（计算机应用技术专业论文）基于行为分析的网络通信监控技术研究.pdf

学位论文数据集 中图分类号 t p 3 9 3 学科分类号 5 2 0 3 0 4 0 论文编号 1 0 0 1 0 2 0 1 1 0 6 9 4 密级公开 学位授予单位代码 1 0 0 1 0 学位授予单位名称北京化工大学 作者姓名陈利学号 2 0 0 8 0 0 0 6 9 4 获学位专业名称计算机应用技术获学位专业代码 0 8 1 2 0 3 课题来源其他项目研究方向信息安全 论文题目基于行为分析的网络通信监控技术研究 关键词行为分析，通信监控，协议识别，信息窃取 论文答辩日期 2 0 11 5 2 6论文类型 应用研究 学位论文评阅及答辩委员会情况 姓名职称工作单位学科专长 指导教师易军凯教授北京化工大学信息安全 评阅人1赵英教授北京化工大学计算机网络 评阅人2聂伟副教授北京化工大学信号处理 评阅人3 评阅人4 评阅人5 答辩委员蝴赵英教授 北京化工大学 计算机网络 答辩委员1山岚 副教授北京化工大学 网络信息检索 答辩委员2聂伟 副教授北京化工大学 信号处理 答辩委员3彭四伟副教授北京化工大学编译技术应用 答辩委员4张杰副教授北京化工大学嵌入式系统 答辩委员5 注：一论文类型：1 基础研究2 应用研究3 开发研究4 其它 二中图分类号在中国图书资料分类法查询。 三学科分类号在中华人民共和国国家标准( g b t1 3 7 4 5 9 ) 学科分类与代码中 查询 四论文编号由单位代码和年份及学号的后四位组成 摘要 基于行为分析的网络通信监控技术研究 摘要 随着以计算机和网络通信为代表的信息技术的迅猛发展，现代 政府部门、军事军工、金融机构和商业组织等对网络安全的要求也 越来越高。在当前窃密程序种类千变万化、攻击手段层出不穷的情 形下，建立健全合理的安全体系，开发出行之有效的安全监控系统 是信息保密工作中的重点。 本文深入研究了正常应用与恶意程序在网络通信中的行为特 征，突破传统的基于特征码识别恶意程序的分析思路，提出基于网 络行为的新型分析方法。首先讨论了传统的基于特征码匹配的恶意 程序监控方法，指出其在复杂多变的网络环境的下低适应性和在高 速网络环境下的低性能缺陷；然后讨论了基于行为分析的系统对象 模型和设计思路，在深入理解网络协议的基础上，本系统建立了数 据包( p a c k e t ) 、连接( c o l l l l e c t i o n ) 、簇( c l u s t e r ) 、节点( n o d e ) 、会话 ( s e s s i o n ) 等网络对象模型，并在对象模型基础上对网络数据流进行了 深入的行为分析，给出一系列的上层行为事件；最后，本文详述了 基于行为分析的网络通信监控系统的具体实现，并给出了实际环境 测试和实验结果分析。 实验结果表明，该监控系统能准确和高效地识别出受外部控制 的、危险的网络连接，也能识别出大多数正常的网络通信连接，并 北京化丁大学硕上学位论文 能在高速的网络环境下实现实时处理，具备良好的应用效果。 关键词：行为分析，通信监控，协议识别，信息窃取 a b s t r a c t n e t w o r kt r a f f i cm o n i t o r i n gt e c h n o l o g y r e s e a r c hb a s e do nb e h a v i o ra n a l y s i s a b s t r a c t a 1 0 n g w i t l lt h e c o m p u t e r s a n dn e t 、o r kc o m m u n i c a t i o n st o r 印r e s e n tt h er 印i dd e v e l o p m e n to fi n f o n l l a t i o nt e c h n o l o g y ，m o d 锄 g o v e m m e n td e p a r t m e n t s ，m i l i t a 叫i n d u s t r 弘f i n a n c i a li n s t i t u t i o n s a n d c o m m e r c i a lo 略a n i z a t i o n sh a v eb e c o m em o r es o p h i s t i c a t e dt on e t w o r k s e c u r i t yr e q u i r e m e n t s i nt h ec a s eo fe v e 卜c h a n g i n gt y