《基于网络流量异常的入侵检测技术综述.doc》由会员分享,可在线阅读,更多相关《基于网络流量异常的入侵检测技术综述.doc(12页珍藏版)》请在三一办公上搜索。
1、基于网络流量异常的入侵检测技术综述510摘要:随着计算技术的不断发展和网络的不断普及,网络攻击形式层出不穷,网络安全问题日益突出,造成的社会影响和经济损失越来越大,为网络威胁检测与防御提出了新的需求和挑战。网络流量异常是目前主要的网络安全威胁之一,也是网络安全监测的关键对象。实现对网络异常流量快速准确发现,对恶意代码及时准确捕获、分析、跟踪与监测,可以为网络安全态势指标评估和免疫决策提供知识支撑,从而提高网络安全应急组织的整体响应能力。本文主要探讨了基于网络流量异常的入侵检测技术,从多种类型的网络流量异常入手,梳理了常见的五种异常流量检测方法和基于异常流量监测技术的几种软件。关键词:网络安全;
2、网络异常;流量检测技术中图分类号:TP315A Review of Intrusion Detection Techniques Based onNetwork Traffic AbnormityNIU Minshu, XU Peng(Institute of Network Technology,Beijing University of Posts and Telecommunications,Beijing2025303540100876)Abstract: With the continuous development of the computing technology and t
3、he growingpopularity of the network, network security issues have become increasingly prominent.With theincreasing social impact and economic losses, new demand for network threat detection andprevention challenges. Abnormal network traffic is one of the major network security threats, andthe key ob
4、ject of network security monitoring. Achieving abnormal traffic on the network quicklyand accurately and locating the malicious code timely and accurately can provide knowledgesupport for network security situational indicators assessment and immune decision, and thusimprove the organizations overal
5、l cybersecurity emergency response capability. This papermainly discusses the network traffic anomaly-based intrusion detection technology, from thevarious types of network traffic anomalies to five common abnormal traffic detection method sbased on abnormal traffic monitoring theroy and related sof
6、twares.Key words: Network security; Network abnormaly; Traffic detection technology0 引言异常流量,即非正常流量。也就是说,不属于网络服务正常范围内的流量,都可以称为异常流量。导致网络流量异常的因素有社会或自然现象,网络设备故障以及恶意的攻击。其中人为因素又包括:网络攻击流量、网络病毒流量、垃圾邮件流量、非法的服务流量等。异常流量背后隐藏着危险的网络行为。网络攻击和病毒流对网络用户造成的损失是巨大的。对于网络运营商来说蠕虫病毒爆发时,网络极度拥塞,带宽资源被病毒流占用,网络设施不堪重荷,局部几近瘫痪,无法为客户
