基于流量模板檢測(cè)網(wǎng)絡(luò)異常流量

靳仁杰，王 宇，韓偉杰

?

基于流量模板檢測(cè)網(wǎng)絡(luò)異常流量

靳仁杰1，王 宇2，韓偉杰2

(1. 裝備學(xué)院研究生管理大隊(duì)，北京懷柔 101416；2. 裝備學(xué)院信息裝備系，北京懷柔 101416)

當(dāng)前的網(wǎng)絡(luò)異常流量檢測(cè)技術(shù)側(cè)重于采用機(jī)器學(xué)習(xí)和統(tǒng)計(jì)學(xué)方法，兩者適用于通用網(wǎng)絡(luò)環(huán)境。本文針對(duì)受控網(wǎng)絡(luò)環(huán)境通信特征，提出了一種基于流量模板的網(wǎng)絡(luò)異常流量檢測(cè)方法，該方法實(shí)時(shí)抓取分析網(wǎng)絡(luò)流量，提取網(wǎng)絡(luò)流量頭部特征和行為特征，基于網(wǎng)絡(luò)八元組信息建立流量模板，通過(guò)匹配流量模板檢測(cè)網(wǎng)絡(luò)異常流量。實(shí)驗(yàn)結(jié)果表明該方法在受控網(wǎng)絡(luò)環(huán)境下能準(zhǔn)確檢測(cè)出網(wǎng)絡(luò)異常流量。

受控網(wǎng)絡(luò)；異常流量；特征提取；網(wǎng)絡(luò)八元組；流量模板

0 引言

如今網(wǎng)絡(luò)應(yīng)用已經(jīng)滲透到人們生活的方方面面，網(wǎng)絡(luò)數(shù)量和規(guī)模都成倍增長(zhǎng)。眾多的網(wǎng)絡(luò)應(yīng)用在帶來(lái)便利的同時(shí)，也引起了很多問(wèn)題，這其中由惡意攻擊、設(shè)備故障或者人為因素引起的網(wǎng)絡(luò)異常流量[1]及其檢測(cè)方法，逐漸成為安全人士研究的熱點(diǎn)問(wèn)題。

網(wǎng)絡(luò)異常流量檢測(cè)方法的分類有很多種，按檢測(cè)建模方法可以分為基于誤用檢測(cè)和基于異常檢測(cè)兩類[2]；按數(shù)據(jù)采集方式可以分為抽樣檢測(cè)和非抽樣檢測(cè)兩類；按檢測(cè)節(jié)點(diǎn)數(shù)量可以分為分布式異常檢測(cè)和單節(jié)點(diǎn)異常檢測(cè)兩類[3]；按數(shù)據(jù)處理方式可以分為初級(jí)流量特征統(tǒng)計(jì)的異常檢測(cè)和挖掘數(shù)據(jù)特征規(guī)律的異常檢測(cè)兩類[4]。

基于誤用的異常檢測(cè)主要是提取已知異常流量的流量特征和行為特征，建立規(guī)則庫(kù)。在檢測(cè)階段，實(shí)時(shí)抓取網(wǎng)絡(luò)流量，統(tǒng)計(jì)計(jì)算其流量特征和行為特征，與建立好的規(guī)則庫(kù)進(jìn)行匹配[5]。此方法的優(yōu)點(diǎn)是檢測(cè)精度高、實(shí)時(shí)性好，由于基于已知異常流量的統(tǒng)計(jì)信息建立規(guī)則庫(kù)，此方法的缺點(diǎn)是不能識(shí)別新的異常行為。基于異常的檢測(cè)方法主要是通過(guò)統(tǒng)計(jì)學(xué)習(xí)方法建立正常網(wǎng)絡(luò)流量的行為輪廓[6]，在檢測(cè)階段實(shí)時(shí)抓取網(wǎng)絡(luò)流量并統(tǒng)計(jì)計(jì)算當(dāng)前輪廓，最后計(jì)算兩者的偏離程度是否超過(guò)閾值來(lái)檢測(cè)異常流量。此方法的優(yōu)點(diǎn)是能識(shí)別出新的異常行為，缺點(diǎn)是流量輪廓刻畫(huà)的時(shí)間復(fù)雜性高，對(duì)檢測(cè)實(shí)時(shí)性有一定影響，另外由于對(duì)正常流量的輪廓刻畫(huà)不能完全準(zhǔn)確，容易造成低檢測(cè)精度。

