（计算机科学与技术专业论文）用户网络行为分析及研究.pdf

s 工rl m s 唧s i s ： t h e a n a l y s i sa n d r e s e a r c ho fu s e rn e t w o r k b e h a v i o r s p e c i a l t y ：c o m p u t e rs c i e n c ea n dt e c h n o l o g y m a s t e r d e g r e es t u d e n t ：l i uz h a n h o n g s u p e r v i s o r ：p r o f h u a n gy a n b o s c h o o lo fi n f o r m a t i o ns c i e n c e & e n g i n e e r i n g c e n t r a ls o u t h u n i v e r s i t y c h a n g s h a ，h u n a np r o v i n c e ，c h i n a m a r c h ，2 0 1 0 0 帆7 ，m7，jjjji7liiiiii帆y 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我 共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。 作者签名：麦! l 廛杰 日期：2 盟l 年月笪日 作者签名：受! l 丝亟 日期：2 盟l 年月笪日 学位论文版权使用授权书 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文并根据国家或湖南省有关部门规定送交学位论文， 允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内 容，可以采用复印、缩印或其它手段保存学位论文。同时授权中国科 学技术信息研究所将本学位论文收录到中国学位论文全文数据库， 并通过网络向社会公众提供信息服务。 婆 作者签名：边隧导师签磊幽日期：业年上月丝日 摘要 随着我国网络用户规模的快速增长，网络的异构性与复杂性越来 越高，网络管理变得越来越重要且困难。网络管理中的“以人为本” 理念促生了一种基于用户网络行为的网络管理模型，该模型能对网络 设备中产生的各种网络行为相关信息进行分析，为最终实现网络管理 智能化和自动化奠定了基础。 在网络管理领域中，许多网络行为参数的取得都是经验赋值，所 以当面对新网络行为或网络管理员未知的网络行为时，将很难做出及 时的处理决策。本文提出了一种基于动态区间距的网络行为危害度评 估方法，为安全策略的制定，信息系统的建立及安全运行提供重要依 据，最大限度地保证网络和信息的安全。可拓学是研究事物拓展的可 能性的规律与方法，并用以解决矛盾问题的学科。该方法能从多个层 次，多个角度评价网络行为因素，得出一个量化的评价结果。因为该 方法基于动态区间距，所以可以允许一定范围的评估因素取值不确定 性，且能较好地满足网络环境的动态变化的要求。该评估结果及网络 行为因素值还可以为网络管理系统的自动化决策提供支持。 本文接着提出了基于用户网络行为管理策略的决策层方案，分析 和解决了其中关键技术问题，该方案将基于策略的网络管理与用户行 为的网络管理进行了较好的结合。方案中将策略思想引入基于用户网 络行为的网络管理中的决策层，充分利用上文提到方法中产生的评估 因素区间值及评估结果区间值，将策略预先编辑好放入策略信息库 中。一旦网络异常行为因素值达到系统策略设定的条件范围，将自动 触发执行策略，完成网络管理系统的自动化管理。 关键词用户网络行为，危害度评估，策略网络管理，可拓学 a b s t r a c t w i t ht h er a p i dg r o w t ho fi n t e r a c tu s e r si nu s e rs i z e ，n e t w o r k h e t e r o g e n e i t y a n d c o m p l e x i t yg r o ws t r o n g e ry e t ，a n d n e t w o r k m a n a g e m e n tb e c o m e si n c r e a s i n g l ym o r ei m p o r t a n ta n dd i f f i c u l t 1 1 1 e c o n c e p to f p e o p l e f i r s t u s e di i ln e t w o r km a n a g e m e n tp r o m o t e sa n e t w o r k m a n a g e m e n t m o d e lw h i c hb a s e do nu s e r s n e t w o r k b e h a v i o r s t h em o d e lc