7、提供正常的网络业务。因此,对于异常流量检测技术及防御控制策略的研究日益紧迫。作为网络安全管理领域的重要研究内容,网络流量异常检测的相关研究国内外目前已经开展了很多,基于不同的数据源类型,不同的流量监测范围,不同的异常类型,也有着多式多样的检测方法与手段。网络流量异常,即是指某种已经影响了网络正常使用的网络流量模-1-45式。而网络流量异常检测,则是指依据某种手段,及时确定网络流量异常发生的时间地点。导致网络异常发生的原因有很多,如异常网络操作、闪存拥挤、网络滥用、蠕虫病毒、恶意攻击、网络配置错误等。如要进行异常检测,则必须具有进行检测的范本,即网络上产生的流量数据。流量数据也有不同的类型,如数
8、据包截取数据,网络流(network flows)和 SNMP的统计数据1。不同的异常检测场合,也可能需要对数据源进行不同的处理,如网络流采样502、流量统计时间序列3等。1 异常流量现象国际标准组织 ISO 提出的 OSI(Open System Interconnection)模型4将网络分为七层,即物理层( Physical )、数据链路层(Data Link)、网络层(Network)、传输层(Transport)、会话层(Session)、表示层(Presentation)和应用层(Application)。OSI 七层模型如图 1 所示。Layer7Layer7APDULayer6
9、Layer5Layer4Layer3Layer2Layer1表示层会话层传输层网络层数据链路层物理层数据格式化、代码转换、数据加密解除或建立与其他接点的联系提供端到端的接口为数据包选择路由传输有地址的帧,错误检测功能使数据以二进制形式在物理媒体上传输JPEG/MPEG/ASCIINFS/SQL/NETBIOS/RPCTCP/UCP/SPXIP/ICMP/RIPOSPF/BGP/IGMPPPP/ARP/VLANSLIP/CSLIPRj45/CLOCKIEEE802.3Layer6Layer5Layer4Layer3Layer2Layer1PPDUSPDUTPDU报文帧比特55图 1OSI 七层模
10、型Fig. 1 Open Systems Interconnection (OSI) model (ISO/IEC 7498-1)物理层(Physical layer)是参考模型的最低层,对应网线、网卡、接口等物理设备(位)。该6065层是网络通信的数据传输介质,由连接不同结点的电缆与设备共同构成。主要功能是:利用传输介质为数据链路层提供物理连接,负责处理数据传输并监控数据出错率,以便数据流的透明传输。数据链路层(Data link layer)是参考模型的第 2 层。 主要功能是:在物理层提供的服务基础上,在通信的实体间建立数据链路连接,传输以“帧”为单位的数据包,并采用差错控制与流量控制方
11、法,使有差错的物理线路变成无差错的数据链路。网络层(Networklayer)是参考模型的第 3 层,提供了编址方案和 IP 协议工作的地方(数据包)。主要功能是:为数据在结点之间传输创建逻辑链路,通过路由选择算法为分组通过通信子网选择最适当的路径,以及实现拥塞控制、网络互联等功能。传输层(Transport layer)是参考模型的第 4 层。主要功能是向用户提供可靠的端到端(End-to-End)服务,处理数据包错误、数据包次序,以-2-OSI layersFunctionProtocols应用层文件传输、电子邮件文件服务、虚拟终端TFTP/HTTP/SNMPFTP/Telnet/SMTP
12、及其他一些关键传输问题。传输层向高层屏蔽了下层数据通信的细节,因此,它是计算机通7075信体系结构中关键的一层。会话层(Session layer)是参考模型的第 5 层。主要功能是:负责维护两个结点之间的传输链接,以便确保点到点传输不中断,以及管理数据交换等功能。表示层(Presentation layer)是参考模型的第 6 层。主要功能是:用于处理在两个通信系统中交换信息的表示方式,主要包括数据格式变换、数据加密与解密、数据压缩与恢复等功能。应用层(Application layer)是参考模型的最高层。主要功能是:为应用软件提供了很多服务,例如文件服务器、数据库服务、电子邮件与其他网络