1 受控網(wǎng)絡(luò)環(huán)境特征

為了受控網(wǎng)絡(luò)環(huán)境不同于一般的網(wǎng)絡(luò)，有幾個(gè)顯著的特點(diǎn)：一是要先調(diào)試后使用；二是使用嚴(yán)格，入網(wǎng)主機(jī)的IP地址明確，應(yīng)用層協(xié)議和端口號(hào)固定，設(shè)備或終端產(chǎn)生的流速限定。三是網(wǎng)絡(luò)穩(wěn)定性要求高。

（1）嚴(yán)格的入網(wǎng)主機(jī)規(guī)范。入網(wǎng)主機(jī)的IP地址，不同設(shè)備的功能劃分和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)都有詳細(xì)記錄信息且可知，同時(shí)對(duì)入網(wǎng)主機(jī)的準(zhǔn)入有嚴(yán)格限制。網(wǎng)絡(luò)中的各類設(shè)備入網(wǎng)信息固定，不會(huì)隨意對(duì)IP地址，設(shè)備號(hào)和所屬部門(mén)等關(guān)鍵信息進(jìn)行更改，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)穩(wěn)定，不同網(wǎng)段內(nèi)的主機(jī)數(shù)量和對(duì)應(yīng)關(guān)系，接入的上一層交換機(jī)或路由器端口等網(wǎng)絡(luò)結(jié)構(gòu)信息更新頻率低，且更新后能第一時(shí)間獲取改動(dòng)的具體內(nèi)容。

（2）穩(wěn)定的網(wǎng)絡(luò)會(huì)話規(guī)范。由于受控網(wǎng)絡(luò)網(wǎng)環(huán)境下，網(wǎng)絡(luò)間通信應(yīng)用的類型有限、不同終端設(shè)備擔(dān)負(fù)的任務(wù)單一，因此可以對(duì)所有合法的網(wǎng)絡(luò)會(huì)話內(nèi)容提取其網(wǎng)絡(luò)流量的頭部特征和行為特征，形成網(wǎng)絡(luò)會(huì)話模板。同時(shí)，在不同任務(wù)中，針對(duì)當(dāng)前任務(wù)的網(wǎng)絡(luò)會(huì)話規(guī)范相對(duì)穩(wěn)定，其產(chǎn)生的網(wǎng)絡(luò)流量變化幅度小。

（3）可控的網(wǎng)絡(luò)流量規(guī)模。對(duì)受控網(wǎng)絡(luò)網(wǎng)環(huán)境下產(chǎn)生的網(wǎng)絡(luò)流量來(lái)說(shuō)，其不同于通用網(wǎng)絡(luò)環(huán)境下的量級(jí)。入網(wǎng)主機(jī)的數(shù)量，不同網(wǎng)絡(luò)應(yīng)用的開(kāi)放數(shù)量和端口數(shù)，連接不同服務(wù)器的主機(jī)數(shù)和不同主機(jī)上運(yùn)行的應(yīng)用程序數(shù)量，應(yīng)用程序間通信所占帶寬和傳輸?shù)臄?shù)據(jù)量相對(duì)于通用網(wǎng)絡(luò)環(huán)境來(lái)說(shuō)規(guī)模較小且可控，因此將其記錄存儲(chǔ)到規(guī)則庫(kù)中所占的系統(tǒng)開(kāi)銷和所占的存儲(chǔ)空間不會(huì)影響到網(wǎng)絡(luò)正常使用。

基于以上受控網(wǎng)絡(luò)網(wǎng)環(huán)境所特有的幾個(gè)通信特征，可以統(tǒng)計(jì)量化網(wǎng)絡(luò)流量數(shù)據(jù)集中的網(wǎng)絡(luò)流量的頭部特征和行為特征，獲取網(wǎng)絡(luò)會(huì)話七元組（或三元組）并建立流量白名單（又叫任務(wù)模板），基于HASH桶存儲(chǔ)結(jié)構(gòu)存儲(chǔ)到模板庫(kù)中。通過(guò)嚴(yán)格的模式匹配檢測(cè)網(wǎng)絡(luò)異常（或違規(guī)）流量。

