論析網(wǎng)絡(luò)應(yīng)用流分析與風(fēng)險評估系統(tǒng)

　　論文關(guān)健詞：應(yīng)用流分析；風(fēng)險評估；流量分組

　　論文摘要：針對網(wǎng)絡(luò)中的各種應(yīng)用服務(wù)的識別檢測，采用應(yīng)用層協(xié)議簽名的流量識別技術(shù)和流量分組技術(shù)，實現(xiàn)網(wǎng)絡(luò)應(yīng)用流的分析和風(fēng)險評估系統(tǒng)——RAS，提出基于流量分組技術(shù)的應(yīng)用流風(fēng)險評估模型。該系統(tǒng)為網(wǎng)絡(luò)資源分配和網(wǎng)絡(luò)安全的預(yù)測提供有價值的依據(jù)。實驗結(jié)果表明，TARAS系統(tǒng)具有良好的流量分析效率和風(fēng)險評估準確性。

　　1概述

基于互聯(lián)網(wǎng)的新技術(shù)、新應(yīng)用模式及需求，為網(wǎng)絡(luò)的管理帶來了挑戰(zhàn):(1)關(guān)鍵應(yīng)用得不到保障，OA, ERP等關(guān)鍵業(yè)務(wù)與BT,QQ等爭奪有限的廣域網(wǎng)資源;(2)網(wǎng)絡(luò)中存在大量不安全因素，據(jù)CNCERT/CC獲得的數(shù)據(jù)表明，2006年上半年約有14萬臺中國大陸主機感染過Beagle和Slammer蠕蟲;(3)傳統(tǒng)流量分析方法已無法有效地應(yīng)對新的網(wǎng)絡(luò)技術(shù)、動態(tài)端口和多會話等應(yīng)用，使得傳統(tǒng)的基于端口的流量監(jiān)控方法失去了作用。

如何有效地掌握網(wǎng)絡(luò)運行狀態(tài)、合理分配網(wǎng)絡(luò)資源，成為網(wǎng)絡(luò)管理者們的當務(wù)之急。針對以上需求，作者設(shè)計并實現(xiàn)了一套網(wǎng)絡(luò)應(yīng)用流分析與風(fēng)險評估系統(tǒng)(Traffic Analysis and Risk Assessment System, TARAS)。

當前，網(wǎng)絡(luò)流量異常監(jiān)測主要基于TCP/IP協(xié)議。文獻[5]提出使用基于協(xié)議簽名的方法識別應(yīng)用層協(xié)議。本系統(tǒng)采用了應(yīng)用層協(xié)議簽名的流量分析技術(shù)，這是目前應(yīng)用流分析最新技術(shù)。然而，簡單的流量分析并不能確定網(wǎng)絡(luò)運行狀態(tài)是否安全。因此，在流量分析的基礎(chǔ)上，本文提出了應(yīng)用流風(fēng)險評估模型。該模型使用流量分組技術(shù)從定量和定性兩方面對應(yīng)用流進行風(fēng)險評估，使網(wǎng)絡(luò)運行狀態(tài)安全與杏這個不確定性問題得到定性評估，這是當前網(wǎng)絡(luò)管理領(lǐng)域需要的。

　　2流量分析模型

目前應(yīng)用流識別技術(shù)有很多，本文提出的流量識別方法是對Subhabrata Sen提出的應(yīng)用協(xié)議特征方法的改進。針對種類繁多的應(yīng)用層協(xié)議采用了兩級匹配結(jié)構(gòu)，提高效率。

應(yīng)用識別模塊在Linux環(huán)境下使用Libpcap開發(fā)庫，通過旁路監(jiān)聽的方式實現(xiàn)。在設(shè)計的時候考慮到數(shù)據(jù)報文處理的效率，采用了類似于Linux下的NetFilter框架的設(shè)計方法，結(jié)構(gòu)見圖1。

采取上述流量識別框架的優(yōu)點:(1)在對TCP報文頭的查找中使用了哈希散列算法，提高了效率;(2)借鑒狀態(tài)防火墻的技術(shù)，使用面向流(flow)的識別技術(shù)，對每個TCP連接的只分析識別前10個報文，對于該連接后續(xù)的數(shù)據(jù)報文則直接查找哈希表進行分類，這樣避免了分析每個報文帶來的效率瓶頸;(3)模式匹配模塊的設(shè)計使得可擴展性較好。

在匹配模塊設(shè)計過程中，筆者發(fā)現(xiàn)如果所有的協(xié)議都按照基于協(xié)議特征的方式匹配，那么隨著協(xié)議數(shù)量的增大，效率又會成為一個需要解決的問題。