13、软件服务。在正常情况下,经过多个主机汇聚产生的网络出口流量具有明显的规律性。流量在瞬间出现违反这种规律的情况即出现了异常流量,往往表示网络本身出现了异常。通过网络流量监测手段,我们可能看到以下几种网络流量异常现象5 。801.1链路流量异常链路流量是指网络上一条物理链路上的单位时间流过的比特数或者字节数。对于总流量,可以监测单向流量或者双向流量,其中单向流量又分为上行流量和下行流量。链路流量一般是有时间规律的,在每天白天或夜间的某个时段出现高峰,在清晨前的一个时段达到谷底。工作日和节假日的高峰和低谷时间不同,有各自的变化规律。当网路中某条线路的中断、某个节点的故障或网络攻击的爆发,流量会出现瞬
14、间的流量突变,这时可判断网络中发生了85某种问题。1.2直接影响网络正常运行的流直接影响网络正常运行的流是网络中非常重要的流,例如,与 DNS 服务器通信的流直接影响到域名解析的实现,SNMP 协议流是否正常会直接关系到网络管理系统,路由协议的流关系到网络中所有报文被正确地送往目的地,与 RADIUS 服务器通信的报文流影响到用90户的安全性。这些流的流量异常并不一定会导致总流量出现显著的异常。正常情况下会把这些流局限在某些 IP 地址之间,超出这些 IP 范围可能就是异常。1.3针对路由协议的攻击路由协议6用于在网络设备之间进行路由信息的交换。目前常见的路由协议有 RIP、IGRP(Cisc
15、o 私有协议)、EIGRP(Cisco 私有协议)、OSPF、IS-IS、BGP 等。RIP、IGRP、EIGRP、95OSPF、IS-IS 是内部网关协议(IGP) 7,适用于单个 ISP 的统一路由协议的运行,一般由一个ISP 运营的网络位于一个 AS(自治系统)内,有统一的 ASnumber(自治系统号)。BGP 是自治系统间的路由协议,是一种外部网关协议,多用于不同 ISP 之间交换路由信息,以及大型企业、政府等具有较大规模的私有网络。对路由协议的攻击可能导致网络设备路由表紊乱,网络设备资源大量消耗,甚至导致网络设备瘫痪。1001.4针对设备转发表的攻击设备转发表指网络设备(路由器或交
16、换机)上的一些表项,用于指示报文的转发方向,如MAC 地址表、ARP 表、快速转发表等。攻击者通过发送合适的数据表,促使设备建立大量的此类表格,就会使设备的存储资源耗尽,表内容被破坏,从而不能正常的转发数据报文。攻击者可以通过向一台交换机发送大量的源 MAC 地址不同的数据帧来使该交换机的本地105MAC 地址表学错或学满。MAC 地址表溢出导致交换机不能继续学习正确的 MAC 表项,从而产生大量的网络冗余数据,甚至是交换机崩溃。攻击者可以通过变换不同的 IP 地址和 MAC-3-地址,向同一台网络设备发送大量的 ARP 请求,使其因为 ARP 缓存溢出而崩溃;也能通过发送带有错误的源 MAC
17、 地址和 IP 地址的 ARP 请求报文误导接收主机,使其建立错误的ARP 表。1101.5与 IP 报文有关的异常IP 首部字段被填入错误的值,将导致网络或它连接的主机出现各种问题。常见的与 IP报文有关的异常有伪造的源 IP 地址、未知协议字段的 IP 报文、与报文分片相关的网络攻击和带选项的 IP 报文。1151.6与 ICMP 报文相关的攻击和异常ICMP 协议8的一个最基本的功能是对网络进行诊断。一些诊断程序通过发送 ICMP 协议响应请求报文和接受该报文的应答报文来判断目标主机和网络的情况。与 ICMP 协议相关的攻击包括 ICMP 洪水、超长 Ping、地址猜测攻击和 Smurf