2 基于流量模板的異常流量檢測(cè)方法

2.1 相關(guān)定義

定義1：流量模板是一個(gè)集合，它的單個(gè)元素是由網(wǎng)絡(luò)八元組信息組成的向量，數(shù)學(xué)的形式化表示為：

其中：各維度具體含義如下：

可以依據(jù)收集統(tǒng)計(jì)的網(wǎng)絡(luò)八元組信息來(lái)對(duì)網(wǎng)絡(luò)流量進(jìn)行規(guī)則匹配，并對(duì)違規(guī)（或異常）通信發(fā)出報(bào)警。

針對(duì)受控網(wǎng)絡(luò)環(huán)境下，設(shè)備測(cè)試網(wǎng)絡(luò)連接狀態(tài)，會(huì)產(chǎn)生大量的PING會(huì)話，極易被誤報(bào)為異常流量，造成錯(cuò)誤報(bào)警。對(duì)PING會(huì)話單獨(dú)建立基于網(wǎng)絡(luò)三元組信息的流量模板，數(shù)學(xué)的形式化表示為：

其中，各維度具體含義如下:

定義2：流量模板集合中每一條記錄代表一條規(guī)則，集合中不存在兩條規(guī)則被同一條記錄覆蓋，數(shù)學(xué)的形式化表示為：

2.2 HASH桶存儲(chǔ)結(jié)構(gòu)

模式匹配是識(shí)別未知事物類別的一種方法，主要用于實(shí)現(xiàn)機(jī)器自動(dòng)識(shí)別。它的原理是選擇已知的對(duì)象作為模板，與待測(cè)樣本進(jìn)行度量計(jì)算，通過(guò)得出的度量值來(lái)識(shí)別目標(biāo)，即看與那個(gè)模板的度量值最小，就作為自己的類別。模板中常使用的度量對(duì)象有單個(gè)模板和模板類中心兩種。

由于模式匹配的核心是建立知識(shí)規(guī)則庫(kù)，庫(kù)所包含的信息量越大，匹配精準(zhǔn)度越高，隨之也要占用更大的存儲(chǔ)空間和消耗更長(zhǎng)的匹配查找時(shí)間。為了解決上述問(wèn)題，研究者提出了很多方法來(lái)極高模板匹配的時(shí)空效率，目前使用比較多的有直方圖方法[7]，小波方法[8]和HASH函數(shù)方法[9]，而在HASH函數(shù)方法中，一種名為HASH桶的算法因其簡(jiǎn)單高效和對(duì)碰撞的優(yōu)化處理，目前應(yīng)用最為廣泛。雖然HASH散列函數(shù)對(duì)某個(gè)元素進(jìn)行散列時(shí)是盡力做到對(duì)所有元素平均分散排列，盡量避免或者降低他們之間的沖突，但是HASH值在散列計(jì)算時(shí)的碰撞是無(wú)法避免的，為了更好地解決沖突問(wèn)題，一種HASH桶的存儲(chǔ)結(jié)構(gòu)被研究者們提出。它的定義是：一個(gè)盛放不同KEY鏈表的容器（即鏈表數(shù)組），可以把每個(gè)key的位置看成是一個(gè)孔，孔里存放了一個(gè)鏈表（單向或雙向）。

如圖1所示，該HASH桶中共存儲(chǔ)12個(gè)不同的元素，它的KEY包含7個(gè)表項(xiàng)（key的數(shù)目=7）。從圖中可以看出，元素1、元素6、元素7的HASH值相同，都存儲(chǔ)在第一個(gè)表項(xiàng)下的三個(gè)不同桶中，為了避免沖突碰撞，三個(gè)不同的元素以雙向鏈表的形式存放在不同的桶中，具體的桶的數(shù)量一般情況下都是根據(jù)要處理的數(shù)據(jù)類型特征來(lái)考慮使用。比如要存儲(chǔ)網(wǎng)絡(luò)會(huì)話中的IP地址，則存放IP地址的HASH桶使用IP地址的后16bit作為key，這樣用一個(gè)65536（216）個(gè)桶就很好。不同KEY和桶數(shù)量的選擇就是一個(gè)界和性能的折中問(wèn)題。比如當(dāng)KEY值取問(wèn)題空間的最大值時(shí)，這樣肯定能保證鍵值分散，但是這樣會(huì)浪費(fèi)很多空間。如果值取得太小，則碰撞率很高，會(huì)影響到查找效率。HASH桶比其他搜索的數(shù)據(jù)結(jié)構(gòu)靈活的地方就是它的可定制性，可以根據(jù)具體情況調(diào)整，以達(dá)到最優(yōu)的效果。

