導(dǎo)語(yǔ)：網(wǎng)絡(luò)應(yīng)用流分析與風(fēng)險(xiǎn)評(píng)估透析論文一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

論文摘要：針對(duì)網(wǎng)絡(luò)中的各種應(yīng)用服務(wù)的識(shí)別檢測(cè)，采用應(yīng)用層協(xié)議簽名的流量識(shí)別技術(shù)和流量分組技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用流的分析和風(fēng)險(xiǎn)評(píng)估系統(tǒng)——RAS，提出基于流量分組技術(shù)的應(yīng)用流風(fēng)險(xiǎn)評(píng)估模型。該系統(tǒng)為網(wǎng)絡(luò)資源分配和網(wǎng)絡(luò)安全的預(yù)測(cè)提供有價(jià)值的依據(jù)。實(shí)驗(yàn)結(jié)果表明，TARAS系統(tǒng)具有良好的流量分析效率和風(fēng)險(xiǎn)評(píng)估準(zhǔn)確性。

論文關(guān)健詞：應(yīng)用流分析；風(fēng)險(xiǎn)評(píng)估；流量分組

1概述

基于互聯(lián)網(wǎng)的新技術(shù)、新應(yīng)用模式及需求，為網(wǎng)絡(luò)的管理帶來(lái)了挑戰(zhàn):(1)關(guān)鍵應(yīng)用得不到保障，OA,ERP等關(guān)鍵業(yè)務(wù)與BT,QQ等爭(zhēng)奪有限的廣域網(wǎng)資源;(2)網(wǎng)絡(luò)中存在大量不安全因素，據(jù)CNCERT/CC獲得的數(shù)據(jù)表明，2006年上半年約有14萬(wàn)臺(tái)中國(guó)大陸主機(jī)感染過(guò)Beagle和Slammer蠕蟲(chóng);(3)傳統(tǒng)流量分析方法已無(wú)法有效地應(yīng)對(duì)新的網(wǎng)絡(luò)技術(shù)、動(dòng)態(tài)端口和多會(huì)話等應(yīng)用，使得傳統(tǒng)的基于端口的流量監(jiān)控方法失去了作用。

如何有效地掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)、合理分配網(wǎng)絡(luò)資源，成為網(wǎng)絡(luò)管理者們的當(dāng)務(wù)之急。針對(duì)以上需求，作者設(shè)計(jì)并實(shí)現(xiàn)了一套網(wǎng)絡(luò)應(yīng)用流分析與風(fēng)險(xiǎn)評(píng)估系統(tǒng)(TrafficAnalysisandRiskAssessmentSystem,TARAS)。

當(dāng)前，網(wǎng)絡(luò)流量異常監(jiān)測(cè)主要基于TCP/IP協(xié)議。文獻(xiàn)[5]提出使用基于協(xié)議簽名的方法識(shí)別應(yīng)用層協(xié)議。本系統(tǒng)采用了應(yīng)用層協(xié)議簽名的流量分析技術(shù)，這是目前應(yīng)用流分析最新技術(shù)。然而，簡(jiǎn)單的流量分析并不能確定網(wǎng)絡(luò)運(yùn)行狀態(tài)是否安全。因此，在流量分析的基礎(chǔ)上，本文提出了應(yīng)用流風(fēng)險(xiǎn)評(píng)估模型。該模型使用流量分組技術(shù)從定量和定性?xún)煞矫鎸?duì)應(yīng)用流進(jìn)行風(fēng)險(xiǎn)評(píng)估，使網(wǎng)絡(luò)運(yùn)行狀態(tài)安全與杏這個(gè)不確定性問(wèn)題得到定性評(píng)估，這是當(dāng)前網(wǎng)絡(luò)管理領(lǐng)域需要的。

2流量分析模型

目前應(yīng)用流識(shí)別技術(shù)有很多，本文提出的流量識(shí)別方法是對(duì)SubhabrataSen提出的應(yīng)用協(xié)議特征方法的改進(jìn)。針對(duì)種類(lèi)繁多的應(yīng)用層協(xié)議采用了兩級(jí)匹配結(jié)構(gòu)，提高效率。

