邵國林，陳興蜀，尹學淵，葉曉鳴

?

基于流量結(jié)構(gòu)穩(wěn)定性的服務(wù)器網(wǎng)絡(luò)行為描述：建模與系統(tǒng)

邵國林，陳興蜀，尹學淵，葉曉鳴

(四川大學計算機學院 成都 610065)

針對現(xiàn)有基于異常特征庫匹配的流量檢測方法難以適應(yīng)日趨復(fù)雜的網(wǎng)絡(luò)環(huán)境需要的問題，對服務(wù)器網(wǎng)絡(luò)流量進行了大量觀測和研究，綜合正常流量在某些屬性上的固有穩(wěn)定性及特定服務(wù)在流量層面表現(xiàn)出的穩(wěn)定性，提取相應(yīng)的流量特征，同時提出了流量結(jié)構(gòu)穩(wěn)定性的概念，并基于此對服務(wù)器的正常網(wǎng)絡(luò)行為輪廓進行刻畫，依據(jù)當前流量結(jié)構(gòu)偏離正常輪廓的程度對服務(wù)器網(wǎng)絡(luò)異常行為進行檢測。針對流量結(jié)構(gòu)差異性的定量刻畫問題，提出了一種基于Spie Chart的可視化度量方法，并基于一臺郵件服務(wù)器流量實現(xiàn)了系統(tǒng)，通過實驗驗證了系統(tǒng)對常見網(wǎng)絡(luò)攻擊及未知網(wǎng)絡(luò)異常的檢測效果。

正常行為模型; 服務(wù)器安全防護; 網(wǎng)絡(luò)異常檢測; 流量結(jié)構(gòu)穩(wěn)定性

服務(wù)器通常作為IT系統(tǒng)中的核心設(shè)備通過網(wǎng)絡(luò)對外界提供特定服務(wù)，因此服務(wù)器的安全防護顯得尤為重要?，F(xiàn)有的服務(wù)器網(wǎng)絡(luò)安全防護從研究手段方面，可主要分為以下3類：

1) 基于主機或網(wǎng)絡(luò)邊界的IDS、IPS研究；

2) 基于服務(wù)器日志關(guān)聯(lián)分析與挖掘；

3) 基于服務(wù)器網(wǎng)絡(luò)流量分析。

IDS、IPS研究主要根據(jù)入侵檢測的思想編寫特定的攻擊流量特征，對非法網(wǎng)絡(luò)請求進行告警和防護。SNORT[1]是目前最常用的輕量級網(wǎng)絡(luò)入侵檢測系統(tǒng)，此外也有許多研究[2-4]基于SNORT進行改進，提出了入侵檢測模型?；谌罩镜姆?wù)器安全檢測主要通過數(shù)據(jù)挖掘[5-6]、關(guān)聯(lián)分析[7-8]等方法對服務(wù)器各方面的日志信息進行全方位的分析，從而檢測服務(wù)器面臨的攻擊和潛在威脅。目前從流量分析角度檢測服務(wù)器網(wǎng)絡(luò)異常的研究較多，根據(jù)流量分析方法，主要分為基于統(tǒng)計分析、信號處理、數(shù)據(jù)挖掘、機器學習等研究方法。文獻[9]從流量自相似統(tǒng)計特性的角度提出了異常流量檢測模型；文獻[10]提出了基于小波分析的網(wǎng)絡(luò)流量異常檢測方法；文獻[11]基于數(shù)據(jù)挖掘算法抽取流量特征，利用K-Means聚類方法自適應(yīng)的產(chǎn)生模型檢測Dos攻擊；文獻[12]將K-Means聚類算法和ID3決策樹學習算法用于網(wǎng)絡(luò)異常流量的檢測。文獻[13]提出了一種基于貝葉斯網(wǎng)絡(luò)與時間序列分析的異常流量檢測方法。

現(xiàn)有的檢測方法主要基于誤用檢測的思路，針對特定的網(wǎng)絡(luò)攻擊特點，編寫特定的流量檢測規(guī)則，從而形成一個已知攻擊特征庫，然后將采集的流量數(shù)據(jù)與特征庫一一匹配，若匹配某項特征，則對異常報警輸出[14]?；谡`用(基于異常特征)的檢測方法的缺點是，必須針對每種攻擊編寫對應(yīng)的規(guī)則，系統(tǒng)需要維護龐大的特征庫。然而隨著網(wǎng)絡(luò)及應(yīng)用環(huán)境日趨復(fù)雜，原有策略難以檢測出層出不窮的新型網(wǎng)絡(luò)攻擊，而且在不同應(yīng)用場景下，對網(wǎng)絡(luò)異常的界定更是存在許多分歧(除網(wǎng)絡(luò)攻擊外，網(wǎng)絡(luò)配置錯誤和用戶操作異常等原因都會導致網(wǎng)絡(luò)異常)，因此基于異常特征的檢測方法適應(yīng)性及擴展性日益難以滿足防護需求。