a n g a t h e ra n da n a l y s eav a r i e t yo fn e t w o r k b e h a v i o ri n f o r m a t i o ni nn e t w o r kd e v i c e s ，a n dt h i sw i l ll a yt h ef o u n d a t i o n f o r u l t i m a t e l yr e a l i z i n g o fn e t w o r km a n a g e m e n ti n t e l l i g e n c ea n d a u t o m a t i o n i nt h ef i e l do fn e t w o r km a n a g e m e n t ，n e t w o r kb e h a v i o rp a r a m e t e r s a r e a s s i g n e d av a l u em a i n l yb yan u m b e ro fn e t w o r km a n a g e m e n t e x p e r i e n c e s ，s ow h e nt h en e t w o r kb e h a v i o ri san e wn e t w o r kb e h a v i o ro r t h en e t w o r ka d m i n i s t r a t o rh a v en o ts e e n , i tw i l lb ed i 佑c u l tt om a k e t i m e l yt r e a t m e n td e c i s i o n sf o rn e t w o r km a n a g e m e n t t h i sp a p e rp r e s e n t sa h a r md e g r e ea s s e s s m e n to fn e t w o r kb e h a v i o r sb a s e do nd y n a m i ci n t e r v a l d i s t a n c e ，i tp r o v i d e sk e yr e f e r e n c ef o rf o r m u l a t i n gs e c u r i t yp o l i c y , c r e a t i n gi n f o r m a t i o ns y s t e ma n ds a f er u n n i n gs y s t e m i ta l s og u a r a n t e e s t h es e c u r i t yo fn e t w o r ka n di n f o r m a t i o nt ot h eu t m o s t e x t e n t i c si sa s u b j e c tt h a ts t u d i e dt h ep o s s i b i l i t yo fe x t e n d i n gt h er e s e a r c ht a r g e t st h e r u l e sa n dm e t h o d sf o rs o l v i n gt h ec o n t r a d i c t i o n s 砀em e t h o dc a na s s e s s n e t w o r kb e h a v i o rf a c t o r sf r o mm u l t i p l el e v e l sa n dp e r s p e c t i v e ，a n dd e r i v e aq u a n t i t a t i v ea s s e s s m e n tr e s u l t b e c a u s et h em e t h o di sb a s e do nd y n a m i c z o n e ，i tc a ng e tam o r ea c c u r a t ea s s e s s m e n tr e s u l tu n d e rt h ec o n d i t i o n so f t h ev a l u e so ft h en e t w o r kb e h a v i o rp a r a m e t e r sa r en o tp r e c i s ee n o u g h t h er e s u l t sa n dt h ev a l u eo fn e t w o r kb e h a v i o r a lf a c t o r so ft h i sm e t h o d c a na l s os u p p o r ta u t o m a t e dd e c i s i o n m a k i n gt on e t w o r km a n a g e m e