（电路与系统专业论文）基于端口和流量分析的局域网安全检测系统的设计与实现.pdf

浙江大学硕士学位论文 摘要 随着信息技术的日益提高和计算机网络的迅猛发展，计算机网络信息系统所 面临的安全问题也成为网络应用的关键问题之一。传统的网络安全检测系统已经 在这方面做了大量工作，实现了一定的功能；但是也存在误检率高，检测效率较 低，检测系统负荷过重等问题。其主要原因有分析数据的来源较为单一，结构较 为简单，匹配规则不够具备区分度等。本文针对上述缺点，提出并实现了基于端 口扫描检测，协议分析和流量分析技术的网络安全检测系统模型。该检测系统将 端口扫描检测和流量异常检测作为系统的预检测，在预检测出现异常后再进行入 侵规则匹配，在保证较高的检测率的条件下明显降低了误检率，并降低了系统的 负荷。在端口扫描检测模块的实现中，对基于端1 ：3 分布的端1 3 扫描检钡4 理论做出 了一些有益的改进和实现，用d s 数据融合理论将基于端口分布的检测理论与 基于序列假设的检测理论结合起来，明显提高了端口扫描的检测效果，对提升整 体检测性能起到了关键作用。通过对端口扫描理论以及入侵检测系统的基础测 试，初步验证了系统设计方案。 关键词：入侵检测流量分析协议分析端口网络安全 浙江大学硕士学位论文 a si n f o r m a t i o nt e c h n o l o g ya n dc o m p u t e rn e t w o r ka r ed e v e l o p i n gr a p i d l y , n e t w o r k i n f o r m a t i o ns y s t e ms e c u r i t yp r o b l e mh a sb e e o n o n eo ft h ek e yp r o b l e m s t r a d i t i o n a ln e t w o r k i n t r u s i o nd e t e c t i o ns y s t e mh a v ed o l l eal o to f w o r kt oa c h i e v eac e r t a i nf u n c t i o n ；b u t t h e r ea a l s o s o m ed e f e c t s ：ah i g hr a t eo fm i s j u d g m e n t s , o r d i n a r yd e t e c t i o ne f f i c i e n c y , h e a v yl o a do ft h e d e t e c t i o ns y s t e m a n d o t h e r p r o b l e m s t h e m a i nr e a $ o n f o r t h i s i s t h e s o u r c e o f i h e d a t a f o r a n a l y s i s i sas i n g l e ，r e l a t i v e l ys i m p l es t r u c t u r e ，t h em a t c h i n gr u l e sh a v en o te n o u g hd i s t i n c t i o n b a s e do n t h es h o r t c o m i n g sa b o v e ，w ep r o p o s ean e t w o r ki n t r u s i o nd e t e c t i o ns y s t e mw h i c hi sb a s e do i lp o r t s c a r td e t e c t i o n p r o t o c o la n a l y s i sa n dt r a 伍ca n a l y s i s t h ed e t e c t i o ns y s t e mu s p o r ts c a n n i n g d e t e c t i o na n dn e t w o r kt r