基于流记录的非授权流量行为检测

摘要

新一代网络的变革式发展，也将网络安全带入了一个新的时代。病毒、木马、黑客攻击等各种安全威胁产生的非授权流量充斥着互联网。这些非授权流量一方面会侵犯网络用户自身的利益，另一方面也给网络整体的可用性带来影响。面对复杂的网络环境，主干网层级的监测与防护是非常重要的一环。面对大量级数据的网络流量，以IP流为基础的流量行为分析是一种有意义的工作方式。本论文以IP流记录为基础面向主干网针对一些常见非授权流量行为的检测展开研究。
　　论文首先围绕非授权流量相关的定义进行了讨论，然后研究了基于热点流量事件的非授权流量检测和面向WEB服务器的非授权流量行为检测。两个研究工作均基于流记录展开。
　　对于基于热点流量事件的非授权流量，论文通过分类的方式将热点流量主机归纳为具有不同特征行为的主机，并从中发现非授权流量。该方法从流记录中提取流属性作为分类属性，采用无监督方式生成分类目标，对网络内出方向流量热点主机进行行为分类，在此基础上发现并检测出产生非授权流量的主机。最后，实现该方法并在实际环境中部署运行，结果证实该方法有效。
　　通过热点流量事件的检测，发现UDP DRDOS攻击的普遍存在，论文以基于Chargen协议的UDP DRDOS攻击为例，提出根据端口和流量放大比的检测算法的理论模型。
　　对于面向WEB服务器的非授权流量，论文针对异常端口交互、流量异常、WEB扫描攻击等WEB服务器流量行为做了分类描述。提出了通过从流记录提取属性，根据流量行为进行特征匹配的误用检测算法，并通过实验证实算法有效。

目录

声明

摘要

第1章 绪论

1．1 研究背景

1．1．1 意义与价值

1．1．2 IP流技术

1．1．3 NBOS系统平台

1．2 非授权流量

1．2．1 非授权流量的起源

1．2．2 非授权流量检测相关研究

1．2．3 非授权流量研究领域存在的问题

1．3 研究目标和内容

1．3．1 研究目标

1．3．2 研究内容

1．4 论文组织结构

第2章 非授权流量的定义与分类

2．1 非授权流量的定义

2．2 非授权流量的分类

2．3 本章小结

第3章 基于热点流量事件的非授权流量检测

3．1 网络流量中的热点

3．2 热点流量与非授权流量

3．3 热点流量事件

3．4 热点流量事件的检测

3．5 热点流量事件的分类

3．5．1 分类对象、目标和方法

3．5．2 分类属性

3．5．3 面向热地址对的聚类分析

3．5．4 热地址对的分类决策

3．5．5 热点流量事件的分类

3．6 UDP PDRDoS攻击

3．6．1 UDP DRDoS攻击原理

3．6．2 DRDoS攻击现状分析

3．6．3 基于流记录的DRDOS攻击检测算法——流量门限检测

3．7 本章小结

第4章 面向WEB服务器的非授权流量检测

4．1 WEB服务器与非授权流量

4．1．1 WEB服务器的易损性

4．1．2 WEB服务器非授权流量的产生

4．2 面向流记录的WEB服务器非授权流量行为分析

4．3 面向流记录的WEB服务器非授权流量行为分类

4．4 基于流记录的WEB服务器非授权流量检测

4．4．1 检测目标

4．4．2 检测条件

4．4．3 基于流记录的检测算法——WEB流量行为特征匹配

4．5 本章小结

第5章 基于NBOS平台的非授权流量检测实现

5．1 NBOS系统

5．1．1 部署环境

5．2 基于热点流量事件分类的非授权流量检测实现

5．2．1 检测程序的设计与实现

5．2．2 实测结果及数据分析

5．2．3 存在问题及局限性

5．3 基于流特征匹配的WEB服务器非授权流量检测实现

5．3．1 WEB服务器地址列表的获取

5．3．2 WEB流特征匹配检测程序的设计与实现

5．3．3 实测结果及数据分析

5．3．4 存在问题及局限性

5．4 本章小结

第6章 总结

6．1 工作总结

6．2 工作展望

致谢

参考文献