n t s y s t e m 1 1 1 et h e s i sp r o p o s e dad e c i s i o n - m a k i n gl a y e r ss o l u t i o nw h i c hi s b a s e do nu s e rn e t w o r kb e h a v i o rs t r a t e g ym a n a g e m e n t ，a n da n a l y z ea n d r e s o l v ek e yt e c h n i c a li s s u e s t h es o l u t i o ni sab e t t e r i n t e g r a t i o n o f n e t w o r km a n a g e m e n tb a s e do n p o l i c ya n dn e t w o r km a n a g e m e n tb a s e do n u s e rb e h a v i o r t h es o l u t i o ni m p o r t st h ei d e ao fs t r a t e g i ci n t on e t w o r k m a n a g e m e n tb a s e d 0 1 1u s e rn e t w o r k b e h a v i o r 弱d e c i s i o n - m a k i n g l a y e r t h i sw i l lf u l lu s eo ft h ea b o v e m e n t i o n e dm e t h o do fa s s e s s m e n to f f a c t o mg e n e r a t e di n t e r v a lv a l u e sa n dt h er e s u l t so ft h ea s s e s s m e n ti n t e r v a l v a l u e n l es o l u t i o np u tp r e e d i t e dp o l i c yi nt h ep o l i c ym m ，o n c et h e a b n o r m a ln e t w o r kb e h a v i o rp a r a m e t e r si nt h ev a l u eo ft h en e t w o r kp o l i c y t os e tc o n d i t i o n sf o rt h es c o p eo ft h es y s t e mw i l la u t o m a t i c a l l yt r i g g e rt h e e x e c u t i o no ft h ep o l i c y , a u t o m a t e dm a n a g e m e n tt oc o m p l e t et h en e t w o r k m a n a g e m e n ts y s t e m k e yw o r d su s e rn e t w o r kb e h a v i o r , h a r md e g r e ea s s e s s m e n t ，p o l i c y b a s e dn e t w o r km a n a g e m e n t ，e x t e m i c s i i l 2 2 1 提取用户网络行为1 1 2 2 2 用户网络行为的分析及其危害度评估1 1 2 2 3 网络行为分析和评估的结果应用1 3 2 2 4 校园网中常见的网络异常行为1 3 2 3 本章小结1 5 第三章用户网络行为危害度评价方法1 6 3 1 评估的要求及原则1 6 3 2 网络行为危害度评估模型1 7 3 3 基于可拓学的行为危害度评估方法1 8 3 3 1 可拓评价方法1 9 3 3 2 可拓行为危害度评估模型2 0 3 4 动态区间距应用到网络行为危害度评估中2 2 3 5 网络行为危害度评估方法应用2 3 3 5 1 评估参数取值方法2 3 3 5 2 常见的网络异常行为2 7 3 5 3 网络行为评估方法应用及分析3 0 3 6 本章小结3 4 第四章基于策略的决策层管理方法3 5 4 1 基于用户网络行为管理策略的决策层3 5 4 1 1 基于用户网络行为管理策略的优点3 5 4 1 2 网络安全策略3 6 4 2 用户网络行为管理策略决策层设计3 8 4 2 1 策略编辑模块3 8 4 2 2 策略存储模块4 0 4 2 3 策略管理调度模块4 l 4 3 策略冲突处理4 3 4 3 1 有效性检查4 3 i v 4 3 2 静态冲突处理4 4 4 3 3 动态冲突处理4 5 4 4 用户网络行为管理策略的决策层实现4 6 4 4 1 策略的决策层与感知模块结合4 6 4 4 2 策略的决策层与分析层的结合4 8 4 4 3 策略信息库的实现5 0 4 4 4 策略冲突处理的实现5 1 4 5 本章小结5 4 五章全文总结与展望5 5 5 1 本文工作总结5 5 5 2 进一步研究方向5 6 考文献5 7 谢6 1 读学位期间主要的研究成果目录6 2 v 硕士学位论文第一章绪论 1 1 引言 第一章绪论 据中国互联网络信息中心的中国互联网络发展状况统计报告显示，截至 2 0 0 9 年1 2 月3 0 日，中国网民规模达到3 8 4 亿人，普及率达到2 8 9 。