基于netflow實(shí)時(shí)安全檢測(cè)技術(shù)研究

哈爾濱_丁程大學(xué)碩+哈爾濱_丁程大學(xué)碩+學(xué)位論互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展使得網(wǎng)絡(luò)安全問(wèn)題成為當(dāng)今全球最為關(guān)注的之一。惡意代碼、各種病毒以及攻擊手段大量的充斥在網(wǎng)絡(luò)環(huán)境當(dāng)中，影人們的正常工作和學(xué)習(xí)，嚴(yán)重的會(huì)對(duì)國(guó)家財(cái)產(chǎn)和利益構(gòu)成威脅。隨著黑客的手段不斷提高，對(duì)防入侵技術(shù)的要求也越來(lái)越高，網(wǎng)絡(luò)安全產(chǎn)品也不斷地推NetFloNetFlow對(duì)于實(shí)現(xiàn)網(wǎng)絡(luò)管理、流量計(jì)費(fèi)以及安全分析等非常有效，并且對(duì)數(shù)據(jù)的處速度快，能夠滿(mǎn)足目前高速大流量的網(wǎng)絡(luò)環(huán)境需求。鑒于NetFlow勢(shì)，將其作為數(shù)據(jù)源來(lái)對(duì)網(wǎng)絡(luò)安全進(jìn)行分析，必將是十分方便有效的方法。本文提出的基于NetFlow的NetFlow數(shù)據(jù)作為分析對(duì)象，從而實(shí)時(shí)準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常行為作為一種流量檢測(cè)技術(shù)，本文首先將NetFlow與其他兩種廣泛使用的技術(shù)進(jìn)行了對(duì)比分析，闡述了選擇NetFlow的原因。然后對(duì)使用NetFlow能夠發(fā)現(xiàn)的網(wǎng)絡(luò)異常行為進(jìn)行了分類(lèi)，指出了每種異常行為的特征，并對(duì)相應(yīng)的NetFlow技術(shù)檢測(cè)方法進(jìn)行了研究。在對(duì)NetFlow網(wǎng)絡(luò)安全領(lǐng)域的深入研究和理解的基礎(chǔ)上，使用LinuxGCC環(huán)境實(shí)現(xiàn)了一個(gè)基于NetFlow的實(shí)時(shí)安全事件檢測(cè)模塊。為滿(mǎn)足實(shí)時(shí)性的要求，采用了多線(xiàn)程的思想，將主要功能劃分為四個(gè)線(xiàn)程并發(fā)執(zhí)行，提高了系統(tǒng)的運(yùn)行效率。在對(duì)網(wǎng)絡(luò)異常行為進(jìn)行分析時(shí)，為了更加全面準(zhǔn)確地定位安全事件，設(shè)計(jì)了一個(gè)三層的檢測(cè)模型，并按照可信度對(duì)生成的事件劃等級(jí)。最后經(jīng)實(shí)驗(yàn)表明，模塊能夠正常運(yùn)行且效果良好關(guān)鍵詞：網(wǎng)絡(luò)安全態(tài)勢(shì)感知；NetFlow；流數(shù)據(jù)采集；異常檢哈爾濱工程大學(xué)碩七學(xué)臂論oneofthemosthasattacksinthenetworkhavemakethreats normallife．Andeveninanti-benefits．Withhaveneeded．Newpromotedbyandcooperations．Tl：1ronghstudie§andpractices，NetFlowisnetworkmanagement,trafficbilling．a(chǎn)ndsecurityt0哈爾濱工程大學(xué)碩七學(xué)臂論oneofthemosthasattacksinthenetworkhavemakethreats normallife．Andeveninanti-benefits．Withhaveneeded．Newpromotedbyandcooperations．Tl：1ronghstudie§andpractices，NetFlowisnetworkmanagement,trafficbilling．a(chǎn)ndsecurityt0usedinnetworkenvironmentwithspeedand securityreal—securityeventsdetectingtechnologiesale thisnetworkactivitiesCanbedetectedofpopularNetFlowatechnologyoftrafficdetecting,comparisonsothermadereasonsofchoosingNetFlowarerefferedinthisattacksareclassified．Characteristicsthatc舭abnormalactivitiesandrelateddetectingstrategieslistedOntheonofde印securityareas，real-withondetecting functionstheneedofreal—time．multi-intofourthreadscollectingrunningefficiencyofiselevated．Andeventsdetectedclassifiedreliability．Atimplemented．ThesystemshowthatworkmodHeKeywords：network哈爾濱工程大學(xué)位論文原哈爾濱工程大學(xué)位論文原創(chuàng)性聲本人鄭重聲明：本論文的所有工作，是在導(dǎo)師指導(dǎo)下，由作者本人獨(dú)立完成的。有關(guān)觀點(diǎn)、方法作者(簽字)：金哈爾濱T程大學(xué)碩士學(xué)位哈爾濱T程大學(xué)碩士學(xué)位論近年來(lái)，隨著互聯(lián)網(wǎng)在全球的迅速普及，網(wǎng)絡(luò)已經(jīng)成為人們?nèi)粘９ぷ魃钪胁豢扇鄙俚男畔⒊休d工具。但由于因特網(wǎng)的開(kāi)放性，也使得互聯(lián)網(wǎng)的安全問(wèn)題越來(lái)越受到人們的關(guān)注。如今，網(wǎng)絡(luò)異常行為層出不窮，而且攻擊手法越來(lái)越具有隱蔽性，小到個(gè)人，大到企業(yè)、國(guó)家，無(wú)不面臨其帶來(lái)的方面威脅，這就使得人們?cè)谙硎苤ヂ?lián)網(wǎng)帶來(lái)的無(wú)限樂(lè)趣與便利的同時(shí)為隨時(shí)面臨著黑客的“偷襲”而憂(yōu)心忡忡。由于網(wǎng)絡(luò)安全產(chǎn)品的開(kāi)發(fā)永遠(yuǎn)不上黑客的腳步，因此衡量一個(gè)安全產(chǎn)品的好壞，并不是看它能否防得住所有的攻擊，而是看其是否能準(zhǔn)確地定位攻擊，并對(duì)攻擊源實(shí)施快速有效地阻斷。因此實(shí)時(shí)性和高檢出率成為衡量一個(gè)系統(tǒng)功能是否強(qiáng)大的重要標(biāo)準(zhǔn)。傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品，如防火墻、IDS以及防病毒工具等實(shí)時(shí)性都很低而且誤報(bào)率和漏報(bào)率高，抵御網(wǎng)絡(luò)威脅的能力十分有限。它們往往只能做到被動(dòng)防御，也就是在攻擊已經(jīng)發(fā)生之后才能產(chǎn)生報(bào)警，對(duì)于威脅程度不斷加大、網(wǎng)絡(luò)承載信息內(nèi)容的重要性不斷提高的今天來(lái)講，這些防御手段的局限性日益顯現(xiàn)出來(lái)，已經(jīng)不再能適應(yīng)人們的需求。因此，目前的防御技術(shù)正逐漸由被動(dòng)防御向主動(dòng)防御過(guò)渡。所謂的主動(dòng)防御就是指能夠在攻擊行為還沒(méi)有發(fā)生，但是已經(jīng)表現(xiàn)出跡象時(shí)，就對(duì)其進(jìn)行阻斷，并作進(jìn)一步處理。因?yàn)橐话愕墓粜袨樵诎l(fā)生之前，都會(huì)表現(xiàn)出一些異常行為，如流量異常、IPNetFlow是近幾年十分熱門(mén)的流交換技術(shù)，它由于不需要對(duì)數(shù)數(shù)據(jù)進(jìn)行分析，而只是對(duì)包頭信息進(jìn)行統(tǒng)計(jì)，因而有很高的處理速度，能夠滿(mǎn)足高速網(wǎng)絡(luò)環(huán)境的需求，同時(shí)NetFlow角度反映出網(wǎng)絡(luò)中的異常行為特征，不但能夠在攻擊實(shí)施初期就發(fā)現(xiàn)異常行為，還能夠監(jiān)測(cè)未知的蠕蟲(chóng)病毒在這樣的背景下，本文提出了基于NetFlow的實(shí)時(shí)安全事件檢測(cè)技哈爾濱T程大學(xué)碩士學(xué)位論哈爾濱T程大學(xué)碩士學(xué)位論所謂安全事件檢測(cè)就是發(fā)現(xiàn)對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅的異常行為并的過(guò)程。為了提高事件檢測(cè)的實(shí)時(shí)性，采用NetFlow技術(shù)是一個(gè)很好的選擇因?yàn)樗哂袑?duì)網(wǎng)絡(luò)數(shù)據(jù)很高的處理速度，生成的流數(shù)據(jù)對(duì)于網(wǎng)絡(luò)流量異常及特征分析都有無(wú)可比擬的優(yōu)勢(shì)。實(shí)時(shí)安全事件檢測(cè)技術(shù)的難點(diǎn)就在于怎樣也正是本文所要重點(diǎn)研究的問(wèn)題由于NetFlov在網(wǎng)絡(luò)管理、流量統(tǒng)計(jì)、網(wǎng)絡(luò)安全等方面有著杰出因此一經(jīng)提出就受到眾多網(wǎng)絡(luò)安全廠商以及研究機(jī)構(gòu)的青睞，紛紛設(shè)計(jì)出些利用NetFlow數(shù)據(jù)進(jìn)行分析的安全管理工具。目前NetFlow已經(jīng)在網(wǎng)絡(luò)相國(guó)外，F(xiàn)luke公司推出的ReporterAnalyzerm是一種被動(dòng)的服務(wù)器端分儀，該工具通過(guò)收集和分析NetFlowCrannogw備中收集NetFlow情況視圖。NetFlow絡(luò)中的流量信息，是一個(gè)提供有關(guān)任意應(yīng)用程序類(lèi)型詳細(xì)細(xì)節(jié)信息的強(qiáng)大NetFlowCollector和NetFlowAnalyzer；美國(guó)俄亥俄州大學(xué)開(kāi)發(fā)的網(wǎng)絡(luò)收集和分析工具Flow—toolsm'，國(guó)內(nèi)目前也有很多學(xué)校和科研機(jī)構(gòu)對(duì)NetFlow技術(shù)的應(yīng)用進(jìn)行了研中科院計(jì)算網(wǎng)絡(luò)中心的秦剛、李俊對(duì)NetFlow技術(shù)在網(wǎng)絡(luò)計(jì)費(fèi)方面的應(yīng)行了研究一，；北京郵電大學(xué)的顧勇分析了NetFlow在網(wǎng)絡(luò)性能度量和哈爾濱丁程大學(xué)碩士學(xué)位論面的應(yīng)哈爾濱丁程大學(xué)碩士學(xué)位論面的應(yīng)用m；清華大學(xué)李星對(duì)網(wǎng)絡(luò)NetFlow數(shù)據(jù)的高速采集和歸并進(jìn)行了入的研究m；中國(guó)科學(xué)院的楊嶸和張國(guó)清等人針對(duì)當(dāng)前網(wǎng)絡(luò)攻擊的特點(diǎn)現(xiàn)了一種通過(guò)NetFlown町。在產(chǎn)品方面，港灣網(wǎng)絡(luò)和啟明星辰結(jié)合各自技術(shù)優(yōu)勢(shì)，將防火墻與NetFlow技術(shù)相結(jié)合，在天清漢馬防火墻和港灣安全管理平臺(tái)中集成了NetFlow，于2005年7聯(lián)合推出了天清漢馬NetFlow系統(tǒng)“”本文的研究工作源于網(wǎng)絡(luò)安全態(tài)勢(shì)感知項(xiàng)目，該項(xiàng)目的最終目標(biāo)是要現(xiàn)對(duì)大規(guī)模網(wǎng)絡(luò)安全狀況的監(jiān)控并預(yù)測(cè)網(wǎng)絡(luò)狀況的進(jìn)一步發(fā)展趨勢(shì)。下面先介紹一下網(wǎng)絡(luò)態(tài)勢(shì)感知的概念網(wǎng)絡(luò)態(tài)勢(shì)感知源于空中交通監(jiān)管Control，ATC)態(tài)知，是一個(gè)比較新的概念，并且在這方面開(kāi)展研究的個(gè)人和機(jī)構(gòu)也相對(duì)較少1999年Bass在文[12]中首次提出了網(wǎng)絡(luò)態(tài)勢(shì)感知Awareness)這個(gè)概念，并對(duì)網(wǎng)絡(luò)態(tài)勢(shì)感知與ATC態(tài)勢(shì)感知進(jìn)類(lèi)比，旨在把ATC態(tài)勢(shì)感知的成熟理論和技術(shù)借鑒到網(wǎng)絡(luò)態(tài)勢(shì)感知中去目前，對(duì)網(wǎng)絡(luò)態(tài)勢(shì)感知還未能給出統(tǒng)一的、全面的定義。所謂網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶(hù)行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢(shì)。