應(yīng)用識(shí)別模塊在Linux環(huán)境下使用Libpcap開(kāi)發(fā)庫(kù)，通過(guò)旁路監(jiān)聽(tīng)的方式實(shí)現(xiàn)。在設(shè)計(jì)的時(shí)候考慮到數(shù)據(jù)報(bào)文處理的效率，采用了類(lèi)似于Linux下的NetFilter框架的設(shè)計(jì)方法，結(jié)構(gòu)見(jiàn)圖1。

采取上述流量識(shí)別框架的優(yōu)點(diǎn):(1)在對(duì)TCP報(bào)文頭的查找中使用了哈希散列算法，提高了效率;(2)借鑒狀態(tài)防火墻的技術(shù)，使用面向流(flow)的識(shí)別技術(shù)，對(duì)每個(gè)TCP連接的只分析識(shí)別前10個(gè)報(bào)文，對(duì)于該連接后續(xù)的數(shù)據(jù)報(bào)文則直接查找哈希表進(jìn)行分類(lèi)，這樣避免了分析每個(gè)報(bào)文帶來(lái)的效率瓶頸;(3)模式匹配模塊的設(shè)計(jì)使得可擴(kuò)展性較好。

在匹配模塊設(shè)計(jì)過(guò)程中，筆者發(fā)現(xiàn)如果所有的協(xié)議都按照基于協(xié)議特征的方式匹配，那么隨著協(xié)議數(shù)量的增大，效率又會(huì)成為一個(gè)需要解決的問(wèn)題。

因此，在設(shè)計(jì)應(yīng)用流識(shí)別模塊時(shí)，筆者首先考慮到傳輸層端口與網(wǎng)絡(luò)應(yīng)用流之間的聯(lián)系，雖然兩者之間沒(méi)有絕對(duì)固定的對(duì)應(yīng)關(guān)系，但是它們之間存在著制約，比如:QQ協(xié)議的服務(wù)器端口基本不會(huì)出現(xiàn)在80,8000,4000以外的端口;HTTP協(xié)議基本不會(huì)出現(xiàn)在80,443,8080以外的端口等，因此，本文在流量分析過(guò)程中首先將一部分固定端口的協(xié)議使用端口散列判斷進(jìn)行預(yù)分類(lèi)，提高匹配效率。

對(duì)于端口不固定的應(yīng)用流識(shí)別，采用兩級(jí)的結(jié)構(gòu)。將最近經(jīng)常檢測(cè)到的業(yè)務(wù)流量放在常用流量識(shí)別子模塊里面，這樣可以提高查找的速度。另外，不同的網(wǎng)絡(luò)環(huán)境所常用的網(wǎng)絡(luò)應(yīng)用流也不同，因此，也沒(méi)有必要在協(xié)議特征庫(kù)中大范圍查找。兩級(jí)查詢(xún)匹配保證了模型對(duì)網(wǎng)絡(luò)環(huán)境的自適應(yīng)性，它能夠隨著網(wǎng)絡(luò)環(huán)境的改變以及網(wǎng)絡(luò)應(yīng)用的變化而改變自己的查詢(xún)策略，但不降低匹配效率。應(yīng)用流識(shí)別子模塊的設(shè)計(jì)具體結(jié)構(gòu)見(jiàn)圖2。

3風(fēng)險(xiǎn)評(píng)估模型

本文采用基于流量分組技術(shù)的風(fēng)險(xiǎn)評(píng)估方法。流量分組的目的是為流量的安全評(píng)估提供數(shù)據(jù)。

3.1應(yīng)用流的分組

網(wǎng)絡(luò)應(yīng)用種類(lèi)多、變化頻度高，這給應(yīng)用流的評(píng)估帶來(lái)了麻煩，如果要綜合考慮每一種應(yīng)用流對(duì)網(wǎng)絡(luò)帶來(lái)的影響，顯然工作量是難以完成的。因此，本文引入應(yīng)用流分組的概念。應(yīng)用流分組的目的是從網(wǎng)絡(luò)環(huán)境和安全角度的考慮，將識(shí)別后的流量進(jìn)行歸類(lèi)分組。筆者在長(zhǎng)期實(shí)驗(yàn)過(guò)程中，根據(jù)應(yīng)用的重要性、對(duì)網(wǎng)絡(luò)的占用率、對(duì)網(wǎng)絡(luò)的威脅性等因素得到一個(gè)較為合理的分組規(guī)則，即將網(wǎng)絡(luò)流量分為:關(guān)鍵業(yè)務(wù)，傳統(tǒng)流量，P2P及流媒體，攻擊流，其他5類(lèi)。應(yīng)用流分組確定了流量評(píng)估的維度，這樣有利于提高評(píng)估的效率。表1列舉了部分應(yīng)用流的分組。