p e so fm a l w a 托 a j l de n d l e s sa t t a c k sm e t h o d s ， e s t a b l i s h i n g r e a s o n a b l ea l l dr a t i o n a l i n s p e c t i o ns y s t e ma n dd e v e l o p i n ge f r e c t i v ed e t e c t i o ns y s t e mi st h ef o c u s o fi n f o r m a t i o nc o n f i d e n t i a l i 吼 t h i sa n i c l es t u d i e st h eb e h a v i o r a lc h a r a c t e n s t i c so fn o m l a l a p p l i c a t i o n a n dm a l w a r ei nn e t w o r kc o m m u n i c a t i o n ， b r e a km e t r a d i t i o n a ls i g n a t u r e - b a s e dd e t e c t i o ni d e a s ，m a k eo nan e wm a l w a r e d e t e c t i o nm e t h o db a s e do nt h ea n a l y s i so fn e t w o r kb e h a v i o r f i r s to fa l l a r t i c l ed i s c u s s e dt h et r a d i t i o n a l s i g n a t l l l e b a s e d d e t e c t i o n m e t h o d ， p o i n t e do u ti t sl o wc o m p l i a n c ed e f e c t si nc o m p l e xn e t w o r ke n v i r o m n e n t a n dl o wp e r f o m a n c ed e f e c t si nh i g h s p e e dn 嘶o r ke n v i r o n m e n t a n d t h e nd i s c u s s e dt h eb e h a v i o r - b a s e da n a l y s i ss y s t e mo b j e c tm o d e la n d d e t e c t i o nm e t h o d ，b a s e do nd e e p l yu n d e r s t a n d i n gn e t w o f kp r o t o c o l s ， i i l 北京化工大学硕士学位论文 t h i ss y s t e me s t a b l i s h e ds o m eo b j e c tm o d e l ，s u c ha sp a c k e t ，c o i l e c t i o n ， c l u s t e r ，n o d e ， s e s s i o na n ds oo n g i v ei n - d 印t ha c t i o n a n a l y s i s t 0 n e t w o r kd a t af l o wb a s e do no b je c tm o d e l sm e n t i o n e da b o v e g i v ea s e r i e so ft o pb e h a v i o re v e n t s f i n a l l y ，t h i sa n i c l ed e t a i l e dt h ec o n c r e t e i i n p l e m e n t a t i o no ft h e1 1 r o j a ni n t m s i o nd e t e c t i o ns y s t e m a n dd oa s y s t e mt e s ta n da n a l y s i so fe x p e r i m e n tr e s u l t s e x p e r i m e n tr e s u l t ss h o wt h a tm em o n i t o r i n gs y s t e mc