网民规 模较2 0 0 8 年底增长8 6 0 0 万人，年增长率为2 8 9 ，随着如此巨大的网络规模和 增长速度，网络的异构性和复杂性越来越高，网络管理变得相当困难，所以很早 网络管理就以单独的学科被列出来【l j 。近几年来出现了许多研究网络管理的文 章，有些讨论了网络管理未来的发展趋势，如文献【2 】；有些讨论了现有的网络 管理模型，如文献 3 】；有些讨论了新的网络管理方式和模型，如文献【4 ，5 】。 如今研究的网络管理模型主要是基于互连骨干网，考虑的是对设备和拓扑的 管理。面对复杂的网络环境，这些模型都是从性能和设备本身来考虑网络异常， 它们在安全和性能等方面都达不到要求。在园区网中，终端用户数量非常多，用 户网络行为特征各异，为解决这些冲突，本校网络中心已经提出了新的基于园区 网用户网络行为的管理模型【6 l ，且实现了部分功能。在该模型中，用户网络行为 特征分析对网络管理中降低误报率，提高网络可用性有较大研究价值。 用户网络行为指网络运行的动态变化规律，其中，网络性能的动态变化是研 究网络行为的主要内容，网络在故障状态下的行为和网络在遭受安全攻击时的行 为更加备受关注。在网络发生故障的情况下，对资源进行合理分配和利用具有重 要意义，而对网络行为的控制能力则是网络资源策略得以实施的基础保障阴。 1 2 课题来源及研究背景 据国家互联网应急中心统计显示，2 0 0 9 年中国已经成为黑客攻击的最大受 害者，另据其发布的( 2 0 0 9 年中国网民网络信息安全状况调查系列报告显示， 我国5 2 网民曾遭遇网络安全事件，2 0 0 9 年网民用于处理网络安全事件所支出 的相关服务费用达1 5 3 亿元人民币。面对中国如此巨大的网络用户群体，且网民 安全意识普遍较低的现状，网络管理与网络安全的研究就显得尤为重要。 在园区网( 尤其是大型校园网) 中，几乎所有计算机网络的概念、软件、硬 件都在其中得以应用，可以说园区网就是一个完整的互联网的缩影。我校网络中 硕士学位论文 第一章绪论 心近年来致力于网络管理和网络安全的研究，努力为用户营造良好的网络环境， 在网络管理中引入用户网络行为分析且取得了较好的成果。在对课题进行阐述前 首先介绍校园网的特点： ( 1 ) 在持续运行时间较长的校园网中，由于更新换代或其它原因，在校 园网内有不同厂家、不同种类且数量众多的网络设备。它们采用各自的实现方 法，管理软件，完成各自的管理任务，彼此兼容性较差。 ( 2 ) 用户众多且网络需求各异。因为大学生普遍喜欢挖掘新的事物，所 以在校园网中总能出现不同种类网络应用和带宽需求使校园网面临更多的危 险。 ( 3 ) 网管软件种类繁多。随着不同时期的网络管理任务变化，多种网络 安全与管理技术的更新，校园网中研发和购买了众多网管软件，分别实现管理 各自的领域内任务。 网络管理已经成为整个网络系统运行、管理和维护的重要基础。园区网网络 管理的基本功台。v ，、1 4 是实现对组成该园区网的设备和资源进行有效管理，为网络用 户提供稳定、可靠和有效的服务，使园区的网络正常有序地运行。 现有的网络管理系统侧重于对骨干网设备和拓扑的管理，基本上没有把用户 的网络行为纳入管理模型 6 1 。本课题是对基于园区网用户网络行为的管理模型的 进一步研究，它分析了用户网络行为的特征并评估了网络行为危害度，然后提出 了评估具体用户网络行为的方法，并将用户网络行为相关数据应用到园区网的网 络管理中。 1 3 国内外研究现状 目前对于网络运行的客观规律的研究还未提出系统的概念和方法，研究网络 行为一般理解为是对网络运行规律的研究。用户网络行为研究涉及到的多个领域 都取得了不同程度的进展。研究内容可以分为以下几方面r 7 j ： ( 1 ) 行为描述：主要指如何定量描述网络行为。首先必须建立一套网络 行为的定量描述模型，然后记录行为数据，再用数学方法对网络行为及数据进 行研究并得到行为样本作为进一步研究和分析的基础。 ( 2 ) 行为观测：主要指行为样本的获取过程。通过行为观测记录下的一 个完整的网络行为就是一个理想的行为样本。通常情况下，行为观测主要是对 网络运行状态下的时间和空间的采样。一般来说，行为观测数据都是通过网络 测量来获得的，所以行为观测都存在一定的误差。 2 硕士学位论文第一章绪论 ( 3 ) 行为分析：对用上述网络行为观测得到的行为样本数据进行计算， 评估网络运行的所处的状态及网络行为变化的趋势，从而揭示网络运行的规 律。 ( 4 ) 行为监控：通过网络行为的特征来估计并识别该行为下的网络运行 状态和特征变化。