針對上述問題，本文采用基于時間序列的流量統(tǒng)計方法，對某郵件服務(wù)器流量進行了長時間的流量觀測，對能夠表現(xiàn)流量結(jié)構(gòu)穩(wěn)定性的屬性及方法進行了研究。本文研究發(fā)現(xiàn)，正常網(wǎng)絡(luò)流量在某些屬性上表現(xiàn)出一定的穩(wěn)定性，同時特定服務(wù)在流量層面也表現(xiàn)出一定的穩(wěn)定性。本文根據(jù)以上研究成果提取出相應(yīng)的網(wǎng)絡(luò)流量特征，提出了流量結(jié)構(gòu)穩(wěn)定性的概念，然后基于流量結(jié)構(gòu)穩(wěn)定性對服務(wù)器的正常網(wǎng)絡(luò)行為進行刻畫。本文基于上述模型實現(xiàn)了服務(wù)器網(wǎng)絡(luò)行為描述系統(tǒng)，并通過實驗驗證了正常情況下流量結(jié)構(gòu)穩(wěn)定性的存在，以及根據(jù)流量結(jié)構(gòu)偏離正常輪廓的程度進行異常檢測的有效性。

1 流量結(jié)構(gòu)穩(wěn)定性研究及特征分析

1.1 基于統(tǒng)計的流量結(jié)構(gòu)描述

為了刻畫和表示服務(wù)器網(wǎng)絡(luò)正常模型，本文對某郵件服務(wù)器進行了長時間的流量觀測，對流量在各個方面的屬性進行了研究，提取出能夠表征流量穩(wěn)定的屬性。為了刻畫流量的狀態(tài)和穩(wěn)定性，本文基于流量穩(wěn)定屬性提出了流量結(jié)構(gòu)及流量結(jié)構(gòu)穩(wěn)定性的概念。

定義1(流量結(jié)構(gòu)) 一定期間網(wǎng)絡(luò)流量各屬性值的大小、規(guī)模、分布、及變化的綜合狀態(tài)，說明網(wǎng)絡(luò)流量在特定時間內(nèi)的統(tǒng)計特性和綜合表現(xiàn)情況。

流量結(jié)構(gòu)主要包括兩層含義：各流量屬性及屬性間的構(gòu)成關(guān)系。本文主要基于熵、相關(guān)性等數(shù)學方法，對特定時間窗口內(nèi)的流量統(tǒng)計屬性進行描述，綜合各屬性值以及各屬性在系統(tǒng)中的構(gòu)成(所占比重)表示流量結(jié)構(gòu)的概念。

定義2(流量結(jié)構(gòu)穩(wěn)定性) 對一定期間網(wǎng)絡(luò)流量結(jié)構(gòu)的變動程度的刻畫，表現(xiàn)了網(wǎng)絡(luò)在流量層面的穩(wěn)定情況。

本文研究發(fā)現(xiàn)服務(wù)器網(wǎng)絡(luò)流量在某些屬性上表現(xiàn)出一定的穩(wěn)定性，具體表現(xiàn)在SYN包比例、IP信息熵和相關(guān)性、TTL分布、端口分布、協(xié)議分布、包長分布、端口訪問數(shù)等方面。因此，本文從正常網(wǎng)絡(luò)流量的固有穩(wěn)定性和特定服務(wù)的流量穩(wěn)定性表現(xiàn)兩方面入手，以流量結(jié)構(gòu)的穩(wěn)定性作為網(wǎng)絡(luò)流量穩(wěn)定的描述手段，對服務(wù)器網(wǎng)絡(luò)流量正常模型進行研究。正常網(wǎng)絡(luò)流量的固有穩(wěn)定性表現(xiàn)出正常流量在任何應(yīng)用和場景下，流量在某些屬性上都表現(xiàn)出的穩(wěn)定性，當這類屬性嚴重偏離正常值時，通常當前網(wǎng)絡(luò)異常。特定服務(wù)的流量穩(wěn)定性表現(xiàn)表示的是由服務(wù)器承載的特定服務(wù)和應(yīng)用帶來的在流量層面的穩(wěn)定性表現(xiàn)，當這類穩(wěn)定性減弱時，通常表示服務(wù)器由于某種因素干擾而無法提供正常服務(wù)。

