，也能夠?qū)е铝髁吭谀承傩员憩F(xiàn)出穩(wěn)定性，這種由業(yè)務(wù)特性以及用戶特性帶來的宏觀穩(wěn)定性通常不具有一般性，而由服務(wù)器的功能決定。如對(duì)于一臺(tái)郵件服務(wù)器而言，其SMTP及POP3的流量必然占大多數(shù)，假如網(wǎng)絡(luò)中P2P流量激增，則表明網(wǎng)絡(luò)出現(xiàn)異常。

a.服務(wù)端口號(hào)分布

b. 各類協(xié)議數(shù)據(jù)包比例分布

c.包長分布

d. 端口訪問數(shù)分布

圖2 特定網(wǎng)絡(luò)服務(wù)的流量穩(wěn)定性表現(xiàn)

圖2是對(duì)一臺(tái)郵件服務(wù)器流量屬性研究的統(tǒng)計(jì)結(jié)果，由圖可看出流量在服務(wù)端口號(hào)分布、協(xié)議分布、數(shù)據(jù)包長分布、端口數(shù)訪問情況等屬性上具有較穩(wěn)定分布，其中服務(wù)端口號(hào)分布集中于25(SMTP)、80(HTTP)及110(POP3)，與郵件服務(wù)器職責(zé)相匹配；各類協(xié)議的數(shù)據(jù)包比例分布較穩(wěn)定；由IP包負(fù)載長度可知網(wǎng)絡(luò)中主要是短包和長包；絕大多數(shù)IP訪問服務(wù)器端口數(shù)小于3。

本文根據(jù)以上研究成果分別提取出對(duì)應(yīng)的流量特征：

1) 端口號(hào)分布熵：根據(jù)信息熵定義，針對(duì)各端口號(hào)對(duì)應(yīng)流量占比求取的熵值；

2) 協(xié)議分布熵：根據(jù)各協(xié)議對(duì)應(yīng)流量占比求取的熵值；

3) 包長分布熵：根據(jù)各包長對(duì)應(yīng)流量占比求取的熵值；

4) 端口訪問指數(shù)：以每個(gè)IP訪問服務(wù)器端口數(shù)目為研究對(duì)象，綜合端口數(shù)目和該數(shù)目出現(xiàn)概率對(duì)其進(jìn)行刻畫，數(shù)目越大且出現(xiàn)概率越低，對(duì)應(yīng)的端口訪問指數(shù)越大。

2 基于流量統(tǒng)計(jì)的服務(wù)器行為建模

2.1 服務(wù)器動(dòng)態(tài)網(wǎng)絡(luò)行為輪廓描述

通過觀測(cè)發(fā)現(xiàn)，流量各屬性在較短時(shí)間內(nèi)具有相對(duì)的穩(wěn)定性，在較長時(shí)間內(nèi)則存在緩慢的周期變化過程。大量研究表明，網(wǎng)絡(luò)流量存在明顯的周期性[17-19]，因此，難以使用一個(gè)靜態(tài)的、恒定不變的網(wǎng)絡(luò)行為輪廓對(duì)服務(wù)器在任一時(shí)刻的網(wǎng)絡(luò)行為進(jìn)行描述。本文基于此提出了動(dòng)態(tài)網(wǎng)絡(luò)行為輪廓對(duì)服務(wù)器流量正常輪廓進(jìn)行描述。

定義3(動(dòng)態(tài)網(wǎng)絡(luò)行為輪廓) 不定義一個(gè)靜態(tài)的、固定的正常流量輪廓，而是充分考慮當(dāng)前流量規(guī)模及特點(diǎn)，從而定義一個(gè)適合描述當(dāng)前流量結(jié)構(gòu)的正常輪廓。

由于鄰近時(shí)間窗口間的業(yè)務(wù)水平及流量結(jié)構(gòu)相當(dāng)，因此，本文基于當(dāng)前時(shí)間窗口前個(gè)無明顯異常的歷史流量數(shù)據(jù)構(gòu)建當(dāng)前時(shí)刻的動(dòng)態(tài)網(wǎng)絡(luò)行為輪廓。為了消除歷史數(shù)據(jù)中的異常值，本文主要基于格拉布斯準(zhǔn)則[20]對(duì)異常數(shù)據(jù)(離群值)進(jìn)行分析剔除，從而獲得正常的歷史數(shù)據(jù)用于構(gòu)建適合描述當(dāng)前流量結(jié)構(gòu)的正常輪廓。