圖1 HASH桶存儲(chǔ)結(jié)構(gòu)

根據(jù)上面的問(wèn)題分析和給出的相關(guān)定義，結(jié)合受控網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)通信特征，本節(jié)設(shè)計(jì)實(shí)現(xiàn)了一種基于流量白名單的模板匹配技術(shù)。該方法的主要工作原理是：在受控網(wǎng)絡(luò)聯(lián)試聯(lián)調(diào)階段，抓取優(yōu)化預(yù)處理后的網(wǎng)絡(luò)會(huì)話流量，統(tǒng)計(jì)量化頭部特征和行為特征，建立網(wǎng)絡(luò)會(huì)話六元組（或三元組）信息，生成流量白名單。基于流量白名單生成規(guī)則庫(kù)，在任務(wù)階段通過(guò)HASH桶存儲(chǔ)結(jié)構(gòu)和模式匹配對(duì)實(shí)時(shí)網(wǎng)絡(luò)流量進(jìn)行檢測(cè)分類，并及時(shí)發(fā)出報(bào)警信息，整個(gè)檢測(cè)流程如圖2所示，共分為四個(gè)步驟：

（1）建立流量白名單。在網(wǎng)絡(luò)流量預(yù)處理過(guò)濾后的基礎(chǔ)上，通過(guò)抓取提取網(wǎng)絡(luò)會(huì)話特征，建立網(wǎng)絡(luò)會(huì)話六元組（或三元組）流量白名單。

（2）修改流量白名單。根據(jù)網(wǎng)絡(luò)實(shí)際情況，人工修改流量白名單數(shù)據(jù)，加入特例設(shè)備信息。

（3）匹配判斷。將流量白名單通過(guò)HASH桶存儲(chǔ)結(jié)構(gòu)存儲(chǔ)后，在實(shí)時(shí)抓取當(dāng)前網(wǎng)絡(luò)會(huì)話內(nèi)容后，調(diào)出流量白名單數(shù)據(jù)生成規(guī)則庫(kù)，基于模式匹配進(jìn)行類型判斷。

（4）檢測(cè)結(jié)果輸出。對(duì)分類檢測(cè)結(jié)果發(fā)出違規(guī)（或異常）報(bào)警，并加入到流量黑名單和灰名單中。

整個(gè)檢測(cè)過(guò)程分為兩個(gè)運(yùn)行階段：

（1）抓取模板階段。實(shí)時(shí)抓取網(wǎng)絡(luò)中的流量數(shù)據(jù)，提取網(wǎng)絡(luò)會(huì)話六元組（或三元組）信息，依據(jù)不同任務(wù)模板建立流量白名單，然后通過(guò)HASH桶技術(shù)存儲(chǔ)到數(shù)據(jù)庫(kù)中。

圖2 基于流量模板的異常流量檢測(cè)流程

（2）檢測(cè)網(wǎng)絡(luò)流量階段。依據(jù)建立好的流量白名單和模式匹配算法對(duì)實(shí)時(shí)網(wǎng)絡(luò)流量進(jìn)行異常檢測(cè)。同時(shí)，可以根據(jù)檢測(cè)結(jié)果人為對(duì)流量白名單進(jìn)行修改。

2.3 關(guān)鍵技術(shù)

關(guān)鍵技術(shù)分為數(shù)據(jù)結(jié)構(gòu)描述，網(wǎng)絡(luò)會(huì)話流量白名單模板抓取和流量白名單模式匹配三部分，分別描述如下：