應(yīng)用流分組模塊有2個(gè)功能。首先是將檢測(cè)到的各種應(yīng)用流量按照表1中的分組歸類(lèi)，并計(jì)算各分組應(yīng)用流量的大小、連接數(shù)目、通信主機(jī)數(shù)目3個(gè)方面的信息，并以一定的時(shí)間周期向流量安全評(píng)估模塊傳送數(shù)據(jù)。另外一個(gè)是在安全事件出現(xiàn)時(shí)，向安全響應(yīng)模塊提供異常應(yīng)用流名稱(chēng)和其他相關(guān)信息。應(yīng)用流分組模塊的輸入是各應(yīng)用流的流量大小，而輸出有2個(gè):

(1)整個(gè)網(wǎng)絡(luò)的流量分布矩陣。

(2)異常主機(jī)流量分組中的成份。

筆者引入流量矩陣的概念。流量矩陣A的數(shù)學(xué)定義為

其中，aij表示第i臺(tái)主機(jī)的第j組流量的大小，aij的單位為實(shí)際流量的單位大小。流量矩陣反映了網(wǎng)絡(luò)中信息流動(dòng)的整體情況。

由于TCP/IP協(xié)議的廣泛應(yīng)用，網(wǎng)絡(luò)流量中的絕大部分使用基于TCP的傳輸層協(xié)議，因此傳輸層的網(wǎng)絡(luò)連接數(shù)也在一定程度上反映了網(wǎng)絡(luò)流量的情況。定義網(wǎng)絡(luò)連接數(shù)矩陣為

其中，Lij表示第i臺(tái)主機(jī)第J組應(yīng)用流的網(wǎng)絡(luò)連接數(shù)。

在網(wǎng)絡(luò)通信過(guò)程中，每個(gè)流量分組的通信主機(jī)數(shù)量具有參考價(jià)值，在此引入通信主機(jī)數(shù)量矩陣，數(shù)學(xué)描述為

其中，hij為表示某一分組流量的通信主機(jī)數(shù)目。

另外，流量分組模塊在接收到安全響應(yīng)模塊的請(qǐng)求時(shí)，會(huì)向其發(fā)送該異常網(wǎng)絡(luò)節(jié)點(diǎn)的應(yīng)用流類(lèi)別信息。

信息內(nèi)容為:主機(jī)IP地址，主機(jī)應(yīng)用流分組名，應(yīng)用流名稱(chēng)列表。

3.2應(yīng)用流的風(fēng)險(xiǎn)評(píng)估

網(wǎng)絡(luò)流量的特征是網(wǎng)絡(luò)安全性的重要表現(xiàn)。本節(jié)主要描述網(wǎng)絡(luò)用戶(hù)流量的安全評(píng)估過(guò)程和機(jī)制。流量的安全評(píng)估實(shí)際上是網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估過(guò)程的一部分。風(fēng)險(xiǎn)評(píng)估的方法有定量評(píng)估、定性評(píng)估和定性與定量結(jié)合的評(píng)估方法。在此本文借鑒風(fēng)險(xiǎn)評(píng)估定性與定量結(jié)合的方法設(shè)計(jì)流量的安全評(píng)估子模型。

本節(jié)首先確定該模型的評(píng)估的對(duì)象、指標(biāo)和目標(biāo)，評(píng)估的具體方法如下:

(1)流量安全評(píng)估的對(duì)象是每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的應(yīng)用流分組。

(2)評(píng)估對(duì)象的定量指標(biāo)分別是網(wǎng)絡(luò)流量大小、網(wǎng)絡(luò)連接數(shù)和網(wǎng)絡(luò)通信主機(jī)數(shù)。

(3)評(píng)價(jià)的目標(biāo)是確定各應(yīng)用流的安全性。

(4)評(píng)估方法是以先定量后定性的方法為原則，具體方法如下:

1)制定各分組流量的安全評(píng)估規(guī)則，為量化評(píng)估提供依據(jù)。

2)參照安全評(píng)估規(guī)則，根據(jù)3個(gè)量化指標(biāo)評(píng)價(jià)網(wǎng)絡(luò)用戶(hù)流量的安全性，并得到安全評(píng)分。