值得注意的是，態(tài)勢(shì)是一種狀態(tài)，一種趨勢(shì)，是一個(gè)整體和全局的概念，任何單一的情況或狀態(tài)都不能稱(chēng)之為態(tài)勢(shì)。網(wǎng)絡(luò)態(tài)勢(shì)感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素?。該項(xiàng)目由三部分組成，分別為數(shù)據(jù)采集、數(shù)據(jù)融合以及態(tài)勢(shì)可視化。數(shù)據(jù)采集功能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)、系統(tǒng)、服務(wù)以及各種應(yīng)用數(shù)據(jù)的采集，是整個(gè)項(xiàng)目的基礎(chǔ)。通過(guò)集成防火墻、IDS、IPS以及各類(lèi)日志信息，將多源異構(gòu)數(shù)據(jù)經(jīng)過(guò)預(yù)處理后轉(zhuǎn)換到統(tǒng)一的格式，為實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)感知提供全面準(zhǔn)確的態(tài)勢(shì)信息。數(shù)據(jù)融和的目的是將由多種傳感器提交的統(tǒng)一格式的信息進(jìn)行融合關(guān)聯(lián)分析，生成最終的事件提交給態(tài)勢(shì)可視化功能，態(tài)勢(shì)可視化則以直觀的方式對(duì)網(wǎng)絡(luò)狀況進(jìn)行多角度、多尺度的呈現(xiàn)哈爾濱T程大學(xué)碩士學(xué)位哈爾濱T程大學(xué)碩士學(xué)位論NetFlow作為數(shù)據(jù)采集子系統(tǒng)的一個(gè)重要的數(shù)據(jù)來(lái)源，應(yīng)該能夠?yàn)閿?shù)融合提供實(shí)時(shí)有效的態(tài)勢(shì)數(shù)據(jù)。通過(guò)采集網(wǎng)絡(luò)交換設(shè)備上的流量信息，根NetFlow數(shù)據(jù)的特點(diǎn)對(duì)網(wǎng)絡(luò)狀況進(jìn)行預(yù)分析，生成初步的事件并上交給上層應(yīng)用，為實(shí)現(xiàn)態(tài)勢(shì)感知提供有力的依據(jù)。國(guó)外很早就展開(kāi)了對(duì)態(tài)勢(shì)感知的研究，很多的可視化工具都是借助于NetFlow數(shù)據(jù)實(shí)現(xiàn)對(duì)全網(wǎng)的態(tài)勢(shì)感知，這主要是因?yàn)镹etFlow有很高的實(shí)時(shí)性，能夠滿(mǎn)足態(tài)勢(shì)感知的需求。因此作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)一個(gè)重要的部分，開(kāi)展基于NetFlow的實(shí)時(shí)安全事檢測(cè)技術(shù)的研究是十分有意義的第1章主要介紹該課題提出的背景和意義，并說(shuō)明采用NtFlw作為數(shù)據(jù)源的原因?？偨Y(jié)歸納了NetFlow技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的國(guó)內(nèi)外研究以及應(yīng)用現(xiàn)狀，并在此基礎(chǔ)上提出本文的目的、背景和意義，即該課題所依托的項(xiàng)，第2章主要是對(duì)NetFlow相關(guān)知識(shí)的介紹，為后面技術(shù)研究以現(xiàn)的開(kāi)展做鋪墊。重點(diǎn)是將目前普遍采用的三種流數(shù)據(jù)采集方法分別進(jìn)行了介紹，其中以基于NetFlow的采集方法為重點(diǎn)，同時(shí)在此基礎(chǔ)之上對(duì)三種方法進(jìn)行對(duì)比分析，旨在進(jìn)一步體現(xiàn)Netweo第3章首先對(duì)通過(guò)流量分析可被發(fā)現(xiàn)的各種異常情況及其特征作紹，然后在此基礎(chǔ)上列舉比較有效的異常檢測(cè)方法。由于對(duì)NetFlow分析建立在對(duì)其數(shù)據(jù)進(jìn)行統(tǒng)計(jì)的基礎(chǔ)上，因此在介紹基于NetFlow測(cè)方法之前，先描述了NetFlow流量數(shù)據(jù)統(tǒng)計(jì)的方法都有哪些，并在此基礎(chǔ)第4章是論文的重點(diǎn)。首先介紹了實(shí)時(shí)檢測(cè)模塊的開(kāi)發(fā)環(huán)境，闡述了采用該開(kāi)發(fā)環(huán)境的優(yōu)點(diǎn)。然后針對(duì)功能需求，提出基于NetFlow件檢測(cè)模塊的功能框架，在介紹模塊開(kāi)發(fā)所用關(guān)鍵技術(shù)的基礎(chǔ)上，分別完成對(duì)數(shù)據(jù)接收線(xiàn)程、流解析線(xiàn)程、統(tǒng)計(jì)線(xiàn)程以及分析線(xiàn)程的具體設(shè)計(jì)和實(shí)現(xiàn)4哈爾濱1第5章中搭哈爾濱1第5章中搭建了一個(gè)實(shí)驗(yàn)環(huán)境，提出實(shí)驗(yàn)方案，并依據(jù)實(shí)驗(yàn)方案對(duì)實(shí)的功能進(jìn)行測(cè)試，目的是要驗(yàn)證所設(shè)計(jì)模塊的可靠性與有效性。通過(guò)對(duì)實(shí)結(jié)果的分析，可以得出該實(shí)時(shí)檢測(cè)模塊的功能能夠達(dá)到預(yù)期的效果5哈爾濱-[程大學(xué)碩+學(xué)位論哈爾濱-[程大學(xué)碩+學(xué)位論網(wǎng)絡(luò)的流n．，(Flow)是指一個(gè)特定來(lái)源和目的端的單向數(shù)據(jù)報(bào)文序列，就是將來(lái)源IP、目地IP、來(lái)源Port、目地Port和傳輸協(xié)議、TOS接口的邏輯接口索引7個(gè)屬性值相同的報(bào)文整合成一個(gè)流。只要有一個(gè)屬性是一個(gè)32位無(wú)符號(hào)整數(shù)，以計(jì)數(shù)器的形式存在。當(dāng)采集設(shè)備收到一個(gè)IP據(jù)包時(shí)，根據(jù)該數(shù)據(jù)包的七元組信息，在標(biāo)識(shí)符表(哈希表)中相應(yīng)的數(shù)據(jù)流信息。如果七元組信息在哈希表中不存在，則認(rèn)為該數(shù)據(jù)包于一個(gè)新的數(shù)據(jù)流，計(jì)數(shù)器自動(dòng)增加，其數(shù)值作為新數(shù)據(jù)流的標(biāo)識(shí)符，在哈希表中建立新的數(shù)據(jù)流信息NetFlow技術(shù)最早是于1996CiSCO公司的DarreneryBrins發(fā)明的，并于同年5月注冊(cè)為美國(guó)專(zhuān)利。NetFlow技術(shù)首先被用于網(wǎng)絡(luò)設(shè)備加速對(duì)數(shù)據(jù)的交換，并可同步實(shí)現(xiàn)對(duì)高速轉(zhuǎn)發(fā)的IP數(shù)據(jù)流進(jìn)行測(cè)量和統(tǒng)計(jì)。經(jīng)并成為業(yè)界標(biāo)準(zhǔn)，得到了主流廠商(如Juniper、Foundry、Extreme等)的6哈爾濱T稃大學(xué)碩士學(xué)位論持w，國(guó)哈爾濱T稃大學(xué)碩士學(xué)位論持w，國(guó)內(nèi)華為推出的NetStreamu”技術(shù)也與NetFlow技術(shù)兼容在NetFlow技術(shù)的演進(jìn)過(guò)程中，Cisco公司一共開(kāi)發(fā)出了Vl、V5、V7v8和v9等5個(gè)主要的實(shí)用版本，其中使用得最多的是V5。在2003年，思公司的NetFlowV9還被IETF組織從5個(gè)候選方案中確定為用IPFIXNetFloW／IPFIX致來(lái)源更具吸引力了NetFlow數(shù)據(jù)格式因其版本而有所不同，而各版本之間的差異主要表在對(duì)流采用的匯聚方法不同。但無(wú)論哪個(gè)版本，NetFlow即包頭和多個(gè)流信息記錄構(gòu)成。如在V5格式中，路由器發(fā)送到接收主機(jī)的每圖2．1NetFlow數(shù)據(jù)包格丟失的序列號(hào)；而流記錄中存放的是詳細(xì)的流信息，流信息記錄的格式視不。同的版本而定，典型的流記錄格式包括：源IP地址和目的IP地址、源和目的TcP／uDP端口、服務(wù)類(lèi)型、包計(jì)數(shù)和字節(jié)計(jì)數(shù)、起始和結(jié)束時(shí)間戳、路由信息(下一跳地址、源AS、目的AS測(cè)提供詳細(xì)的信息由于NetFlowV5采集到的流量數(shù)據(jù)可以支持不同維度的統(tǒng)計(jì)分析，所7哈爾濱工稃大學(xué)碩士學(xué)位論V9已經(jīng)被列入IETF的標(biāo)準(zhǔn)，它采用模板技術(shù)，可以自哈爾濱工稃大學(xué)碩士學(xué)位論V9已經(jīng)被列入IETF的標(biāo)準(zhǔn)，它采用模板技術(shù)，可以自定義輸出NetFlow據(jù)的格式，因此格式靈活、可擴(kuò)展性好。這里就以V5和v9為例介紹的數(shù)據(jù)格式版本5的包頭格式和流記錄格式分別如圖2．2、圖2．3所示n一012 5 I圖2．2NetFlow版本5的包頭格version：NetFlow數(shù)據(jù)格式的版本count：數(shù)據(jù)流的個(gè)flow_sequence：已經(jīng)看到的所有數(shù)據(jù)流的序列計(jì)數(shù)engine—type：流交換引擎類(lèi)型(RP為0，LC為id：流交換引擎槽(即內(nèi)容為O)的字reserved：未其中，flow_sequence用來(lái)作為校驗(yàn)信息，當(dāng)前數(shù)據(jù)報(bào)的值等于前一個(gè)數(shù)據(jù)報(bào)flow_sequence值加上前一個(gè)數(shù)據(jù)包中流記錄條數(shù)，即UDPelsequence值以及count值就可以檢驗(yàn)傳輸中是否有數(shù)據(jù)包丟失srcaddr：源IP地nexthop：下一跳IP地input：輸入邏輯端output：輸出邏輯B哈爾濱T程大學(xué)碩士學(xué)位論 56789Ia哈爾濱T程大學(xué)碩士學(xué)位論 56789Iadstsrcsrcdst圖2．3NetFlow版本5的流記錄格UDP源端口 dstport：TCP／UDP目標(biāo)端口src_as：源自治域src_mask=源地址掩dst_mask：目的地址padding=未用(即內(nèi)容為O)的字從圖2．4中可以看出，v9的數(shù)據(jù)輸出格式與V5有較大區(qū)別，主要是為V9采用了基于模板式的數(shù)據(jù)輸出方式。網(wǎng)絡(luò)設(shè)備在進(jìn)行V9格式的數(shù)據(jù)出時(shí)會(huì)向數(shù)據(jù)接收端分別發(fā)送數(shù)據(jù)包模板和數(shù)據(jù)流記錄。數(shù)據(jù)包模板確定9后續(xù)發(fā)送的數(shù)據(jù)流記錄中數(shù)據(jù)包的后續(xù)發(fā)送的數(shù)據(jù)流記錄中數(shù)據(jù)包的格式和長(zhǎng)度，便于數(shù)據(jù)接收端對(duì)后續(xù)數(shù)V9圖由于NetFlow具有以上特性，因此可以為網(wǎng)絡(luò)管理員或分析者提供的網(wǎng)絡(luò)數(shù)據(jù)流信息，如IP地址、協(xié)議類(lèi)型、端口以及服務(wù)類(lèi)型等，這些信劃提供參考通過(guò)NetFlow可以收集網(wǎng)絡(luò)用戶(hù)使用細(xì)節(jié)，用戶(hù)使用的網(wǎng)絡(luò)服務(wù)記如對(duì)用戶(hù)上網(wǎng)的痕跡進(jìn)行記錄，通過(guò)對(duì)NetFlow數(shù)據(jù)中包含的IP地址、字絡(luò)用戶(hù)的使用時(shí)間、消耗流量以及用戶(hù)所獲得的服務(wù)質(zhì)量等，并以此為依來(lái)對(duì)用戶(hù)進(jìn)行流量計(jì)經(jīng)過(guò)一段時(shí)間的網(wǎng)絡(luò)監(jiān)測(cè)統(tǒng)計(jì)，可以分析出用戶(hù)上網(wǎng)行為習(xí)慣，及時(shí)哈爾濱丁程大學(xué)碩士學(xué)位哈爾濱丁程大學(xué)碩士學(xué)位論整網(wǎng)絡(luò)結(jié)構(gòu)，為建立網(wǎng)內(nèi)資源、升級(jí)改造網(wǎng)絡(luò)提供參4．安全owoSNetFlow提供了自治域流量的詳細(xì)信息，網(wǎng)絡(luò)管理員可以使用基NetFlow的分析工具來(lái)獲得源與目的所屬自治域的信息，及其間的流量趨勢(shì)。收集到的數(shù)據(jù)可以用來(lái)在鏈路繁忙時(shí)實(shí)施負(fù)載均衡。解到諸如何人、何時(shí)、何地使用過(guò)哪類(lèi)服務(wù)等信息網(wǎng)絡(luò)管圖2．5NetFlow工作這里通過(guò)NetFlow的工作架構(gòu)來(lái)說(shuō)明NetFlow的工作原理。NetFlow哈爾濱T程大學(xué)碩士學(xué)位論哈爾濱T程大學(xué)碩士學(xué)位論NetFlow功能后，就開(kāi)始抓取路由器上發(fā)生的流量信息，的大小可以設(shè)置。