a 伍t a n a l y s i sf o rt h ep r e - t e s t i n gb e f o r et h er u l e - m a t c h i n g s u c hd e t e c t s t r u c t u r eg u a r a n t e eh i g h e rd e t e c t i o nr a t ec o n d i t i o n sw i t hs i g n i f i c a n t l yl o w e rf a l s ea l a r mr a t ea n d l o w e rs y s t e ml o a d i nt h ei m p l e m e n t a t i o no fp o r ts c a n n i n gd e t e c t i o nm o d u l e w em a d es o m e i m p r o v e m e n tt ot h ep o r ts c a n n i n gd e t e c tt h e o r yb a s eo np o r td i s t r i b u t i o n w eu s ed a t ai n f u s i o n t h e o r yt oc o m b i n et w ot h e o r yt oi 珏串v et h ep e r f o r m a n c eo f t h es y s t e m ，a f t e rt h a t , w ed i ds o r j | 【l e t e s t i n g f o r t h e s y s t e m a a d t h e n p r o v i d e t h er e s u l t k e yw o r d s ：i n t r u s i o nd e t e c t i o n , t r a f f i ca n a l y z e ，p r o t o c o la n a l y z e ，p o r t n e t w o r ks e c u r i t y i i 浙江大学硕士学位论文 1 1 网络安全现状 第一章绪论 随着信息技术的日益提高和计算机网络的迅猛发展，特别是伴随着i n t c r n e t 的快速普及应用，网络己经进入到社会生活的方方面面。计算机网络已经越来越 成为一个国家最为关键的政治、经济和军事资源，也成为国家实力的象征。网络 改变了人们的生活、工作方式，使信息的获取、传递、处理和利用更为离效、迅 捷。这不仅促进了社会生产，同时也丰富了人们的生活。越来越多的政府机构、 企业和个人开始使用计算机互联网，特别是近几年随着宽带技术的发展，网络给 人们提供了极大的便利，因此网络得到了越来越广泛的应用。社会对计算机和数 据通信网络的依赖越来越大。与此同时，中国网民数量快速增长，c n n i c 的统 计报告表明【i 】，截至2 0 0 7 年1 月3 0 日，我国的上网用户总人数为1 3 7 0 0 万，比 1 9 9 7 年第一次统计时的6 2 万增长了1 6 5 倍多，上网计算机总数为4 5 6 0 万，大 陆i p v 4 地址总数为6 8 3 0 0 0 3 2 个，我们可以更加直观地看到，网络的发展速度是 惊人的，可以说全球信息化是人类发展的大趋势。计算机网络己经成为现代社会 生产、生活不可或缺的一部分，是2 l 世纪全球最重要的基础设施之一 根据国家计算机网络应急技术处理协调中心( o 屺e k m x ) 发布的 c n c e r t c c2 0 0 6 年网络安全工作报告1 2 ) ，2 0 0 6 年上半年共收到网络安全事 件报告6 5 6 7 9 件，其中约9 4 为扫描类网络安全事件，从报告的情况看，2 0 0 6 年事件报告总数比2 0 0 5 年全年有大幅增加。常见的网络安全问题有：p 安全、 针对漏洞的攻击、僵尸网络、拒绝服务( d o s ) 攻击、分布式拒绝服务( d d o s ) 攻击。