网络异常的主动检测与特征分析
二年级下册期中试卷-消防演习
第19卷.第8期
计算机技术与发展
2009年8月
Vo1.1
9 NO.8
COMPUTER TECHNOIA ̄Y ANrD DEvELOPMENT Aug. 2009
网络异常的主动检测与特征分析
赵辉,张鹏
(中南大学
信息与通信工程系,湖南长沙410083)
摘要:目前入侵检测系统主要使用的技术还是特征检测,
它只能检测已知的入侵,而异常检测尽管能检测未知人侵,却
无法保证准确性和可靠性。特征检测是建
立在对特征的准确定位基础之上的,而异常检测是基于不可靠行为的,只能描
述某种行为的趋势。文中
对基于异常和特征的入侵检测系统模型做了一定研究,把网络异常特征与异常检测技术结合,
提高了入
侵检测系统的检测效果。
关键词:异常检测;特征提取;主动检测
中图分类号:I3 ̄39
3.08 文献标识码:A 文章编号:1673—629X(2009)08—0159—03
Ac
tive Detection and Feature Analysis About Network
Anomaly
ZHAO Hui,ZHANG Peng
(Department of
Information and Communication Engineering,Central
South University,Changsha 410083,China)
Abstr
act:Currently the main tcehno ̄gy of intrusion dete
ction s ̄tem is feature detection,which can only de
tcet the known intrusion,
and anomaly detectio
n call be Ilsed to detect the Llnknov ̄/1 intrusion
.it is unable to ensure its accuracy and reliabili
ty.WhiIe naom ̄y de-
tection is based on uncert
ain behavior,which can only deseribe the trend of
ebhavior,f ̄ture detection is based on accurate f ̄t
ure locat—
ing. In this paper pr0p lf method w
hich incorporate anom ̄y detcetion and feature dete
ction to gain better performance.and also dis—
cu ̄sed the intrusion detection system model based
on f ̄true detcetion and anon】aly detection.
K
ey words:anomaly detection;feature extraction;acti
ve intrusion
O 引 言
建立一个特征库,然后将网络采集的数据与特征库中
网络安全问题愈来愈受到人们的关注,在此方面
特征进行一一匹配,若存在匹配的特征,则
表明其是一
首先要做的工作是当网络出现异常时,能够快速发现
个人侵行为。
问
题并找出其根源。对网络故障或其它原因引起的网
异常检测也称为基于行为的入侵检测,一般方法 <
br>络异常的研究,将有助于发现网络中更细微的变化,提
是建立一个对应“正常活动”的系统或用
户的正常轮
高发现问题的能力,提高警报信息的准确性,进一步提 廓。检测入侵活动时,异常检测程
序产生当前的活动
高网络服务质量。而目前所应用的各种检测方法中, 轮廓并与正常轮廓比较,当活
动轮廓与正常轮廓发生
都需要对网络中各种攻击行为进行分析,同时进行必
显著偏离时即认
为是入侵,从而触发相应机制。
要的侦查、取证,而这其中最为关键的就是要从大量数
特征
检测的优势在于能够对已知入侵作出准确判