18、 攻击。1.7与 TCP 报文和通信过程相关的异常与 TCP 报文和通信过程相关的异常9是错误的 TCP 报文和 TCP 过程引起的,TCP 报文120结构如图 2 所示。04101631图 2Fig. 2TCP 报文结构图TCP packet structure由于 TCP 报文定义的松泛和协议过程的不严谨,这些漏洞使得在实际网络中非常容易125受到攻击。比较常见的异常标志位组合包括 SYN 和 FIN 同时置位、没有任何标志比特的NULL 包、置位 FIN 却没置位 ACK 等。攻击者针对 TCP 通信过程的攻击通常包括TCPSYNFlood 攻击、错序的 TCP 报文和 TCP 扫描。1
19、.8与 UDP 通信过程相关的异常UDP10是一种无连接的协议,它不需要建立连接来传输数据,攻击者可根据此特点对130目标主机进行攻击。UDP 攻击通常有 UDPFlood 攻击、UDPFraggle 攻击。1.9针对 Web 的 DDoS 攻击和 SQL 注入攻击针对应用层的 DDoS11利用高层协议进行洪水式的攻击,包含带宽耗尽型和主机资源耗尽型两种攻击方式。SQL 注入12是一种数据库攻击手段,也是 Web 应用程序漏洞存在的一种表现形式。通过把 SQL 命令插入到 Web 表单提交给数据库服务器,在服务器上执行恶意135的 SQL 命令,从而达到入侵数据库乃至操作系统的目的。SQL 注
20、入攻击流程如图 3 所示。-4-源端口目的端口序号确认号数据偏移保留URGACKPSHRSTSYNFIN目的端口校验和紧急指针选项(长度可变)填充数据部分SQL数据库SQL注入攻击Web服务器黑客浏览网页黑客控制的服务器(包含攻击代码)被注入最终用户图 3 SQL 注入攻击流程图1.10 DNS 攻击Fig. 3Flowchart of SQL Injection140145150155160DNS 攻击13有 DNSQueryFlood 攻击和 DNS 欺骗。DNSQueryFlood 攻击是一种针对 DNS 服务器的攻击行为。攻击者向 DNS 服务器对应的 UDP53 端口发送大量域名查询
21、请求,占用大量系统资源,使服务器无法提供正常的查询请求。DNS 欺骗即域名信息欺骗是常见的 DNS 安全问题,网络攻击者通过缓存感染、DNS信息劫持和 DNS 重定向等方式进行 DNS 欺骗。1.11 缓冲区溢出攻击缓冲区14是内存中存放数据的地方。在程序试图将数据存放到机器内存中的某一个位置的时候,因为没有足够的空间就会发生缓冲区溢出。而人为的溢出则可能导致过长的字符串覆盖相邻的存储单元导致程序运行失败,或是利用这种漏洞执行任意指令,甚至取得系统超级用户权限。1.12 端口扫描端口扫描是目前存在的最为广泛的网络攻击之一,包括 TCP 端口扫描和 UDP 端口扫描两种。常见的 TCP 端口扫描
22、技术包括 TCPSYN 扫描、FIN 扫描、NULL 扫描和 XMAS 扫描,攻击者可以根据扫描后主机的反馈信息,判断主机的状态,再进行下一步的攻击。攻击者也可以通过向目的主机某 UDP 端口发送一个 UDP 报文,判断目标主机 UDP 端口开放状况,针对开放的 UDP 端口进行下一步攻击。1.13 DoS 与 DDoS 攻击Service,它是一种基于 DoS 的特殊形式的拒绝服务攻击,是一静分布、协作的大规模攻击方式,利用很多傀儡机来发起进攻,以比从前更大的规模来进攻受害者,并主要瞄准比较大的站点:像商业公司、搜索引擎和政府部门的站点。网络上各种 DoS/DDoS 攻击形式多种多样,按攻击
23、的目标可以将攻击分为列操作系统的攻击、对应用软件的攻击以及对某个网络的攻击。从攻击的手段来分大体上可以分为逻辑性攻击和资源消耗型攻击两类。逻辑性攻击通常是通过网络协议本身的漏洞,或者实现网络协议软件的漏洞来进行攻击,这种攻击通常非常隐蔽,而且不容易实施,需要网络高手进行精-5-心的设计。资源消耗型攻击是以消耗网络服务器资源或者网络本身的资源为手段,使得网络165170服务不可获取,或服务性能急剧下降的攻击方式。从攻击的步骤来讲又分为目标探测和信息攫取、初始探访、特权升级和掩盖行踪。一次成功的攻击往往是多种攻击方式联合实施的结果。DoS/DDoS 攻击的种类有上千种,网络上各种攻击工具可以随意下