c n c e r t c c 的报告指出主要非扫描类的网络安全事件有网页篡改、网络 仿冒，垃圾邮件、网页恶意代码、蠕虫、d d o s 攻击和木马事件。网络安全事件 严重干扰了人们的正常生活，造成了巨大的经济损失，直接或圆接地威胁着国家 安全。因此，网络和信息系统的安全问题显得越来越重要。 浙江大学硕士学位论文 1 2 网络安全问题产生的原因 网络安全问题的产生原因有很多。有人为的，有非人为的，有有意的，有无 意的，有内部人员的误用，也有外部黑客的入侵。归结起来，网络安全日益增加 的主要原因【3 j 是： 1 2 1 操作系统和应用软件漏洞 随着操作系统和应用程序复杂性的提高，存在b u g 是难以避免的。常用的 程序如：f t p ，i e ，t e l n e t 都存在着各种漏洞，对网络安全造成极大的隐患。 1 2 2 网络协议不完善 i n t e m e t 采用的t c p , q p 协议在设计之初就注重网络互联而没有过多考虑安全 问题，o s i 七层标准也存在着许多常见的漏洞。随着i n t e m e t 的普及和应用，这 种危险正日益加剧。 1 2 3 黑客工具的泛滥 伴随i n t e r n e t 的普及和各种黑客工具的泛滥，网络安全问题越来越严重。在 i n t e r n e t 发展的初期，网络使用者大多为具备相当计算机知识的专家和学者，网 络攻击者一般也都是系统专家，自己编写攻击工具。而到了i n t e r n e t 普遍应用的 今天，所有人都可以使用i n t e m e t 而不必具有更多的计算机知识，而且由于黑客 工具在i n t e m e t 上的泛滥且自动化程度不断提高，使得攻击也变得更加容易。网 上一个普通的计算机用户就能方便地获取这些信息，轻松地成为一个具有极大威 胁的潜在入侵者。 1 。2 。4 人为的无意失误 主要是网络操作人员安全意识低。如操作员安全配置不当造成的安全漏洞， 存放服务器的物理安全问题，用户口令选择不慎，用户将自己的账号随意转借他 2 浙江大学硕士学位论文 人或与别人共享等都会对网络安全带来威胁 因此，从根本意义上来讲，绝对安全的计算机是不存在的，绝对安全的网络 也是不可能的。从理论上说，开放的系统都会有漏洞，并且正是这些漏洞被拥有 高超技术水平和超强耐性的黑客所利用。可以说，网络安全问题是计算机网络及 其技术高速发展的必然结果。同样网络技术的迅速发展也促进了网络安全技术的 进步。 1 3 传统网络安全检测技术 随着系统安全问题的日益突出，我们需要尽可能找到好的措施以保护系统 免受入侵者的攻击，入侵检测技术也就应运而生。目前，入侵检测技术已经是网 络安全中一项非常重要的技术，是继防火墙，数据加密等传统安全保护措施之后 的新一代安全保障技术，作为一项积极主动的防御技术，在一定程度上能为系统 的安全提供有力的保护。下面就针对应用较为普遍的检测技术做一些介绍。 1 3 1 统计分析技术 统计分析技术是异常入侵检测中使用最广泛的技术，该技术基于历史数据建 立模式，这些用在模式中的数据仅包括与正常活动相关的数据然后模式被周期性 地更新，以反映系统随时间的变化。基于统计特征的分析技术有如下几种f 5 】 6 1 ： 1 3 1 1 阈值检测 统计在一定时间间隔内事件发生的次数，一旦系统的实际属性超出了正常设 定的阙值，就认为系统出了异常。可设定阈值的系统属性有：特定类型的网络连 接数、试图访问文件的次数、某种网络连接出现的时间间隔等。 1 3 1 2 均值与标准偏差 比较事件度量值的均值和标准偏差两个参数值，就可以建立置信空间 ( c o n f i d e n c ei n t e r v a l ) ，系统用户行为超出该区间即为异常。它的优点就是能够动 3 浙江大学硕士学位论文 态地学习( 而非事先确定) 有关正常事件的知识，并通过置信区间的动态改变表现 出来。 1 3 1 3 马尔可夫过程模型 模型把不同类型的事件看作是一个状态转移矩阵( s t a t et r a n s i t i o nm a t r i x ) 的 状态变量。分析事件前一个状态及在矩阵中的相关数据，计算其状态转移的概率， 若计算结果非常小则认为出现异常。 