据包文中提取有效的攻击特征,对攻击特征进行准确 断,异常检测的优势在于对网络异常状况监测的主动
的定位 』。根据网络异常时的特征进行检测
和诊断,
性,因此,可以考虑将特征检测中的特征匹配方法与异
可以保证具有更低虚警率,
同时还有更高的检测率。
常检测中对异常数据流行为的监视方法相结合。在以
往各种异常检
测的方法中,都需要抽取具有正常(或者
1网络异常的主动检测
非正常)行为的样本,每个
样本都有其特征定义,即从
1.1特征检测与异常检测
IP地址、端口号、协议类型等信息
得到特征描述,然后
特征检测又称误用检测,是根据已知的攻击特征
归类为各种样本或者搭
配成各种组合特征集或者描述
收稿日期:2008—12—03;修回日期:2009—02—27
为特征向量。异常检测能发现未知入侵,而基于特征
基金项目:教育部全国教育科学计划(2
006JKS2007)
的检测能发现已知入侵,因此异常检测与特征检测相
作者简介:赵
辉(1957~),男,副教授,研究方向为网络信息系统、
结合-2 J,才能更好地适应复杂多变
的网络环境,同时,
分布式多媒体、现代教育技术等。
作为异常检测核心之一的模型建立方
式,也离不开对
・
160・ 计算机技术与发展 第l9卷
特征的
分析。
1.2网络异常的常用主动检测方法
常,则根据级别发出不同警报,同时抓取该时段
的数据
包,如图l所示。
在网络监测或管理系统中,网络中的异常通常是
通过网
络流量异常或者其他设备异常特征来判断。基
于流量异常的检测方法有很多,较常用的有基于域值 <
br>的检测方法、基于统计的检测方法、基于小波的检测方
法、基于马尔可夫等随机过程模型的方法
和一些基于
机器学习、数据挖掘和神经网络等检测方法,这些方法
是建立在对特定网络对象
的实时监控基础上的 3 J。从
检测对象来讲,能反映网络异常的方面有很多,比如
Ne
tFlow、日志数据、端口状态以及基本设备状态等,这
统计项
表1端口信息统计表 <
br>说明
端口索引 标记每个端口
端口状态 显示端口是否开启或关闭
每秒流
入/ 对每个端口的进出数据包进行统计,通过其数据
出包数 量可以了解某个端口的负载情况 每秒流人/ 包的变化浮动能够说明网络的实时状态,特别是
出包变化率 在遭受攻击时,变化宰
会更加明显
每秒丢包率 如果丢包率出现较大偏差,则从一个方面说明网
络设备的负载存在
问题或者被入侵
些都能为我们提供最为直接的信息,只有查堑幽避
对这些信息做到较好的统计
,才可以利用
测。
出
检索条件: ALL v
趔 —I—一
一
s.y ̄l生
堕枣 l
修改
捧序方式: 1分譬 据v
各
种数学的、生物的模型来进行分析与检
共娩8s2l条信息1008/页页码:i1
根据校
园网的实际情况,在流量统计
方面主要应用以下几个手段来做到主动、
实时地对校园网络进
行检测,分别为:
(1)NetFlOXa",的网络异常流量检测
它的主要优势在于首先
NetFlow直接在路
。 4 尊丽帚l贝
序
设备名 设备n
口
每页显示的条数: 1006
首页上一页下一页尾页
基 _近j呈『努 蛋 分
攫块号 .iQ ̄- 钟内捌l钟内刺 钟内利 取售时闷
甩事f用率 甩事
1
prot
—
sl 202 I97 48 T0 l00 55—65
2
—8
95
78%
53'‘
TT薯
2007一l0一I l
l5 46
:0l
2 S6SO6
:STU Z02 l冒7 48 0
0 l
2008—0S—Il
03
:25‘0l
3 1s65o6:S
TIr 202 l97 48 0O
4 S65嘴
l 2
一
’8
16 7B篙
∞薯
订*
2008—10-l8
20
05:
01
sTV Z02 1g7 48 30 2
9.11—
14
9。
11—
1《 i8
9.11一
2008一∞一29
0I 45 02
2008—O9-29
0l S5 01
2008—0g-29
由器
上采集流的信息。只要是通过这个
路由器的IP流,它都可以进行检测;其次,
,
_
5 S6506 sTV 蛳眨1S7 48
.