24、载,门槛极低,攻击活动更是时有发生。1.14 蠕虫攻击蠕虫病毒15是可以独立运行,并能将其自身完整功能的版本传播到其他计算机上的程序。蠕虫病毒具有自我复制和传播的特性,能够无需用户活动的支持独立运行,利用各种漏洞进行传播。从扫描速度受限类型来看,可以将蠕虫病毒分为“延迟限制型”和“带宽限制性”。蠕虫的工作原理如图 4 所示。随机生成IP地址侦测地址有些蠕虫给出确定的范围,有些蠕虫根据某种特性生成IP范围虚线内的工作可以在一个数据包中完成主机是否存在是是否存在漏洞是攻击、感染、处理现场否继续搜索否175图 4蠕虫的工作原理Fig. 4Warm working principle2 入侵检测方法分
25、类传统的入侵检测技巧分为两种:基于误用检测(misused-based)技巧和基于异常检测(anomaly-based)技巧。1802.1基于误用检测(misused-based)技巧基于误用检测技巧需要攻击样本,通过描述每一种攻击的特殊模式来检测。该技巧的查准率很高,并且可提供详细的攻击类型和说明,是目前入侵检测商业产品中使用的主要技巧。基于此种方式开发出了相应的网络流工具(Flow-tools、FlowScan16 )或网络入侵检测工具(Bro17、Snort18 )。185190然而经过长时间的研究和应用,该技巧也暴露出一定的弱点,由于基于特征的入侵检测系统是依靠人为的预先设定报警规则来
26、实现,所以在面对不断变化的网络攻击时有其本身固有的缺陷,比如,利用这种技巧时需要维护一个昂贵的攻击模式库、只能检测已知的攻击等。另一方面,攻击者可以通过修改自己的攻击特征模式来隐藏自己的行为,而且有些攻击技巧根本没有特定的攻击模式。异常检测技巧主要针对解决误用检测技巧所面临的问题。因而本文主要探讨的是基于网络流量异常的入侵检测技巧。-6-2.2基于异常检测(anomaly-based)技巧流量异常检测的范围大致包括主动方法和被动方法。主动方法是指监测者主动发包去探测网络设备的运行情况,从网络的反馈中分析发出包的具体性能来得到需要的信息。被动方法是指监测者被动地采集网络中现有的标志性数据以了解网
27、络设备的运行情况。表 1 中对异195常流量的主动监测和被动监测进行了简要的比较。表 1异常流量的主动检测和被动检测Tab. 1Active detection and passive detection of abnormal traffic比较对象特点实时性权限和范围准确性对网络的影响主动检测方法主动发送数据包进行探测较好不受限制较差产生影响被动检测方法采集真实的网络数据包并统计较差受限较高不影响主动测量的方法是指主动发送数据包去探测被测量的对象,以被测对象的响应作为性能200205210215220评价的结果来分析。测量者一般采用模拟现实的流量(如 Web Server 的请求、FTP
28、下载、DNS反应时间等)来测量一个应用的性能或者网络的性能。由于测量点一般都靠近终端,所以这种方法能够代表从监测者的角度反映的性能。然而由于性能实际上受多种因素的影响(如流量模式,包长分布、服务类型等),所以这种测量并不准确,不一定能反映实际网络数据的性能,而且会对网络的实时性能造成影响。采用主动方法监测时可以从传输层和网络层进行。传输层的协议一般是 TCP 或 UDP。因为 TCP 是面向连接的,所以测试 TCP 的性能能够反映发送端与接收端的端与端之间的性能参数,如重传个数、建立和关闭 TCP 连接的时间、平均段大小、吞吐率等。采用这种方式的工具有 Treno,Netpe,Iperf,Tt
29、cp 等。而网络层测量的对象一般是节点、链路或经过这个传输设备的包。监测的属性一般是:Delay,Throughput,Loss,Connectivity,Resource Utilization 等。网络层性能测量,是通过发送探测包来探测发送端与接收端之间路径上的性能参数。采用这种方式的工具有 Ping,Trace,Rotue,Pathchar,Nettimer 等。被动方法的监测是在监测点采集真实的网络数据包并统计的。这种方法的监测不会对网络运行造成影响。一种方法是采集和分析由应用程序自身产生的数据。如 Web,FTP,DNS都维护一个行为的标志以用来分析该应用的性能。一个标准的 API