信息熵可以獲取流量特征在分布變化上的有效信息[15]，相關(guān)性能有效檢測流量突發(fā)情形(如DDos攻擊[16])，本文根據(jù)各屬性的屬性值特點及穩(wěn)定性情況采取信息熵、相關(guān)性等表示方法，選取了若干流量特征，對流量結(jié)構(gòu)進行描述。

1.2 正常網(wǎng)絡(luò)流量的固有穩(wěn)定性及特征提取

正常網(wǎng)絡(luò)流量在某些屬性上表現(xiàn)出固有的穩(wěn)定性，不因服務(wù)和應(yīng)用的不同而有所差異，且其穩(wěn)定性易顯著地被攻擊流量擾動，因此正常流量固有的穩(wěn)定性能夠刻畫正常網(wǎng)絡(luò)流量的輪廓，同時將異常網(wǎng)絡(luò)流量區(qū)分開來。如流量中的SYN包比例通常較小，當流量達到一定規(guī)模時，即使在短時間內(nèi)也能表現(xiàn)出一定的穩(wěn)定性；如果網(wǎng)絡(luò)中SYN包比例突然顯著增大，則說明服務(wù)器的網(wǎng)絡(luò)流量在某些方面出現(xiàn)了異常。

本文對正常情況下網(wǎng)絡(luò)流量在各屬性上的穩(wěn)定性表現(xiàn)進行了研究，選取若干穩(wěn)定性效果較好的屬性進行了深入分析，圖1為SYN包比例、IP信息熵、IP相關(guān)性、TTL分布4類流量屬性在連續(xù)1 000個時間窗口內(nèi)的統(tǒng)計結(jié)果，由圖可看出各屬性在屬性值上具有較穩(wěn)定的分布。其中SYN包比例穩(wěn)定于10-2數(shù)量級；IP信息熵屬性值穩(wěn)定維持于4左右；IP相關(guān)性基本在0.99以上；TTL屬性值分布穩(wěn)定，在64及52處出現(xiàn)概率最大。

本文根據(jù)這些屬性特點分別提取出對應(yīng)的流量特征：

1) SYN包比例：SYN包占總包數(shù)的比例；

2) IP信息熵：根據(jù)信息熵定義，針對IP序列中各IP對應(yīng)流量占比求取的熵值；

3) IP相關(guān)性：當前時間窗口內(nèi)IP序列及各IP對應(yīng)流量與上一時間窗口的相關(guān)性；

4) TTL分布熵：根據(jù)信息熵定義，針對各TTL對應(yīng)流量占比求取的熵值。需要注明的是，本文主要采取基于時間序列的統(tǒng)計方法，因此各網(wǎng)絡(luò)特征都是特定時間窗口內(nèi)的統(tǒng)計結(jié)果；此外，為了便于計算和比較，特征2)和特征3)對IP進行了映射處理，IP代指映射后的邏輯IP。

a. SYN包比例分布

b. IP信息熵分布

c. IP相關(guān)性分布

d. TTL屬性值分布

圖1 正常網(wǎng)絡(luò)流量固有屬性的穩(wěn)定性表現(xiàn)

1.3 特定服務(wù)表現(xiàn)的流量穩(wěn)定性及特征提取

通常由于特定服務(wù)和應(yīng)用的特點、以及相關(guān)用戶的生活、工作習慣等特點，也能夠?qū)е铝髁吭谀承傩员憩F(xiàn)出穩(wěn)定性，這種由業(yè)務(wù)特性以及用戶特性帶來的宏觀穩(wěn)定性通常不具有一般性，而由服務(wù)器的功能決定。如對于一臺郵件服務(wù)器而言，其SMTP及POP3的流量必然占大多數(shù)，假如網(wǎng)絡(luò)中P2P流量激增，則表明網(wǎng)絡(luò)出現(xiàn)異常。

a.服務(wù)端口號分布

b. 各類協(xié)議數(shù)據(jù)包比例分布

c.包長分布

d. 端口訪問數(shù)分布

圖2 特定網(wǎng)絡(luò)服務(wù)的流量穩(wěn)定性表現(xiàn)