30 2 78% 78臀
R R IR 1 r 2幢l97 48 30
4etrtow的流记录信息不涉及到高层信 <
br>图l CPU状态显示
息;第三,异常检测不需要庞大且不断增
长的特征库,对于数
据记录只需对照正常的数据行为
基准,就可以进行检测各行为是否偏离这个基准即可。
(2
)Syslog日志检测。通过设置Syslog日志服务
2特征的描述和提取
特征是对已
知的异常行为的描述。特征必须能准
确描述某一种网络异常的特点,对于每种网络异常现
象
,都应该对其相应的恶意数据包进行分析,提取攻击
器,对日志数据接收之后,然后对Sysiog包
进行解析及
预处理如果检测到可疑的异常行为,发出告警信息。
(3)端El定时扫描。通
过MIB(Management Infor—
特征。一个特征应该是一个数据包或数据包序列的独
有特性。理想情况下,通过特征应该总是能够发现网
络异常的源头,同时应该不会对正常的
网络流量造成
影响,而异常检测的预处理则是根据一定的要求通过
数据包的包头获取所需的
网络连接信息。在假设绝对
安全、完全正常的环境中收集网络连接信息,并按照一
定的采样
间隔,在一定时间内形成正常网络连接库,假
定基于特征的检测能够立即以某种方式对攻击进行特 <
br>marion Base,管理信息库)对网络设备端口状态进行读
取,并且对不同主机的同一
端口以及特定主机的不同
端口进行统计,对转发包数量,以及丢包率等特征进行
抽取。这种
方法主要是基于端口的统计特征 4j.当发
现有较大浮动时,发出警告,并抓取相应数据包进行分
析。主要统计的数据有如下几方面(见表1)。
另外,在对网络设备的检测中,由于很多的网
络攻
击行为必然导致对于网络设备的异常,而对于校园网
中,最明显的影响表现在CPU的
利用率上,根据实际
的经验,在网络受到攻击时,通常不会仅仅存在少量的
数据包,而是在
短时间内数据包的数量剧增,特别是
征描述,那么通过匹配已知的入侵来识别模式,包括协
议分析和特征分析,最终可以完成对网络异常的正确
判断。
可以把异常检测所建立的用户异
常行为特征建立
数据库,把相同或者相似的用户行为归结为一类,把按
时段划分的各范围内
网络业务量统计并建立特征,在
对网络数据流进行一系列的数据预处理,经过原始报
文的捕
获,将会话还原形成数据流,也就是把网络业务
ARP攻击和其他不符合标准IP格式的数据包,会直
接使CPU的利用率在几秒钟内由平时的10%左右上
升至35%以上。由此,通过实时的
检测,分别获取每5
秒、1分钟、10分钟内,CPU利用率情况,如果发现异
第8期 赵辉等:网络异常的主动检测与特征分析 ・161・
UO 3
UOf
0O C
6 20
量数据流转化成为特征向量的形式。此外,需要进一
步对数据流进
行特征提取,即用数据流特征代替数据
流进行异常分析。并根据当前行为对异常行为特征库
的匹配程度判断用户行为异常的根源。
主要的特征分析及提取方法可以有以下几种:
(1)
基本网络协议方面的特征描述。
由于TCP/IP协议是目前使用最广泛的网络互联
以表现
出来的,而是通过频繁发送大量数据包才会引
异常的特征。实时从网络流量中提取一些网络流量的 <
br>e8d 7O C
U a9 7 O e
起的,因此需分析一段时间内的网络流量来描述
这些
4 O 2O Od
C0 3 3 0 C
O己00 7
1 08fO
2
已4O06 5
口O7017
基本特征数据,比如流量的大小、包长的信息、协议
的
,04上O1 3 5bOO 2
信息、端口流量的信息、T C P标志位的信息等,根
据
UfOU 20 4 a COO1
实际需要选取不同方面组合,从而得到各类异常特征
的模型,而这种模型是根据需要实时设置和改变的[ 。
r a 5
以简单归结为3
种:(1)拒绝服务攻击;(2)冒充网关;
n
0b 4
C6 4 C87
协议,也是最经常被攻击破坏的一个大目标,因此,在
研究网络特征描述和提取的问题时,根据TC
P/,IP协
比如现在比较常见的ARP欺骗,其常用的方式可
1 e e ed
b 46 ad 4
8
7O01f
D(209 e
议体系,主要考虑的数据包
是TCP数据包、UDP数据
包和ARP数据包等。如何在大量的数据中提取出具
有代表性
的特征模式,用于对程序或用户行为做出描
述,是实现检测的关键。在对由Winpcap截获的TC
P—
Dump格式数据进行分析和待征提取,从包含大量冗
余信息的数据中提取出尽可能多
的安全信息,抽象出
有利于进行判断和比较的特征集合,这种特征可以用
于基于特征检测的
特征向量模型 ],也可以用于基于
异常检测的行为描述模型。
针对网络攻击,可以对IP
、TCP、UDP、ARP几种
常用的网络协议进行分析,以其数据包的包头中得到
能够表
征攻击特征的不同字段的特殊取值作为攻击特
征的基本网络协议特征 6 J。例如从IP包头中提取
有
用的几个特征:源IP地址、目的IP地址、协议类型、时
间戳等。通过对攻击进行网络
协议分析,用协议包头
的特殊字段值来标示网络攻击特征,例如,在中南大学
网络中心出现
的一种异常现象,每次出现该异常的主
要表现就是CPU会告警,由此抓取该时段的数据包,