30、是 Application ResponseMeasurements。利用 ARM 的信息,很多工具都可以用来监测应用程序的性能。但是,很多应用并没有采用 ARMAPI 来编码。主动方式具备实时性,不受管理权限、范围的限制,但会对网络性能造成影响,且不准确。被动方式实时性差,但测量准确,且不会对网络性能造成影响。本文的讨论主要集中在被动方式上。异常入侵检测要解决的主要问题就是构造异常活动集并从中发现入侵性活动子集,其方法依赖于异常模型的建立。常见的异常流量检测技术主要有如下几种。2.2.1网络流量预测技术网络流量模型是进行网络性能分析和网络规划设计的基础,一个好的流量模型与预测方法对涉及新一代
31、网络协议、网络管理与诊断、设计高性能的路由器和负载均衡器等网络硬件225设备以及提高网络的服务质量都有重要意义。其在冲突控制和动态带宽分配上同样具有十分-7-重要的作用。在日益受人们关注的网络安全领域,针对网络流量(用户网络行为)的建模以及预测对于改进入侵检测,提前发现网络的异常或者攻击行为提供了一个方向。神经网络19适合于学习比较复杂的非线性关系,而且它是数据驱动不断学习,不需要对网络流量进行大量的数学建模试验工作,因而适合解决网络流量模型中的复杂相关性以及230235预测中的自适应问题。模糊理论20作为另一种人工智能方法,也可应用于时间序列的预测上,而且其在概念上与神经网络相比具有以下两个
32、优势:模糊系统的参数具有明确的物理意义,模糊系统的控制规则一般包含了未知非线性的本质信息。小波分析21是处理非平稳时间序列最有效的一种方法,而对于网络流量中的长相关性,小波变换在数学上具有其自身特有的优势。近来小波方法在网络流量建模以及预测中应用越来越广泛。面对日益严重的安全问题,网络流量预测提供了另一种网络安全的解决思路。一般而言,流量的汇聚将增加可预测性,网络带宽的日益增加使得流量预测在安全领域中的应用也更加具有可行性。2402.2.2网络流量监测技术网络上各种业务的性能指标和测量方法一直受大关注。近年来,网络规模和用户数量快速发展,新的业务,如实时多媒体通信、P2P 数据共享等的不断出现
33、并快速发展,其在网络上的流量成为 Internet 上的主要流量。对于网络运营者,网络状况和性能指标的监测以及业务质量的保障需求更加迫切。245250255Internet 及其数据的特征,使其性能的准确定义和测量比较困难,方法也很多。其测量方法可以分为主动测量和被动测量两类。主动测量可以得到比较明确的端到端数据,较准确地反映特定用户和业务指标。但其测试流量对网络运行造成干扰。被动测量通过监视网络实际通信情况来进行,一般通过探针或 SNMP22,NETFlow23等采集中继线数据,能够较好地反映网络综合和宏观的表现。有一种基于用户的分布式 Internet 性能检测方法24。其基本思想是在用户
34、合作的基础上,通过对用户正常网络访问活动的检测和分析,得出用户访问有关的网络性能的基本参数。通过对一定数量这种数据的累积和统计,得到对全网或特定类别用户的性能和业务质量的数据。网络流量监测的准确度和上报的实时性都直接影响着异常流量检测的质量,现阶段涌现出多种网络流量监控系统。目前国内大多数的视频监控系统都是基于 C/S 结构,用户主要通过局域网络连接到监控设备进行实时监控。随着网络技术的发展,也产生了基于浏览器的B/S 结构的数字视频监控系统,用户可在任何位置通过广域网队受控场所进行实时监控25 。网络流量检测技术的发展和应用使得异常流量检测技术得到了有力的辅助。2.2.3攻击行为分析技术26
35、0265在导致网络流量异常的诸多因素中,网络攻击是非常主要且影响性最恶劣的因素之一。为了尽早地防御攻击的发生,更好地检测攻击的存在,有效地采取措施相应攻击,减少攻击造成或可能造成的危害,首先需要对攻击行为本身进行分析和描述。目前有很多研究工作对攻击的概念性进行研究,或者对一个或一类攻击行为进行详细的分析,还有一些侧重于攻击行为模型分析。还有一个利用多特征属性来分析攻击行为、具有一定的通用性的攻击行为分析方法26,并且提出了对其进行不同程度的剪裁后,可以使该-8-方法具有更强的适用性,能更好地用于分析和描述攻击,且可以描述攻击行为之间存在的关联性。DDoS 攻击是目前 Internet 所而临的