圖2是對一臺郵件服務(wù)器流量屬性研究的統(tǒng)計結(jié)果，由圖可看出流量在服務(wù)端口號分布、協(xié)議分布、數(shù)據(jù)包長分布、端口數(shù)訪問情況等屬性上具有較穩(wěn)定分布，其中服務(wù)端口號分布集中于25(SMTP)、80(HTTP)及110(POP3)，與郵件服務(wù)器職責相匹配；各類協(xié)議的數(shù)據(jù)包比例分布較穩(wěn)定；由IP包負載長度可知網(wǎng)絡(luò)中主要是短包和長包；絕大多數(shù)IP訪問服務(wù)器端口數(shù)小于3。

本文根據(jù)以上研究成果分別提取出對應(yīng)的流量特征：

1) 端口號分布熵：根據(jù)信息熵定義，針對各端口號對應(yīng)流量占比求取的熵值；

2) 協(xié)議分布熵：根據(jù)各協(xié)議對應(yīng)流量占比求取的熵值；

3) 包長分布熵：根據(jù)各包長對應(yīng)流量占比求取的熵值；

4) 端口訪問指數(shù)：以每個IP訪問服務(wù)器端口數(shù)目為研究對象，綜合端口數(shù)目和該數(shù)目出現(xiàn)概率對其進行刻畫，數(shù)目越大且出現(xiàn)概率越低，對應(yīng)的端口訪問指數(shù)越大。

2 基于流量統(tǒng)計的服務(wù)器行為建模

2.1 服務(wù)器動態(tài)網(wǎng)絡(luò)行為輪廓描述

通過觀測發(fā)現(xiàn)，流量各屬性在較短時間內(nèi)具有相對的穩(wěn)定性，在較長時間內(nèi)則存在緩慢的周期變化過程。大量研究表明，網(wǎng)絡(luò)流量存在明顯的周期性[17-19]，因此，難以使用一個靜態(tài)的、恒定不變的網(wǎng)絡(luò)行為輪廓對服務(wù)器在任一時刻的網(wǎng)絡(luò)行為進行描述。本文基于此提出了動態(tài)網(wǎng)絡(luò)行為輪廓對服務(wù)器流量正常輪廓進行描述。

定義3(動態(tài)網(wǎng)絡(luò)行為輪廓) 不定義一個靜態(tài)的、固定的正常流量輪廓，而是充分考慮當前流量規(guī)模及特點，從而定義一個適合描述當前流量結(jié)構(gòu)的正常輪廓。

由于鄰近時間窗口間的業(yè)務(wù)水平及流量結(jié)構(gòu)相當，因此，本文基于當前時間窗口前個無明顯異常的歷史流量數(shù)據(jù)構(gòu)建當前時刻的動態(tài)網(wǎng)絡(luò)行為輪廓。為了消除歷史數(shù)據(jù)中的異常值，本文主要基于格拉布斯準則[20]對異常數(shù)據(jù)(離群值)進行分析剔除，從而獲得正常的歷史數(shù)據(jù)用于構(gòu)建適合描述當前流量結(jié)構(gòu)的正常輪廓。

正常網(wǎng)絡(luò)行為輪廓流量結(jié)構(gòu)包括兩部分內(nèi)容：各屬性的參照值及各屬性在流量結(jié)構(gòu)中的構(gòu)成(比重)。屬性參照值主要根據(jù)正常歷史數(shù)據(jù)平均求得，比重通過各屬性的穩(wěn)定性求得?；趧討B(tài)網(wǎng)絡(luò)行為輪廓的穩(wěn)定性描述方法充分考慮了正常網(wǎng)絡(luò)行為輪廓隨時段周期性變化的過程，對異常檢測更具有參考意義。

2.2 服務(wù)器異常行為檢測

本文提出了一種基于Spie Chart[21]的可視化度量方法，Spie Chart如圖3a所示，基準餅圖固定了扇形角度，比較餅圖疊加在基準餅圖之上，每個扇形半徑偏離基準餅圖的程度反映了每個構(gòu)成的相對變化，這樣Spie Chart強調(diào)了構(gòu)成，又反映了構(gòu)成的變化，從而有效衡量兩個相同構(gòu)成餅圖的差異性。

a. Spie Chart示意圖

b. Spie Chart差異性度量示意圖

圖3 Spie Chart及差異性度量示意圖

本文將正常網(wǎng)絡(luò)行為輪廓的流量結(jié)構(gòu)作為基準餅圖，將當前網(wǎng)絡(luò)流量結(jié)構(gòu)作為比較餅圖，每個扇形表示流量結(jié)構(gòu)的一個特征，將兩個餅圖對應(yīng)扇形的面積差作為偏離度的衡量值。為了方便描述，令每個餅圖的扇形數(shù)為，、分別為基準餅圖及比較餅圖的第個扇形半徑。在Spie Chart中，將設(shè)為1，表示正常網(wǎng)絡(luò)行為輪廓，則為實際網(wǎng)絡(luò)流量結(jié)構(gòu)特征值與正常輪廓中對應(yīng)特征值(正常參考值)的比值。本文以基準餅圖與比較餅圖的差異作為差異性的度量依據(jù)，即圖3b中黑色部分面積。