1 3 1 4 聚类分析 无参数分析方法，用矢量表示法描述事件流，用聚类算法( 如最近k 个邻节 点算法) 来对行为归类。无监督聚类入侵检测方法不需要对训练集进行标类和严 格的过滤，在入侵检测领域有广泛的应用前景。 1 3 2 人工神经网络技术 神经网络用给定的n 个动作训练神经网络去预测用户的下步行为。训练 结束之后，神经网络使用已出现在网中的用户特征匹配实际的用户行为，标志统 计差异较大的事件为异常或非法。神经网络技术应用于入侵检测领域的优势：具 有概括和抽象的能力，对不完整输入信息具有一定的容错处理能力；具有高度的 学习和自适应能力；独有内存计算和存储特性。使用神经网络的优点是可以很好 地处理噪声数据，因为它只与用户行为相关，而不依赖于任何低层数据特性的统 计。 1 3 3 数据挖掘技术 数据挖掘又称数据库中的知识发现，是指从大型数据库或数据仓库中提取隐 含的、未知的、异常的及有潜在应用价值的信息或模式。入侵检测中的数据挖掘 技术主要涉及到下列三种类型【8 】 9 1 ： 4 浙江大学硕士学位论文 1 3 3 1 聚类算法 目标是将特定的数据项归入预先定义好的某个类别。入侵数据很少且与正常 数据有很大差别，就可以把检测入侵看成异常点的检测问题。采用聚类的思想， 由于有很多正常数据，正常数据会聚集在一起成为一大簇。相对于正常数据，入 侵数据很少，则聚类之后单独会聚成一小簇。因此，可以先对数据进行聚类分析， 再将小簇数据标识为入侵即得出新的异常行为模式，再由系统自动转换为检测规 则。 1 3 3 2 关联分析算法 用于确定数据记录中各个字段之间的联系，基于贝叶斯网的检测算法就是一 种典型的关联分析算法。贝叶斯网络是基于网络结构的有向图解描述，适用于表 达和分析不确定和概率性事物，可从不完全或不确定的知识或信息中傲出推理。 1 3 3 3 系列分析算法 发掘数据集中存在的系列模式，即不同数据记录间的相关性。系列分析算法 能够发现按照时间顺序，在数据集中经常出现的某些审计事件系列模式。在入侵 检测中，通过对这些系列模式的发觉和分析，能够提示开发者在检测模型中加入 若干反应时间特性和统计特性发面的特征度量参数。 1 4 论文的研究背景和意义 传统的网络检测手段，特别是现在已经实现最多的网络检测系统，往往都是 采用统计分析技术，该技术具有理论较为简单，容易实现，检测率高等优点，但 也存在着不足，最大的缺点就是采用较为单一地规则匹配手段，数据源不够全面， 无法很好地将检测率与误检率兼顾起来，在保证较高检测率地同时很难做到较低 的误检率，大大影响产品的可用性与普及性，另外针对各种攻击手段，需要制 定各种相应的匹配规则，在单位时间内匹配所有规则造成系统的负荷过重，存在 隐患。而人工神经网络理论在距离网络检测的实际应用还存在较大差距，不是一 个成熟的检测手段，误检率非常高。还有一些算法需要较多的训练数据，增加了 浙江大学硕士学位论文 系统的实现难度和时间周期，在可行性方面还存在着一定的问题。如何将更多相 关的信息融合到检测算法过程中，更明显地区分网络攻击与正常流量之间的差 别，成为了如今亟需解决的问题。 众所周知，当前的操作系统并不是绝对安全的，由于操作系统中的一些程序 以及一些常用软件使用的默认端口是确定的，而这些程序中往往会有一些可以被 黑客利用的不完善的漏洞。黑客通过这些缺陷来侵入到目标计算机中，窃取数据， 进行破坏。然而，黑客事先并不知道哪些计算机的哪些端口是打开的。为了提高 入侵的成功率。非法入侵者在进行网络攻击前往往都会对一定范围的目标主机进 行有针对性的端口扫描，确定安全等级较低的并开放了具有漏洞端口的主机进行 有效的攻击。在网络攻击检测过程中，一旦检测到端口扫描，往往接下来就会检 测到各种网络攻击。因此，端口扫描是网络入侵的先兆，检测端口扫描在网络入 侵检测中有重要的意义。 网络流量能准确反映以太网的状况，同时异常流量也会对网络造成影响。异 常流量的产生有很多原因，其中外部网络攻击是主要原因之一，许多网络攻击例 如分布式拒绝服务攻击会对网络产生大量异常的具有特色的流量，所以准确而又 实时地检测出以太网流量的异常，将为网络入侵检测系统的准确判断提供重要的 参考依据。 