正常網(wǎng)絡(luò)行為輪廓流量結(jié)構(gòu)包括兩部分內(nèi)容：各屬性的參照值及各屬性在流量結(jié)構(gòu)中的構(gòu)成(比重)。屬性參照值主要根據(jù)正常歷史數(shù)據(jù)平均求得，比重通過各屬性的穩(wěn)定性求得?；趧?dòng)態(tài)網(wǎng)絡(luò)行為輪廓的穩(wěn)定性描述方法充分考慮了正常網(wǎng)絡(luò)行為輪廓隨時(shí)段周期性變化的過程，對(duì)異常檢測(cè)更具有參考意義。

2.2 服務(wù)器異常行為檢測(cè)

本文提出了一種基于Spie Chart[21]的可視化度量方法，Spie Chart如圖3a所示，基準(zhǔn)餅圖固定了扇形角度，比較餅圖疊加在基準(zhǔn)餅圖之上，每個(gè)扇形半徑偏離基準(zhǔn)餅圖的程度反映了每個(gè)構(gòu)成的相對(duì)變化，這樣Spie Chart強(qiáng)調(diào)了構(gòu)成，又反映了構(gòu)成的變化，從而有效衡量?jī)蓚€(gè)相同構(gòu)成餅圖的差異性。

a. Spie Chart示意圖

b. Spie Chart差異性度量示意圖

圖3 Spie Chart及差異性度量示意圖

本文將正常網(wǎng)絡(luò)行為輪廓的流量結(jié)構(gòu)作為基準(zhǔn)餅圖，將當(dāng)前網(wǎng)絡(luò)流量結(jié)構(gòu)作為比較餅圖，每個(gè)扇形表示流量結(jié)構(gòu)的一個(gè)特征，將兩個(gè)餅圖對(duì)應(yīng)扇形的面積差作為偏離度的衡量值。為了方便描述，令每個(gè)餅圖的扇形數(shù)為，、分別為基準(zhǔn)餅圖及比較餅圖的第個(gè)扇形半徑。在Spie Chart中，將設(shè)為1，表示正常網(wǎng)絡(luò)行為輪廓，則為實(shí)際網(wǎng)絡(luò)流量結(jié)構(gòu)特征值與正常輪廓中對(duì)應(yīng)特征值(正常參考值)的比值。本文以基準(zhǔn)餅圖與比較餅圖的差異作為差異性的度量依據(jù)，即圖3b中黑色部分面積。

由于每個(gè)特征的穩(wěn)定性存在差別，因此各特征對(duì)應(yīng)的扇形角度不同，這里使用穩(wěn)定系數(shù)描述，第個(gè)扇形的穩(wěn)定系數(shù)表示為，越大表明越穩(wěn)定。特征的穩(wěn)定系數(shù)決定了對(duì)應(yīng)扇形的角度，扇形的角度越大，對(duì)最終計(jì)算差異性影響越大。

(1)

(3)

3) 差異性度量

本文基于Spie Chart扇形面積差度量當(dāng)前流量結(jié)構(gòu)與正常網(wǎng)絡(luò)輪廓的偏離度，差異性可通過式(4)計(jì)算求得，當(dāng)超過特定閾值時(shí)，說明當(dāng)前流量結(jié)構(gòu)偏離正常輪廓的程度較大，從而判定為異常：

3 網(wǎng)絡(luò)行為描述系統(tǒng)及有效性驗(yàn)證

3.1 郵件服務(wù)器網(wǎng)絡(luò)行為描述系統(tǒng)

為了驗(yàn)證該模型的有效性，本文基于某郵件服務(wù)器流量構(gòu)建并部署了服務(wù)器網(wǎng)絡(luò)行為描述系統(tǒng)，對(duì)服務(wù)器網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)，同時(shí)通過實(shí)施攻擊實(shí)驗(yàn)觀察流量結(jié)構(gòu)的變化情況。