通过行为监控，系统能够自动感知影响网络正常运行的异常 行为，从而收集数据作为调节该网络行为的依据。通过行为监控将实现网络运 行及管理的自动化，并且在获得网络运行数据的同时保障网络良好运行，减少 网络管理员的监控负担。 国内在网络安全和管理方面的研究起步较晚，但近几年来在这些方面的研究 比较活跃。对网络行为特征分析的研究机构主要有清华大学王继龙博士带头的网 络组【7 1 ，中国教育和科研计算机网紧急响应组( c c e r t ) ，中科院的信息安全国 家重点实验室【3 】及北京交通大学通信工程实验室等。其中北京交通大学通信工程 实验室使用自主开发的e n d a c e d a g 网络监视卡进行数据采集和行为分析【9 】。 目前国际上很多研究机构和学术团队都已展开了对网络行为的研究工作，主 要有c a d a ，i e t f 的i p p m 工作组，以及研究组织h o n e y n e t 。其中h o n e y n e t 的 研究成果能检测到新的入侵行为，采集到新的入侵行为的证据，得到一个攻击行 为的特征描述；如此详细的记录一次完整的入侵过程( 从一开始的扫描到入侵结 束) ，对网络攻击行为的进一步研究是非常有利的【5 l 。 网络行为研究主要集中在流量统计行为的研究和网络端至端性能行为的研 究【埘。在流量统计行为的研究中，从l e l a n d 等人【1 1 1 发现以太网l a b l 流量具有自 相似性质并总结其规律【1 2 】，至l j m a r ke c r o v e l l a 等发现w w w 流量具有自相似性【瑚， 并总结出网络流量自相似模型引发了一股流量统计行为的研究热潮。预测未来网 络流量行为可以监控网络状态并为网络流量提前分配资源。在网络端至端性能行 为的研究中【1 4 1 5 】，主要任务是提高所获得数据的可比性。 总之，正在进行的关于网络行为的研究主要有以下特征叽 ( 1 ) 网络行为的研究主要集中在对点到点，端对端的信道性能的研究上， 如点到点的延迟，端对端的延迟，响应时间，可用带宽，流量及信道性能等。 尚未展开对一个区域内网络行为的研究。 ( 2 ) 网络行为的研究主要集中在微观层次上。主要研究对象是网络行为 的单独特征，如研究可用带宽的具体变化过程和预测将来其可能发生的情况。 却未从整体的概念对网络行为进行分析，尚未展开对网络行为的宏观层次上的 研究。 ( 3 ) 网络行为的研究中数据采集方面的进展快于对数据的分析。由于分 析算法，数学模型和硬件的处理能力多方面的影响，网络行为分析能力的发展 3 硕士学位论文第一章绪论 远不如采集技术。 ( 4 ) 网络行为的研究中对网络行为数据分析主要集中在简单分类和应用 上。虽然也有较深层的分析，如相关的预测研究，但都没有充分利用数学工具， 仅仅使用比较简单的方法，所以结果不太理想。 综上所述，目前在网络行为研究主要是对单独性能或设备进行研究，而对整 个园区网的网络行为特征和网络行为影响机制研究较少。 我校网络中心近几年一直在做网络管理与安全和用户网络行为管理的相关 研究工作，并取得了较好的成果。如梅震琨的基于用户行为的园区网网络管理模 型的设计网；甘妙金的网络安全事件集中管理系统的设计和实现【1 6 】；程暄的基 于日志的网络入侵检测系统1 1 7 】等研究。本文是在他们已有研究的基础上分析和 评估网络行为，并将其结果应用于网络管理系统。 1 4 研究的目的和意义 用户的网络行为按照不同的分类方法，可将其分为有害的网络行为和无害的 网络行为、有意识的网络行为和无意识的网络行为、影响网络安全的行为和影响 网络性能的行为等。通过分析用户网络行为，掌握网络行为的基本特征，对网络 规划，网络安全，网络管理和新网络应用的设计等工作都有促进作用；并且从中 可以了解网络环境中的网络应用和服务的实际工作状况，了解网络系统的不足和 问题，为改进网络提供参考，从而提高网络服务和应用的效率。 对网络进行管理时，需要实时分析网络产生的数据。而网络在运行过程中， 产生的数据非常多，海量的数据不利于网络状态的分析。研究用户网络行为可以 区分各种有害的行为，无害的行为和无意的攻击行为。本文研究的主要内容是： 在检测和评估过程中，根据某个网络行为特征判断可能为异常行为的网络行为， 依次根据其他行为特征判断，直到达到判定为异常数据，再然后判断异常行为对 整个网络的危害程度，最后根据用户网络行为给出的数据触发执行预设好的策 略。从而过滤掉危害较小的行为，再根据危害度的大小对特定行为的源地址进行 查封等操作，最终实现网络管理的自动化。同时能识别无意识的攻击行为，减少 该网络行为对网络性能的影响。分析用户网络行为特征不仅可以有效地避免数据 受损，降低误报率，且对未知病毒或攻击行为有更好的防御作用，提高网络的容 侵性和可靠性，使得网络具有较高的预测性防御能力。可以较好地降低用户有害 网络行为对网络性能和其它用户的影响，提高网络管理的有效性和网络运行的安 全性、可靠性。根据网络行为参数，科学全面的评估网络异常行为的危害度为实 现网络管理的自动化提供依据。 