本次研究将着眼于数据融合算法在安全检测上的应用，将端口扫描检测和流 量检测的结果作为预检测，应用到网络攻击规则匹配之中去，采用多方面的数据 来提高网络攻击于正常服务之间的区分度，在保证较高的检测率的情况下明显降 低误检率，具有一定的实际应用意义另外，本次研究的系统应用在浙江大学紫 金港校区信电系无线局域网教学实验平台上，在具有网络安全检测作用的同时还 能起到一定的教学和示范作用，对于帮助理解t c p p 协议结构，了解网络安全 技术具有积极的意义。 6 浙江大学硕士学位论文 1 5 论文的内容和结构安排 1 5 1 本论文的任务 设计并实现了一个基于局域网盼网络安全检测系统模型，该系统具有网络数 据采集，网络流量分析，网络协议分析，网络端口扫描检测，网络攻击检测功能。 流量分析模块采用已有的基于自相似模型的网络流量分析算法。 针对端口扫描的最新趋势，对慢扫描，隐蔽扫描进行了有效检测。实现了现 有的基于序列假设的端口扫描检测算法，提出并实现了基于端口分布的端口扫描 检测算法，并用d s 理论对两种算法进行了数据融合，进一步改进了算法。 将流量分析模块和端口扫描检测分析结果应用于网络攻击检测的规则匹配 中，将端口扫描检测和流量检测的结果作为预检测，应用到网络攻击规则匹配之 中去，采用多方面的数据来提高网络攻击于正常服务之间的区分度，在保证高检 出率的条件下明显降低了误检率。 对系统进行相关基本功能检测，得出检测数据，分析系统的性能，提出改进 的方向和今后的展望。 1 5 2 论文的结构安排 第一章为绪论，介绍了网络安全背景，比较了现有的安全检测算法，针对其 不足之处提出了研究方向，对论文的内容和结构进行了初步介绍。 第二章阐述了网络安全相关端口扫描的相关概念和理论，在端口扫描检测理 论方面，详细说明了基于序列假设的算法和基于端口分布的算法。对数据融合理 论进行初步的介绍；在网络流量检测理论方面，介绍了基于自相似模型的网络流 量检测算法。 第三章阐述了安全检测系统的设计，主要为系统框架设计，系统检测机制设 计，模块功能设计等。 7 浙江大学硕士学位论文 第四章具体介绍了整个系统模型的实现过程。包括系统的框架结构，数据采 集模块( 包括数据库模块) ，显示模块，协议分析模块，流量分析模块，端1 3 扫 描检测模块，攻击检测模块的具体实现。 结。 第五章对系统的不同模块进行基本的功能测试，给出了部分测试数据。 第六章对该系统的不足进行总结，提出新的展望和工作。最后进行全文的总 8 浙江大学硕士学位论文 第二章网络安全检测相关理论 2 1 端口扫描和端口扫描检测 2 1 1 端口扫描介绍 计算机“端1 ：3 ”是英文p o r t 的义译，可以认为是计算机与外界通讯交流的出 口。其中硬件领域的端1 ：3 又称接口，如：u s b 端口、串行端口等。软件领域的 端口一般指网络中面向连接服务和无连接服务的通信协议端口，是抽象的软件结 构，包括一些数据结构和i o ( 基本输入输出) 缓冲区。 按端口号可分为3 大类【1 0 1 ： 公认端1 2 1 ( w e l lk n o w np o r t s ) ：从0 到1 0 2 3 ，它们紧密绑定( b i n d i n g ) 于 一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：8 0 端1 3 实 际上总是h r r p 通讯。 注册端1 ：3 ( r e g i s t e r e dp o r t s ) ：从1 0 2 4 到4 9 1 5 1 。它们松散地绑定于一些服 务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例 如：许多系统处理动态端口从1 0 2 4 左右开始。 动态和或私有端1 2 1 ( d y n a m i ca n d o rp r i v a t ep o r t s ) ：从4 9 1 5 2 到6 5 5 3 5 。理 论上，不应为服务分配这些端口。实际上，机器通常从1 0 2 4 起分配动态端口。 但也有例外：s u n 的r p c 端口从3 2 7 6 8 开始。 