系統(tǒng)工作流程為：1) 針對(duì)流量結(jié)構(gòu)各特征基于時(shí)間序列對(duì)流量進(jìn)行統(tǒng)計(jì)。2) 基于前120個(gè)時(shí)間窗口的歷史數(shù)據(jù)構(gòu)建正常網(wǎng)絡(luò)行為輪廓(首先基于格拉布斯準(zhǔn)則剔除歷史數(shù)據(jù)中的異常值，基于正常值的均值確定正常參考值；其次基于各特征值在歷史數(shù)據(jù)中表現(xiàn)出的穩(wěn)定性求穩(wěn)定系數(shù)及扇形角度，即確定各特征的權(quán)重)。3) 基于當(dāng)前時(shí)間窗口的實(shí)際流量結(jié)構(gòu)和正常網(wǎng)絡(luò)行為輪廓，根據(jù)本文提出的Spie Chart差異性度量方法計(jì)算偏離度。4) 若偏離度超過特定閾值，則對(duì)異常進(jìn)行告警。

由于不同服務(wù)器及不同的網(wǎng)絡(luò)環(huán)境表現(xiàn)出的穩(wěn)定性不同，因此偏離度閾值也應(yīng)不同。本文閾值設(shè)定方法是：基于格拉布斯準(zhǔn)則將偏離度歷史數(shù)據(jù)中的正常值和異常值分開，計(jì)算各自均值，然后以二者中間值作為閾值。

為了驗(yàn)證該系統(tǒng)對(duì)異常流量的檢測(cè)效果，本文從已知異常(網(wǎng)絡(luò)攻擊)檢測(cè)和未知異常檢測(cè)兩個(gè)方面進(jìn)行分析。

3.2 針對(duì)已知異常的檢測(cè)驗(yàn)證

本文主要通過對(duì)服務(wù)器實(shí)施常見的網(wǎng)絡(luò)攻擊實(shí)現(xiàn)對(duì)已知異常檢測(cè)的效果評(píng)估。表1是系統(tǒng)對(duì)端口掃描、SYN Dos及UDP Flood 3種常見網(wǎng)絡(luò)攻擊的檢測(cè)效果。針對(duì)不同的攻擊類型，實(shí)驗(yàn)分別選取了3種不同的攻擊規(guī)模(表示每個(gè)時(shí)間窗口內(nèi)的探測(cè)次數(shù))，共實(shí)施了9組實(shí)驗(yàn)，每組實(shí)驗(yàn)實(shí)施30次攻擊。

表1 針對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)結(jié)果

結(jié)果顯示系統(tǒng)對(duì)端口掃描具有較靈敏的檢測(cè)效果，當(dāng)攻擊規(guī)模達(dá)到240時(shí)，檢測(cè)率就已達(dá)到100%，隨著攻擊規(guī)模加大，異常值也在增大。當(dāng)攻擊規(guī)模分別達(dá)到1 800和1 200時(shí)，SYN Dos和UDP Flood的檢測(cè)率都能達(dá)到93.3%，隨著攻擊規(guī)模的增大，檢測(cè)率和差異值也在不斷增大。由實(shí)驗(yàn)結(jié)果可知，系統(tǒng)對(duì)能夠影響網(wǎng)絡(luò)流量結(jié)構(gòu)的常見網(wǎng)絡(luò)攻擊具有較好的檢測(cè)效果。

3.3 針對(duì)未知異常的檢測(cè)驗(yàn)證

針對(duì)未知異常的檢測(cè)結(jié)果如表2所示，包括3列數(shù)據(jù)，分別表示正常情形、某周期性網(wǎng)絡(luò)異常及某次郵件密碼暴力破解3類情形下的流量結(jié)構(gòu)變化情況。理論正常情形是各流量特征與正常輪廓對(duì)應(yīng)特征相等(即表中各特征值為1)，差異值為0，但是網(wǎng)絡(luò)不可能是一成不變的。表中第1列數(shù)據(jù)是對(duì)43 200個(gè)時(shí)間窗口(30 d)流量結(jié)構(gòu)數(shù)據(jù)經(jīng)格拉布斯準(zhǔn)則剔除異常值后的均值統(tǒng)計(jì)結(jié)果，由表中數(shù)據(jù)可看出正常情形下各特征較穩(wěn)定，流量結(jié)構(gòu)與正常輪廓差異較小，同時(shí)這也驗(yàn)證了流量結(jié)構(gòu)穩(wěn)定性的存在。