a na c c u r a t e l y a n de m c i e n t l yi d e n t i 母u n s a f ec o n n e c t i o n sw h i c ha r ec o n t r o l l e db yt h e h o s ti ne x t 锄a ln e 铆o r k ，s y s t e ma l s oa c h i e v er e a l 一血p r o c e s s i n gi n h i 曲一s p e e d n e t w o r ke n v i r o n m e n t ，h a sg o o du s a b i l i 够a n da p p l i c a t i o n e h e c t i v e n e s s k e yw o r d s ：b e h a v i o ra n a l y s i s ，c o m r n u n i c a t i o nm o n i t o r p r o t o c o l r e c o g n i t i o n ，i n f o m a t i o nm e r i v 目录 目录 第一章绪论1 1 1研究背景和意义1 1 2国内外研究现状2 1 3主要研究工作和创新点3 1 3 1主要研究工作3 1 3 2本课题的创新点3 1 4本文组织结构4 第二章网络通信监控技术7 2 1网络通信监控技术介绍7 2 2网络通信监控技术分类7 2 3本章小结8 第三章数理统计与行为特征提取9 3 1数理统计方法9 3 1 1 数理统计9 3 1 2数理统计常用算法9 3 2聚类分析9 3 2 1 相关术语1 0 3 2 2 参数设置1 0 3 2 3时序分簇算法1 0 3 3包簇统计与行为特征提取1 1 3 3 1行为特征提取思想1 1 3 3 2行为特征提取方法1 l 3 4本章小结1 2 v 北京化工大学硕士学位论文 第四章行为分析系统模型与关键技术1 3 4 1事件驱动工作机制1 3 4 1 1事件驱动工作机制实现1 4 4 1 2分层事件驱动机制1 4 4 2 数据流连接重组与网络原子事件生成1 5 4 2 1数据流连接重组1 5 4 2 2网络原子事件生成1 6 4 3分析机网络对象建模1 7 4 3 1 网络范围管理器对象1 7 4 3 2 数据包对象1 7 4 3 3网络连接对象1 8 4 3 4数据包簇对象1 8 4 3 5网络会话对象2 0 4 3 6网络节点对象2 1 4 4 上层协议分析2 2 4 5分析机无用数据包过滤2 3 4 5 1连接状态信息包过滤2 3 4 5 2安全协议数据包过滤2 3 4 5 3非内外网交互数据包过滤2 4 4 5 4网络心跳数据包过滤2 4 4 6行为分析规则设定2 5 4 6 1连接控制命令行为分析2 5 4 6 2会话控制命令行为分析2 6 4 6 3反向连接行为分析2 7 4 6 4 主机异常信息外发行为分析2 8 4 6 5下载器程序行为分析2 8 4 6 6数据流传送行为分析2 9 4 6 7p 2 p 通信行为分析2 9 4 6 8 即时通信软件登陆行为分析2 9 4 7高级事件关联分析3 0 4 8本章小结3 1 第五章基于行为分析的网络通信监控系统实现3 3 v l 目录 5 1系统网络拓扑架构3 3 5 2数据采集子系统3 3 5 3数据预处理子系统3 4 5 4 事件驱动机制实现3 5 5 5上层协议分析实现3 6 5 6数据流行为分析实现3 7 5 6 1网络连接管理器功能与实现3 7 5 6 2网段管理器功能与实现3 8 5 6 3 包簇管理器功能与实现3 9 5 6 4会话管理器功能与实现3 9 5 6 5节点管理器功能与实现4 0 5 6 6规则管理器功能与实现4 1 5 7系统部署与测试4 l 5 7 1 测试环境搭建4 1 5 7 2软件系统安装4 3 5 8功能测试与数据分析4 4 5 8 1单元测试与数据分析4 4 5 8 2集成测试与数据分析4 6 5 9性能测试5 0 5 1 0 实验结果统计与结论5 l 第六章总结与展望5 3 6 1全文总结5 3 6 2未来展望5 3 参考文献5 5 致谢5 9 研究成果及发表的学术论文6 1 v l i 士学位论文 6 3 c o n t e n t s co n t e n t s c h a p t e rli n t r o d u c t i o n 1 1 1 b a c k g r o m l da 1 1 ds i 鲥f i c a i l c e l 1 2r e s e 础s t