通过分析找到其中多条记录的协议类型有问题,如图
2所示。
ca c 5
0
9 07
52 07
3f a4
f 5 28
00 O0
O0 O0
00 00
图2有问题的数据包
将该数据包以十六进制显示后,从图
中可以看出,
该记录外层为IP包头(0800),然后是L兀]P(11),但是
再往下
层分析,其协议类型为“e7”,无法判断该类型为
何种协议,通过对多次数据的分析,该记录源端口
总是
为“2328”,源IP地址为“O0 18 dl 77”,而这正是路由
器的一个
端口,可以把这类特征作为一种判断的标准,
在以后发现与此匹配的异常特征,则可以直接对该端 <
br>口作处理,而不必从大量数据包中查找根源。
(2)从网络流量特征描述异常特征。
很多网络异常并不是通过发送一两个数据包就可
(3) 溢出攻击。这几种攻击行为都需要发送大量
5O1 3f
j 9 48 e
的数据包才能够实现,因此,可以通过设置时间窗口来
U10d
eO1 3
构造流量特征,然后实时抓取数据包,提取出一组数据
包的特征,从而描述网络异常特征并找出是哪些设备
或主机是攻击源头。
以下是读取AR
P数据包的包头,提取各条记录的
信息:
my(¥seeks,%arrp);
¥seeks=0;
%arrp=();#reset
¥arrp{‘arp—time’
}:&returntirne(¥一[0],0,8);#time
¥a ̄rpl‘arp—rel
—length’}=&repaeklO(¥一[0],0,4);#rezl
length ¥arrpl‘arp—net—length’}=&repackl0(¥一[0],0,4);#ne
t
length
¥arrp{‘alp—des—mac’}=&repack16(¥一
[0],0,6);#des mac
¥arrp{‘arp—res—mac’{=&repack
l6(¥一[O],0,6);#res mac
¥arrp{‘arp—type’}=&repa
ck16(¥一[o3,0,2);#arp type 0806
for arp pack ¥ar ̄pt‘arp—hard—type’l=&repackl6(¥一[0],0,2);#har
d
type 0001 for以太网
¥arrp{‘arp—proc—type’}:
&repaekl6(¥一[0],0.2);#proc
type 0800 forip
¥arrp{‘arp—hard—length’{=&repactd6(¥一[0],0,I);#b.
ard
length 06 fo以太网
¥arrpi‘arp—proc—length
’}=&repackl6(¥一[0],0.1);#proc
length 04forip <
br>¥arrpl‘arp—reply—flag’}=&repackl6(¥_[0],0,2);#q
uest/
reply¥arrp{‘arp—des—ip’;=&anip(&repackl6
(¥一[0].6,
4));#des ip
¥arrp{‘arp—res—ip’f=
&anip(&repaekl6(¥一[0],6,4));#
res ip
¥arrp
{‘arp—pack—id’}=¥arrpl‘arp—time’};
¥seeks=¥a ̄r
p{‘arp—rel—length’{一42;
seek(¥_[0],¥seeks,1);#
(3)攻击的其他特征的描述。
面对复杂的网络环境,仅从几个方面就能有效地
描述网络异常的各类特征,显然是不能完全实现的,还
(下转第165页)
6
O
7
O
第8期 李秋敬等:基于时间约束的角色访问控制模型研究
机技
术与发展,2007,17(6):246—249.
・ l65・
3结束语
描
述了引入时间约束的角色访问控制,更好地满
足了访问控制最小权限的原则,可以有效地解决时间 <
br>敏感活动的访问控制问题,增强了访问控制的力度。
引入时间后的系统有着更全面、更具体的安
全属性描
述能力。但是仍然存在许多值得研究的问题,关于时
间约束在角色访问控制中的实
际应用应进一步进行研
究,文中在时间约束的角色访问控制中的整体方面还
有待进一步完善
。
参考文献:
[1]SandhuRS,CoyneE J.FeinstdnHL,et
a1.Role--BasedAc—
CeSS Control Models[J] IEEE
Computer,1996,29(2):38—
47.
[3]Bertino E,
Bonatti P,Ferrar E.TRBAC:A temporal Role—
base
dAccessControlModel[J].ACMTransactions on Infor— <
br>marion and Systems Security,2001,4(3):191—233.
[4] Ferraiolo D F,Sandhu R,Gavrila S.Proposed
NIST stall—
dam for role—based lfcce& ̄control[
J J.ACM Transactions on
Information and System
Security,2001,4(3):234—274.