4 硕士学位论文 第一章绪论 1 5 论文的内容和结构 本文分析了基于网络行为的管理及其研究现状，针对原有模型和系统中存在 的不足，运用相关理论和方法，结合已有的经验和知识，深入研究了用户网络行 为危害度评估方法，并将基于策略的网络管理应用于用户网络行为的网管模型 中，并解决了其中关键问题。论文主要包括下面几部分内容： 第一部分：介绍和分析了当前国内外关于本课题或相近课题的研究现状，针 对目前研究中的不足及本校校园网中的实践，提出了该研究课题，并探讨了该课 题的目的与意义。 第二部分：介绍了用户网络行为及其评价方法，策略的相关技术及理论，为 本文的研究提供了参考和依据。 第三部分：用户网络行为危害度评价方法是本文的一个重点内容，该部分在 原有用户评价子模块的基础上，提出了一种基于可拓学的危害度评估方法，并将 参数的取值定义为动态区间距形式，最后给出了评估参数的取值方法，最后利用 上述方法对校园网性能和安全影响较大的网络行为进行评估。 第四部分：基于策略的决策层管理方法是本文的另一个重点内容，该部分提 出了一种基于用户网络行为的管理策略，将基于策略的网络管理引入到用户行为 管理的决策层，对该层的主要模块做了详细分析，对关键技术和功能模块做了详 尽分析和设计。分别研究了部分模块的结合方法，以及实现策略信息库与策略冲 突中各部分的方法和算法。 第五部分：总结了本文所做的工作，展望了下一步研究的方向和未来网络管 理发展的方向。 5 硕士学位论文第二章网络管理与用户网络行为 第二章网络管理与用户网络行为 用户网络行为的分析与研究将为实现网络管理自动化提供依据和条件。本课 题研究网络行为的主要目的是更好地研究网络运行规律及发展趋势，及时识别网 络异常行为并对其进行处理，以维护网络的正常运行。本章主要研究网络管理及 其相关的模型，以及用户网络行为分析与应用的相关技术。 2 i 网络管理 网络管理主要是指规划、监督、设计和控制网络资源的使用以及规范网络的 各种活动，它的基本目标是将所有的管理子系统集成在一起，向网络管理员提供 统一的控制方式，其复杂程度取决于网络资源的数量和种类【1 8 , 1 9 。简而言之，网 络管理是通过某种方式对网络状态进行调整，使网络中的各种资源能得到正常、 高效地运行，并且在网络出现故障时及时做出报告和处理，协调、保持整个网络 的正常运行等【2 0 】。网络管理的目标是最大限度地利用网络资源，提高网络的运行 质量和效率，向用户提供优质的通信服务。 在o s i 网络管理框架模型中，基本的网络管理功能分为五个功能域，分别完 成网络管理中的不同功能，o s i 网络管理的功能域( f c a p s ) 包括 2 0 1 ： ( 1 ) 故障管理( f a u l t ) ：故障管理能使网络管理中心实时的监测到网络中 发生的故障，并能诊断出故障产生的原因和定位故障产生的位置，从而通过隔 离故障网络或排除故障来保证网络的正常运行。 ( 2 ) 配置管理( c o n f i g u r a t i o n ) ：配置管理是用来定义网络、识别初始化 网络、配置网络、控制和检测网络中被管对象的功能集合。主要功能有告警监 测，故障定位，测试，修复故障和业务恢复等。 ( 3 ) 计费管理( a c c o u n t i n g ) ：计费管理主要功能是正确收取收费网络用 户使用的网络服务的相关费用，及统计网络服务本身的利用率和核算成本等， 所以它需要记录网络用户使用网络的情况和统计不同线路、不同资源的利用情 况等。 ( 4 ) 性能管理( p e r f o r m a n c e ) ：性能管理具有监视和分析被管网络及其 所提供服务的性能机制的能力，其性能分析的结果可能会触发某个诊断测试过 程或重新配置网络以维持网络的性能。 6 硕士学位论文 第二章网络管理与用户网络行为 ( 5 ) 安全管理( s e c u r i t y ) ：一是为了网络用户和网络资源不被非法使用， 二是确保网络管理系统本身不被非法访问。主要功能有保护隐私信息，完成认 证，访问控制，保护信息的完整性等。 由于用户网络行为的研究在网络运行和安全管理中的重要性，促使提出了基 于用户网络行为的网管模型。 2 1 1 基于用户行为的网络管理 一个完善的网络管理不仅需要知道网络中发生的故障，还应对具体的网络行 为进行分析，确保整个网络正常有序地运行。基于用户网络行为的网管模型主要 任务是根据网络设备或系统中收集到的海量信息对用户网络行为进行分析。 基于用户网络行为的园区网网络管理模型框架图如图2 1 所示，列出了该管 理模型的基本组成，分为网元层，接口层，分析层，决策层四个层次【6 】。 用户网络行为管理策略 网络行为特征分析、控制，告知执行动 挖掘作生成 网管信息库 数据预处理命令格式生成 信息采集o s i 网管系统命令执行 图2 1 基于用户行为的园区网网络管理模型框架图 网元层负责采集各种网络设备或系统上的信息，这些信息将用于分析用户网 络行为，并执行上层下发给网元层各设备的命令。图2 1 中信息采集，o s i 网管 系统，命令执行等属于网元层。 