a t u s 1 1 3 m 两o rr e s e a r c ha n di m l o v a t i o n 3 1 3 1 m a j o rr e s e 鲫c h 3 1 3 2h m o v a t i o n 3 1 4 o r g a i l i z a t i o n a ls t m 船4 c h a p t e r 2n e t w o r kt r a 伍cm o n i t o r i n gt e c h n o l o g y 7 2 1i n 咖d u c e o f n e t 、) l r o r k 仃a 伍c m o i l i t o r i n g t e c h n o l o g ) r 7 2 2 c 1 a s s i 6 c a t i o no fn e 觚o r k 的伍cm o i l i t o d n gt e c l l i l o l o g y 7 2 3c h a p t e r 舢a r y 8 c h a p t e r3m a t h e m a t i c a l s t a t i s t i c sa n db e h a v i o rf l e a t u r ee x t r a c t i o n 9 3 1m 砒e m a t i c a ls t a t i s t i c s 9 3 1 1m a t h 锄a t i c a ls t a t i s t i c s 9 3 1 2 c o m m o n l yu s e da l g o n t h l l lo f m a t l l e m a t i c a ls t a t i s t i c s 9 3 2 c 1 u s t e r a n a l y s i s 9 3 2 1 r e l a t e dt e 胁s 1 0 3 2 2 p a r a m e t e rs 甜i n g s 1 0 3 2 3 s e q u e n c ec l u s t 舐n ga l g o r i t h m 1 0 3 3p a c k e t ss t a t i s t i c s 锄db e h a v i o r a lc h a r a c t 谢s t i c se x 觚哦i o n 1 1 3 3 1 b e h a v i o r a lc h a r a c t 嘶s t i c se x 白f a c t i o n m o u g m 1 l 3 3 2 b e h a v i o r a lc h a r a c t 甜s t i c se x 仃a c t i o nm e m o d 1 1 3 4 c h 印t e rs 埘吼哪1 2 i x 北京化工大学硕上学位论文 c h a p t e r4b e h a v i o ra n a l y s i ss y s t e mm o d e l a n dk e yt e c h n o l o g y 13 4 1e v e n t 拍v e nm e d h 觚i s m 1 3 4 1 1 h n p l e m e n t a t i o no f e v e n t - 嘶v e nm e c h a n i s m 1 4 4 1 2h i 删i c a le v e l l t 蹦v e nm e c h 锄i s m 1 4 4 2n e m o r kd a t as t r e 撇sr e s 仃u c 嘶n ga n da t o m i ce v e i l t sg e n e r a t i n g 15 4 2 1n e t w o r kd a t as t r e a m sc o n n 蒯o nr e s t m c t u d n g 1 5 4 2 2n e 诹r o r ka t o m i ce v e i l t sg e l l e r a t i n g 1 6 4 3 a n a l y s i sm a c l l i n en e 咖r ko b j e c tm o d e l i n g 1 7 4 3 1n 咖o r k - w i d em a i l a g 锄e n t0 b j e c t 1 7 4 3 2 p a c k e to b i e c t 1 7 4 3 3c o i m e c t i o no b e c t 1 8 4 3 4c l l l s t e ro b i e c t 1 8 4 3 5s e s s i o