當(dāng)滿(mǎn)足以下四個(gè)條件之一時(shí)，就以UDP方式向NetFlow(3)一個(gè)流開(kāi)始30分鐘后，仍在持續(xù)(4)路由器NetFlow的Cache已經(jīng)滿(mǎn)了2．3網(wǎng)絡(luò)流數(shù)據(jù)采集方法及其相關(guān)技在網(wǎng)絡(luò)技術(shù)發(fā)展速度不斷加快的今天，對(duì)網(wǎng)絡(luò)流數(shù)據(jù)進(jìn)行采集和分析有著極其重要的意義。通過(guò)采集并分析較短時(shí)間內(nèi)的網(wǎng)絡(luò)流數(shù)據(jù)，可以檢測(cè)出網(wǎng)絡(luò)資源利用率、濫用，以及各種惡意的攻擊行為；而對(duì)長(zhǎng)期的數(shù)據(jù)進(jìn)行采集和分析，可以幫助實(shí)施流量工程以及流量計(jì)費(fèi)等?？梢哉f(shuō)，對(duì)網(wǎng)絡(luò)流數(shù)進(jìn)行采集，無(wú)論對(duì)于網(wǎng)絡(luò)安全或者是網(wǎng)絡(luò)管理領(lǐng)域都是很有意義目前使用最為廣泛的用于入侵檢測(cè)和協(xié)議分析的方法是基于網(wǎng)絡(luò)探針采集方法。而對(duì)ManagementProtocol，啟網(wǎng)絡(luò)設(shè)備上的SNMP服務(wù)以獲得流量信息。同時(shí)，隨著NetFlow技術(shù)的迅發(fā)展，選擇NetFlow數(shù)據(jù)作為采集對(duì)象來(lái)對(duì)異常行為進(jìn)行分析已經(jīng)成為了一個(gè)新的研究方向。目前NetFlow的版本9已經(jīng)成為IETF的標(biāo)準(zhǔn)之一，越來(lái)越多廠商的設(shè)備都開(kāi)始支持NetFlow技術(shù)。下面就對(duì)這三種采集方法進(jìn)行詳細(xì)的介紹，并在此基礎(chǔ)上對(duì)它們作進(jìn)一步的分析比較網(wǎng)絡(luò)探針的思想源于傳統(tǒng)Ethernet總線(xiàn)結(jié)構(gòu)。傳統(tǒng)的Ethernet所有其他通信，記錄通過(guò)本總線(xiàn)的每一次通信，進(jìn)一步整理成IP流量探針必須具有對(duì)網(wǎng)絡(luò)底層通信方式進(jìn)行控制的能力，使系統(tǒng)網(wǎng)絡(luò)接配器的工作方式變?yōu)榛祀s方式，并且將網(wǎng)絡(luò)底層接收的數(shù)據(jù)傳送到應(yīng)用層進(jìn)行分析處理。探針的實(shí)現(xiàn)技術(shù)一般包括數(shù)據(jù)包捕獲、包過(guò)濾模塊、會(huì)話(huà)跟蹤模塊、協(xié)議跟蹤、監(jiān)控模式匹配及用戶(hù)規(guī)則匹配及規(guī)則庫(kù)維護(hù)等為了完成Intranet網(wǎng)絡(luò)流量統(tǒng)計(jì)的要求，網(wǎng)絡(luò)探針應(yīng)該放在最接近出件來(lái)收集網(wǎng)絡(luò)通信信息和有關(guān)網(wǎng)絡(luò)設(shè)備的統(tǒng)計(jì)數(shù)據(jù)。代理不斷地收集統(tǒng)計(jì)據(jù)，如所收到的字節(jié)數(shù)，并把這些數(shù)據(jù)記錄到一個(gè)管理信息庫(kù)(MIB員通過(guò)向代理的MIB發(fā)出查詢(xún)信號(hào)可以得到這些信息，這個(gè)過(guò)程就叫做輪(polling)管理信息庫(kù)MIB是網(wǎng)絡(luò)管理數(shù)據(jù)的標(biāo)準(zhǔn)，在這個(gè)標(biāo)準(zhǔn)里規(guī)定了網(wǎng)絡(luò)代理備必須保存的數(shù)據(jù)項(xiàng)目、數(shù)據(jù)類(lèi)型以及允許在每個(gè)數(shù)據(jù)項(xiàng)目中的操作。對(duì)的訪問(wèn)是實(shí)現(xiàn)網(wǎng)管的關(guān)鍵SNMP采用的是代理／管理站模型。SNMPAgent)能夠回答來(lái)flSNMP管理站(Manager)的關(guān)于MIB中定義信息的各種查詢(xún)，每一個(gè)提供MIBSNMP代理，它隨時(shí)記錄網(wǎng)絡(luò)設(shè)備的各種情況，網(wǎng)絡(luò)SNMPSNMP間通信時(shí)無(wú)需先建立連接，如圖2．6所示哈爾濱工程大學(xué)碩七學(xué)位論基于SNMP的數(shù)據(jù)采集引擎是哈爾濱工程大學(xué)碩七學(xué)位論基于SNMP的數(shù)據(jù)采集引擎是一個(gè)能夠自動(dòng)從網(wǎng)絡(luò)環(huán)境中獲取SNMPMIB量值的獨(dú)立運(yùn)行系統(tǒng)。其他的模塊或系統(tǒng)可以通過(guò)通信接口將自己對(duì)MIB變量的采集需求作為采集任務(wù)發(fā)送給采集引擎。采集引擎通過(guò)SNMP被管理實(shí)體(物理設(shè)備，軟件系統(tǒng))中獲取相應(yīng)數(shù)據(jù)，并將其保存到數(shù)據(jù)庫(kù)中或者返回給采集任務(wù)的請(qǐng)求者。在數(shù)據(jù)采集的過(guò)程中，任務(wù)的請(qǐng)求者可以對(duì)任務(wù)的參數(shù)進(jìn)行調(diào)整，或者停止對(duì)數(shù)據(jù)的采集。請(qǐng)求者還可通過(guò)發(fā)送控制令的方式，動(dòng)態(tài)地改變采集引擎采集任務(wù)的配置參數(shù)NetFlow的數(shù)據(jù)輸出首先要求在網(wǎng)絡(luò)設(shè)備上配置NetFlow輸出流的參數(shù)，包括輸出流的版本、個(gè)數(shù)、緩沖區(qū)的大小等，并配置相應(yīng)流量收集器的IP地址、端口等信息，此時(shí)網(wǎng)絡(luò)設(shè)備即可以以UDP的方式向該收集器發(fā)送流信息。然后配置收集軟件的接收端口號(hào)、設(shè)置過(guò)濾、匯聚策略、流量文件存放分析。同時(shí)，也可以將信息數(shù)據(jù)發(fā)送給專(zhuān)業(yè)網(wǎng)管分析軟件，通過(guò)分析處理展現(xiàn)出流量分布、業(yè)務(wù)分布等性能分析情NctFlow緩沖Flow實(shí)體記··緩存區(qū)已·計(jì)時(shí)時(shí)間收集NetFlow數(shù)據(jù)采集過(guò)圖據(jù)庫(kù)中，提供給NetFlow流量分析工具進(jìn)行流量計(jì)費(fèi)、網(wǎng)絡(luò)規(guī)劃和各種網(wǎng)絡(luò)管理，并產(chǎn)生各類(lèi)報(bào)表等。如果設(shè)備不支持NetFlow輸出，也有相應(yīng)的解決方法。如采用端口鏡像(PortMirror)技術(shù)，再用№tFlowExporter這樣的件處理輸出NetFlow流量數(shù)據(jù)。圖2．7說(shuō)明了NetFlow數(shù)據(jù)采集過(guò)程針對(duì)以上NetFlow數(shù)據(jù)采集和分析過(guò)程，Cisco分別有相應(yīng)的軟件對(duì)應(yīng)具有交換功針對(duì)以上NetFlow數(shù)據(jù)采集和分析過(guò)程，Cisco分別有相應(yīng)的軟件對(duì)應(yīng)具有交換功能的路由器發(fā)送來(lái)的數(shù)據(jù)，并將收集的數(shù)據(jù)存儲(chǔ)在flat文件中NetFlowAnalyzer(NetFlow面，將分析結(jié)果予以顯示從表2．1中可以清晰的看到三種采集方式之間存在的差別m表2．1三種流采集方法性能比網(wǎng)絡(luò)探較較較數(shù)據(jù)粒效監(jiān)視除了帶寬外的網(wǎng)絡(luò)況能不能能不能不能不能不量有關(guān)接在本機(jī)進(jìn)行解析CPU負(fù)低監(jiān)視消耗的額外帶低雖然通過(guò)SNMP方式取得信息不會(huì)造成處理上過(guò)重的負(fù)擔(dān)，但是SNMP提供的只是粗糙、簡(jiǎn)單的資料，無(wú)法提供網(wǎng)絡(luò)層以上的信息。這些信息只能讓管理者發(fā)現(xiàn)問(wèn)題，卻無(wú)法進(jìn)一步解決問(wèn)題。而使用數(shù)據(jù)包監(jiān)聽(tīng)工具盡管可以取得更詳盡的網(wǎng)絡(luò)信息，但是其通常專(zhuān)注在單一網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)容，所以網(wǎng)絡(luò)管理者很難從監(jiān)聽(tīng)工具所提供的信息來(lái)掌握整體網(wǎng)絡(luò)的狀態(tài)。此外，分析對(duì)于資源和人員的消耗驚人，這種方式不適合于高速網(wǎng)絡(luò)環(huán)境m哈爾濱工程大學(xué)碩哈爾濱工程大學(xué)碩七學(xué)位論而NetFlow由于不對(duì)包內(nèi)容作分析，因此可以極大地提高處理速度。棄對(duì)包內(nèi)容的檢測(cè)，而只停留在物理層到傳輸層之間，信息度剛好可以滿(mǎn)流信息分析軟件的需求，而且極大地節(jié)約了分析和處理包內(nèi)容所需的工作和時(shí)間，尤其適合于大流量網(wǎng)絡(luò)內(nèi)部的流量分析和異常檢測(cè)。同時(shí)也使NetFlow技術(shù)成為了至今流量分析與異常檢測(cè)最有效的方法本章主要是對(duì)NetFlow相關(guān)知識(shí)的介紹，為后面技術(shù)研究以及系統(tǒng)實(shí)的開(kāi)展做鋪墊。重點(diǎn)是將目前用的比較多的三種流數(shù)據(jù)采集方法分別進(jìn)行介紹，其中以基于NetFlow的采集方法為重點(diǎn)，同時(shí)在此基礎(chǔ)之上對(duì)三種方NetFlow作為分析對(duì)象的原因哈爾濱工稗大學(xué)碩+學(xué)位論哈爾濱工稗大學(xué)碩+學(xué)位論基于 I對(duì)于安全事件檢測(cè)技術(shù)來(lái)講，如何能夠全面有效并且準(zhǔn)確地對(duì)網(wǎng)絡(luò)異行為進(jìn)行檢測(cè)和分析，是其研究重點(diǎn)也是難點(diǎn)所在。因此展開(kāi)對(duì)基于特征的異常檢測(cè)方法研究是十分必要的由于NetFlow數(shù)據(jù)都來(lái)自于網(wǎng)絡(luò)中的交換設(shè)備，因此這些數(shù)據(jù)很大程度上能夠反映出當(dāng)前的網(wǎng)絡(luò)運(yùn)行情況，通過(guò)對(duì)NetFlow收集的流信息進(jìn)行統(tǒng)計(jì)分析，可以提取網(wǎng)絡(luò)流量的特征，建立網(wǎng)絡(luò)常規(guī)流量模型，然后根據(jù)此模型定期對(duì)NetFlow數(shù)據(jù)作TopN的統(tǒng)計(jì)分析，便可以檢測(cè)出異常流量，再通過(guò)異常流的NetFlow數(shù)據(jù)作進(jìn)一步分析，就可以判斷網(wǎng)絡(luò)是否受到DoS／DDoS機(jī)，從而采取相應(yīng)的措施，阻斷攻擊源，保護(hù)攻擊目標(biāo)或防治病毒擴(kuò)散。利用NetFlow1．TopN統(tǒng)計(jì)：定期對(duì)NetFlow數(shù)據(jù)作TopN統(tǒng)計(jì)，及時(shí)掌握網(wǎng)絡(luò)的分析：過(guò)濾出異常流量對(duì)應(yīng)的NetFlow記錄，分析這些記錄在源／的地址、協(xié)議類(lèi)型、源／目的端口等方面4．DoSoS攻擊、QoS6．后續(xù)監(jiān)視：實(shí)施反應(yīng)措施后，密切監(jiān)視網(wǎng)絡(luò)，確保威脅被徹底根如果是蠕蟲(chóng)病毒，還可以根據(jù)其特征生成一個(gè)病毒檢測(cè)模板，便于日后定期不難看出，基于NetFlow的異常檢測(cè)有利于檢測(cè)未知的網(wǎng)絡(luò)蠕蟲(chóng)病而大多數(shù)的安全產(chǎn)品并不具備這個(gè)能力，而且隨著目前網(wǎng)絡(luò)而大多數(shù)的安全產(chǎn)品并不具備這個(gè)能力，而且隨著目前網(wǎng)絡(luò)蠕蟲(chóng)更新?lián)Q代度的不斷加快、變種數(shù)量越來(lái)越多，NetFlow的這一能力就便顯得非常了為了能夠清晰地對(duì)基于NetFlow的異常檢測(cè)方法進(jìn)行分析，首先對(duì)能產(chǎn)生異常流量行為的攻擊、蠕蟲(chóng)病毒以及端口掃描等行為以及它們各自的征進(jìn)行介紹3．1．1端口掃描m·是否可用，即該主機(jī)的該端口是否可用。由于攻擊主機(jī)必須等待主機(jī)的回復(fù)TCP端口發(fā)送請(qǐng)求，企圖建立連接時(shí)，我們稱(chēng)此種攻擊行為為面向網(wǎng)絡(luò)的口掃描，即此類(lèi)攻擊掃描網(wǎng)絡(luò)內(nèi)是否有某臺(tái)或某幾臺(tái)主機(jī)的特定端口可用：攻擊主機(jī)向某臺(tái)機(jī)器的所有端口發(fā)送TCP此或某幾個(gè)端口可用通用的掃描技術(shù)主要包括以下幾種類(lèi)型m，Connect掃描：完成三次握手過(guò)程，可能會(huì)在目標(biāo)系統(tǒng)留下2．