一些端口常常会被黑客利用，还会被一些木马病毒利用，对计算机系统进行 攻击，在攻击之前，黑客基本上会通过端1 3 扫描来分析系统 通常端口扫描分为下面几大类： t c pc o n n e c t 0 扫描 这是最基本的t c p 扫描。操作系统提供的e o r m e e t 0 系统调用，用来与每一 9 浙江大学硕士学位论文 个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态，那么c o m e c t 0 就能成功。否则，这个端口是不能用的，即没有提供服务。这个技术的一个最大 的优点是，你不需要任何权限。系统中的任何用户都有权利使用这个调用。另一 个好处就是速度。如果对每个目标端1 2 以线性的方式，使用单独的c o n n e c t 0 调用， 那么将会花费相当长的时间，你可以通过同时打开多个套接字，从而加速扫描。 使用非阻塞i 0 允许你设置一个低的时间用尽周期，同时观察多个套接字。但这 种方法的缺点是很容易被发觉，并且被过滤掉。目标计算机的l o g s 文件会显示 一连串的连接和连接是出错的服务消息，并且能很快的使它关闭。 t c p s y n 扫描 这种技术通常认为是“半开放 扫描，这是因为扫描程序不必要打开一个完全 的t c p 连接。扫描程序发送的是一个s y n 数据包，好像准备打开一个实际的连 接并等待反应一样( 参考t c p 的三次握手建立一个t c p 连接的过程) 。一个 s y n a c k 的返回信息表示端口处于侦听状态。一个r s t 返回，表示端口没有处 于侦听态。如果收到一个s y n i a c k ，则扫描程序必须再发送一个r s t 信号，来 关闭这个连接过程。这种扫描技术的优点在于一般不会在目标计算机上留下记 录。但这种方法的一个缺点是，必须要有r o o t 权限才能建立自己的s y n 数据包。 t c p h n 扫描 有的时候有可能s y n 扫描都不够秘密。一些防火墙和包过滤器会对一些指 定的端口进行监视，有的程序能检测到这些扫描。相反，f i n 数据包可能会没有 任何麻烦的通过。这种扫描方法的思想是关闭的端口会用适当的r s t 来回复f i n 数据包。另一方面，打开的端口会忽略对f i n 数据包的回复。这种方法和系统 的实现有一定的关系。有的系统不管端口是否打开，都回复r s t ，这样，这种扫 描方法就不适用了。并且这种方法在区分u n i x 和n t 时，是十分有用的。 进行扫描的方法很多。可以手工进行扫描，但主要是使用端口扫描软件( 扫 描器) 进行。扫描器是用于自动检测远程或本地主机安全性弱点的程序。通过 使用扫描器可以不留痕迹的发现远程服务器的各种t c p 端口的分配及提供的服 务和它们的软件版本，这就能间接的或直观的了解到远程主机所存在的安全问 1 0 浙江大学硕士学位论文 题。 扫描器通过选用远程t c p 不同的端口的服务，并记录目标给予的回答。通 过这种方法，可以搜集到很多关于目标主机的各种有用的信息( 比如：是否能用匿 名登陆，是否有可写的f t p 目录，是否能用t e d 厄t ，h r r p 是否用r o o t 在 运行。) 扫描器并不是一个直接的攻击网络漏洞的程序，它仅仅能帮助发现目标机的 某些内在的弱点。一个好的扫描器能对它得到的数据进行分析，帮助查找目标主 机的漏洞。但它不会提供进入一个系统的详细步骤。 扫描器应该有三项功能：( 1 ) 发现一个主机或网络：( 2 ) 一旦发现一台主 机，能发现正运行的这台主机在进行何种服务；( 3 ) 通过测试这些服务，发现漏 洞。 2 1 2 端口扫描检测介绍 针对形形色色的端口扫描威胁，相应的端口扫描检测方法也应运而生【1 3 】【14 1 。 网络扫描监测系统从逻辑上大致可以分为三个部分：即抓包模块、判定模块、 以及处理模块。同时还应该保留对处理模块的接口。 抓包模块：这一模块一般只需要调用标准的网络接口，目前一般的开发工具 都提供相应的a p i 函数或以动态链接库的形式给出。 