3)根據(jù)安全性評(píng)價(jià)集，將量化后的安全評(píng)分指標(biāo)定性化。另外，對(duì)于攻擊流進(jìn)行特別評(píng)估，并且當(dāng)出現(xiàn)攻擊流時(shí)，攻擊流安全等級(jí)代表主機(jī)安全等級(jí)。

安全評(píng)估子模型的結(jié)構(gòu)如圖3所示。

3.2.1各分組流量的安全定量評(píng)價(jià)

對(duì)于不同分組的通信行為和流量特點(diǎn)，本模塊采用分指標(biāo)量化評(píng)估的方法進(jìn)行安全評(píng)估。表2中各指標(biāo)的安全性劃分是根據(jù)實(shí)驗(yàn)得出的結(jié)論。

對(duì)于各流量安全評(píng)估節(jié)點(diǎn)，A各節(jié)點(diǎn)應(yīng)用分組流量的集合;L為網(wǎng)絡(luò)連接的集合;H是各節(jié)點(diǎn)通信主機(jī)數(shù)集合;Sij是各節(jié)點(diǎn)量化評(píng)估的結(jié)果集合。定義安全評(píng)估函數(shù)F(A,L,H)=Sij(1≤i≤n,1≤j≤5)，用于表示目標(biāo)節(jié)點(diǎn)流量安全評(píng)估的量化結(jié)果，從而實(shí)現(xiàn)對(duì)目標(biāo)安全狀況的定量分析。

將該評(píng)價(jià)方法設(shè)為F則該過(guò)程可用數(shù)學(xué)描述如下:

其中，Sij為各網(wǎng)絡(luò)節(jié)點(diǎn)中應(yīng)用流分組的安全評(píng)分。

3.2.2流量安全定性評(píng)價(jià)

量化后的安全評(píng)分對(duì)與安全程度的描述仍然有很大的不確定性，因此，需要將安全評(píng)分定性化以確定其所在的安全級(jí)別。每個(gè)安全級(jí)別確定安全分?jǐn)?shù)以及對(duì)于攻擊流的安全等級(jí)劃分如表3—表5所示。

以上5個(gè)安全等級(jí)對(duì)于流量的安全性的區(qū)分如下:

(1)安全狀態(tài)表明該分組流量屬于正常情況;

(2)可疑狀態(tài)表明該分組流量中有可疑成分或流量大小超過(guò)正常情況;

(3)威脅狀態(tài)表明該類(lèi)流量威脅到網(wǎng)絡(luò)的正常運(yùn)行和使用;

(4)危險(xiǎn)狀態(tài)主要指該分組流量危害網(wǎng)絡(luò)的正常運(yùn)行;

(5)高危狀態(tài)表明該類(lèi)分組的流量成分已嚴(yán)重危害網(wǎng)絡(luò)正常運(yùn)行。

量化安全評(píng)分經(jīng)過(guò)定性劃分后可以得到一個(gè)定性的流量安全評(píng)估矩陣Th，將該過(guò)程用運(yùn)算h表示為

其中，Tij為第i臺(tái)主機(jī)第j組應(yīng)用流的安全等級(jí)。

4實(shí)驗(yàn)結(jié)果

4.1應(yīng)用流的識(shí)別率

由于TARAS系統(tǒng)能夠識(shí)別多種應(yīng)用流量，因此識(shí)別算法的準(zhǔn)確性是一個(gè)重要的指標(biāo)。網(wǎng)絡(luò)環(huán)境重的各種因素以及網(wǎng)絡(luò)應(yīng)用協(xié)議特征不斷變化等原因，TARAS系統(tǒng)對(duì)應(yīng)用流的識(shí)別存在漏報(bào)和誤報(bào)的間題。應(yīng)用流的識(shí)別率見(jiàn)表6。由表6的統(tǒng)計(jì)數(shù)據(jù)可以看到，TARAS對(duì)各種協(xié)議的識(shí)別存在漏報(bào)和誤報(bào)的情況。具體來(lái)看，eMule應(yīng)用由于大量使用UDP傳輸數(shù)據(jù)，因此識(shí)別率不高。另外，http協(xié)議通常使用傳輸層80端口，但這個(gè)端口也被QQ和MSN2個(gè)聊天軟件使用，除此之外一些木馬后門(mén)程序?yàn)榱朔乐狗阑饓Φ姆鈿⒁餐褂迷摱丝?，因此，在識(shí)別過(guò)程中http協(xié)議會(huì)產(chǎn)生誤報(bào)，即將非http協(xié)議數(shù)據(jù)也當(dāng)作http協(xié)議計(jì)算。