1、數(shù)據(jù)結(jié)構(gòu)描述。在流量白名單建立階段，以網(wǎng)絡(luò)中不同設(shè)備間發(fā)起的連接為單位（通過(guò)IP地址和端口號(hào)進(jìn)行區(qū)分），將采集到的網(wǎng)絡(luò)六元組（或三元組）信息量化存儲(chǔ)到定義好的數(shù)據(jù)結(jié)構(gòu)中（見(jiàn)表1），建立流量白名單。根據(jù)使用的傳輸層協(xié)議，區(qū)分TCP、UDP和ICMP三種協(xié)議類型存儲(chǔ)到HASH桶結(jié)構(gòu)中，這里采用雙向鏈表實(shí)現(xiàn)，便于插入刪除操作。

2、會(huì)話模板抓取。通過(guò)采集網(wǎng)絡(luò)會(huì)話流量的頭部特征和行為特征，統(tǒng)計(jì)記錄不同的網(wǎng)絡(luò)會(huì)話六元組（或三元組）信息，建立網(wǎng)絡(luò)會(huì)話模板來(lái)生成流量白名單。其中，對(duì)TCP或UDP的網(wǎng)絡(luò)會(huì)話來(lái)說(shuō)，前五個(gè)元素{源IP地址、源端口、目的IP地址、目的端口、應(yīng)用層協(xié)議}用來(lái)區(qū)分不同的網(wǎng)絡(luò)會(huì)話連接，會(huì)話流速既能代表某個(gè)會(huì)話連接的特征，也能作為綜合評(píng)價(jià)因素，反映整個(gè)網(wǎng)絡(luò)運(yùn)行狀態(tài)。對(duì)設(shè)備間產(chǎn)生的PING會(huì)話，單獨(dú)建立網(wǎng)絡(luò)會(huì)話三元組信息{源IP地址、目的IP地址、PING次數(shù)}，并對(duì)其進(jìn)行抓取采集和統(tǒng)計(jì)計(jì)算。3、流量白名單模式匹配。以建立好的流量白名單為規(guī)則庫(kù)，為了提高算法運(yùn)行的時(shí)間復(fù)雜度和空間復(fù)雜度，采用HASH桶存儲(chǔ)結(jié)構(gòu)進(jìn)行存儲(chǔ)，通過(guò)計(jì)算流量白名單模板數(shù)據(jù)結(jié)構(gòu)的HASH值和實(shí)時(shí)網(wǎng)絡(luò)連接的HASH值，而后將它們進(jìn)行比較匹配用于異常檢測(cè)，匹配流程如圖3所示。

表1 流量白名單數(shù)據(jù)結(jié)構(gòu)

Tab.1 Traffic White List Data Structure

在進(jìn)行模式匹配時(shí)，采取的是and（與）關(guān)系，具體匹配規(guī)則如下：

（1）對(duì)TCP或UDP網(wǎng)絡(luò)會(huì)話，分為六元組信息全部匹配成功、五元組匹配成功但會(huì)話流速超出閾值和五元組信息至少有一個(gè)不匹配三種情況。當(dāng)滿足第一種情況時(shí)不報(bào)警，當(dāng)滿足第二種情況時(shí)加入灰名單信息中，由用戶查看其在一定時(shí)間內(nèi)端口流量、流速的變化情況，進(jìn)一步確定該設(shè)備是否存在異常，當(dāng)滿足第三種情況時(shí)發(fā)出違規(guī)報(bào)警信息并將該網(wǎng)絡(luò)會(huì)話加入黑名單中。

（2）對(duì)PING會(huì)話，采用的是三元組匹配成功、PING次數(shù)超出閾值和至少有一個(gè)IP地址不匹配三種情況。當(dāng)滿足第一種情況時(shí)不報(bào)警，當(dāng)滿足第二種情況時(shí)發(fā)出異常報(bào)警信息，而后由用戶根據(jù)該網(wǎng)絡(luò)會(huì)話的詳細(xì)信息給出最終判斷，當(dāng)滿足第三種情況時(shí)發(fā)出違規(guī)報(bào)警信息并將該網(wǎng)絡(luò)會(huì)話加入黑名單。