no b i e c t ：2 0 4 3 6n o d eo b i e c t 2 1 4 4 u p p e rl 驴p r o t o c o l 肌a l y s i s 2 2 4 5 a n a l y s i s m a c h j i l eu i l w a n t e d p a c k e t s f i l t 甜n g 2 3 4 5 1c o 皿e 砸o ns t a t e i i l f o 肌a t i o n p a c k e t j 6 1 1 t 耐n g 2 3 4 5 2 s e 吼l r i t ) ，p r o t 0 c 0 lp a c k e t6 l t e n n g 2 3 4 5 3n o n - i n t e r a c t i v ep a c k e to fi n s i d ea n do u t s i d ef i l t e r i n g 2 4 4 5 4n e 咖r kh e 砷e a t p a c k e tf i l t 砸n g 2 4 4 6b e h a v i o ri 沁1 e ss e t t i n g 2 5 4 6 1c o i l | 1 e c t i o n c o n t | i o l b d l a v i o r a n a l y s i s 2 5 4 6 2s e s s i o nc o n t i 0 lb e h a v i o ra n a l v s i s 2 6 4 6 3r e v e r s ec o 皿e c t i o n b e h a v i o ra i l a l y s i s 2 7 4 6 4a n a l v s i so fa b n o m a li n f i o m l a t i o nd i s t b u t i o no u t s i d eb e h a v i o r 2 8 4 6 5d o w n l o a d e rt r o j a nb e h a v i o ra i l a l y s i s 2 8 4 6 6d a t as 骶锄i n gb e h 撕o ra n a l y s i s 2 8 4 6 7p 2 p c o m m u n i c a t i o n b e h a v i o ra i l a l v s i s 2 9 4 6 8 a n a l y s i so fi n s t a n tm e s s a 百n gs o 胁a r el o g 百n gb e h a 啊o r 2 9 4 7a d v a n c e de v e n tc o r r e l a t i o na n a l v s i s 3 0 4 8 c h 印t e rs 咖a r y 3 1 c h a p t e r5i m p l e m e n t a t i o no fn e t v y o r kt r a m cm o n i t o r i n gs y s t e m x c o n t e n t s b a s e d o no nb e h a v i o ra n a l y s i s 3 3 5 1 s y s t e n ln e 觚o r kt o p 0 1 0 9 y 3 3 5 2 d a t aa c q u i s i t i o ns u b s y s t 锄3 3 5 3 ：d a t ap r e p r o c e s s i n gs u b s y s t 锄3 4 5 4 i i n p l e m e i l t a t i o no f e v e n t d r i v e i lm e c h a m s m 3 5 5 5 i m p l e m e n t a t i o n o f l e u p p e r p r o t o c o la n a l y s i s 3 6 5 6b e h a 访o ra l l a l y s i si i i l p l e m e n t a t i o n 3 7 5 6 1 c o 皿e c t i o nm a n a g e rm n c t i o n a l i t ya n di m p l e m e n t a t i o n 3 7 5 6 2n e 附o r km a i l a g e rf h c t i o n a l i t ya 1 1 di m p l e m e n t a t i o n 