因此，在設(shè)計應(yīng)用流識別模塊時，筆者首先考慮到傳輸層端口與網(wǎng)絡(luò)應(yīng)用流之間的聯(lián)系，雖然兩者之間沒有絕對固定的對應(yīng)關(guān)系，但是它們之間存在著制約，比如:QQ協(xié)議的服務(wù)器端口基本不會出現(xiàn)在80, 8000, 4000以外的端口;HTTP協(xié)議基本不會出現(xiàn)在80, 443, 8080以外的端口等，因此，本文在流量分析過程中首先將一部分固定端口的協(xié)議使用端口散列判斷進行預(yù)分類，提高匹配效率。

對于端口不固定的應(yīng)用流識別，采用兩級的結(jié)構(gòu)。將最近經(jīng)常檢測到的業(yè)務(wù)流量放在常用流量識別子模塊里面，這樣可以提高查找的速度。另外，不同的網(wǎng)絡(luò)環(huán)境所常用的網(wǎng)絡(luò)應(yīng)用流也不同，因此，也沒有必要在協(xié)議特征庫中大范圍查找。兩級查詢匹配保證了模型對網(wǎng)絡(luò)環(huán)境的自適應(yīng)性，它能夠隨著網(wǎng)絡(luò)環(huán)境的改變以及網(wǎng)絡(luò)應(yīng)用的變化而改變自己的查詢策略，但不降低匹配效率。應(yīng)用流識別子模塊的設(shè)計具體結(jié)構(gòu)見圖2。

　　3風(fēng)險評估模型

本文采用基于流量分組技術(shù)的風(fēng)險評估方法。流量分組的目的是為流量的安全評估提供數(shù)據(jù)。

　　3.1應(yīng)用流的分組

網(wǎng)絡(luò)應(yīng)用種類多、變化頻度高，這給應(yīng)用流的評估帶來了麻煩，如果要綜合考慮每一種應(yīng)用流對網(wǎng)絡(luò)帶來的影響，顯然工作量是難以完成的。因此，本文引入應(yīng)用流分組的概念。應(yīng)用流分組的目的是從網(wǎng)絡(luò)環(huán)境和安全角度的考慮，將識別后的流量進行歸類分組。筆者在長期實驗過程中，根據(jù)應(yīng)用的重要性、對網(wǎng)絡(luò)的占用率、對網(wǎng)絡(luò)的威脅性等因素得到一個較為合理的分組規(guī)則，即將網(wǎng)絡(luò)流量分為:關(guān)鍵業(yè)務(wù)，傳統(tǒng)流量，P2P及流媒體，攻擊流，其他5類。應(yīng)用流分組確定了流量評估的維度，這樣有利于提高評估的效率。表1列舉了部分應(yīng)用流的分組。

應(yīng)用流分組模塊有2個功能。首先是將檢測到的各種應(yīng)用流量按照表1中的分組歸類，并計算各分組應(yīng)用流量的大小、連接數(shù)目、通信主機數(shù)目3個方面的信息，并以一定的時間周期向流量安全評估模塊傳送數(shù)據(jù)。另外一個是在安全事件出現(xiàn)時，向安全響應(yīng)模塊提供異常應(yīng)用流名稱和其他相關(guān)信息。應(yīng)用流分組模塊的輸入是各應(yīng)用流的流量大小，而輸出有2個:

(1)整個網(wǎng)絡(luò)的流量分布矩陣。

(2)異常主機流量分組中的成份。

　　筆者引入流量矩陣的概念。流量矩陣A的數(shù)學(xué)定義為

[1][2][3]下一頁

【論析網(wǎng)絡(luò)應(yīng)用流分析與風(fēng)險評估系統(tǒng)】相關(guān)文章：

《周易》憂患意識論析05-09

簡析統(tǒng)計分析在中小企業(yè)中的應(yīng)用05-13

論析關(guān)于消費異化的文化批判05-11

論企業(yè)管理培訓(xùn)生項目實踐的系統(tǒng)學(xué)分析05-01

論析新時期勞動價值論的創(chuàng)新和發(fā)展04-27

審計風(fēng)險模型的演進及應(yīng)用08-26

北京地區(qū)供水系統(tǒng)變頻調(diào)速應(yīng)用例分析05-28

城市區(qū)域火災(zāi)風(fēng)險評估綜述06-09

論析技術(shù)社會消費的文化批判和重塑05-28