TCPSYN掃描：建立連接但不完成三次握手過(guò)程，可以躲避目標(biāo)系的日志審核FIN包，可以躲避只對(duì)SYN標(biāo)志審查的FIN掃描：發(fā)送XIBaS和Null掃描：發(fā)特殊標(biāo)記的包，可以躲避對(duì)FIN標(biāo)志的網(wǎng)絡(luò)系統(tǒng)5．ACK掃描：發(fā)送ACK包，用來(lái)試探防火墻的過(guò)濾規(guī)則集，可以躲避6．操作系統(tǒng)類(lèi)型掃描：發(fā)多個(gè)數(shù)據(jù)包進(jìn)行掃描，根據(jù)返回結(jié)6．操作系統(tǒng)類(lèi)型掃描：發(fā)多個(gè)數(shù)據(jù)包進(jìn)行掃描，根據(jù)返回結(jié)果和協(xié)議紋棧來(lái)識(shí)別對(duì)方操作系統(tǒng)，隱7．UDP掃描與TCP掃描稍有不同，隱蔽性強(qiáng)通過(guò)對(duì)NetFlow蠕蟲(chóng)是一種通過(guò)網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等，同時(shí)具有自己的一些特征，如不利用文件寄生(有的只存在于內(nèi)存中)，從而對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)。在產(chǎn)生的破壞性上，蠕蟲(chóng)病毒也不是普通病毒所能比擬的，網(wǎng)絡(luò)的發(fā)展使得蠕蟲(chóng)可以在短短的時(shí)間內(nèi)延整個(gè)網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓，目前由蠕蟲(chóng)病毒帶來(lái)的經(jīng)濟(jì)損失不可估量表3．1蠕蟲(chóng)病毒及其相應(yīng)特病毒特類(lèi)型TCP、字節(jié)數(shù)(CodeRedWom)字節(jié)數(shù)2003蠕蟲(chóng) 通過(guò)UDP包向目標(biāo)的1434端發(fā)送數(shù)據(jù)包、字節(jié)數(shù)為對(duì)各種網(wǎng)絡(luò)蠕蟲(chóng)病毒來(lái)說(shuō)，一旦感染了系統(tǒng)后，為了傳播自身，通主動(dòng)向外發(fā)送具有某種特征的數(shù)據(jù)包，這種特征主要體現(xiàn)在協(xié)議端口號(hào)、NetFlow數(shù)據(jù)恰好能提供這些信息，所以我們可以利用NetFlow檢測(cè)知的網(wǎng)絡(luò)蠕蟲(chóng)病毒，以便盡早發(fā)現(xiàn)網(wǎng)絡(luò)蠕蟲(chóng)病毒，快速作出響應(yīng)，避免病擴(kuò)散、泛濫，防止網(wǎng)絡(luò)的正常業(yè)務(wù)受病毒影響m，哈爾濱丁程大學(xué)碩士學(xué)位論3．1．3DoS、DoSm,是哈爾濱丁程大學(xué)碩士學(xué)位論3．1．3DoS、DoSm,是 DoS攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶(hù)請(qǐng)無(wú)法通過(guò)。連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無(wú)法再處理合法用戶(hù)的請(qǐng)求。對(duì)DoS而言，其攻擊方式很多，主要使用的攻擊有3種，分別是TCPSYNflood、UDPflood和ICMPflood。當(dāng)用戶(hù)進(jìn)行一次標(biāo)準(zhǔn)的TCP連接時(shí)一個(gè)三次握手過(guò)程。首先是請(qǐng)求服務(wù)方發(fā)送一個(gè)SYN消息，服務(wù)方收到后，會(huì)向請(qǐng)求方回送一個(gè)SYN-ACK表示確認(rèn)，當(dāng)請(qǐng)求方收到SYN—ACK后，次向服務(wù)方發(fā)送一個(gè)ACK消息，這樣，一次TCP連接建立成功。但是TCPflood在實(shí)現(xiàn)過(guò)程中只進(jìn)行前兩個(gè)步驟：當(dāng)服務(wù)方收到請(qǐng)求方的SYN—ACK認(rèn)消息后，請(qǐng)求方由于采用源地址欺騙等手段使得服務(wù)方收不到ACK回應(yīng)，于是，服務(wù)方會(huì)在一段時(shí)間處于等待接收請(qǐng)求方ACK消息的狀態(tài)。對(duì)于某服務(wù)器來(lái)說(shuō)，可用的TCP連接是有限的，如果惡意攻擊方快速連續(xù)地發(fā)送類(lèi)連接請(qǐng)求，該服務(wù)器可用的TCP連接隊(duì)列將很快被阻塞，系統(tǒng)可用資源劇減少，網(wǎng)絡(luò)可用帶寬迅速縮小，長(zhǎng)此下去，網(wǎng)絡(luò)將無(wú)法向用戶(hù)提供正常分布式拒絕服務(wù)Denial指借助于客戶(hù)／服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力，它是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類(lèi)攻擊方式。通常，攻擊者使用一個(gè)偷竊帳號(hào)將I)DoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量Internet上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶(hù)／服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)活成百上千次代理程序的運(yùn)行準(zhǔn)，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)流量異常的時(shí)候，就可以利用NetFlow有效地查找、定位攻擊的來(lái)源哈爾濱工程大學(xué)碩十學(xué)位論3．1．4在Landw哈爾濱工程大學(xué)碩十學(xué)位論3．1．4在Landw攻擊中，一個(gè)特別偽造的SYN包中的源地址和目標(biāo)地址都置成某一個(gè)服務(wù)器地址，這時(shí)將導(dǎo)致接收服務(wù)器向它自己的地址發(fā)送ACK消息，因此這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接，每一個(gè)這樣連接都將保留直到超時(shí)為止of這種攻擊通過(guò)發(fā)送大于65535字節(jié)的ICMP包使操作系統(tǒng)崩潰能發(fā)送大于65535個(gè)字節(jié)的ICMP包，但可以把報(bào)文分割成片段主機(jī)上重組，最終會(huì)導(dǎo)致被攻擊目標(biāo)緩沖區(qū)溢Smurfm，攻擊本身屬于DoS攻擊的一種，但又有著其獨(dú)特的方式。攻擊是利用Ping程序中使用的ICMP擊主機(jī)IP地址的包；然后攻擊者將這些包發(fā)送給不知情的第三方，使它們成為“幫兇”；如果攻擊者發(fā)送足夠的ICMP包，回應(yīng)會(huì)超過(guò)被攻擊主機(jī)的承受能力。因此，Smurf攻擊實(shí)際上是一種IP欺騙式的攻擊，將最終導(dǎo)致與拒絕服務(wù)攻擊一樣的結(jié)果WinNuke攻擊又稱(chēng)帶外傳輸Bounds)攻擊，它的特征是攻標(biāo)端口，并向其發(fā)送“n”，此時(shí)受攻擊計(jì)算機(jī)的網(wǎng)絡(luò)系統(tǒng)徹底崩潰，只有重新啟動(dòng)。這種攻擊行為的特點(diǎn)是被攻擊的目標(biāo)端口通常是139、138、137、1565．TCP／UDP端口掃TCPUDP行的服務(wù)類(lèi)型。為進(jìn)行其他行為的攻擊服務(wù)，是網(wǎng)絡(luò)攻擊中最常見(jiàn)的行為。21、23、25、80、8000、8080哈爾濱]=程大學(xué)碩十學(xué)哈爾濱]=程大學(xué)碩十學(xué)位論網(wǎng)絡(luò)流量異常檢測(cè)的目的是通過(guò)某種檢測(cè)方法來(lái)分析和發(fā)現(xiàn)網(wǎng)絡(luò)或系中可能出現(xiàn)的異常行為，并向管理員提出警告，或主動(dòng)作出反應(yīng)。通絡(luò)的異常行為表現(xiàn)為流量的異常。例如上節(jié)所列舉出的攻擊，用傳統(tǒng)的系統(tǒng)升級(jí)無(wú)法檢測(cè)并預(yù)防此類(lèi)攻擊，因此對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)與響應(yīng)成為檢測(cè)這類(lèi)攻擊的重要手段。由于所有的網(wǎng)絡(luò)行為都會(huì)在網(wǎng)絡(luò)層和傳輸層留下痕跡，而流數(shù)據(jù)恰好包含了網(wǎng)絡(luò)層及傳輸層的信息，因此分析流數(shù)據(jù)對(duì)發(fā)現(xiàn)網(wǎng)絡(luò)異常行為具有很重要的意義對(duì)于異常流量的檢測(cè)方法，大體可以分為兩類(lèi)：一類(lèi)是通過(guò)建立正常的網(wǎng)絡(luò)流量行為，將當(dāng)前的網(wǎng)絡(luò)流量特征與正常流量行為之間存在明顯的偏離時(shí)，即可認(rèn)為存在異常：另一類(lèi)是通過(guò)異常流量特征匹配的方法來(lái)實(shí)現(xiàn)異常檢測(cè)，即事先建立好異常特征庫(kù)，將當(dāng)前流量特征與之匹配，匹配成現(xiàn)異常。當(dāng)然兩種方法也都各有優(yōu)缺點(diǎn)，比如前者虛警率高，但對(duì)于未知統(tǒng)計(jì)分析常用在基于異常的入侵檢測(cè)系統(tǒng)中，它使系統(tǒng)能夠?qū)W習(xí)日常為，將那些與正常活動(dòng)之間存在較大統(tǒng)計(jì)偏差的活動(dòng)標(biāo)識(shí)成異?；顒?dòng)。統(tǒng)計(jì)模型中常用參數(shù)包括審計(jì)事件的數(shù)量、間隔時(shí)間、資源消耗情況等，可用于檢測(cè)分析的典型統(tǒng)計(jì)模型有五種m，；操作模型、平均值和標(biāo)準(zhǔn)差模型、多元(1指標(biāo)可以根據(jù)經(jīng)驗(yàn)或一段時(shí)間的統(tǒng)計(jì)平均得到。(2)平均值和標(biāo)準(zhǔn)差模型計(jì)算參數(shù)的平均值和標(biāo)準(zhǔn)差，設(shè)定其置信區(qū)間，當(dāng)測(cè)量值超出了置信區(qū)間的范圍時(shí)表明可能存在異常。(3)多個(gè)參數(shù)實(shí)現(xiàn)檢測(cè)。(4)態(tài)，用狀態(tài)轉(zhuǎn)移矩陣來(lái)表示狀態(tài)的變化，若對(duì)應(yīng)于發(fā)生事件的狀態(tài)轉(zhuǎn)移矩陣概率較小，則該事件可能是異常事件。(5)序，如一新事件在該時(shí)間發(fā)生的概率較低，則該事件可能是異常事該方法是假設(shè)歷史數(shù)據(jù)是正常的數(shù)據(jù)該方法是假設(shè)歷史數(shù)據(jù)是正常的數(shù)據(jù)，其缺陷主要是假設(shè)統(tǒng)計(jì)模型的據(jù)能正確的反映系統(tǒng)的正常數(shù)據(jù)，而實(shí)際中往往很復(fù)雜，它的主要優(yōu)點(diǎn)是神經(jīng)網(wǎng)絡(luò)具有自適應(yīng)、自組織和自學(xué)習(xí)的能力，可以處理一些環(huán)境信十分復(fù)雜、背景知識(shí)不清楚的問(wèn)題。在采用統(tǒng)計(jì)處理方法很難達(dá)到高效準(zhǔn)與運(yùn)用統(tǒng)計(jì)方法和神經(jīng)網(wǎng)絡(luò)對(duì)入侵進(jìn)行檢測(cè)的方法不同，用專(zhuān)家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)，經(jīng)常是針對(duì)有特征的入侵行為。所謂的規(guī)則，即是知識(shí)。專(zhuān)家系統(tǒng)的建立依賴(lài)于知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。入侵的特征抽取與表達(dá)，是專(zhuān)家系統(tǒng)檢測(cè)分析的關(guān)鍵數(shù)據(jù)挖掘m一Mining，DM)是從大量的、不完全的、有噪聲的模糊的、隨機(jī)的數(shù)據(jù)中提取隱含在其中的盡可能多的安全信息，抽象出有于進(jìn)行判別和比較的特征模型，這些特征模型可以是基于異常檢測(cè)的特征量模型，也可以是基于異常檢測(cè)的行為描述模型，然后由計(jì)算機(jī)根據(jù)相應(yīng)法判斷出當(dāng)前行為的性質(zhì)。目前應(yīng)用較多的數(shù)據(jù)挖掘算法有數(shù)據(jù)分類(lèi)、關(guān)規(guī)則和序列分析5．基于模糊理論的檢測(cè)分析方入侵活動(dòng)往往不是孤立的活動(dòng)，而是一個(gè)有機(jī)的活動(dòng)序列。入侵者往往首先收集有關(guān)信息，然后試圖獲得某個(gè)訪問(wèn)權(quán)限，之后竊取或修改系統(tǒng)的某些信息。這樣，在一定程度上將入侵檢測(cè)分析轉(zhuǎn)化為一個(gè)多模糊證據(jù)綜合判決的問(wèn)題I3．