基于流记录的热点主机非授权流量识别

摘要

互联网的迅速发展已使其成为人类日常生活中必不可少的组成部分。然而，扫描、DDoS攻击等各种安全威胁产生的大量非授权流量（Unwanted Traffic）严重影响着网络的稳定、性能和安全。从大规模的网络流量中识别并过滤掉这些流量是一项有意义的研究工作。从主机角度出发，许多非授权流量会导致发送方或接收方的流量行为发生较大变化，使之占用较大的网络或服务资源，成为热点主机。因此本论文将以IP流记录为基础，从热点主机角度展开非授权流量的识别研究。
　　本论文首先讨论了非授权流量的定义，然后从两个角度对热点主机非授权流量的检测进行了研究，一个是基于热点主机地址的活跃性，另一个是基于热点主机的行为特征。两项研究工作均基于流记录展开。
　　基于主机地址活跃性的检测将热点空间分为活跃地址空间和非活跃地址空间，并判定非活跃地址空间的热点流量是非授权流量。为了获取非活跃地址空间，本文提出基于流记录的地址活跃性判定算法，核心思路是将存在双向有效通信流量作为地址活跃判定条件，并讨论了抽样、伪造地址等问题对算法的影响以及相应的应对策略，通过实验，证明了该算法的准确性和有效性。
　　对于活跃地址空间的热点，采用基于行为特征的方法进行非授权流量识别。对于已知角色和应用的主机（DNS服务器），论文分析了其正常行为时的流量特征，并总结出相应的检测规则;对于未知角色的主机，论文提出了主机行为分类算法，选取源端口分布、目的端口分布、目的IP地址分布和通信协议分布这四个测度来描述主机的行为特征，并通过各测度值对主机进行标记，自动将主机分到不同的行为类中。每个行为类都有相关的行为语义，表达了主机的角色和应用属性。通过对行为类的属性以及热点主机行为动态性的深入分析，从中总结出面向行为类和热点主机的非授权流量检测规则。
　　本论文最终在NBOS平台上实现了热点非授权流量检测。首先对系统现有非授权流量检测功能进行改进，保证了检测结果的唯一性。然后基于以上两个研究点总结出的检测规则，设计并实现了基于热点主机的非授权流量检测算法，最后通过对检测结果的分析验证了算法的有效性。

目录

声明

摘要

第一章 绪论

1．1 研究背景

1．2 非授权流量

1．2．1 非授权流量的起源

1．2．2 非授权流量检测相关工作

1．3 非授权流量与热点

1．4 检测数据源

1．5 NBOS系统

1．6 研究目标和内容

1．6．1 研究目标

1．6．2 研究内容

1．7 论文组织结构

第二章 非授权流量的定义和检测方案

2．1 非授权流量的定义

2．2 非授权流量与热点流量

2．3 热点主机的非授权流量检测

2．3．1 基于主机地址活跃性的检测

2．3．2 基于主机行为特征的检测

2．4 本章小结

第三章 基于流记录的接入网非活跃地址空间检测

3．1 相关工作

3．2 基于流记录的活跃地址检测算法

3．2．1 影响算法准确性的因素

3．2．2 算法描述

3．3 算法实现和结果分析

3．3．1 算法实现平台

3．3．2 检测窗口滑动的解决方案

3．3．3 算法重要参数的确定

3．3．4 算法的准确性验证

3．4 算法在CERNET全网的应用

3．5 算法应用的老化机制

3．6 本章小结

第四章 基于热点行为特征的非授权流量检测

4．1 研究思路

4．2 主机行为测度选择

4．2．1 主机角色分类

4．2．2 测度选取

4．3 主机行为测度分析

4．3．1 相对不确定性

4．3．2 测度分析

4．4 基于行为测度的主机行为分类

4．4．1 行为类属性

4．4．2 热点主机行为动态性

4．5 非授权流量检测规则

4．5．1 服务器行为类

4．5．2 客户端行为类

4．5．3 扫描／利用行为类

4．5．4 罕见行为类

4．5．5 主机行为变化

4．6 本章小结

第五章 基于NBOS平台的热点非授权流量检测实现

5．1 NBOS系统

5．1．1 部署环境

5．1．2 IP角色库

5．1．3 现有非授权流量检测模型

5．2 系统非授权流量检测功能改进

5．2．1 非授权流量检测整体流程

5．2．2 核心数据结构

5．3 热点主机非授权流量检测实现和结果分析

5．3．1 检测算法与实现

5．3．2 检测结果与数据分析

5．4 本章小结

第六章 总结与展望

6．1 论文总结

6．2 论文展望

致谢

参考文献

作者简介