表2中第2列數(shù)據(jù)表示的是系統(tǒng)從郵件服務(wù)器流量中檢測(cè)出的某類未知網(wǎng)絡(luò)異常的流量結(jié)構(gòu)。流量監(jiān)測(cè)數(shù)據(jù)顯示，異常發(fā)生期間TCP連接數(shù)、網(wǎng)絡(luò)數(shù)據(jù)包數(shù)、SYN包數(shù)顯著增大，分別達(dá)到鄰近時(shí)刻數(shù)據(jù)水平的6倍、10倍和8倍左右，使流量結(jié)構(gòu)在各方面偏離正常輪廓，差異值達(dá)到19.448。鑒于該異常長期且持續(xù)發(fā)生于每天早上6:22左右，時(shí)間和模式較固定，因此猜測(cè)可能是郵件服務(wù)器自身某項(xiàng)定時(shí)功能或配置導(dǎo)致的網(wǎng)絡(luò)異常。

表2中第3列數(shù)據(jù)表示的是某次異常事件的流量結(jié)構(gòu)，數(shù)據(jù)顯示異常發(fā)生期間SYN包比例、端口分布熵、協(xié)議分布熵等變化較劇烈，總差異值達(dá)到14.824。分析原始數(shù)據(jù)發(fā)現(xiàn)為一次郵件密碼暴力破解活動(dòng)，持續(xù)時(shí)間近3 min，共進(jìn)行了13 298次密碼猜解。

表2 針對(duì)未知異常的檢測(cè)結(jié)果

研究過程發(fā)現(xiàn)，針對(duì)不同的網(wǎng)絡(luò)異常，其所影響的流量結(jié)構(gòu)屬性及程度也各不相同。如SYN Dos攻擊對(duì)SYN比例影響巨大，端口掃描對(duì)端口訪問指數(shù)影響巨大，UDP Flood對(duì)協(xié)議分布熵影響較大，某周期性網(wǎng)絡(luò)異常對(duì)端口訪問指數(shù)等影響較大，密碼暴力破解對(duì)SYN比例及協(xié)議分布熵影響較大。而研究過程中也發(fā)現(xiàn)，IP相關(guān)性在許多網(wǎng)絡(luò)異常期間一直較穩(wěn)定，主要原因是已考察的網(wǎng)絡(luò)異常都未能明顯改變?cè)L問服務(wù)器的IP列表，IP相關(guān)性如果出現(xiàn)明顯擾動(dòng)，則可能預(yù)示著分布式網(wǎng)絡(luò)攻擊的發(fā)生。因此對(duì)于流量結(jié)構(gòu)而言，所包含的穩(wěn)定性屬性越全面，其所代表的流量狀態(tài)也越準(zhǔn)確。

4 結(jié)束語

本文基于流量結(jié)構(gòu)的穩(wěn)定性對(duì)服務(wù)器正常網(wǎng)絡(luò)行為進(jìn)行建模，根據(jù)當(dāng)前網(wǎng)絡(luò)流量結(jié)構(gòu)與正常輪廓的偏離度進(jìn)行流量異常檢測(cè)。本文從正常流量固有穩(wěn)定性及業(yè)務(wù)特性、用戶特性等表現(xiàn)的流量穩(wěn)定性兩方面，對(duì)流量屬性進(jìn)行了深入研究，基于信息熵、相關(guān)性等方法提取了若干流量特征描述流量結(jié)構(gòu)。針對(duì)正常流量輪廓隨業(yè)務(wù)強(qiáng)度在不同時(shí)段周期性變化的問題，提出了根據(jù)臨近時(shí)間窗口的流量結(jié)構(gòu)構(gòu)建動(dòng)態(tài)網(wǎng)絡(luò)行為輪廓的概念，從而使正常輪廓更具參考意義。為了對(duì)流量結(jié)構(gòu)的偏離程度定量描述，提出了一種基于Spie Chart扇形面積差的度量方法。本文基于流量結(jié)構(gòu)穩(wěn)定性的服務(wù)器網(wǎng)絡(luò)行為模型在一臺(tái)郵件服務(wù)器上構(gòu)建了系統(tǒng)進(jìn)行驗(yàn)證，證明了流量結(jié)構(gòu)穩(wěn)定性的存在，同時(shí)該系統(tǒng)對(duì)常見網(wǎng)絡(luò)攻擊及未知網(wǎng)絡(luò)流量異常都具有較好檢測(cè)效果。然而當(dāng)前提取的流量屬性還較單一，依據(jù)流量結(jié)構(gòu)穩(wěn)定性的評(píng)判依據(jù)，提取和選擇出更多來源和粒度的屬性表示流量結(jié)構(gòu)，是下一步的研究方向。

[1] ROESCH M. Snort: Lightweight intrusion detection for networks[C]//LISA. Washington, USA: ACM, 1999: 99: 229-238.