接口层负责归一化网元层发来的网络管理相关信息，将网元层收集来的信息 通过格式化归一处理后成系统需要的数据类型，并将分析层传来的命令生成相应 的格式。图2 1 中数据预处理，命令格式生成等属于接口层。 分析层负责将接1 3 层归一化后的信息，进行进一步的关联，分析。按照特定 的处理过程分析不同的数据，取得并分析需要的用户网络行为参数值。这其中包 括分析各网络行为的特征及关联性，评估网络行为的危害等，并将结果发送至决 7 些策略的动作可能相互制约或者条件互相重合，从而产生策略冲突，这就需要解 决策略冲突的方法。 目前，基于策略的网络管理得到了如i e t f 和d m t f ( d i s t r i b u t e dm a n a g e m e n t t a s kf o r c e ) 等一些标准化组织以及许多学术机构和厂商的支持。i e t f 定义了策略 管理的参考模型如图2 - 2 所示，t f 定义的基于策略管理的体系结构。 8 硕士学位论文第二章网络管理与用户网络行为 图2 - 2i e t f 策略管理的体系结构图 i e t f 提供的体系结构图主要包括策略管理工具，策略决策点，策略仓库与 策略执行点四个部分阎： 策略管理工具：该部分是管理员操作整个系统的接口，网络管理员可以通过 该接口对管理策略进行各种操作，也可以通过该接口监控网络状态。 策略决策点：该部分负责做出策略决策，它通过管理存储在策略仓库中的策 略，根据已知信息与策略库中策略的信息进行比较，检测出对应策略，进行策略 冲突处理。 策略仓库：该部分是负责存储和检索策略的策略信息库。该部分包括有策略 的规则( p ) ，策略执行的条件( c ) 及执行的动作( a ) ，以及其它一些触发策略 的网络相关说明信息，可以使得管理员能够汇总信息及更精确的检索策略信息。 策略执行点：该部分是用来执行策略动作的实际设备，另外一个重要任务是 向策略决策点回馈信息，使决策点能了解更多的策略执行点的网络信息，做出更 准确的执行动作，它主要是指网络中的实际网络设备。 另外一个重要的部分就是策略相关协议，在i e t f 模型中主要推荐了 l d a p ( l i g h t w e i g h td i r e c t o r ya c c e s sp r o t o c 0 1 ) 和c o p s ( c o m m o no p e np o l i c y s e r v i c e ) 两种协议，分别作为策略访问协议及策略传输协议。 基于策略的网络管理近年来主要集中在q o s 【2 5 j 和网络安全方面的应用。如： c i s c o 推出的q p m ( q o sp o l i c ym a n a g e r ) 瞄】就是为提高服务质量的一种应用。 而锐捷网络推出全局网络安全解决方案口刁，主要是在网络安全方面的实现。 由于基于策略的网络管理方式不仅能使网络管理更加主动，灵活，而且能提 高其自动化程度，所以目前有许多研究人员在对其进行研究。这些研究主要集中 在：策略描叙方法 2 9 1 2 9 1 3 0 ，研究人员分析和比较了已经存在的策略语言及优缺 点，提出新的策略语言的工作；策略冲突检测和处理方法1 3 1 3 2 1 ，主要集中在如 9 常行为。 要将网络行为的分析结果与网络管理联系起来，主要解决以下三方面的关键 问题【3 5 】： ( 1 ) 提取用户网络行为； ( 2 ) 用户网络行为的分析及其危害的评定； ( 3 ) 将用户网络行为的分析和评定的结果进行应用。 1 0 硕士学位论文第二章网络管理与用户网络行为 2 2 1 提取用户网络行为 提取用户网络行为主要是从网络运行设备中提取有异常的用户网络行为( 本 文泛指网元层各种设备收集到的数据) ，这些数据主要是由s y s l o g ，n e t f l o w ，交 换机，路由器，i d s 等设备收集的信息记录及报警信息，也可以是网络管理员根 据系统特定需求再处理的数据，这些数据能从管理员的角度更形象地描述网络运 行的状况。这也可以通俗的理解为网络行为处理过程，也就是将取得的大量数据 信息转化为网络管理系统能够识别和利用的网络行为类型及网络行为参数。 目前，从网络行为数据中提取网络行为的方法主要有如下三种【刀 ( 1 ) 模型分析 模型分析是通过对待分析的网络建立数学模型，然后研究其网络行为。模型 分析方法一直以来就是比较系统的数学方法。通过对模型分析方法的研究都能转 变为对排队论的研究。这种方法除了对排队论的研究外，还有其它多种模型，如 p e t r i 网模型、马尔可夫链模型等。 模型分析方法的缺点：随着网络结构越来越复杂，规模越来越庞大，影响用 户网络行为的因素也越来越多，因为模型分析方法中没有与变化因素相适应的相 关理论，所以模型分析法得出的分析结果不能包括影响网络行为的所有细节，因 此该方法在分析用户网络行为上的应用不是很多。 ( 2 ) 模拟分析 模拟分析是根据待分析的实际网络，建立模拟系统，再利用系统中数据研究 用户的网络行为。 