判定模块：其流程如下：模块处理由抓包模块提交的数据报文，根据预定义 的过滤规则进行匹配，选出非正常报文。对于一些不能马上进行判定的报文，写 入缓存，等待进行由用户定制的二次匹配。其中的特征值由用户根据相应的扫描 特点定义，那些仍然没有确定的报文往往带有二义性，这就需要借助历史记录的 数据库来加以判断。 处理模块：这一模块是按照需要设置的各种实现方式和采取相对策略，并且 要将相应记录存入日志。有些能对他们检测到的攻击进行反应。这些反应通常包 1 l 浙江大学硕士学位论文 括：来防止更进一步的攻击或得到有关攻击者的额外的信息。不巧，这些特点经 常被聪明的攻击者滥用。典型的反应包括封锁攻击的主机。( 比如修改i n t e r n e t 防 火墙的访问列表) 。不过，如果攻击是欺骗性的，会导致我们封锁无辜的口。这 一点，就会用来制造d o s 攻击。而且，就算攻击不是欺骗性的，也有可能导致 d o s 。这是因为口地址经常是很多人共用的。比如拨号上网时，用户的m 是由 服务商动态分配的。不过，对于非欺骗性的攻击，可以在一定预防措施前提下实 现下列功能。首先，我们应该注意不浪费资源，包括带宽( 无论攻击概率如何， 必须限制请求概率和数据量) ，中央处理器时间和内存( 应该有超时机制，并且 我们每次不能有太多请求) 。显然，这表明攻击者可以使我们的一些请求失效， 但是对此我们毫无办法。基于上述原因，在没有完善的处理策略之前，针对端口 扫描这样没有进行实质性攻击的网络探测行为，最多的办法是把扫描一一记录在 安全日志中，而不自动对其进行处理。 2 2 基于序列假设的检测模型 根据文献 1 2 】基于序列假设测试的扫描检测将从某个主机发起的第i 次连接 请求的结果表示为随机变量y i 如果连接成功的话，y i = 0 ，否则，y i = 1 观察y i 的序列，使用序列假设测试可以判断发起连接的主机是否在进行扫描。 考虑两个假设：h 0 和h 1 ，h 0 代表发起连接的主机正常，而h l 表示发起连 接的主机在进行端口扫描。每次请求结果在两个假设下的条件概率 p r y i = 0 i h 0 _ 岛，p r y i = 1 l h 0 ：1 一o o 可以表示为：p r y i ：o i h l ：b ，p r y i ：1 1 h 1 ：1 一只 式2 1 由于扫描者事先不知道端口是否开放，对目标主机的连接大部分都会以失败 而告终，而正常的应用程序所访问的端口是事先已知打开对应服务的，所以正常 主机建立连接的成功率要大于扫描者建立连接的成功率，即岛 只。 定义啊的序列为：z n = ( y 1 ，y 2 ，v n ) ，序列假设测试通过计算 序列z n 在两种假设条件下出现概率的比值来决定接受哪一个假设，如( 式2 2 ) 所示： 1 2 浙江大学硕士学位论文 坳) 三监p r z 器( 删 、7 ih 0 】 慑2 _ 纠 将a ( z n ) 同两个阈值r 1 0 和r 1 1 相比较，如果a ( z n ) n 1 ，则接受假设 h l ；如果 ( z n ) n 0 ，则接受假设h 0 ；如果t 1 0 ( z n ) ) = 0 ( ) = 0 对于基于端口分布特征的扫描检测，其输出r c s 要么是l 要么是0 ，表示 当前的端口访问要么是扫描要么不是扫描如果我们直接将荚作为扫描可能性的 度量，则无法应用数据融合的公式，显然，将1 或0 代入公式，无论埘。为何值， 最后的可能性指派函数值就会成为1 或0 ，对两种算法的数据融合没有任何帮助， 因此我们必须用更细的标准来定义可能性指派函数。我们将定义基本可能性指派 m 2 如下： 喇) = o + 。7 r e l ( n s - 3 ) , 弯銎描 ( 正常) ) = 1 一所2 ( 扫描) ) ( 式2 9 ) 鸭( 扫描，正常 ) = o m 2 ( o ) = 0 对于m 2 而言，我们只将认为是扫描的部分应用于上述函数，对于水平扫描， 我们发现有很多误检，于是将可能性指派函数乘以系数0 7 ，降低误检率。对于 垂直扫描，我们将访问端口数为3 的指派函数值定为0 7 ，每增加一个端口，值 增加o 1 ，最大值为i 。