由于每個特征的穩(wěn)定性存在差別，因此各特征對應(yīng)的扇形角度不同，這里使用穩(wěn)定系數(shù)描述，第個扇形的穩(wěn)定系數(shù)表示為，越大表明越穩(wěn)定。特征的穩(wěn)定系數(shù)決定了對應(yīng)扇形的角度，扇形的角度越大，對最終計算差異性影響越大。

(1)

(3)

3) 差異性度量

本文基于Spie Chart扇形面積差度量當前流量結(jié)構(gòu)與正常網(wǎng)絡(luò)輪廓的偏離度，差異性可通過式(4)計算求得，當超過特定閾值時，說明當前流量結(jié)構(gòu)偏離正常輪廓的程度較大，從而判定為異常：

3 網(wǎng)絡(luò)行為描述系統(tǒng)及有效性驗證

3.1 郵件服務(wù)器網(wǎng)絡(luò)行為描述系統(tǒng)

為了驗證該模型的有效性，本文基于某郵件服務(wù)器流量構(gòu)建并部署了服務(wù)器網(wǎng)絡(luò)行為描述系統(tǒng)，對服務(wù)器網(wǎng)絡(luò)流量進行監(jiān)測，同時通過實施攻擊實驗觀察流量結(jié)構(gòu)的變化情況。

系統(tǒng)工作流程為：1) 針對流量結(jié)構(gòu)各特征基于時間序列對流量進行統(tǒng)計。2) 基于前120個時間窗口的歷史數(shù)據(jù)構(gòu)建正常網(wǎng)絡(luò)行為輪廓(首先基于格拉布斯準則剔除歷史數(shù)據(jù)中的異常值，基于正常值的均值確定正常參考值；其次基于各特征值在歷史數(shù)據(jù)中表現(xiàn)出的穩(wěn)定性求穩(wěn)定系數(shù)及扇形角度，即確定各特征的權(quán)重)。3) 基于當前時間窗口的實際流量結(jié)構(gòu)和正常網(wǎng)絡(luò)行為輪廓，根據(jù)本文提出的Spie Chart差異性度量方法計算偏離度。4) 若偏離度超過特定閾值，則對異常進行告警。

由于不同服務(wù)器及不同的網(wǎng)絡(luò)環(huán)境表現(xiàn)出的穩(wěn)定性不同，因此偏離度閾值也應(yīng)不同。本文閾值設(shè)定方法是：基于格拉布斯準則將偏離度歷史數(shù)據(jù)中的正常值和異常值分開，計算各自均值，然后以二者中間值作為閾值。

為了驗證該系統(tǒng)對異常流量的檢測效果，本文從已知異常(網(wǎng)絡(luò)攻擊)檢測和未知異常檢測兩個方面進行分析。

3.2 針對已知異常的檢測驗證

本文主要通過對服務(wù)器實施常見的網(wǎng)絡(luò)攻擊實現(xiàn)對已知異常檢測的效果評估。表1是系統(tǒng)對端口掃描、SYN Dos及UDP Flood 3種常見網(wǎng)絡(luò)攻擊的檢測效果。針對不同的攻擊類型，實驗分別選取了3種不同的攻擊規(guī)模(表示每個時間窗口內(nèi)的探測次數(shù))，共實施了9組實驗，每組實驗實施30次攻擊。

表1 針對網(wǎng)絡(luò)攻擊的檢測結(jié)果

結(jié)果顯示系統(tǒng)對端口掃描具有較靈敏的檢測效果，當攻擊規(guī)模達到240時，檢測率就已達到100%，隨著攻擊規(guī)模加大，異常值也在增大。當攻擊規(guī)模分別達到1 800和1 200時，SYN Dos和UDP Flood的檢測率都能達到93.3%，隨著攻擊規(guī)模的增大，檢測率和差異值也在不斷增大。由實驗結(jié)果可知，系統(tǒng)對能夠影響網(wǎng)絡(luò)流量結(jié)構(gòu)的常見網(wǎng)絡(luò)攻擊具有較好的檢測效果。