3 8 5 6 3c 1 u s t e rm a l l a g e r 劬c t i o n a l 时a u l di i i l p l 锄e n t a t i o n 3 9 5 6 4s e s s i o nm a l l a g e r 丘m c t i o n a l 时a i l di m p l 锄e i l t a t i o n 3 9 5 6 5n o d em a i l a g e rf 狐c t i o n a l i t ya n di m p l e m e n t a t i o n 4 0 5 6 6 r u l em a i l a g e rm n c t i o n a l i t ya n di m p l e m e i l t a t i o n 4 1 5 7 s y s t 锄d 印1 0 胂e n ta n dt e s t i n g 4 1 5 7 1t b s te v i i d n m e n tc o n s 仃u c t i o n 4 l 5 7 2s o 脚a r ei n s t a l l a t i o n 4 3 5 8f u n c t i o n a lt e s ta i l dd a t aa n a l y s i s 4 4 5 8 1u i l i tt c s ta 1 1 dd a t aa i l a l y s i s 4 4 5 8 2 i n t e 伊a t i o nt e s ta n d d a t aa n a l y s i s 4 6 5 9p e r 】b m a n c et e s t 5 0 5 1 0 e x p e r i m e n t sr e s u l t sa 1 1 dc o n c l u s i o n s 5 1 c h a p t e r6c o n c i u s i o na n dp r o s p e c t 5 3 6 1c o n c l u s i o n 5 3 6 2 p r o s p e c t 5 3 r e f e r e n c e s 5 5 t h a n l s 5 9 北京化丁大学硕上学位论文 r e s e a r c hr e s u l t sa n d p u b l i s h e dp a p e r s 6 l i n t r o d u c t i o no f t u t o ra n dw r i t e r 6 3 x i i 第一章绪论 1 1 研究背景和意义 第一章绪论 随着以计算机和网络通信为代表的信息技术的迅猛发展，现代政府部门、 军事军工、金融机构、企事业单位和商业组织对计算机网络系统的依赖也日益 加重，信息技术几乎渗透到了世界各地和社会生活的方方面面。2 0 1 0 年底，全 球互联网用户1 8 亿户，普及率2 6 ，中国4 2 亿户，普及率3 1 8 【1 1 ，互联网 在经济生活中的地位越来越重要，2 0 0 9 年中国电子商务交易金额3 8 万亿元， 网上购物2 5 0 0 亿元，预计2 0 1 1 年电子商务4 万亿元，网上购物4 0 0 0 亿元【2 1 。 网络规模、复杂性的扩大，其不安全的因素也随之增多，近年来计算机犯 罪日益猖獗，犯罪手段日趋多样化，给国家政府、军队、企业及个人都带来了 不可估量的损失。其中，恶意程序造成的危害更为严重。2 0 1 0 上半年，某网络 安全公司共截获各类新增病毒样本1 o l 亿个( 以新增的恶意程序文件指纹数量 计算) ，相比去年同期增长了3 5 倍【3 1 ；尤其在5 月和6 月，新增恶意程序数量 大幅上升。c n c e i 玎2 0 1 0 年上半年抽样监测结果显示，中国大陆地区有1 2 3 9 5 3 8 个p 地址对应的主机被恶意程序控制【3 】。据上半年统计，国内上百家不良网站 通过推广恶意程序，获取了年产值超过3 0 亿元的经济利益，给网民和社会带来 的直接和间接的经济损失超过了1 2 0 亿元【4 】。 互联网是支撑经济社会发展的重要平台，是走向信息社会的雏形。如何发 展好、利用好和管理好，打造一个更加安全、可靠、放心的网络空间，做好网 络安全工作刻不容缓。 由于传统的防火墙、加密等网络安全技术已经不能满足网络安全的需求， 国家有关部门把“对互联网的保密检查、对网络窃密的防范”作为当前保密科 技研究及保密检查工作中需要关注的重点方向之一。 据国家计算机网络应急技术处理协调中心抽样监测统计，2 0 1 0 年上半年 c n c e i h 国家中心和各分中心处理各类网络安全事件共7 8 4 件，与2 0 0 9 年上 半年相比增长9 2 2 【孓7 1 。