模拟分析的缺点：由于当前实际网络环境非常复杂且多变，以及网络的异构 性，要建立好一个网络的模拟系统是一个相当大的难题，所以不太现实。 ( 3 ) 测量分析 测量分析是通过测量实际网络环境中用户网络行为的变化，再来对其进行研 究的一种分析方法。测量分析主要是收集网络运行中各网络设备产生的海量数 据，然后采用统计方法分析用户网络行为中存在的规律；还可以通过测量的数据 监视网络行为的变化，感知网络运行的状态，来识别网络中存在的异常。所以目 前在用户网络行为的研究中测量分析已成为提取网络行为参数及对其进行分析 和评估等的主要途径。 2 2 2 用户网络行为的分析及其危害度评估 分析用户网络行为主要目的是更好的为网络管理提供依据，将提取的各种网 络行为参数进行关联和分析，挖掘出行为参数与异常行为之间的联系，并对网络 异常行为产生的危害度进行评估，得出该行为的危害度并给出处理该行为的措 ( 2 ) 评估方法：目前对危害评估主要有定性，定量和综合方法。如d e l p h i ， 专家系统法等都是定性的评估方法。定性分析主要是根据分析者的知识，经验， 政策的走向，业界的标准和特殊变例等资料对系统的安全状况和危害程度做出判 断的过程。这种方法虽然可以较全面和深刻地进行评估，但由于其过强的主观性， 很难保证精确性能达到要求。文献 4 l 】的概率模型，文献【4 2 】的信息熵模型等都 是定量的评估方法。通过量化的指标对网络行为危害程度进行评估，可以大大增 加评估的可操作性。定量分析方法能够使研究结果有较科学的原理，但量化的过 程常常会使事物简单化，模糊化，更有甚者导致对某些因素的误解。文献 4 3 1 的 层次分析法，文献【4 4 】的模糊评价法等都是综合评价方法，它们都较好的将主观 与客观统一起来，实现定量与定性的互补。现在评估方法的主要发展方向是利用 一定理论和方法实现从定性到定量的转化或定量与定性方法的结合。将定性与定 量方法结合的主要方式是用定性的方法描述评估要素，在此基础上将定性的描述 转化为定量的数据，从而将评估结果量化。 ( 3 ) 评估模型：基于模型的方法能使整个系统对行为的评估建立特定模型， 通过模型可以获得已经提取的行为和状态，再根据模型的分析方法进行评估。所 以在评估模型选择时也同时受评估主体与评估方法的限制。r i t c h e y 和 a m m a n n 4 5 ，4 6 提出的网络弱点模型及j a j o d i a 4 7 改进的模型，都是从主体弱点 的方面考虑评估行为的。也有从不同角度，方向，层次建立不同攻击关联性的攻 击分析模型，如攻击图，攻击树等。 ( 4 ) 评估参数的选定：评估的行为参数最好能够较全面的反映整个网络的 运行状况，且评估者能较好的把握评估参数的取值。 1 2 硕士学位论文第二章网络管理与用户网络行为 要实现网络管理的自动化，则需实时地掌握用户网络行为的定量数据。所以 最好选用定性与定量相结合的方法，最终得出定量的结果。然而用户的网络行为 的危害度研究涉及到多层次，多角度的因素，其众多数量难以准确量化，往往进 行定性分析。可拓评价方法【4 3 】不仅可以综合多层次，多角度的因素对事物进行评 价，而且具有综合利用定性和定量分析的能力，尤其是基于区间距的评价方法能 够允许相关因素取值在一定区间上变化。 2 2 3 网络行为分析和评估的结果应用 网络行为分析及评估结果只有应用到网络管理的策略中，才能根据网络行为 分析及评估结果自动触发网络管理员预先设定的策略，执行控制网络设备动作的 命令，从而能及时地处理或抑制网络异常行为，减少网络异常对网络正常运行的 影响，最终实现网络管理的自动化。本文主要是分析及评估用户网络行为，并将 结果应用于网络管理系统中。 2 2 4 校园网中常见的网络异常行为 下面介绍近年来对校园网网络正常运行影响较大的几种网络异常行为。 1 蠕虫病毒： 近年来，蠕虫病毒凭借其强大的繁殖能力，已经成为对互联网安全构成很大 威胁的网络行为之一。蠕虫不仅占用大量内存，而且向其它主机发送数据，在繁 衍过程中发送大量的数据包，消耗网络资源，引起网络拥塞【4 9 l 。目前有大量研究 人员对它进行研究，已经有人总结出蠕虫几个繁衍过程中的行为特征【5 0 】：1 ) 网 络行为具有相似性。2 ) 网络行为具有连续性。3 ) 网络中存在不可达的连接。如 图2 3 一个蠕虫病毒的记录图所示，所有数据连接特征都是从一个点出发，去试 图连接与之相连接的多个点。 匪耍篓受焉薹薅蒸赢蚕孬戛蒌磊燕i 一阿籍蔫鞭酉甄鄹 | ：菇鑫菡茹函茹蔷茹器函盏嘉0 盏蛊蔷：盎；| ；盏；翟蟊茹茹盏蟊：玉盏刍盏二茹螽茹薯盔茹茹盏茹裔蔷盏l _ _ 严茹茹砖锌新葫赫醛“葫“猛盗耐舔 图2 3 一个蠕虫病毒记录图 1 3 硕士学位论文 第二章网络管理与用户网络行为 2 d o s 攻击： 拒绝服务攻击是一种技术含量低，但攻击效果明显的一种攻击方式，近年来 成为常见的网络攻击行为【5 1 1 。实际上许多其它的网络异常行为最终都可以归结为 拒绝服务行为。这种攻击主要依靠消耗网络带宽或系统资源，导致网络或系统不 胜负荷以致于瘫痪而停止提供正常的网络服务或更改系统配置使得系统无法正