圖3 流量白名單模式匹配流程

算法的偽代碼描述如表2所示。

表2 流量白名單匹配算法偽代碼描述

Tab.2 Traffic White List Matching Algorithm Pseudo Code Description

3 實(shí)驗(yàn)與分析

3.1 實(shí)驗(yàn)準(zhǔn)備

為了驗(yàn)證方法的有效性，模擬構(gòu)建了一個(gè)私有特定網(wǎng)絡(luò)環(huán)境，拓?fù)浣Y(jié)構(gòu)如圖4所示。

3.2 實(shí)驗(yàn)數(shù)據(jù)

其中，在每臺(tái)設(shè)備上，使用feiq通訊軟件、ftp軟件、站長(zhǎng)之家軟件分別模擬不同的業(yè)務(wù)流量。在測(cè)試電腦上部署基于流量模板的異常流量檢測(cè)系統(tǒng)，通過(guò)設(shè)置交換機(jī)鏡像端口，對(duì)整個(gè)網(wǎng)絡(luò)流量進(jìn)行抓取分析。

圖4 模擬網(wǎng)絡(luò)環(huán)境拓?fù)鋱D

由于真實(shí)受控網(wǎng)絡(luò)環(huán)境下，產(chǎn)生異常流量的概率較低，異常流量占得比例小，異常的規(guī)模難以刻畫(huà)。本文所做實(shí)驗(yàn)對(duì)算法驗(yàn)證的數(shù)據(jù)，使用科來(lái)數(shù)據(jù)包生成器軟件來(lái)模擬生成背景流量和異常流量，按照正常流量（4801201個(gè)數(shù)據(jù)包）占91%，異常流量（361380個(gè)數(shù)據(jù)包）占6.8%，其他流量（108414個(gè)數(shù)據(jù)包）占2.2%的比例構(gòu)成。各類對(duì)應(yīng)的標(biāo)記值和所包含的數(shù)據(jù)集數(shù)量見(jiàn)表3。

表3 實(shí)驗(yàn)數(shù)據(jù)集比例構(gòu)成

Tab.3 Experimental data set proportion

3.3 實(shí)驗(yàn)結(jié)果

圖5是該算法在受控網(wǎng)絡(luò)環(huán)境在聯(lián)調(diào)測(cè)試階段抓取到的流量模板。

表4是基于流量模板的方法與Wenke Lee的數(shù)據(jù)挖掘方法[10]，Liu的遺傳聚類算法[11]，Eskin的K-NN方法[12]三種方法的實(shí)驗(yàn)結(jié)果比較。從比較結(jié)果可以得出基于流量模板的方法取得了較好的檢測(cè)結(jié)果。

3.4 結(jié)果分析

由于受控網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)通信特征不同于一般的網(wǎng)絡(luò)，而在任務(wù)調(diào)試測(cè)試和執(zhí)行階段產(chǎn)成的網(wǎng)絡(luò)流量具有自相似性和長(zhǎng)相關(guān)性，因此可用網(wǎng)絡(luò)會(huì)話七元組信息交叉熵特征向量來(lái)刻畫(huà)網(wǎng)絡(luò)流量特征變化。通過(guò)引入支持向量機(jī)分類器，克服訓(xùn)練集樣本小、維度高和不可分的問(wèn)題。在不同任務(wù)中，當(dāng)某個(gè)網(wǎng)絡(luò)流量特征的交叉熵值偏離了歷史值的平均值，則此特征交叉熵值的差異性會(huì)被支持向量機(jī)分類器中的核函數(shù)放大化，最終得出分類超平面而形成不同的分類結(jié)果，從而能有效檢測(cè)出網(wǎng)絡(luò)異常流量。

圖5 抓取的流量模板結(jié)果部分截圖

表4 流量模板方法與其它方法的檢測(cè)結(jié)果比較

Tab.4 flow template method and other methods of detection results comparison

4 結(jié)論

本文通過(guò)分析受控網(wǎng)絡(luò)環(huán)境特征，針對(duì)傳統(tǒng)的異常流量檢測(cè)方法無(wú)法用于此類網(wǎng)絡(luò)準(zhǔn)確進(jìn)行異常流量檢測(cè)的問(wèn)題，設(shè)計(jì)實(shí)現(xiàn)了基于流量模板的網(wǎng)絡(luò)異常流量檢測(cè)方法，通過(guò)在前期收集網(wǎng)絡(luò)流量特征和行為特征，建立網(wǎng)絡(luò)流量模板，以達(dá)到準(zhǔn)確檢測(cè)網(wǎng)絡(luò)異常流量的目標(biāo)。通過(guò)模擬實(shí)驗(yàn)論證，此方法對(duì)受控網(wǎng)絡(luò)環(huán)境下的異常流量檢測(cè)效果明顯。下一步研究的工作重點(diǎn)是如何利用已有的各類歷史名單信息（日志）來(lái)刻畫(huà)網(wǎng)絡(luò)整體行為輪廓，進(jìn)而提高檢測(cè)準(zhǔn)確度。