3上，只有提取出流量的統(tǒng)計(jì)特征，才能夠作進(jìn)一步的分析。根據(jù)NetFlow屬性特征，對(duì)NetFlow數(shù)據(jù)流進(jìn)行匯聚，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的多角度統(tǒng)計(jì)通常統(tǒng)計(jì)方式分為兩大類(lèi)通常統(tǒng)計(jì)方式分為兩大類(lèi)：靜態(tài)統(tǒng)計(jì)和動(dòng)態(tài)統(tǒng)計(jì)m。前者反映某個(gè)時(shí)絡(luò)的流量信息；后者反映某個(gè)時(shí)段內(nèi)網(wǎng)絡(luò)隨時(shí)間推移而產(chǎn)生的流量變化。于流量數(shù)據(jù)的采集本身是一個(gè)順序過(guò)程，因此需要指定起始時(shí)間和終止時(shí)在這個(gè)時(shí)間段內(nèi)進(jìn)行統(tǒng)計(jì)才有意義1．按照源／目的IP地址匯這種統(tǒng)計(jì)能夠直接反映某地區(qū)網(wǎng)絡(luò)負(fù)載狀況，作為路由調(diào)整、網(wǎng)絡(luò)擴(kuò)容的策依據(jù)2．按照流入／流出接口匯統(tǒng)計(jì)時(shí)間T內(nèi)路由器或交換機(jī)的一個(gè)或幾個(gè)接口的流量。這種統(tǒng)計(jì)為調(diào)路由設(shè)備端口的使用方式提供依據(jù)統(tǒng)計(jì)某個(gè)時(shí)間段內(nèi)訪問(wèn)指定的TP／DP端口的流量。P／P的端口號(hào)代表著網(wǎng)絡(luò)上不同的應(yīng)用(wwW、FP等)，將這種方式與前兩種結(jié)合做二維或者三維分析，可以得到各種網(wǎng)絡(luò)應(yīng)用的流量分布情況。這種統(tǒng)計(jì)可以作為托管機(jī)房流量監(jiān)控的手段，為提供不同服務(wù)的主機(jī)調(diào)整合適的路由端口及配置4．按照下一跳地址匯可以獲得當(dāng)前流設(shè)f備和與其有直接路由關(guān)系的路由設(shè)備之間的流自治域的劃分一般以地理區(qū)域?yàn)橐罁?jù)，此統(tǒng)計(jì)方式可以獲得域間流量，為網(wǎng)絡(luò)規(guī)劃提供必要的決策支持。對(duì)時(shí)間T內(nèi)的流量求數(shù)學(xué)期望E(F)，可以獲雜的統(tǒng)計(jì)方法，便于從不同視角反映流量的空間分哈爾濱工程大學(xué)碩+學(xué)位論動(dòng)態(tài)統(tǒng)計(jì)是在靜態(tài)統(tǒng)計(jì)的基礎(chǔ)上，將T按照不同時(shí)間單位，劃分為n個(gè)子哈爾濱工程大學(xué)碩+學(xué)位論動(dòng)態(tài)統(tǒng)計(jì)是在靜態(tài)統(tǒng)計(jì)的基礎(chǔ)上，將T按照不同時(shí)間單位，劃分為n個(gè)子時(shí)間段t。t。，?，t。，再把某種靜態(tài)統(tǒng)計(jì)規(guī)則應(yīng)用到部分或者所有的子時(shí)間段，得到m(m≤n)個(gè)統(tǒng)計(jì)結(jié)果，這n1個(gè)結(jié)果在含有時(shí)間維的坐標(biāo)系中的順序表示，就形成了流量的時(shí)域變化圖子時(shí)間段的劃分通常具備一些規(guī)律，如·當(dāng)t．=t產(chǎn)?=t。時(shí)，對(duì)每個(gè)子時(shí)間段的統(tǒng)計(jì)得到Ⅲ=n個(gè)結(jié)果到i個(gè)結(jié)果動(dòng)態(tài)統(tǒng)計(jì)有助于運(yùn)營(yíng)商確定網(wǎng)絡(luò)的忙閑狀況，選擇最合適的時(shí)間執(zhí)行絡(luò)維護(hù)以及設(shè)備切換等工作顯然，應(yīng)用同樣的統(tǒng)計(jì)規(guī)則以及統(tǒng)計(jì)時(shí)間段T要比靜態(tài)統(tǒng)計(jì)大得多。如對(duì)應(yīng)上文第一個(gè)子時(shí)間段劃分方式，計(jì)算資源平衡，才能保證流量分析系統(tǒng)良好的人機(jī)交互能力目前，通過(guò)對(duì)NetFlow數(shù)據(jù)進(jìn)行分析以發(fā)現(xiàn)異常的方法主要有TopN與線(xiàn)和特征匹配兩種。它們都是基于統(tǒng)計(jì)結(jié)果的異常分析方法?基線(xiàn)是根據(jù)歷史流量模式描述“正常”網(wǎng)絡(luò)活動(dòng)的模型；所有不在已立的流量模式中的流量將被認(rèn)為是不正常趨勢(shì)與基線(xiàn)分析報(bào)告(一般以TopN流分析的方法。通過(guò)這種方法，可以使人們將注意力放到那些volume”TopN會(huì)話(huà)指出一個(gè)主機(jī)發(fā)出大量的連接請(qǐng)求到一個(gè)或多個(gè)目的主機(jī)，接請(qǐng)求數(shù)已遠(yuǎn)遠(yuǎn)超過(guò)了已建立的基線(xiàn)。一般出現(xiàn)接請(qǐng)求數(shù)已遠(yuǎn)遠(yuǎn)超過(guò)了已建立的基線(xiàn)。一般出現(xiàn)這種情況是由于新的蠕蟲(chóng)DoS／DDoS攻擊、網(wǎng)絡(luò)掃描或其他網(wǎng)絡(luò)濫用正在發(fā)生正?？蛻?hù)端訪問(wèn)Internet會(huì)保持相對(duì)正常的連接頻率。但如果感染了蠕蟲(chóng)的客戶(hù)端，其行為將會(huì)不同，將發(fā)出大量到外部的連接請(qǐng)求以嘗試感染其他主機(jī)，因此，其對(duì)外連接請(qǐng)求數(shù)將會(huì)明顯增大同樣原因，當(dāng)腳本小子(Scriptkiddie)掃描地址段以查找漏洞服務(wù)時(shí)，可以通過(guò)TopN會(huì)話(huà)檢測(cè)多種網(wǎng)絡(luò)濫用，如實(shí)時(shí)檢測(cè)每個(gè)主機(jī)流記錄2525我商可以采用這種技術(shù)進(jìn)行檢測(cè)并關(guān)閉垃圾郵件服務(wù)器2．IopN數(shù)第二種使用TopN和基線(xiàn)的方法是TopN數(shù)據(jù)。它定義了一段時(shí)期內(nèi)兩網(wǎng)絡(luò)節(jié)點(diǎn)或一個(gè)節(jié)點(diǎn)到一個(gè)地址段的連續(xù)的大量網(wǎng)絡(luò)數(shù)據(jù)傳輸。企業(yè)中上或下載數(shù)據(jù)量TopN主機(jī)應(yīng)歸類(lèi)到固定組中。如新的主機(jī)出現(xiàn)在TopN主個(gè)報(bào)警應(yīng)被觸發(fā)對(duì)具有特定流量特征的異常流量的分析和特征提取，從而確定異常的網(wǎng)絡(luò)量模型。流記錄中的所有流字段都可以用于特征匹配，其中源／目的IP源／目的AS號(hào)、源／目的端口號(hào)、協(xié)議類(lèi)型、TCP標(biāo)志位是最常用的。它通過(guò)匹配預(yù)先定義好的入侵模式與觀察到的用戶(hù)行為來(lái)檢測(cè)入侵，能夠準(zhǔn)確地檢1．端口匹一般來(lái)說(shuō)，為了發(fā)起一次攻擊，大多數(shù)的攻擊會(huì)有一個(gè)特定的端口。比如說(shuō)，SQLlaer蠕蟲(chóng)工作在1434端口，Neusrjn是1245理員通過(guò)對(duì)流記錄的目的端口進(jìn)行過(guò)濾，可以發(fā)現(xiàn)相應(yīng)的攻擊。這種方法易21P地址匹哈爾濱工稃大學(xué)碩士學(xué)位論IP地址匹配是另一種可以用于安全檢查的NetFlow分析方法。下面有種方法進(jìn)行IP地哈爾濱工稃大學(xué)碩士學(xué)位論IP地址匹配是另一種可以用于安全檢查的NetFlow分析方法。下面有種方法進(jìn)行IP地址匹配(1)匹配IANA保留地發(fā)現(xiàn)流記錄中存在IANA保留地址，報(bào)警應(yīng)被觸發(fā)。應(yīng)該意識(shí)到當(dāng)執(zhí)行IANA保留地址匹配時(shí)，流記錄中的潛在主機(jī)如使騙地址將無(wú)法回溯。因此，其他的流字段Ifindex應(yīng)該被使用。通過(guò)檢查相應(yīng)的路由器Ifindex號(hào)以查找流真正的路由器接口來(lái)源。當(dāng)執(zhí)行基于流異常檢測(cè)時(shí)，有多種用于企業(yè)或ISP的默認(rèn)規(guī)則。規(guī)則·外出在企業(yè)或ISP中，任何流記錄的源IP地址不是自己網(wǎng)絡(luò)的外出流量都被認(rèn)為是異?！みM(jìn)入在企業(yè)或ISP中，任何流記錄的源地址是自己網(wǎng)絡(luò)的進(jìn)入流量都應(yīng)被為是異常一些異常行為會(huì)有一個(gè)或多個(gè)固定IP地址。比如說(shuō)，在蠕蟲(chóng)爆發(fā)時(shí)，蠕蟲(chóng)會(huì)發(fā)送DNS查詢(xún)到以下DNS服務(wù)器194．25．2．130因此，當(dāng)流記錄中的目的地址是以上地址且目的端口是UDP53時(shí)，應(yīng)高警惕，并作進(jìn)一步的分析正常的TCP連接要經(jīng)過(guò)三次握手，但是當(dāng)攻擊主機(jī)大范圍的掃描某臺(tái)哈爾濱T程大學(xué)哈爾濱T程大學(xué)碩七學(xué)位論機(jī)的眾多端口或眾多主機(jī)的同一端口時(shí)，勢(shì)必有很多端口或主啟此服務(wù)，而不回復(fù)任何消息，即攻擊特征可以明顯地表現(xiàn)出來(lái)。當(dāng)網(wǎng)絡(luò)方法，也可以推測(cè)出UDP端口掃描攻擊首先對(duì)通過(guò)流量分析即可被發(fā)現(xiàn)的各種異常情況及其特征作以介紹后在此基礎(chǔ)上列舉比較有效的異常檢測(cè)方法。由于對(duì)NetFlow數(shù)據(jù)的分析果進(jìn)行分析，以發(fā)現(xiàn)網(wǎng)絡(luò)異常哈爾濱1=稗大學(xué)碩士學(xué)位論·操作系統(tǒng)平臺(tái)Fedora哈爾濱1=稗大學(xué)碩士學(xué)位論·操作系統(tǒng)平臺(tái)FedoraLinux是一套免費(fèi)使用和自由傳播的類(lèi)Unix操作系統(tǒng)，它主要用于基x86系列CPU的計(jì)算機(jī)上。這個(gè)系統(tǒng)是由全世界各地成千上萬(wàn)的程員設(shè)計(jì)和實(shí)現(xiàn)的。其目的是建立不受任何商品化軟件版權(quán)制約的、全世界能自由使用的Unix兼容產(chǎn)品Lnx以它的高效性和靈活性著稱(chēng)。它能夠在Pc計(jì)算機(jī)上實(shí)現(xiàn)全部的Unix特性，具有多任務(wù)、多用戶(hù)的能力。Linux是在GNU公共許可權(quán)限下免費(fèi)獲得的，是一個(gè)符合POSIX標(biāo)準(zhǔn)的操作系統(tǒng)。Linux操作系統(tǒng)軟件包不僅包括完整的Linux操作系統(tǒng)，而且還包括了文本編輯器、高級(jí)語(yǔ)言編譯器等應(yīng)用軟件Linux操作系統(tǒng)在短短的幾年之內(nèi)得到了非常迅猛的發(fā)展，這與x具有的良好特性是分不開(kāi)的。Linux包含了Unix的全部功能和特性。簡(jiǎn)單的Liux1．開(kāi)放標(biāo)準(zhǔn)。凡遵循國(guó)際標(biāo)準(zhǔn)所開(kāi)發(fā)的硬件和軟件，都能彼此兼容，可方便地實(shí)多用多任哈爾濱T程大學(xué)碩十學(xué)位論它是指計(jì)算機(jī)同時(shí)執(zhí)行多個(gè)程序，而且各個(gè)程序的運(yùn)行互相獨(dú)立。系統(tǒng)調(diào)度每一哈爾濱T程大學(xué)碩十學(xué)位論它是指計(jì)算機(jī)同時(shí)執(zhí)行多個(gè)程序，而且各個(gè)程序的運(yùn)行互相獨(dú)立。系統(tǒng)調(diào)度每一個(gè)進(jìn)程平等地訪問(wèn)微處理器。事實(shí)上，從處理器執(zhí)行一個(gè)應(yīng)程序中的一組指令到Linux調(diào)度微處理器再次運(yùn)行這個(gè)程序之間只有很短的4．豐富的網(wǎng)絡(luò)功完善的內(nèi)置網(wǎng)絡(luò)是Linux的一大特點(diǎn)。Linux于其他操作系統(tǒng)。其他操作系統(tǒng)不包含如此緊密地和內(nèi)核結(jié)合在一起的連網(wǎng)絡(luò)的能力，也沒(méi)有內(nèi)置這些聯(lián)網(wǎng)特性的靈活性。而Linux為用戶(hù)提供Linux系統(tǒng)下的Compiler)是GNU推出的功能強(qiáng)大、性能優(yōu)C的多平臺(tái)編譯器，是GNU的代表作品之一。GCC是可以在多種硬體平臺(tái)上編譯出可執(zhí)行程序的超級(jí)編譯器，其執(zhí)行效率與一般的編譯器相比平均效率要由于路由器發(fā)送NetFlow數(shù)據(jù)是通過(guò)UDP協(xié)議，鑒于UDP協(xié)議無(wú)連的特點(diǎn)，如果采集程序處理一個(gè)UDP包的時(shí)問(wèn)過(guò)長(zhǎng)就可能丟失下一個(gè)所以采集程序的效率必須相當(dāng)高以便接收路由器發(fā)送過(guò)來(lái)的所有數(shù)據(jù)包。