3.3 針對未知異常的檢測驗證

針對未知異常的檢測結(jié)果如表2所示，包括3列數(shù)據(jù)，分別表示正常情形、某周期性網(wǎng)絡(luò)異常及某次郵件密碼暴力破解3類情形下的流量結(jié)構(gòu)變化情況。理論正常情形是各流量特征與正常輪廓對應(yīng)特征相等(即表中各特征值為1)，差異值為0，但是網(wǎng)絡(luò)不可能是一成不變的。表中第1列數(shù)據(jù)是對43 200個時間窗口(30 d)流量結(jié)構(gòu)數(shù)據(jù)經(jīng)格拉布斯準則剔除異常值后的均值統(tǒng)計結(jié)果，由表中數(shù)據(jù)可看出正常情形下各特征較穩(wěn)定，流量結(jié)構(gòu)與正常輪廓差異較小，同時這也驗證了流量結(jié)構(gòu)穩(wěn)定性的存在。

表2中第2列數(shù)據(jù)表示的是系統(tǒng)從郵件服務(wù)器流量中檢測出的某類未知網(wǎng)絡(luò)異常的流量結(jié)構(gòu)。流量監(jiān)測數(shù)據(jù)顯示，異常發(fā)生期間TCP連接數(shù)、網(wǎng)絡(luò)數(shù)據(jù)包數(shù)、SYN包數(shù)顯著增大，分別達到鄰近時刻數(shù)據(jù)水平的6倍、10倍和8倍左右，使流量結(jié)構(gòu)在各方面偏離正常輪廓，差異值達到19.448。鑒于該異常長期且持續(xù)發(fā)生于每天早上6:22左右，時間和模式較固定，因此猜測可能是郵件服務(wù)器自身某項定時功能或配置導致的網(wǎng)絡(luò)異常。

表2中第3列數(shù)據(jù)表示的是某次異常事件的流量結(jié)構(gòu)，數(shù)據(jù)顯示異常發(fā)生期間SYN包比例、端口分布熵、協(xié)議分布熵等變化較劇烈，總差異值達到14.824。分析原始數(shù)據(jù)發(fā)現(xiàn)為一次郵件密碼暴力破解活動，持續(xù)時間近3 min，共進行了13 298次密碼猜解。

表2 針對未知異常的檢測結(jié)果

研究過程發(fā)現(xiàn)，針對不同的網(wǎng)絡(luò)異常，其所影響的流量結(jié)構(gòu)屬性及程度也各不相同。如SYN Dos攻擊對SYN比例影響巨大，端口掃描對端口訪問指數(shù)影響巨大，UDP Flood對協(xié)議分布熵影響較大，某周期性網(wǎng)絡(luò)異常對端口訪問指數(shù)等影響較大，密碼暴力破解對SYN比例及協(xié)議分布熵影響較大。而研究過程中也發(fā)現(xiàn)，IP相關(guān)性在許多網(wǎng)絡(luò)異常期間一直較穩(wěn)定，主要原因是已考察的網(wǎng)絡(luò)異常都未能明顯改變訪問服務(wù)器的IP列表，IP相關(guān)性如果出現(xiàn)明顯擾動，則可能預(yù)示著分布式網(wǎng)絡(luò)攻擊的發(fā)生。因此對于流量結(jié)構(gòu)而言，所包含的穩(wěn)定性屬性越全面，其所代表的流量狀態(tài)也越準確。

4 結(jié)束語

本文基于流量結(jié)構(gòu)的穩(wěn)定性對服務(wù)器正常網(wǎng)絡(luò)行為進行建模，根據(jù)當前網(wǎng)絡(luò)流量結(jié)構(gòu)與正常輪廓的偏離度進行流量異常檢測。本文從正常流量固有穩(wěn)定性及業(yè)務(wù)特性、用戶特性等表現(xiàn)的流量穩(wěn)定性兩方面，對流量屬性進行了深入研究，基于信息熵、相關(guān)性等方法提取了若干流量特征描述流量結(jié)構(gòu)。針對正常流量輪廓隨業(yè)務(wù)強度在不同時段周期性變化的問題，提出了根據(jù)臨近時間窗口的流量結(jié)構(gòu)構(gòu)建動態(tài)網(wǎng)絡(luò)行為輪廓的概念，從而使正常輪廓更具參考意義。為了對流量結(jié)構(gòu)的偏離程度定量描述，提出了一種基于Spie Chart扇形面積差的度量方法。本文基于流量結(jié)構(gòu)穩(wěn)定性的服務(wù)器網(wǎng)絡(luò)行為模型在一臺郵件服務(wù)器上構(gòu)建了系統(tǒng)進行驗證，證明了流量結(jié)構(gòu)穩(wěn)定性的存在，同時該系統(tǒng)對常見網(wǎng)絡(luò)攻擊及未知網(wǎng)絡(luò)流量異常都具有較好檢測效果。然而當前提取的流量屬性還較單一，依據(jù)流量結(jié)構(gòu)穩(wěn)定性的評判依據(jù)，提取和選擇出更多來源和粒度的屬性表示流量結(jié)構(gòu)，是下一步的研究方向。