[2] 鄭禮良, 吳國鳳, 胡曉明, 等. 基于Snort的入侵檢測(cè)系統(tǒng)的研究與改進(jìn)[J]. 合肥工業(yè)大學(xué)學(xué)報(bào): 自然科學(xué)版, 2011, 34(4): 529-532.

ZHENG Li-liang, WU Guo-feng, HU Xiao-ming, et al. Research on intrusion detection system based on Snort and its improvement[J]. Journal of Hefei University of Technology (Natural Science), 2011, 34(4): 529-532.

[3] SAGANOWSKI ?, GONCERZEWICZ M, ANDRYSIAK T. Anomaly detection preprocessor for Snort IDS system[M]//Image Processing and Communications Challenges 4. Berlin Heidelberg: Springer, 2013: 225-232.

[4] WANG H X, CHENG G Y, HAN Y F. Research on increasing speed of rule-matching in Snort[J]. Computer & Information Technology, 2013, 21(1): 30-33.

[5] 郁繼鋒. 基于數(shù)據(jù)挖掘的Web應(yīng)用入侵異常檢測(cè)研究[D]. 武漢: 華中科技大學(xué), 2011.

YU Ji-feng. Research on anomaly intrusion detection od Web application based on data mining[D]. Wuhan: Huazhong University of Science and Technology, 2011.

[6] 雷驚鵬, 顏世波. 基于Windows日志的主機(jī)入侵檢測(cè)[J]. 吉林工程技術(shù)師范學(xué)院學(xué)報(bào), 2013, 29(1): 71-72.

LEI Jing-peng, YAN Shi-bo. Host intrusion detection based on windows log[J]. Journal of Jilin Teachers Institute of Engineering and Technology, 2013, 29(1): 71-72.

[7] 何鵬程, 方勇. 一種基于Web日志和網(wǎng)站參數(shù)的入侵檢測(cè)和風(fēng)險(xiǎn)評(píng)估模型的研究[J]. 信息網(wǎng)絡(luò)安全, 2015(1): 61-65.

HE Peng-cheng, FANG Yong. A risk assessment model of intrusion detection for Web applications based on Web server logs and website parameters[J]. Netinfo Security, 2015(1): 61-65.

[8] 周麗, 王小玲. 基于網(wǎng)絡(luò)審計(jì)日志關(guān)聯(lián)規(guī)則挖掘的改進(jìn)[J]. 計(jì)算機(jī)技術(shù)與發(fā)展, 2011, 21(6): 150-153.

ZHOU Li, WANG Xiao-lin. Improved algorithm for association rules mining based on network audit record[J]. Computer Technology and Development, 2011, 21(6): 150-153.

[9] 賈慧, 高仲合. 基于自相似的異常流量檢測(cè)模型[J]. 通信技術(shù), 2010, 43(12): 115-117.

JIA Hui, GAO Zhong-he. Anomalous-traffic detection model based on self-similarity[J]. Communications Technology, 2010, 43(12): 115-117.

[10] DAINOTTI A, PESCAPé A, VENTRE G. NIS04-1: Wavelet-based detection of DoS attacks[C]//Global Telecommunications Conference, 2006, GLOBECOM'06. [S.l.]: IEEE, 2006: 1-6.

[11] 高能, 馮登國, 向繼. 一種基于數(shù)據(jù)挖掘的拒絕服務(wù)攻擊檢測(cè)技術(shù)[J]. 計(jì)算機(jī)學(xué)報(bào), 2006, 29(6): 944-951.

GAO Neng, FENG Deng-guo, XIANG Ji. A data-mining based DoS detection technique[J]. Chinese Journal of Computers, 2006, 29(6): 944-951.

[12] YASAMI Y, MOZAFFARI S P. A novel unsupervised classification approach for network anomaly detection by k-Means clustering and ID3 decision tree learning methods[J]. The Journal of Supercomputing, 2010, 53(1): 231-245.

[13] KLINE J, NAM S, BARFORD P, et al. Traffic anomaly detection at fine time scales with bayes nets[C]//Internet Monitoring and Protection, 2008, ICIMP'08. [S.l.]: IEEE, 2008: 37-46.