[1] Lakhina A, Crovella M, Diot C. Mining anomalies using traffic distributions[C]// CS Department, Boston University. 2004.

[2] 黃存東. 關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)信息安全問(wèn)題的技術(shù)研究[J]. 軟件, 2013, 34(1): 140-141

[3] 王曉軍. 基于網(wǎng)絡(luò)行為分析的跨站攻擊的防御探析[J]. 軟件, 2013, 34(1): 142-143

[4] 朱應(yīng)武, 楊家海, 張金祥. 基于流量信息結(jié)構(gòu)的異常檢測(cè)[J]. 軟件學(xué)報(bào), 2010, 21(10): 2573-2583.

[5] 楊丹. 網(wǎng)絡(luò)流量異常檢測(cè)方法研究及仿真平臺(tái)研制[D]. 電子科技大學(xué), 2008.

[6] Silveira F, Diot C, Taft N. ASTUTE: Detecting a different class of traffic Anomalies(Extended Version)[R]. Technicolor, 2010.

[7] Sagara S, Taira Y. DoWitcher: Effective Worm Detection and Containment in the Internet Core[C]// IEEE INFOCOM 2007-, IEEE International Conference on Computer Communications. IEEE Computer Society, 2007: 2541-2545.

[8] Barford P, Kline J, Plonka D, et al. A signal analysis of network traffic anomalies[C]// Proceedings of the 2nd ACM SIGCOMM Workshop on Internet Measurement (IMW’02) New York:ACM Press. 2002: 71-82.

[9] Wenke l, Stolfo S. Data Mining Approaches for Instrusion Detection, Proceedings of the Seventh USENIX Security Symposium, 1998, 79-94.

[10] Wenke l, Stolfo S. Data Mining Approaches for Instrusion Detection, Proceedings of the Seventh USENIX Security Symposium, 1998, 79-94.

[11] Liu Y, Chen K, Liao X, et al. A Genetic Clustering Method for Intrusion Detection. Pattern Recognition. 2004, 37(5): 927-942.

[12] Eskin E, Rnold A, Prerau M, et al. A geometric Framework for Unsupervised Anomaly Detection: Instrusion in Unlabeled.Applications of Data Mining in Computer Security, Kluwer Academics Publisher, 2002.

An Anomaly Traffic Detection Method Based on the Flow Template

JIN Ren-jie, WANG Yu, HAN Wei-jie

(Equiopment Academy, Beijing 101416, China)

The current network anomaly traffic detection technologies usually focus on the rules matching and statistical method which are suitable for the general network environment. For the communication characteristics of the controlled network environment, this paper puts forward a network anomaly traffic detection method based on the flow template, which captures and analyses the real-time network traffic. The method aims to detect the anomaly network traffic by extracting the characteristics of the network traffic and behaviour, establishing the flow template based on the network eight-group information, and comparing the established template with the actual traffic. The final experiment results show that the method can accurately detect the anomaly network traffic in the controlled network environment.

Controlled network; Anomaly traffic; Feature extraction; Network eight-group information; Flow template

TP309.2

A

10.3969/j.issn.1003-6970.2017.04.023

靳仁杰(1983-)，男，研究生，主要研究方向：網(wǎng)絡(luò)信息安全；王宇(1971-)，男，副教授，主要研究方向?yàn)榫W(wǎng)絡(luò)信息安全；韓偉杰，男，講師，主要研究方向?yàn)榫W(wǎng)絡(luò)信息安全。

本文著錄格式：靳仁杰，王宇，韓偉杰. 基于流量模板檢測(cè)網(wǎng)絡(luò)異常流量[J]. 軟件，2017，38（4）：121-126