Linux下用C實(shí)現(xiàn)的采集程序正好能滿(mǎn)足這一要求MySQL是一個(gè)運(yùn)行速度很快、健壯并且易用的數(shù)據(jù)庫(kù)服務(wù)器軟件，對(duì)應(yīng)用系統(tǒng)非常理想。它除了支持標(biāo)準(zhǔn)的ANSISOL語(yǔ)句，還支持多種平臺(tái)Linux系統(tǒng)上MySQL支持多線(xiàn)程運(yùn)行方式，從而能獲得相當(dāng)好的性能依據(jù)NetFlow的特點(diǎn)并結(jié)合本項(xiàng)目需求，設(shè)計(jì)實(shí)時(shí)檢測(cè)模塊功能框架數(shù)據(jù)，通過(guò)對(duì)數(shù)據(jù)包的解析，將數(shù)據(jù)包中包含的流信息進(jìn)行處理，并按照一定的原始NetFlow數(shù)據(jù)格式存入原始NetFlow數(shù)據(jù)庫(kù)中。從數(shù)據(jù)庫(kù)中讀取單哈爾濱T程大學(xué)碩士學(xué)位論數(shù)據(jù)與單流特征進(jìn)行匹配，并實(shí)時(shí)生哈爾濱T程大學(xué)碩士學(xué)位論數(shù)據(jù)與單流特征進(jìn)行匹配，并實(shí)時(shí)生成報(bào)警信息，同時(shí)將NetFlow數(shù)據(jù)依上層應(yīng)t統(tǒng)計(jì)信報(bào)警信II事件生單流監(jiān)測(cè)———統(tǒng)計(jì)規(guī)則統(tǒng)計(jì)規(guī)則統(tǒng)計(jì)規(guī)則基于NeIFlowll▲llNetFlow采集器功能根據(jù)歷史流量確定基線(xiàn)，將當(dāng)前一個(gè)時(shí)段內(nèi)的統(tǒng)計(jì)值與基線(xiàn)進(jìn)行比較若落在置信區(qū)間內(nèi)則為正常行為，落在置信區(qū)間以外則為異常信息。將初數(shù)據(jù)統(tǒng)一到一致的XML格式下。此外，還應(yīng)對(duì)異常的特征進(jìn)行實(shí)時(shí)更新，實(shí)現(xiàn)對(duì)新出現(xiàn)的異常行為的檢測(cè)哈爾濱T稃大學(xué)碩士學(xué)伊論由于NetFlow數(shù)據(jù)是借助于UDP數(shù)哈爾濱T稃大學(xué)碩士學(xué)伊論由于NetFlow數(shù)據(jù)是借助于UDP數(shù)據(jù)報(bào)來(lái)傳送，因而倘若后續(xù)的處理度跟不上數(shù)據(jù)包到達(dá)的速度，則會(huì)出現(xiàn)嚴(yán)重丟包的現(xiàn)象。為了保證在大流的交換設(shè)備上有較低丟包率的同時(shí)，實(shí)現(xiàn)對(duì)安全事件的實(shí)時(shí)檢測(cè)，本文采用了多線(xiàn)程技術(shù)同時(shí)運(yùn)行四個(gè)主要線(xiàn)程，這四個(gè)線(xiàn)程分別完成如下幾個(gè)功能。NeFlow數(shù)據(jù)接收線(xiàn)程：接收Flow數(shù)據(jù)存入到本地文件流解析線(xiàn)程：拆分NetFlow接收線(xiàn)程接收的數(shù)據(jù)包，按照其數(shù)據(jù)格式對(duì)流數(shù)據(jù)進(jìn)行解析，并存儲(chǔ)到數(shù)據(jù)庫(kù)的實(shí)時(shí)數(shù)據(jù)表中3．統(tǒng)計(jì)線(xiàn)程：按時(shí)間粒度(1分鐘、5分鐘、30分鐘等)統(tǒng)計(jì)流信息并儲(chǔ)到數(shù)據(jù)庫(kù)的統(tǒng)計(jì)表中4．分析線(xiàn)程：分析數(shù)據(jù)，定位網(wǎng)絡(luò)中的安4．3．1線(xiàn)程(thread)技術(shù)早在0年代就被提出，但真正將多線(xiàn)程應(yīng)用到操作系統(tǒng)中去，是在80年代中期，ors是這方面的佼佼者。傳統(tǒng)的ix也支持線(xiàn)程的概念，但是在一個(gè)進(jìn)程(proces)中只允許有一個(gè)線(xiàn)程，這樣多線(xiàn)程就意味著多進(jìn)程?，F(xiàn)在，多線(xiàn)程技術(shù)已經(jīng)被許多操作系統(tǒng)所支持，包括多線(xiàn)程是計(jì)算機(jī)同時(shí)運(yùn)行多個(gè)執(zhí)行線(xiàn)程的能力(這些線(xiàn)程可以是同一下的多線(xiàn)程程序，需要使用頭文件pthread．h，連接時(shí)需要使用ibpthread．a(chǎn)。Linux下pthread的實(shí)現(xiàn)是通過(guò)系統(tǒng)調(diào)用clone()來(lái)實(shí)現(xiàn)的l4．3．2)LML?“哏口可擴(kuò)展標(biāo)記語(yǔ)言，由WideMarkup，標(biāo)準(zhǔn)化通用標(biāo)記語(yǔ)言)發(fā)展來(lái)，是SGML的一個(gè)簡(jiǎn)化子集。它以一種開(kāi)放的、自我描述的方式定義了數(shù)結(jié)構(gòu)。在描述數(shù)據(jù)內(nèi)容的同時(shí)能夠突出對(duì)結(jié)構(gòu)的描述，從而體現(xiàn)出數(shù)據(jù)之的關(guān)系，它的特點(diǎn)是簡(jiǎn)單、開(kāi)放可擴(kuò)充。作為一種標(biāo)記語(yǔ)言，XML標(biāo)準(zhǔn)是W3C組織推出的一系列規(guī)范組成的，它主要包括xML、W3C組織推出的一系列規(guī)范組成的，它主要包括xML、可擴(kuò)展樣式表語(yǔ)言Language)、文檔對(duì)象模型DOM(DocumentModel)以及文檔類(lèi)型定義DTD(DocumentTypeDefinition)XML的主要特點(diǎn)如下1．可擴(kuò)展2．結(jié)構(gòu)數(shù)據(jù)存儲(chǔ)格式不受顯示格式的制約。一般包括三個(gè)要素：數(shù)據(jù)、結(jié)構(gòu)及顯示方式。XML使用DTD準(zhǔn)確地描述文本資料的內(nèi)容、含義、結(jié)構(gòu)、特征和關(guān)系等信息(稱(chēng)為元資料)，而把資料的外觀表現(xiàn)形式交給樣式表(如CSS，XSL，DSL等)處理，這樣就把資料的內(nèi)容和其表現(xiàn)形式合理地隔開(kāi)，從而大大提高XML資料的可理解性、可交換性和重用決新舊系統(tǒng)、不同應(yīng)用系統(tǒng)之間或者不同數(shù)據(jù)源之間的數(shù)據(jù)共享與交互問(wèn)題IIIlNctFIow數(shù)圖4．2并發(fā)處理過(guò)程示意采集器運(yùn)行在NetFlow數(shù)據(jù)接收端，它的總體功能就是接收由路由器送來(lái)的UDP形式的NetFlow數(shù)據(jù)，并將UDP數(shù)據(jù)包進(jìn)行拆包解析，還原送來(lái)的UDP形式的NetFlow數(shù)據(jù)，并將UDP數(shù)據(jù)包進(jìn)行拆包解析，還原NetFlow數(shù)據(jù)，按照其采用的格式提取出NetFlow數(shù)據(jù)各字段信息的含義，以定義好的數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)到原始NetFlow數(shù)據(jù)庫(kù)中為了防止數(shù)據(jù)包的丟失，采集器通過(guò)運(yùn)行兩個(gè)線(xiàn)程來(lái)實(shí)現(xiàn)。其中一個(gè)線(xiàn)程實(shí)現(xiàn)對(duì)UDP數(shù)據(jù)包的接收，并存入到一個(gè)數(shù)據(jù)緩存中，另一個(gè)線(xiàn)程負(fù)責(zé)從緩存中取數(shù)據(jù)，并對(duì)數(shù)據(jù)包進(jìn)行拆包解析，還原出流記錄，然后存入到原始NetFlow數(shù)據(jù)庫(kù)中，等待后續(xù)的處理。具體工作過(guò)程如圖4．2所示4．4．1圖4．3接收端數(shù)據(jù)接收過(guò)程示意首先在支持NetFlow功能的路由器端打開(kāi)NetFlow功能，并配置其輸出0route-cachedestination192．168．1．1source version哈爾濱工程大學(xué)碩十學(xué)位論[13-[4]行：?jiǎn)?dòng)串行接口Serial0的NetFlow哈爾濱工程大學(xué)碩十學(xué)位論[13-[4]行：?jiǎn)?dòng)串行接口Serial0的NetFlow[6]行：路由器統(tǒng)計(jì)生成的Flow數(shù)據(jù)從其Sl口送出[7]行：Flow數(shù)據(jù)將采用版本5格式送出依次將收集到的數(shù)據(jù)存入到數(shù)據(jù)緩存隊(duì)列中，等待后續(xù)線(xiàn)程使用。接收過(guò)初始上●l上cascflllklIIII’lol0打開(kāi)數(shù)據(jù)庫(kù)接流解析線(xiàn)程是實(shí)現(xiàn)將讀取到的數(shù)據(jù)包按照其相應(yīng)的NetFlow流的序列，然后存入數(shù)據(jù)庫(kù)中的過(guò)程。在解析過(guò)程中主要用到了以下幾個(gè)主要函數(shù) 哈爾濱下程大學(xué)碩十學(xué)位論Switch(version)：由于NetFlow目前哈爾濱下程大學(xué)碩十學(xué)位論Switch(version)：由于NetFlow目前應(yīng)用得比較多的就是V5和V9，此建立兩個(gè)拆分策略，分別對(duì)應(yīng)V5和v9的NetFlow數(shù)據(jù)格式。例如，倘獲取的數(shù)據(jù)包的版本號(hào)是5，則調(diào)用V5解析策略對(duì)應(yīng)的解FdecodeO：流解析函數(shù)。每種解析策略有其對(duì)應(yīng)的解析函數(shù)具體實(shí)現(xiàn)過(guò)程如圖4．4所示數(shù)據(jù)統(tǒng)計(jì)分析的功能是對(duì)收集到的NetFlow數(shù)據(jù)按照一定的統(tǒng)行統(tǒng)計(jì)，得到含有一定統(tǒng)計(jì)特征的統(tǒng)計(jì)結(jié)果，作為異常分析的依據(jù)。在分的過(guò)程中采用一個(gè)三層的檢測(cè)模型，在實(shí)現(xiàn)對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)分析的同時(shí)，能在實(shí)現(xiàn)上，該功能具體可分為兩個(gè)線(xiàn)程同時(shí)運(yùn)行統(tǒng)計(jì)線(xiàn)程：按照事先定義好的多種規(guī)則對(duì)流數(shù)據(jù)進(jìn)行匯聚統(tǒng)計(jì)，即按議類(lèi)型、源P地址／端口、目的P地址／端口、自治域等方式進(jìn)行流量統(tǒng)計(jì)，并將統(tǒng)計(jì)結(jié)果存入統(tǒng)計(jì)結(jié)果數(shù)據(jù)庫(kù)中，這些統(tǒng)計(jì)結(jié)果將被用來(lái)作為異常分析分析線(xiàn)程：在設(shè)計(jì)分析線(xiàn)程時(shí)，為了盡可能全面地檢測(cè)出網(wǎng)絡(luò)異常行提出了三層的檢測(cè)模型。第一層檢測(cè)是通過(guò)對(duì)單條流數(shù)據(jù)進(jìn)行特征匹配以時(shí)發(fā)現(xiàn)異常。第二層和第三層檢測(cè)則是建立在統(tǒng)計(jì)結(jié)果之上的，根據(jù)已經(jīng)統(tǒng)計(jì)入庫(kù)的數(shù)據(jù)，將按照協(xié)議類(lèi)型、源IP地址／端口、目的IP地址／端口、自治域等方式進(jìn)行流量統(tǒng)計(jì)的數(shù)據(jù)按時(shí)間段分析平均數(shù)據(jù)流量，與正常流量的基線(xiàn)進(jìn)行比較，確定可疑信息，再將可疑信息的特征值與異常特征庫(kù)中的征匹配，以進(jìn)一步確定安全事件，即完成第二層和第三層檢測(cè)4．5．1NetFlow成安全事件的前提條件。對(duì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)的關(guān)鍵在于統(tǒng)計(jì)規(guī)則的確定，規(guī)哈爾濱_[程大學(xué)碩士學(xué)位論應(yīng)該能盡量覆蓋流量特征，但同時(shí)規(guī)則數(shù)又不宜過(guò)多，倘若過(guò)多哈爾濱_[程大學(xué)碩士學(xué)位論應(yīng)該能盡量覆蓋流量特征，但同時(shí)規(guī)則數(shù)又不宜過(guò)多，倘若過(guò)多則會(huì)影響個(gè)線(xiàn)程的執(zhí)行效率根據(jù)常見(jiàn)攻擊各自所具有的特征，來(lái)確定分析時(shí)常用到的NetFlow屬性，可制定統(tǒng)計(jì)規(guī)則如表4．1所示。