[14] 程柏良, 周洪波, 鐘林輝. 基于異常與誤用的入侵檢測(cè)系統(tǒng)[J]. 計(jì)算機(jī)工程與設(shè)計(jì), 2007, 28(14):3341-3343.

CHENG Bai-liang, ZHOU Hong-bo, ZHONG Lin-hui. Intrusion detection system based on anomaly and misuse[J]. Computer Engineering and Design, 2007, 28(14): 3341- 3343.

[15] 杜鑫, 楊英杰, 常德顯. 基于特征分布分析的網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng)[J]. 計(jì)算機(jī)工程, 2009, 35(6): 116-118.

DU Xin, YANG Ying-jie, CHANG De-xian. Network traffic supervision system based on feature distribution analysis[J]. Computer Engineering, 2009, 35(6): 116-118.

[16] 王忠民. 基于統(tǒng)計(jì)分析的DDoS攻擊檢測(cè)的研究[D]. 河北, 秦皇島: 燕山大學(xué), 2012.

WANG Zhong-ming. Dos attack detection based on the stastical analysis[D]. Qinhuangdao, Hebei: Yanshan University, 2012.

[17] 張鳳荔, 趙永亮, 王丹, 等. 基于流量特征的網(wǎng)絡(luò)流量預(yù)測(cè)研究[J]. 計(jì)算機(jī)科學(xué), 2014, 41(4): 86-89.

ZHANG Feng-li, ZHAO Yong-liang, WANG Dan, et al. Prediction of network traffic based on traffic characteristic[J]. Computer Scienc, 2014, 41(4): 86-89.

[18] 朱倩雨. 網(wǎng)絡(luò)流量預(yù)測(cè)模型的研究[D]. 烏魯木齊: 新疆大學(xué), 2014.

ZHU Qian-yu, Research on prediction model of network traffic[D]. Wulumuqi: Xinjiang University, 2014.

[19] 邵雪梅. 校園網(wǎng)流量測(cè)量與性能優(yōu)化研究[D]. 合肥: 合肥工業(yè)大學(xué), 2013.

SHAO Xue-mei. Research on campus network traffic measurement and performance optimization[D]. Hefei: Hefei University of Technology, 2014.

[20] 孫培強(qiáng). 正確選擇統(tǒng)計(jì)判別法剔除異常值[J]. 計(jì)量技術(shù), 2013(11): 71-73.

SUN Pei-qiang. Correct selection of statistical criterion to eliminate outliers[J]. Measurement Technique, 2013(11): 71-73.

[21] FEITELSON D G. Comparing partitions with Spie Charts[EB/OL]. [2015-04-20]. http://www.cs.huji.ac.il/~ feit/papers/Spie03TR.pdf.

[22] 王明濤. 多指標(biāo)綜合評(píng)價(jià)中權(quán)數(shù)確定的離差, 均方差決策方法[J]. 中國軟科學(xué), 1999(8): 100-101.

WANG Ming-tao. The dispersion and mean square deviation decision method: Determination of the weight in multiple-parameters comprehensive evaluation[J]. China Soft Science, 1999(8): 100-101.

編 輯 漆 蓉

Profiling Structure-Stability-Based Server Traffic: Behavior Models and System

SHAO Guo-lin, CHEN Xing-shu, YIN Xue-yuan, and YE Xiao-ming

(College of Computer Science, Sichuan University Chengdu 610065)

Server as an important part of the institutions or organizations usually carries a particular network service, for the security protection, it usually adopts rule-based approaches to detecting attacks according to the specific characters. However, due to the new network attacks emerge in endlessly and network anomaly is difficult to define, anomaly-feature-based detection is more and more difficult to meet the needs of the increasingly complex network environment. To cope with it, we propose the concept of traffic structure stability based on both the inherent stability of normal traffic attributes and the stability of a specific service, and profile the normal network behavior model for the server to detect traffic abnormality. To describe the difference between current traffic structure and the normal profile, we propose a novel visualization measurement method based on Spie Chart. Finally, we implement the system on a mail server and confirm the validity of the model by experiments.

normal behavior model; server security; traffic abnormality detection; traffic structure stability

TP393.08

A

10.3969/j.issn.1001-0548.2017.01.016

2015-07-21；

2016-01-15

國家自然科學(xué)基金(61272447)；國家科技支撐計(jì)劃(2012BAH18B05)

邵國林(1991-)，男，博士生，主要從事計(jì)算機(jī)網(wǎng)絡(luò)與信息安全方面的研究.