其中，恶意代码、网页仿冒、网页篡改是事件处理的 重点，上述事件处理数量占安全事件处理总数的9 8 以上1 8 】。 因此在日常网络运行维护管理和定期的自检自查中加强对内网主机的通信 监控，建立稳固的防范体系，保护用户的敏感信息资料不被窃取，已经成为当 前网络信息安全监管部门工作的重点。 北京化工人学硕j ：学位论文 1 2 国内外研究现状 在网络安全技术里，防火墙是最常见的网络通信监控技术【9 1 ，一般被部署 在网关位置，以直联方式检查网络出入数据包，符合安全策略的数据予以放行， 否则进行拦截；网络入侵检测系统( n i d s ) 是一种网络异常通信监控技术，一般 也被部署在网关位置，以旁路方式对镜像的网络数据进行检测，一旦发现有符 合入侵模式【l o 】的网络数据，则通过各种方式给予报警。网络通信监控技术分析 对象为网络数据流，只需安装在网络的监听端口上，对网络和主机的运行无任 何影响。目前，作为网络异常通信监控技术的网络入侵检测技术应用较为广泛， 国内外市场上有很多安全企业研发和推广网络入侵检测系统产品，其中国内著 名的如绿盟、启明星辰、联想网御、h 3 c 等，国外著名的如i s s 、思科、赛门 铁克等。 绿盟作为国内网络安全领域的领跑者，在网络安全方面积累了非常成熟的 研发技术，是目前国内唯一向国外出口入侵检测规则库的公司【l l 】。绿盟n i d s 产品被认为是同类产品中的经典，如“冰之眼 网络入侵检测系统。该产品使 用了专门的硬件，具有非常高的处理性能和自身安全性，并且具有强大的口碎 片重组，t c p 流汇聚，以及数据流状态跟踪等能力【1 2 】，另外还拥有覆盖全面的攻 击特征库，全面而深入的上层协议分析能力。 启明星辰同样是国内网络安全领域的佼佼者，其代表n i d s 产品是天阗网 络入侵检测系统【1 3 】。该产品同样拥有高性能的专用硬件设备，基于状态的协议 识别技术、规范的入侵特征描述规则、完备的安全信息知识库。 思科是互联网解决方案的领先提供者，市场上有很多其研发的优秀产品， 其中c i s c os e c u r ei d s 网络检测器能够为网络设备及服务器上的通信模块提供 全面保护，功能包括实时响应，全面检测应用袭击，以检测d d o s 代理与黑客之 间通信的方式预防d o s 攻击，先进的i p 碎片重组和“w h i s k e r ”反i d s 检测功 能支持【1 4 】等等。 i s s ( i n t e m e ts e c u r es y s t e r l l ) 是世界著名网络安全公司，其基于网络的入侵检 测产品有i s sr e a l s e c l l r en e 似o r ks e l l s o 一1 5 】。其检测方法是在比较重要的网段内， 对每一个数据包或可疑的数据包进行特征分析，依赖于庞大的特征规则库。 在开源网络入侵检测项目里，著名的有s n o r tn i d s 和b r 0n i d s 【1 6 】。s n o r t 定位于轻量级的入侵检测系统，是目前最著名的开源n i d s 项目，它实现了网 络探测器和许多第三方的管理及日志分析工具，同时还拥有高效的整体设计编 码、简洁明了的规则描述设计及攻击检测规则集【1 7 】。b r o 的设计实现采用事件 驱动和事件分层机制，分析引擎对网络数据流进行连接重组并抽象出一系列的 2 第一章绪论 网络事件，另外策略管理器通过加载策略脚本来对这些网络事件进行深入的安 全分析，策略脚本能对基本事件产生告警，也能通过分析生成新的事件并产生 告警。 1 3 主要研究工作和创新点 1 3 1 主要研究工作 由于传统的基于内容特征字段匹配【l8 】的网络异常通信检测技术存在效率 低，特征库更新速度跟不上的缺陷，本课题所研究的网络通信监控系统采用对 所监控网络数据流提取行为特征，进而与行为特征库匹配的检测方法，实现对 正常网络行为记录日志，并对异常网络行为给予报警的系统功能。本文阐述了 监控系统的行为提取模型【l9 】和行为检测思路，说明了基于行为分析的网络通信 监控系统的实现过程。首先探讨了数据采集机如何高速获取所监控网络的所有 数据流量，并将网络数据流发送给分析服务器；然后讨论了如何在分析机数据 流预处理过程中，对网络数据流进行连接重组，在网络连接的基础上来产生网 络原子行为事件，并采用深度数据包检测技术来对数据包进行上层协议识别； 接着讨论了在分析机引擎行为分析过程中，如何根据原子行为事件和协议识别 事件产生上层事件，并且加载行为规则来产生高级应用层事件；最后讨论了在 关联器工作过程中，如何根据一系列高级应用层事件对网络连接做最终安全度 评估。