当出现既认为是水平扫描又认为是垂直扫描的情况，按 垂直扫描的情况算。 1 9 浙江大学硕士学位论文 现在使用d e m p s t c r 合并规则对上面的两个可能性指派函数进行合并，依照 上面的公式，合并后的指派函数应该为： 砚( b ) 扰：( 6 3 “扫描) ) 2 等拳而而c 护 将m l 和m 2 的函数代入上面的式子 可得： 以渊，户而丽爰淄糌器 ( 式2 - 1 1 ) 该式子表明了融合了两种算法的数据后对扫描可能性的度量。这个值约大表 明是扫描的可能性越大。设定一个阈值t ，超过这个阈值我们就认为它是扫描。 2 5 自相似流量模型 在网络通信量建模和性能分析领域内，l e l a n d ，t a q q u ，w i l l i n g e r 和w i l s o n 首次提出自相似过程的概念。在他们具有开创性工作基础之上，围绕网络通信量 的多重属性形成了许多研究热点【2 4 1 。9 0 年代初期，文献 2 5 中证明了局域以太 网通信量的自相似性，文献 2 5 发现w w w 通信量具有自相似性。这些研究工作都 证明了自相似特性不是一个孤立的特别的现象，而是存在于整个网络环境当中的 一个普遍现象。 文献 2 6 2 8 3 认为是通信量信源的应用层导致了网络通信量的自相似特性， 具有重尾分布的某些网络参数决定了通信量的自相似特性。文献 2 9 3 0 则认为 传输层协议是形成自相似特性的一个原因，并且认为t c p 协议的超时重传和指数 后退机制对白相似特性起主要作用。随着研究的迸一步深入，文献 3 1 发现t t c p 协议只能影响小时间尺度上的通信量，对大时间尺度上通信量没有影响，因而认 为t c p 产生的通信量是伪自相似特性的。 浙江大学硕士学位论文 2 6 自相似数据传输的模型与估计 通常自相似数据传输的分析方法是首先判断一个实际到达的时间序列是否 具有自相似性；如果是自相似的，估计自相似参数h 。本节简要介绍几种比较常 用的方法。 2 6 1 聚集方差 前面介绍过，对于一个自相似过程的聚集时间序列一，当m 很大时，其方 差服从： v a r ( x ( m ) ) 。v a l r ( x 一) ( 式2 1 2 ) m 其中自相似参数h = i - ( p1 2 ) 。这个式子可以写作： i o g v a r ( x m ) 卜l o g v a r ( x ) 一f l l o g ( m ) ( 式2 - - 1 3 ) 由于l o g v a r ( x ) 】是与m 无关的常数，如果将v a r ( x 肿) 作为m 的函数在对数一对 数图上画出来，结果将得到一条斜率为一b 的直线。在不同的聚集级别m 上由聚 集过程产生数据序n x ( t ) ，并计算方差，就可完成曲线。斜率在一l 和0 之间的就 意味着具有自相似性。许多研究人员都这样做过并发现实验结果确实落在一条负 斜率的直线上【3 2 1 。接下来可以直接估价h 值。 2 6 2 r s 图 对于在离散时刻取值的随机过程工( f ) = 瓴，t = o ，l ，2 , - - ) ，x ( t ) 在时间段n 上的 重整化范围定义为比率r s ： r = s ；乓e e u ( n ) 是在时间段n 上的采样平均： m c 忉= 专姜乃 ( 式2 1 4 ) 2 浙江大学硕士学位论文 r s 表达式中的分子是过程交换范围的度量而分母是采样标准差。对于一个 自相似过程，此比率在n 很大时有下列特性： r s ( n 2 ) n , 其中h o 5 此式可以重写为 l o g r s 卜h l o g n - h l 0 9 2 ( 式2 1 5 ) 如果将 r s 与n 的关系画在一张对数一对数图上，则所得的曲线应该符合一 个斜率为h 的直线。这个分析也在许多数据序列上做过并得到了符合直线的结果。 2 6 3 周期图 聚集方差法和r s 图是属于启发式或肉眼观测的方法，它们不能用于对h 的 精确估价，而只能用来粗略地估计一个给定的数据序列是否具有自相似特性( h 0 5 ) ，或者估计给定的数据序列是否属于传统的短范围相关模型( h 。0 5 ) 。 现在转向讨论精确的估价，这