由于NetFlow數(shù)據(jù)屬性值很豐富此相應(yīng)的統(tǒng)計(jì)規(guī)則也非常多，在設(shè)計(jì)時(shí)可以根據(jù)需要不斷添加新的規(guī)則序l源IP地址／源端口目的IP地址／源端口23456789destination—addresssource——address／source——portsource—destination-address／destination—source／destination—col／tos／source／destination—目的IP地址／目的端口在實(shí)現(xiàn)的過(guò)程中，首先初始化統(tǒng)計(jì)線(xiàn)程fstat0，設(shè)置相應(yīng)的數(shù)據(jù)變量如起始時(shí)間等。然后從原始NetFlow數(shù)據(jù)庫(kù)中逐條讀取流記錄，將每條流據(jù)按照事先定義好的規(guī)則進(jìn)行統(tǒng)計(jì)，同時(shí)實(shí)時(shí)更新統(tǒng)計(jì)結(jié)果數(shù)據(jù)庫(kù)中的各項(xiàng)下面就以平均包長(zhǎng)的代碼實(shí)現(xiàn)為例，說(shuō)明該方法的統(tǒng)計(jì)過(guò)程，其他的計(jì)方式與其類(lèi)似。平均包長(zhǎng)的統(tǒng)計(jì)過(guò)程如圖4．5所示。其中，P長(zhǎng)，通過(guò)判斷語(yǔ)句來(lái)判定P的大小，倘若P的值落在了某一長(zhǎng)度區(qū)間內(nèi)該長(zhǎng)度所對(duì)應(yīng)的統(tǒng)計(jì)值該長(zhǎng)度所對(duì)應(yīng)的統(tǒng)計(jì)值就加一if(D<=32)++rptlif(p<-2560)++rptl一if(P<=3072)++rptl>psize3072if(P<=3584)++rptlpsize3584if(P<=4096)什rpt卜>psize4096NetFlowNetFlow條流記錄和多條流記錄的統(tǒng)計(jì)結(jié)果兩方面著手，從而全面地發(fā)現(xiàn)異常行為。而基于統(tǒng)計(jì)結(jié)果的分析又可以采用異常流量特征匹配和建立正常流量基線(xiàn)相結(jié)合的方式來(lái)對(duì)異常行為進(jìn)行檢測(cè)，即建立起上文中所提到的三層檢測(cè)模型哈爾濱T程大學(xué)碩士學(xué)哈爾濱T程大學(xué)碩士學(xué)位論NetFlow數(shù)1．基于單條流信息的異常檢測(cè)?；趩螚l流信息的異常檢測(cè)主要針對(duì)單條流記錄的特征值進(jìn)行檢測(cè)，收到流數(shù)據(jù)就馬上進(jìn)行檢測(cè)，因此實(shí)時(shí)性很高圖4．7基于單流的異常檢測(cè)方檢測(cè)方法如下首先查看單條流記錄的源地址是否異常，倘若流的源地址為或者該域內(nèi)的廣播地址，則可直接判定該流是存在異常的。然后查看流的哈爾濱T程大學(xué)碩士學(xué)哈爾濱T程大學(xué)碩士學(xué)位論和目的地址是否相等，如相等則可判定為異常流信息。最后再查看流的源目的端口以及標(biāo)志位是否異常。檢測(cè)過(guò)程如圖4．7所2．基于統(tǒng)計(jì)結(jié)果的異常檢測(cè)模由于流記錄具有多種屬性，而流量的異?？梢酝ㄟ^(guò)屬性值的異常體現(xiàn)出來(lái)，因此，需要對(duì)NetFlow數(shù)據(jù)進(jìn)行各種角度的統(tǒng)計(jì)，才能有效的發(fā)現(xiàn)網(wǎng)絡(luò)異常行為。這里采用異常流量特征匹配和建立正常流量基線(xiàn)相結(jié)合的方式來(lái)對(duì)異常行為進(jìn)行檢測(cè)，該方式可以綜合兩種檢測(cè)方法的優(yōu)勢(shì)，更加全面有效8先將統(tǒng)計(jì)結(jié)果與從歷史流量中提取出的基線(xiàn)進(jìn)行比較，倘若當(dāng)前觀測(cè)值落在置信區(qū)間內(nèi)，則可認(rèn)為該流量是正常的，倘若落在了置信區(qū)間以外，則將其列為可疑事件，并作進(jìn)一步的分析判定，即將可疑信息與異常特征進(jìn)匹配，如果沒(méi)有匹配成功，則將該類(lèi)信息列為低可信度事件，如果匹配成功則將其視為高可信事件。這樣做不但可以比較全面的分析出網(wǎng)絡(luò)中存在的異常行為，確定事件的具體類(lèi)型，還可以將可疑事件按照可信度來(lái)分級(jí)，這樣管理員就可以按照可信度的級(jí)別對(duì)高可信度的事件做優(yōu)先處理圖4．8檢測(cè)過(guò)程示意基線(xiàn)是描述正常流量的范圍，即置信區(qū)間，可以從歷史流量中提取。線(xiàn)的確定可以采用參數(shù)度量平均值的標(biāo)準(zhǔn)偏差值來(lái)計(jì)算。通過(guò)已經(jīng)觀測(cè)哈爾濱]二程大學(xué)碩士學(xué)位機(jī)變量X的樣本值X；(i=l，2，?，n)計(jì)算出哈爾濱]二程大學(xué)碩士學(xué)位機(jī)變量X的樣本值X；(i=l，2，?，n)計(jì)算出觀測(cè)值的平均值，=·-·—··一定義stdev為標(biāo)準(zhǔn)偏差，則置信區(qū)間的計(jì)算公式[mean-d*stdev,mean+d*stdev(4-式中：dstdev——標(biāo)準(zhǔn)偏其中d為參數(shù)，它根據(jù)目前的網(wǎng)絡(luò)流量狀況不斷的進(jìn)行調(diào)整，倘若是網(wǎng)絡(luò)流量高峰期，如上午10：oo到12：oo，則d避免誤報(bào)，而在網(wǎng)絡(luò)流量低谷期，如24：oo一6：00，d值就會(huì)調(diào)整到較小的(2)異常流量特征進(jìn)行異常流量特征匹配的前提是特征庫(kù)的建立，如何保證特征庫(kù)既完備又不冗余，是實(shí)現(xiàn)實(shí)時(shí)準(zhǔn)確檢測(cè)異常的關(guān)鍵所在。根據(jù)NetFlow屬性特征以及常見(jiàn)網(wǎng)絡(luò)攻擊的特點(diǎn)，歸納特征描述如表4．2所示表4．2特征描目的地址多且目的端口都是出現(xiàn)大量目的端口號(hào)為80、包數(shù)為3、字節(jié)數(shù)為144的攻擊類(lèi)DoS(TCPSYN)震蕩波變Slammer蠕Red流數(shù)大，目標(biāo)地址單一且源端口都為由于網(wǎng)絡(luò)中的異常行為方式不斷增多，應(yīng)該對(duì)特征庫(kù)進(jìn)行定期的更新哈爾濱]_程大學(xué)碩十學(xué)位論以保證不會(huì)有因?yàn)樾鹿羰侄喂枮I]_程大學(xué)碩十學(xué)位論以保證不會(huì)有因?yàn)樾鹿羰侄蔚牟粩喑霈F(xiàn)而使系統(tǒng)失效的可能異常流量特征匹配的基本思想如圖4．9所示將從通過(guò)基線(xiàn)模式過(guò)濾出來(lái)的可疑信息中提取出的特征值與異常特征當(dāng)前特特征事件名事件名匹配成事件名特征n-事件名n-特征圖4．9異常流量特癥匹配示意本章是論文的重點(diǎn)。首先介紹了實(shí)時(shí)檢測(cè)模塊的開(kāi)發(fā)環(huán)境，闡述了該開(kāi)發(fā)環(huán)境的優(yōu)點(diǎn)。然后針對(duì)目標(biāo)需求，提出基于NetFlow的實(shí)時(shí)安全事檢測(cè)模塊的功能框架，在介紹模塊開(kāi)發(fā)所用關(guān)鍵技術(shù)的基礎(chǔ)上，分別完成數(shù)據(jù)接收線(xiàn)程、流解析線(xiàn)程、統(tǒng)計(jì)線(xiàn)程以及分析線(xiàn)程的具體設(shè)計(jì)和實(shí)現(xiàn)哈爾濱工稃大學(xué)碩士哈爾濱工稃大學(xué)碩士學(xué)位論針對(duì)設(shè)計(jì)實(shí)現(xiàn)的NetFlow數(shù)據(jù)采集和統(tǒng)計(jì)功能，搭建相應(yīng)的網(wǎng)絡(luò)環(huán)境臺(tái)進(jìn)行實(shí)驗(yàn)，用以驗(yàn)證該功能的有效性5．1實(shí)驗(yàn)環(huán)境的部為了進(jìn)行驗(yàn)證實(shí)驗(yàn)，搭建了如圖5．1所示的實(shí)驗(yàn)環(huán)境圖5．1網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境示意該實(shí)驗(yàn)環(huán)境搭建在校園網(wǎng)中的一個(gè)網(wǎng)段內(nèi)。主要實(shí)驗(yàn)設(shè)備包括：一臺(tái)HB、一臺(tái)c機(jī)作為NFow模擬輸出端、一臺(tái)Pc機(jī)作為tlw通過(guò)安裝NetFlowExporter軟件在NetFlow數(shù)據(jù)采集機(jī)上模擬生成HUB所形成的沖突域中的NetFlow數(shù)據(jù)，在數(shù)據(jù)接收集上運(yùn)行設(shè)計(jì)開(kāi)發(fā)的序，準(zhǔn)備工作就緒，下面就依照實(shí)驗(yàn)方案對(duì)實(shí)現(xiàn)的模塊中的各功能進(jìn)行驗(yàn)證哈爾濱工稃大學(xué)碩士學(xué)位論在配置的網(wǎng)絡(luò)環(huán)境中，主要進(jìn)行以下幾個(gè)方面的實(shí)驗(yàn)1．?dāng)?shù)據(jù)捕d虻哈爾濱工稃大學(xué)碩士學(xué)位論在配置的網(wǎng)絡(luò)環(huán)境中，主要進(jìn)行以下幾個(gè)方面的實(shí)驗(yàn)1．?dāng)?shù)據(jù)捕d虻222．2T．2飄222．2T．2斟”"¨"”"66222．27．2飄6666222．2T．2明66222．27．2222．27．2鰣222．2T．2鈾6666仉2222725一蚴m"Ⅲ塒刪獅"∞薹|腳螂暑f哪啪薹若嗽鑫}郴m邸一螂一喇～一一洲齜蹦m""仰壩m塒|66m|∞實(shí)驗(yàn)表明，模塊中的數(shù)據(jù)采集功能夠?qū)κ占降腘etFlow數(shù)據(jù)按照字值進(jìn)行正常顯示％oF刪D獻(xiàn)．懈。稈蛾D毗#蜘96一cp(M目Ho(囂126iTcP}105．56bps(278．32值進(jìn)行正常顯示％oF刪D獻(xiàn)．懈。稈蛾D毗#蜘96一cp(M目Ho(囂126iTcP}105．56bps(278．3233鉀帥 222．27．積．96zz2，27．拼．96222．27．25啐136．96b*(96．7136．61bps(96．52烈．5咻∽．6l倦33132『i∞l斟，T鞠0吲璺·2bps(軺·砷l13．59b陟(籬揣210．22．13．2圖5．3NetFlow該實(shí)驗(yàn)對(duì)傳送率進(jìn)行統(tǒng)計(jì)，生成了TopN統(tǒng)計(jì)結(jié)果。218．107．55．21在個(gè)時(shí)段內(nèi)通信量最大，通過(guò)協(xié)議類(lèi)型可以判斷該用戶(hù)可能正在從IP地址222．27．254．96在對(duì)NetFlow數(shù)據(jù)進(jìn)行統(tǒng)計(jì)的實(shí)驗(yàn)中，選擇了三種規(guī)則進(jìn)行統(tǒng)計(jì)，分從圖中可以看出，大約在19：30分的時(shí)候流量明顯增加，表明存在網(wǎng)per從流量統(tǒng)計(jì)圖中，可以分析出流量起伏比較大，表明用戶(hù)正常的訪問(wèn)哈爾濱工程大學(xué)碩七學(xué)位論絡(luò)資源，未見(jiàn)異常day統(tǒng)計(jì)結(jié)圖哈爾濱工程大學(xué)碩七學(xué)位論絡(luò)資源，未見(jiàn)異常day統(tǒng)計(jì)結(jié)圖(3)Megabitssecond圖Megabits該實(shí)驗(yàn)結(jié)果表明在17點(diǎn)和19．-30兩次出現(xiàn)了流量突變的情況，可以斷在這兩個(gè)時(shí)段網(wǎng)絡(luò)流量值發(fā)生了激增，應(yīng)該對(duì)這兩個(gè)時(shí)段的數(shù)據(jù)進(jìn)行進(jìn)步分析通過(guò)以上的實(shí)驗(yàn)結(jié)果可以分析出，設(shè)計(jì)實(shí)現(xiàn)的實(shí)時(shí)檢測(cè)模塊能夠成功的o驗(yàn)環(huán)境搭建在一個(gè)局域網(wǎng)內(nèi)，收集的數(shù)據(jù)只是流經(jīng)HUB的數(shù)據(jù)，因此數(shù)據(jù)有限，不能對(duì)系統(tǒng)在大流量數(shù)據(jù)下的采集和統(tǒng)計(jì)功能進(jìn)行測(cè)試本章首先搭建了～個(gè)實(shí)驗(yàn)環(huán)境，并依據(jù)實(shí)驗(yàn)方案對(duì)模塊功能進(jìn)行測(cè)試目的是要驗(yàn)證該模塊的可靠性與有效性。通過(guò)對(duì)實(shí)驗(yàn)結(jié)果的分析，可以得該模塊能夠?qū)崿F(xiàn)預(yù)期的功能哈爾濱工程大學(xué)碩+哈爾濱工程大學(xué)碩+學(xué)付論網(wǎng)絡(luò)科學(xué)技術(shù)的發(fā)展，信息共享程度的提高，使得網(wǎng)絡(luò)已經(jīng)滲入到了社會(huì)生活的各個(gè)方面，同時(shí)也為網(wǎng)絡(luò)犯罪的產(chǎn)生和發(fā)展提供了條件。為了抵御網(wǎng)絡(luò)威脅所帶來(lái)的破壞性，各種網(wǎng)絡(luò)安全技術(shù)不斷涌現(xiàn)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知就是一個(gè)全新的研究方向，它能夠快速的反映網(wǎng)絡(luò)的當(dāng)前安全狀況及預(yù)測(cè)來(lái)發(fā)展趨勢(shì)，并具有主動(dòng)實(shí)施防御的能力。