4.2應(yīng)用流的風(fēng)險(xiǎn)評(píng)估

為了測(cè)試TARAS系統(tǒng)風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性，筆者在擁有8臺(tái)主機(jī)的局域網(wǎng)中做相關(guān)測(cè)試，并以其中3臺(tái)(主機(jī)17、主機(jī)77和主機(jī)177)進(jìn)行實(shí)驗(yàn)。局域網(wǎng)內(nèi)8臺(tái)主機(jī)各應(yīng)用分組流量狀況如表7所示。關(guān)鍵業(yè)務(wù)和其他應(yīng)用的分組流量為0。

主機(jī)17使用傳統(tǒng)應(yīng)用FTP執(zhí)行下載任務(wù)，其他流量分組中無(wú)或只有極少流量，從表7可以看出，該主機(jī)的傳統(tǒng)應(yīng)用分組流量達(dá)到2Mb/s，此時(shí)傳統(tǒng)應(yīng)用流量分組應(yīng)該達(dá)到威脅級(jí)別，而其他分組應(yīng)該都是安全級(jí)別，主機(jī)的總體評(píng)價(jià)為安全。主機(jī)77不斷受到Nimda蠕蟲(chóng)病毒的攻擊，從表7可以發(fā)現(xiàn)，該主機(jī)高危分組的流量為2048kb/s，此時(shí)該分組應(yīng)該達(dá)到高危級(jí)別，而其他分組由于流量為0因此為安全，主機(jī)的總體評(píng)價(jià)為高危。主機(jī)177使用BT進(jìn)行下載，并使其流量達(dá)到1536kb/s，根據(jù)風(fēng)險(xiǎn)評(píng)估策略，該主機(jī)的P2P及流媒體分組應(yīng)該達(dá)到威脅級(jí)別，其他分組應(yīng)該都是安全級(jí)別，主機(jī)的總體評(píng)價(jià)為安全。表8為T(mén)ETRAS系統(tǒng)對(duì)表7所示流量狀況進(jìn)行評(píng)估所得的風(fēng)險(xiǎn)評(píng)估結(jié)果。

對(duì)比表7和表8可以發(fā)現(xiàn)，TARAS系統(tǒng)能夠正確地對(duì)網(wǎng)絡(luò)中各主機(jī)流量狀況進(jìn)行風(fēng)險(xiǎn)評(píng)估。同時(shí)該實(shí)驗(yàn)結(jié)果也證實(shí):雖然TARAS系統(tǒng)對(duì)于應(yīng)用流的識(shí)別存在一定誤差，但是該誤差沒(méi)有嚴(yán)重影響網(wǎng)絡(luò)運(yùn)行狀況和風(fēng)險(xiǎn)級(jí)別安全，誤差在可接受范圍內(nèi)。

5結(jié)束語(yǔ)

本文針對(duì)當(dāng)前網(wǎng)絡(luò)管理面臨的問(wèn)題，將應(yīng)用流成份分析和風(fēng)險(xiǎn)評(píng)估引入到網(wǎng)絡(luò)流量分析和評(píng)估領(lǐng)域中，設(shè)計(jì)并實(shí)現(xiàn)了應(yīng)用流分析和評(píng)估系統(tǒng)——TARAS。該系統(tǒng)主要解決網(wǎng)絡(luò)流量管理中的2個(gè)問(wèn)題:

(1)網(wǎng)絡(luò)運(yùn)行狀態(tài)感知。借鑒韓國(guó)浦項(xiàng)大學(xué)Myung-SupKim的分析方法，采用常用協(xié)議特征識(shí)別的方法設(shè)計(jì)流量識(shí)別系統(tǒng)。

(2)網(wǎng)絡(luò)應(yīng)用流的風(fēng)險(xiǎn)評(píng)估。采用基于權(quán)重打分的方法對(duì)各網(wǎng)絡(luò)節(jié)點(diǎn)應(yīng)用分組的流量進(jìn)行先定量后定性的評(píng)估。