在深入理解网络协议工作机制的基础上，本课题高度抽象了网络传输层 环境，建立了数据包( p a c k e t ) 、连接( c o r u l e c t i o n ) 、簇( c l u s t 砷、节点( n o d e ) 、会 话( s e s s i o n ) 等网络对象模型，并在对象模型基础上对网络数据流进行了深入的 行为分析，给出一系列的行为规则模式，包括正常行为模式与恶意程序行为模 式【2 0 】。最后，本文介绍了网络通信行为监控系统的具体编码实现过程，并且对 系统进行了功能测试和性能测试。 1 3 2 本课题的创新点 不同于传统的基于内容特征字段的网络通信监控技术，本课题提出的基于 行为分析的监控技术从本质上抓住了恶意程序( 如木马) 的运行特征，尽管其种 类千变万化，其要完成网络入侵的行为过程则不可避免，比如窃密程序要完成 资料窃取【2 1 】行为，则一般要进行浏览磁盘与传输文件行为，又比如盗号程序要 完成盗号行为，则一般要进行键盘记录与邮件发送行为【2 2 1 。同样，通过行为分 北京化工大学硕上学位论文 析来记录网络正常应用，可利于网络管理员及时了解网络应用状况，比如点对 点通信程序，运行过程中一般都会与大量主机建立通信连接，又比如即时通信 程序，其登陆过程一般都会出现账号信息下发【2 3 】行为。通过提取并检测网络中 通信行为特征，可及时识别出恶意程序的运行过程并给予报警，也能记录网络 中正常应用通信情况便于管理。具体来说，本课题有以下创新点： ( 1 ) 以网络连接为单位对网络安全状况进行评估，网络数据流在预处理过程 中，以连接为单位对数据流进行重组，便于分析和处理。 ( 2 ) 建立一系列对象模型来抽象网络传输环境，如内网( l o c a l n e t ) 、连接 ( c o m e c t i o n ) 、簇( c 1 u s t 神、节点( n o d e ) 、会话( s e s s i o r l ) 等。在行为分析 过程中，大量行为事件是根据网络对象的特性来产生的。 ( 3 ) 将数据挖掘与数理统计方法运用到网络行为提取过程中，比如，对网络 数据流作时序分簇处理，并以数据包簇的分布来提取网络行为，又比如 对网络连接的处理不关心数据包内容，通过对数据包长度、方向等属性 作数理统计分析，抽象提取出对应的网络行为。 ( 4 ) 归纳总结出了一系列窃密程序( 如木马) 网络行为规则。在对大量木马样 本进行实验的基础上，提取出了木马程序不同于正常网络应用的行为特 征，建立了木马网络行为特征库。 ( 5 ) 深入研究了协议识别方法，并采用d p i ( 深度数据包检测) 【2 4 】技术来实 现。系统协议分析引擎除了支持常见的大部分协议，还支持q q 、m s n 、 g o o 西e 1 a l k 、3 6 0 安全卫士等应用协议。 1 4 本文组织结构 全文共分六章，具体安排如下： 第一章绪论 首先介绍了网络通信监控系统的研究背景和意义，然后说明了作为网络异 常通信监控技术的网络入侵检测技术的国内外发展现状，主要阐述了相关企业 和相关产品，最后给出了本课题的研究内容，着重叙述了课题的主要研究工作 和创新点。 第二章网络通信监控技术 首先介绍了传统的网络通信监控技术，讨论了网络通信监控技术的分类， 阐述了基于网络的通信监控技术相对于基于主机的通信监控技术的优势。讨论 了基于网络的通信监控技术具体采用的方法。 第三章数理统计与行为特征提取 4 第一章绪论 本章介绍了本研究课题的理论基础，讨论了数理统计方法和聚类数据分析 方法，阐述了如何利用数理统计和时序聚类分析来提取网络数据流行为特征， 从理论上说明了底层网络数据流和应用层行为的关联关系。 第四章行为分析模型与关键技术 本章详细介绍了基于行为分析的网络通信监控系统采用的工作模型、数据 处理原型、行为分析技术特征，将系统分六个组成部分详细说明，各部分协同 工作，缺一不可，共同构成了整个网络监控系统的核心构件 第五章基于行为分析的网络通信监控系统实现 首先介绍了基于行为分析的网络通信监控系统的网络拓扑架构，然后讲述 了每个子系统的实现过程；接着介绍了该系统的测试环境搭建过程，说明了如 何将该软件系统正确部署在测试环境中；最后讲述了系统功能测试和性能测试 过程，并对测试结果做了统计分析。 第六章总结与展望 本章主要对所做的工作进行了总结，指出了本课题研究成果的不足之处， 并对网络通信监控技术的未来做了展望。 北京化工大学硕士学位论文 6 第二章网络通信监控技术 第二章网络通信监控技术