[1] ROESCH M. Snort: Lightweight intrusion detection for networks[C]//LISA. Washington, USA: ACM, 1999: 99: 229-238.

[2] 鄭禮良, 吳國鳳, 胡曉明, 等. 基于Snort的入侵檢測系統(tǒng)的研究與改進[J]. 合肥工業(yè)大學學報: 自然科學版, 2011, 34(4): 529-532.

ZHENG Li-liang, WU Guo-feng, HU Xiao-ming, et al. Research on intrusion detection system based on Snort and its improvement[J]. Journal of Hefei University of Technology (Natural Science), 2011, 34(4): 529-532.

[3] SAGANOWSKI ?, GONCERZEWICZ M, ANDRYSIAK T. Anomaly detection preprocessor for Snort IDS system[M]//Image Processing and Communications Challenges 4. Berlin Heidelberg: Springer, 2013: 225-232.

[4] WANG H X, CHENG G Y, HAN Y F. Research on increasing speed of rule-matching in Snort[J]. Computer & Information Technology, 2013, 21(1): 30-33.

[5] 郁繼鋒. 基于數(shù)據(jù)挖掘的Web應(yīng)用入侵異常檢測研究[D]. 武漢: 華中科技大學, 2011.

YU Ji-feng. Research on anomaly intrusion detection od Web application based on data mining[D]. Wuhan: Huazhong University of Science and Technology, 2011.

[6] 雷驚鵬, 顏世波. 基于Windows日志的主機入侵檢測[J]. 吉林工程技術(shù)師范學院學報, 2013, 29(1): 71-72.

LEI Jing-peng, YAN Shi-bo. Host intrusion detection based on windows log[J]. Journal of Jilin Teachers Institute of Engineering and Technology, 2013, 29(1): 71-72.

[7] 何鵬程, 方勇. 一種基于Web日志和網(wǎng)站參數(shù)的入侵檢測和風險評估模型的研究[J]. 信息網(wǎng)絡(luò)安全, 2015(1): 61-65.

HE Peng-cheng, FANG Yong. A risk assessment model of intrusion detection for Web applications based on Web server logs and website parameters[J]. Netinfo Security, 2015(1): 61-65.

[8] 周麗, 王小玲. 基于網(wǎng)絡(luò)審計日志關(guān)聯(lián)規(guī)則挖掘的改進[J]. 計算機技術(shù)與發(fā)展, 2011, 21(6): 150-153.

ZHOU Li, WANG Xiao-lin. Improved algorithm for association rules mining based on network audit record[J]. Computer Technology and Development, 2011, 21(6): 150-153.

[9] 賈慧, 高仲合. 基于自相似的異常流量檢測模型[J]. 通信技術(shù), 2010, 43(12): 115-117.

JIA Hui, GAO Zhong-he. Anomalous-traffic detection model based on self-similarity[J]. Communications Technology, 2010, 43(12): 115-117.

[10] DAINOTTI A, PESCAPé A, VENTRE G. NIS04-1: Wavelet-based detection of DoS attacks[C]//Global Telecommunications Conference, 2006, GLOBECOM'06. [S.l.]: IEEE, 2006: 1-6.

[11] 高能, 馮登國, 向繼. 一種基于數(shù)據(jù)挖掘的拒絕服務(wù)攻擊檢測技術(shù)[J]. 計算機學報, 2006, 29(6): 944-951.

GAO Neng, FENG Deng-guo, XIANG Ji. A data-mining based DoS detection technique[J]. Chinese Journal of Computers, 2006, 29(6): 944-951.

[12] YASAMI Y, MOZAFFARI S P. A novel unsupervised classification approach for network anomaly detection by k-Means clustering and ID3 decision tree learning methods[J]. The Journal of Supercomputing, 2010, 53(1): 231-245.