36、最为常见、最具威胁,同时也是最难防范的一种攻击模式,对 Internet 的正常运行构成了巨大威胁。当前对 DDoS 攻击的研究主要集中于对特定类型 DDoS 攻击的分析、检测和防护27270攻击的攻击效能评价指标体系,为评价各种 DDoS 攻击和防护措施的效能提供统一的评价尺度和评估模型。2.2.4数据挖掘和网络性能分析在网络性能分析诊断的过程中,会积累大量的诊断经验数据,应该有效地利用这些宝贵零散的数据对未知原因的现象做出正确的判断。数据挖掘28 (Data Mining,DM),又称为数275据库中知识发现(knowledge Discovery from Database,KDD)。D
37、M 具有诱人的优点和特点:能从大量数据中抽取挖掘出未知的、有价值的模式或规律等知识。所谓的价值是指挖掘的模式能被相应的工具有效利用。整个 KDD 过程是由若干挖掘步骤组成,而 DM 仅是其中的一个主要步骤。KDD 的主要步骤如图 5 所示。数据清洗数据集成数据转换数据挖掘模式评估原始数据目标数据预处理数据转换后数据数据模式知识280图 5Fig. 5KDD 工作流程Workflow of KDD数据清洗:清除数据噪声和与挖掘主题明显无关的数据;数据集成:将来自多数据源中的相关数据组合到一起;285290数据转换:将数据转换为易于进行数据挖掘的数据存储形式;数据挖掘:是知识挖掘的一个基本步骤,其
38、作用就是利用智能方法挖掘数据模式或规律知识;模式评估:根据一定评估标准从挖掘结果中筛选出有意义的模式知识;知识表示:利用可视化和知识表达技术,向用户展示所挖掘出点相关知识。网络性能分析(Network Performance Analysis,NPA)是对性能历史数据进行分析、统计和整理,计算性能指标,对性能状况做出判断,预测网络性能趋势和潜在的性能问题,为网络规划提供参考。对网络性能进行全面分析,是有效管理网络的基础。将 DM 和 NPA 结合,一方面 DM 能够挖掘出的各种有价值的网路性能模式,另一反面利用这些模式 NPA 能对当前网络做出准确率高的判断以及预测,也就大大减少了人工参与。2
39、952.2.5基于统计的方法Denning29提出了用于异常检测的 5 种统计模型:(l)操作模型:该模型假设异常可通过测量结果和指标相比较得到,指标可以根据经验或一段时间的统计平均得到。(2)方差:计算参数的方差,设定其置信区间,当测量值超出了置信区间的范围时表明300可能存在异常。(3)多元模型:操作模型的扩展,通过同时分析多个参数实现检测。(4)马尔可夫过程模型:将每种类型事件定义为系统状态,用状态转移矩阵来表示状态的变化,若对应于发生事件的状态转移矩阵概率较小,则该事件可能是异常事件。-9-,包括 DDoS 的攻击模式分类方法体系和 DDOS(5)时间序列模型:将测度按时间排序,如一新
40、事件在该时间发生的概率较低,则该事305件可能是异常事件。33.1当前异常流量检测的主流软件主机内嵌软件主机内嵌软件的手段是指在主机内安装流量监测软件来完成流量监测任务。主机操作系统中,一般会把网络通信功能实现在相对独立的软件模块,例如设备驱动程310315320序中。主机与网络的通信一般是通过调用软件套接字(SOCKET)来实现。因此在这个位置上嵌入一个软件就可以通过监测对通信模块的调用来截获往返通信的全部内容。目前有多种软件实现这一功能。例如最著名的 Windows 操作系统下的监测软件WinPCap30,实现了基本的报文截获功能,可自由下载使用,成为许多流量监测软件的基本组成部分。主机内的流量监测软件能够截获全部通信报文,因此可以进行各种协议层面的分析工作。功能丰富是它最显著的特点。可以一直分析到各种应用层协议。著名的 SnifferPro31和Wireshark32都是应用广泛的主机内的流量监测软件。这一类软件的主要问题是处理能力往往不足。因此导致了丰富的功能不能同时使用或者实时使用。因此有插入硬件板卡来加强处理能力的做法。但是因为这种做法会导致费用大为增加,就又限制了它的使用范围。当然,主机上的流量监测软件不能看到全网范围的流量情况。3.2基于 SNMP 的手段SNMP 目前已经是几乎所有网络设备必备的能