[5]黄建,卿斯汉,温红子.带时间特
性的角色访问控制[J].
软件学报,2003,14(11):1944—1949
[6
]胡程瑜,李大兴.带时间约束和角色控制的工作流系统授
权模型[J].山东大学学报,2006,
36(3):39—43.
f7]杨珍,刘连忠.时间约束的角色访问控制系统的设计与
实
现[J].计算机应用研究,20o8,25(1):195—199.
[8]张少敏,王宝义,周利
华.一种具有时间约束的基于角色
的授权管理模型[J].武汉大学学报,2006,52(5):5
78—
581.
[2]张新华,陈军冰.时间约束的RBAC模型及应用[J].计算 <
br>(上接第158页)
参考文献:
[1]SahamiM,IXtmaisS,Hec
kermanD,et a1.ABayesianAp.
proach tO Filtering
Junk E—Mail.In Learnjflg for Text Care・
[5]成宝
国,冯宏伟.一个基于Naive Bayesin垃圾邮件过滤 a
器的改进[J].计算机技术与发
展,2006,16(2):98—99.
[6]戴劲松,白英彩.基于贝叶斯理论的垃圾邮件过滤技
术
[J].计算机应用与软件,2006(1):110—111.
[7]汤伟,程家兴,
纪霞.一种基于概率推理的邮件过滤
系统的研究与设计[J].计算机技术与发展,2008,18(
8):
76—79。
gorization[C]∥1998 Workshop.Mad
ison,Wisconsin:[s.
n.],1998.
[2]Duda R O,H
art P E,Stork D G.Pattern Classification 2nd
[
M].[s.1.]:Wiley,2002.
【3]杨斌,路游.基于统计学习理论的支持向量机的
分类
方法[J].计算机技术与发展,2006,16(11):56—58.
[8]龚伟
,李柳柏.基于IDSS的中文垃圾邮件过滤模型设
计[j].计算机技术与发展,2007,17(
3):163—165.
[9]Linguisitc Data Consortium(LDC)
[EB/OL].2007.http://
vnvw。ldc.upenn.edu
[4
]张丽,黄东.基于Winnow算法的反垃圾邮件引擎的
设计与实现[j].计算机技术与发展,2
006,16(4):170—
175
[10]OMord Text Archive(
叽A)[EB/OL].2007.http://ota.
ahds.ac.uk/.
(
上接第161页)
参考文献:
[1]肖海军,王小非,洪帆,等.基于特征选择和支持向量
机
的异常检测[J].华中科技大学学报,2008.36(3):99—102.
[2]
David F,王建新,王斌.基于异常和特征的入侵检测系统
需要综合其他多渠道的信息并抽象其
特征。另外可以
通过对Snort规则库的分析,按照协议包头、协议类
型、端口等划分、
归纳出更多的网络异常特征,然后可
以选择适当的串匹配算法,或者特征匹配算法来快速
达
到定位。
模型[J].计算技术与自动化,2004,23(3):19—22.
[3]S
ielken R S.Appliatcion Intrusion Deteciton[R].Virg
inia:U—
niversity of Virginia,1999.
【4]王平辉
,郑庆华,牛国林,等.基于流量统计特征的端口扫
3结束语
特征检测与异常检测是不能分
割开来的,如何能
描检测算法[J].通信学报,2007,28(12):14—18.
(5]曹苏来.典型攻击行为描述及特征向量提取[J].科技信
息,2008(2):37—39.
更加有效地通过异常检测的手段来发现问题,结合特
征检测的方式来提取异常特征,从而更
加快速、准确地
查找出异常网络的根源,是我们最终要实现的目标。
文中主要是将两种检测
手段的优势提取出来,并且把
各自的特点相结合,在面对更加复杂的网络异常问题
时,可以
灵活地作出选择与判断,从而为应用各种模型
来实现入侵检测作了比较充足的工作。
[6]
李韦韦,陈海,徐振朋.基于多层特征匹配的网络入侵检
测系统[J].计算机应用与软件,2008
.25(2):278—280.
[7]Guimaraes M,Murray M.Overvi
ew of intrusion detection and
intrusion preven
tion[C]∥Proceedings f othe 5th annual con—
fer
enee on Information sectu-itv curficdtllTl develop
ment.【S.
i.]:s.n.],2008.