[13] KLINE J, NAM S, BARFORD P, et al. Traffic anomaly detection at fine time scales with bayes nets[C]//Internet Monitoring and Protection, 2008, ICIMP'08. [S.l.]: IEEE, 2008: 37-46.

[14] 程柏良, 周洪波, 鐘林輝. 基于異常與誤用的入侵檢測系統(tǒng)[J]. 計算機工程與設(shè)計, 2007, 28(14):3341-3343.

CHENG Bai-liang, ZHOU Hong-bo, ZHONG Lin-hui. Intrusion detection system based on anomaly and misuse[J]. Computer Engineering and Design, 2007, 28(14): 3341- 3343.

[15] 杜鑫, 楊英杰, 常德顯. 基于特征分布分析的網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)[J]. 計算機工程, 2009, 35(6): 116-118.

DU Xin, YANG Ying-jie, CHANG De-xian. Network traffic supervision system based on feature distribution analysis[J]. Computer Engineering, 2009, 35(6): 116-118.

[16] 王忠民. 基于統(tǒng)計分析的DDoS攻擊檢測的研究[D]. 河北, 秦皇島: 燕山大學, 2012.

WANG Zhong-ming. Dos attack detection based on the stastical analysis[D]. Qinhuangdao, Hebei: Yanshan University, 2012.

[17] 張鳳荔, 趙永亮, 王丹, 等. 基于流量特征的網(wǎng)絡(luò)流量預(yù)測研究[J]. 計算機科學, 2014, 41(4): 86-89.

ZHANG Feng-li, ZHAO Yong-liang, WANG Dan, et al. Prediction of network traffic based on traffic characteristic[J]. Computer Scienc, 2014, 41(4): 86-89.

[18] 朱倩雨. 網(wǎng)絡(luò)流量預(yù)測模型的研究[D]. 烏魯木齊: 新疆大學, 2014.

ZHU Qian-yu, Research on prediction model of network traffic[D]. Wulumuqi: Xinjiang University, 2014.

[19] 邵雪梅. 校園網(wǎng)流量測量與性能優(yōu)化研究[D]. 合肥: 合肥工業(yè)大學, 2013.

SHAO Xue-mei. Research on campus network traffic measurement and performance optimization[D]. Hefei: Hefei University of Technology, 2014.

[20] 孫培強. 正確選擇統(tǒng)計判別法剔除異常值[J]. 計量技術(shù), 2013(11): 71-73.

SUN Pei-qiang. Correct selection of statistical criterion to eliminate outliers[J]. Measurement Technique, 2013(11): 71-73.

[21] FEITELSON D G. Comparing partitions with Spie Charts[EB/OL]. [2015-04-20]. http://www.cs.huji.ac.il/~ feit/papers/Spie03TR.pdf.

[22] 王明濤. 多指標綜合評價中權(quán)數(shù)確定的離差, 均方差決策方法[J]. 中國軟科學, 1999(8): 100-101.

WANG Ming-tao. The dispersion and mean square deviation decision method: Determination of the weight in multiple-parameters comprehensive evaluation[J]. China Soft Science, 1999(8): 100-101.

編 輯 漆 蓉

Profiling Structure-Stability-Based Server Traffic: Behavior Models and System

SHAO Guo-lin, CHEN Xing-shu, YIN Xue-yuan, and YE Xiao-ming

(College of Computer Science, Sichuan University Chengdu 610065)

Server as an important part of the institutions or organizations usually carries a particular network service, for the security protection, it usually adopts rule-based approaches to detecting attacks according to the specific characters. However, due to the new network attacks emerge in endlessly and network anomaly is difficult to define, anomaly-feature-based detection is more and more difficult to meet the needs of the increasingly complex network environment. To cope with it, we propose the concept of traffic structure stability based on both the inherent stability of normal traffic attributes and the stability of a specific service, and profile the normal network behavior model for the server to detect traffic abnormality. To describe the difference between current traffic structure and the normal profile, we propose a novel visualization measurement method based on Spie Chart. Finally, we implement the system on a mail server and confirm the validity of the model by experiments.

normal behavior model; server security; traffic abnormality detection; traffic structure stability

TP393.08

A

10.3969/j.issn.1001-0548.2017.01.016

2015-07-21；

2016-01-15

國家自然科學基金(61272447)；國家科技支撐計劃(2012BAH18B05)

邵國林(1991-)，男，博士生，主要從事計算機網(wǎng)絡(luò)與信息安全方面的研究.