NetFlow作為一種高速的流交換技術(shù)，能夠提供流經(jīng)網(wǎng)絡(luò)交換設(shè)備全面的實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)，因而可以作為一項(xiàng)重要的數(shù)據(jù)源來(lái)進(jìn)行研究。為了更好的支撐網(wǎng)絡(luò)安全態(tài)勢(shì)感知項(xiàng)目，開(kāi)展基于NetFlow的實(shí)時(shí)安全事件檢測(cè)技術(shù)是非常有必要的。對(duì)NetFlow技術(shù)進(jìn)行了較全面的總結(jié)，對(duì)目前普遍采用的三種網(wǎng)絡(luò)流量采技術(shù)逐一做了介紹，并進(jìn)一步對(duì)三種方法進(jìn)行了對(duì)比分析，突出了NetFlow的原因及優(yōu)勢(shì)2．分析了基于NetFlow的異常檢測(cè)方法，尤其對(duì)基于統(tǒng)計(jì)結(jié)果的異常測(cè)方法進(jìn)行了詳細(xì)的闡述。在這部分工作里，首先介紹了通過(guò)NetFlow技術(shù)可以發(fā)現(xiàn)的異常都有哪些，并對(duì)這些異常的特點(diǎn)進(jìn)行分析，然后總結(jié)了NetFlow流量統(tǒng)計(jì)方法。最后在前兩項(xiàng)工作的基礎(chǔ)上提出了一個(gè)三層的檢測(cè)3．在Lnx操作系統(tǒng)下使用C語(yǔ)言實(shí)現(xiàn)了基于w檢測(cè)模塊中數(shù)據(jù)收集線(xiàn)程、流解析線(xiàn)程以及統(tǒng)計(jì)線(xiàn)程三個(gè)線(xiàn)程，并通過(guò)實(shí)驗(yàn)予以了驗(yàn)證。設(shè)計(jì)了分析線(xiàn)程的工作框架，并對(duì)其進(jìn)行了初步的實(shí)現(xiàn)。I．考慮是否需要在采集的時(shí)候設(shè)置采樣率。由于在該系統(tǒng)中采用了單檢測(cè)模式，因此倘若采用采樣策略則很有可能產(chǎn)生漏報(bào)，而且這種漏報(bào)很再由后續(xù)的檢測(cè)方法發(fā)現(xiàn)，即時(shí)能夠被發(fā)現(xiàn)也將極大影響實(shí)時(shí)性。但考慮采樣率考慮采樣率的問(wèn)題，則在高速網(wǎng)絡(luò)環(huán)境下，實(shí)時(shí)性也會(huì)受到影響。因此方面問(wèn)題應(yīng)該權(quán)衡考2．繼續(xù)完成對(duì)分析線(xiàn)程的實(shí)現(xiàn)。同時(shí)考慮是否有更好的分析算法來(lái)快速有效的對(duì)安全事件進(jìn)行檢測(cè)。本文提出的三層檢測(cè)模型，雖然能夠比較全面這應(yīng)該在以后的工作中作更深入的研究并逐步改進(jìn)哈爾濱工程大學(xué)碩七學(xué)位論仁Crannog系列產(chǎn)品介紹iWJofthe2004ACMWorkshoponandComputer哈爾濱工程大學(xué)碩七學(xué)位論仁Crannog系列產(chǎn)品介紹iWJofthe2004ACMWorkshoponandComputerDE．USA．2004：157—Li．VisFlowConnect：NetFlowVisualizationsofthe2004onVisualizationand(VizSEC／DMSEC)。WashingtonDE，USA．2004：223—Flow-tools．http：／／www．splintered．net／sw／Flow-Analysis秦剛，李?。畱?yīng)用NetFlow技術(shù)進(jìn)行網(wǎng)絡(luò)計(jì)費(fèi)的研究．微電子學(xué)與計(jì)機(jī)．2004，21(2)：95—98顧勇，壽國(guó)礎(chǔ)．IP網(wǎng)絡(luò)性能度量和測(cè)試方法的研究．電信楊蠑，張國(guó)清，韋衛(wèi)，李仰耀．基于NetFlow流量分析的網(wǎng)絡(luò)攻擊行哈爾濱_T程大學(xué)碩十學(xué)位論發(fā)現(xiàn)．計(jì)算機(jī)工程．2005，31(13)：137—139[11]港灣網(wǎng)絡(luò)與啟明哈爾濱_T程大學(xué)碩十學(xué)位論發(fā)現(xiàn)．計(jì)算機(jī)工程．2005，31(13)：137—139[11]港灣網(wǎng)絡(luò)與啟明星辰合推出天清漢馬防火墻／多功能安全網(wǎng)關(guān)http：／／www．c啊 [12]Timhttp：／／WWW．usenix．org／publications／109in／1999—[13]王惹強(qiáng)，賴(lài)積保，朱亮，梁穎．網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)研究綜述．計(jì)算機(jī)學(xué)．2006，33(10)：5-10lOS[15]利用NetFlow進(jìn)行網(wǎng)絡(luò)安全管理術(shù)．2006，7：38—41[18]韓春靜，唐海娜，李?。甀P協(xié)議分析儀的設(shè)計(jì)與實(shí)現(xiàn)．計(jì)算機(jī)工程與9Flow—IOSNetFlow[20]周宏．校園網(wǎng)上NetFlow流量監(jiān)控分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)．西南民族學(xué)學(xué)報(bào)(自然科學(xué)版)．2005，31(3)：456—459SNP計(jì)算機(jī)科學(xué)．2003，30(7)：69～73頁(yè)朱勤，陸建新，陳繼紅．IP流量采集的幾種方法及其比較．南通工學(xué)院[23]王元莉．NetFlow技術(shù)與高校網(wǎng)絡(luò)管理．中國(guó)教育網(wǎng)絡(luò)．2005，06：65—頁(yè)[24]肖微．端口掃描技術(shù)的原理及應(yīng)用．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[25]辛穎，徐敬東，肖建華．基于統(tǒng)計(jì)的異常檢測(cè)引擎分析．計(jì)算機(jī)應(yīng)用哈爾濱-[程大學(xué)碩十學(xué)位論周韶澤，邵力耕．高速網(wǎng)絡(luò)環(huán)境下基于NetFlow的網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)計(jì)．大連鐵道學(xué)院學(xué)報(bào)．2005，26(2)：86-89BasedIntrusion哈爾濱-[程大學(xué)碩十學(xué)位論周韶澤，邵力耕．高速網(wǎng)絡(luò)環(huán)境下基于NetFlow的網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)計(jì)．大連鐵道學(xué)院學(xué)報(bào)．2005，26(2)：86-89BasedIntrusionofthe2004IEEEInternational＆吳虎，劉云超．對(duì)DDoS攻擊防范策略的研究及若干實(shí)現(xiàn)．計(jì)算機(jī)應(yīng)用究．2002，19(8)：34—36李文嘉，張大方，謝高崗．一種基于數(shù)據(jù)包分析的網(wǎng)絡(luò)入侵檢測(cè)探針．趙鵬，李之棠．網(wǎng)絡(luò)攻擊防御的研究分析．計(jì)算機(jī)安全．2003，26：35—頁(yè)鄒柏賢．一種網(wǎng)絡(luò)異常實(shí)時(shí)檢測(cè)方法．計(jì)算機(jī)學(xué)報(bào)Fw200531(13)137139164頁(yè)朱敏．基于NetFlow網(wǎng)絡(luò)流量異常的分析．計(jì)算機(jī)系統(tǒng)應(yīng)用4：28—30DE．Anintrusion-detectionmodel．IEEETransactionadata-FlowinnetworkoffifthACMSIGKDDInternationalConferenceKnowledgeand andE．Bloedorn，A．D．Christiansen，W．Hill，C．Skorupka，L．札toforNetworkIntrusionJ．Tivel．DateStarted．The崔毅東，張暉，徐惠民．基于NetFlow技術(shù)的網(wǎng)絡(luò)流量統(tǒng)計(jì)．電信科學(xué)哈爾濱T程大學(xué)碩士哈爾濱T程大學(xué)碩士學(xué)位論[38]肖政宏，尹浩．基于網(wǎng)絡(luò)流量統(tǒng)計(jì)分析的入侵檢測(cè)研究．微電子學(xué)與算機(jī)．2003，23(5)：76—79[39]YimingWormsand Activities[40]李軍懷，周明全，耿國(guó)華，張景．XML在異構(gòu)數(shù)據(jù)集成中的應(yīng)用研究計(jì)算機(jī)應(yīng)用．2002，22(9)：i0—12[41]張雷．基于XML的異構(gòu)數(shù)據(jù)集成研究．北華大學(xué)學(xué)報(bào)(自然科學(xué)【l】【l】賴(lài)積保，王慧強(qiáng)，金爽．基于NetFlow的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)研究．算機(jī)應(yīng)用研究．(已錄用在此論文即將完成之際，謹(jǐn)向在研究生階段給予我關(guān)心和指導(dǎo)的各位老師、同學(xué)和家人致以最衷心的感謝!正是因?yàn)橛辛怂麄兊膸椭椭С郑也旁诖苏撐募磳⑼瓿芍H，謹(jǐn)向在研究生階段給予我關(guān)心和指導(dǎo)的各位老師、同學(xué)和家人致以最衷心的感謝!正是因?yàn)橛辛怂麄兊膸椭椭С郑也呕贜etFlow的實(shí)時(shí)安全事件檢測(cè)技術(shù)研作者學(xué)位授予單位金哈爾濱工程大研究-計(jì)算機(jī)應(yīng)用研究2.學(xué)位論文周仁杰基于NetFlow的實(shí)時(shí)安全事件檢測(cè)技術(shù)研作者學(xué)位授予單位金哈爾濱工程大研究-計(jì)算機(jī)應(yīng)用研究2.學(xué)位論文周仁杰基于NetFlow的網(wǎng)絡(luò)安全態(tài)勢(shì)傳感器設(shè)計(jì)與實(shí)現(xiàn)本文首先闡述了NetFlow(網(wǎng)絡(luò)流)技術(shù)原理及應(yīng)用情況，在此基礎(chǔ)上討論了Netflow優(yōu)缺點(diǎn)。其次，研究了NetFlow流量信息的特性，并提出了相應(yīng)的獲取方法；研究了掃描、蠕蟲(chóng)、木馬、DOS/DDOS攻擊等網(wǎng)絡(luò)異常事件所引起的Netlow化規(guī)律，提出了基線(xiàn)檢測(cè)層與特征檢測(cè)層相結(jié)合的層次化檢測(cè)模型。最后，對(duì)基于NetFlow的網(wǎng)絡(luò)安全態(tài)勢(shì)傳感器進(jìn)行了實(shí)驗(yàn)驗(yàn)證，包括實(shí)地網(wǎng)絡(luò)驗(yàn)證及DARPA數(shù)據(jù)重放驗(yàn)證。實(shí)驗(yàn)表明基于NetFlow器能夠高效準(zhǔn)確地檢測(cè)具有較顯著流量模式或連接模式的網(wǎng)絡(luò)安全事件，比如掃描行為、蠕蟲(chóng)爆發(fā)、DOS/DDOS攻擊等。3.學(xué)位論文張超基于NetFlow數(shù)據(jù)流的計(jì)算機(jī)蠕蟲(chóng)病毒探測(cè)系統(tǒng)的研究因此計(jì)算機(jī)蠕蟲(chóng)病毒探測(cè)系統(tǒng)必須能快速探測(cè)、鑒別和隔離已感染計(jì)算機(jī)蠕蟲(chóng)病毒的機(jī)器，特別是感染新型的未知的計(jì)算機(jī)蠕蟲(chóng)病毒的機(jī)器。同時(shí)，計(jì)算機(jī)蠕蟲(chóng)病毒攻擊的多樣性，智能性和復(fù)雜性對(duì)網(wǎng)絡(luò)安全管理也提出了新的挑戰(zhàn)。如何完善網(wǎng)絡(luò)管理，在早期發(fā)現(xiàn)及處理計(jì)算機(jī)蠕蟲(chóng)病毒減輕其危害就成為網(wǎng)絡(luò)安全管理的重中之重。鑒于此，我們提出了一種基于NetFlow共性為出發(fā)點(diǎn)，以NetFlow數(shù)據(jù)流為被監(jiān)視的對(duì)象，利用數(shù)理統(tǒng)計(jì)原理對(duì)NetFlow數(shù)據(jù)流進(jìn)行分析從而發(fā)現(xiàn)目標(biāo)。利用該機(jī)制，我們能夠探測(cè)出大部分計(jì)算機(jī)蠕蟲(chóng)病毒掃描、拒絕服務(wù)攻擊和其他網(wǎng)絡(luò)異常流量。經(jīng)測(cè)試，該機(jī)制擁有較高的效率和較低的誤報(bào)率。本文首先介紹了計(jì)算機(jī)蠕蟲(chóng)病毒的發(fā)展趨勢(shì)應(yīng)用NetFlow可以提供網(wǎng)絡(luò)中IP流的信息.這些流的信息有多種用途,包括網(wǎng)管、網(wǎng)絡(luò)規(guī)劃、ISP計(jì)費(fèi)等.在網(wǎng)絡(luò)安全領(lǐng)域,NetFlow提供的IP分析網(wǎng)絡(luò)中的異常流量,這是對(duì)