（计算机软件与理论专业论文）校园网用户行为提取和分析技术研究.pdf

摘要 摘要 随着校园网规模的不断扩大和网络应用的日益开展 校园网安全性的管理变 的复杂 同时对网络管理员的要求越来越高 校园网的安全管理和稳定运行已经 成为计算机网络领域备受关注的问题之一 从校园网体系结构来看 校园网安全威胁有来自外部的 也有来自内部的 这就意味着要改进现在广泛使用的网络安全防范技术 不仅要防外 还要管内 也就是说 在挡住外界攻击的同时 也应该强化对内部网络安全性的检查 防火 墙和入侵监测系统可以阻止来自校园网外部的安全威胁 但是 对于来自校园网 内部的安全威胁 还没有一个可行成熟的解决方案 校园网是一个开放性的网络 用户可以随时通过校园网中的任一信息点接入 网络 当用户接入校园网后 此用户上网行为可以通过其网络流量数据以及网络 设备的状态数据表现出来 我们称这些数据为网络运行数据 所以 为解决来自 校园网内部的安全威胁 本文提出了一个通过提取运行数据 分析用户行为来发 现异常的方法 在采集网络运行数据的基础上对用户行为进行提取和分析 把用户行为分为 正常用户行为和异常用户行为 给出了相应的方法和识别机制 实现了对异常用 户行为的分析 通过实验 证明本文提出的方法和机制是有效的 能够通过运行 数据感知网络的状态 本文研究题目的选择是以北京市科委科技项目 校园网可信运行保障系统研 究 为主要背景 校园网可信运行保障系统目标是研究网络状态的感知技术 网络威胁 的评估技术 以及协同网络设备和网络安全设备的处理和控制能力以应对网络异常事 件 在可信运行架构下研究校园网的可用性以及可维护性 在国内尚属首次 关键词用户行为 n e t f l o w s n m p m y s o l a b s t r a c t w i t ht h ee n l a 唱i n go fm ec 枷p u sn e t w o r k m o r e 柚dm o r en e t w o r k 印p l i c a t i o n sa r ed e p l o y e d t h es e c u r i t yo fc 锄p u sn e t v o r ki sac h a l l e n g eo fn e t w o r km a n a g e m e n t 卸dt h er e q u i r e m e mo f n e t w o r ka d m i n i s n 钒o r sa b i l i t yi sb e c o m i n gh i 曲e ra n dh i 曲e tt h es e c u r 时m a n a g e m e m 锄d s t a b i l i t yo f0 p e r a n o ni nc a i n p u sn e t w o r k l a v eb e e no n eo ft h eh o ti s s u e si nr e s e a r c h 锄di n d u s t r y n e l d b yo b s e r v i n gf r o mt 1 1 ec a m p u sn e t w o r ki n 疗a s t n l c t u r e t h es e c u r t yt h r e a t sc o m ef r o mb o t l l i n s i d e 柚do u t s i d eo ft h en e t w o r k i tm e 绷st h a ti fw ew a n tt oi m p m v et h es e c u r t yd e f e n c e w e m u s tn o to n l yc o n s i d e ro u t s i d eo ft i l en e t w o r kb u ta l s of o c u s0 ni n s i d eo ft h en e t v o r k w bm u s t r e s i s tt h e 甜a c k st h a tc o m e 肋mb o t ho u 确d ea i l di i l s i d e w ec a nd e p l o yn r e w a l la n di d s i n t r u s i o nd e t e c t i o ns y s t e m a tn e t w o r kb o r d e rt os t o pt l et h r e a tf m mo u t s i d e t bt h e i n s i d e s e c u r j t yp r o b l e m s i ti ss t 川a no p e ni s s u e t h e r ei s n taf c a s i b l es o l u t i o na tp r e s e n t c a r n p u s n e t v o r ki sa n o p e ns y s t e m a n du s e r sc a i lc o n n e c tt on e t v o r k t h r o u 9 1 1a n y i n f o n n a t i o np l u g si nt h ec a m p u s w h e nau s e ri so n l i n e t h eu s e r sn e t w o a c t i v i t i e sw i l lc a u s et h e c h a n g e so fn e t w o r kn o wd a t ao rs t a t u so ft h en e t w o r kd e v i c e s w h i c hi sd e f i n e da sn e t w o r k o p e r a t i o nd a t a u s e rb e h a v i o ri m p l e di nt h e s ed a t ac a i lb er e p r e s e n t e db yd a t aa n a l y z i n g a n a p p r o a c hi sp r 叩o s e di nt h i sp 印e r t 0e x 打a c ta n da 工l a l y z eu s e r b e h a v i o u r 丹o mn e 觚o r ko p e r a t o n d a t a 1 nl e m so fs t u d i n go nn e t w o r k 叩e r a t i o nd a t ai nt h i sp a p e lu s e rb e h a v i o r i sd i v i d e di n t 0t w o c a t e g o r c s t h en o m a j b e h a v i o ra n da b n o r m a l b e h a v i o ra 1 1 dt h ec o r r e l a t i n gm o d e l sa 1 1 dd e t e c t i n g m e t h o da r eg i v e n t h er e s u l to ft e s ts h o w st h a tt h ea p p r o a c hi sh e l pt ob ea w a r eo ft h en e t w o r k s t a i i l sa i l dr e l a t e dt h eo p e r a t j o nd a t aw 油t h ea n o m l a l yn e 附o r ka i v i t i e s t h ei e s e 哦ht o p ci nt h i sp 印e rc 0 i n e s 如m1 d s s c no h s t e do p e r a t i o ns 疵g u a r ds y s t 哪f o r c a m p u sn e t v o r k p r o j e c tw h i c hi sf h n d e db yb e u i n gm u n i c i 叫s c i e n c e t e c h n o l o 甜 c o m m i s s i o n t h e0 b j e c i j v eo fm e t o s s c n 刚e c t i s t 0d e v e l 印a m e 吐m j s l l l 删c hc a n m a k eu s eo f m a n a g e a n d c o n l m l c 甲出i 吣o f l l 帆v 0 r l d 刚c e sa n ds e c 吲l y d e v i c e s 哑蛐h t o i 赋p 妇 c w 讲k a v a i l a b i l 时 a n d m 出蛐n 虹t 0 s s c n 删e c t i s 怕唧a s t h e 丘r s t 螂t 0a d 血s sm e 仇 s 耐0 p e 枷 i s s l c s i na 啪d u sn 武w o i nc h 抽乱 i l i j 京工数大学工学骚 学缱论文 k e y w o r d 8u s e r b e h 州 o r n e t f l o w s n m p m y s q l i v 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果 尽我所知 除了文中特别加以标注和致谢的地方外 论文中不包含其他 人已经发表或撰写过的研究成果 也不包含为获得北京工业大学或其它教育机构 的学位或证书而使用过的材料 与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意 签名 刍堑叁氐签名 兰生 氐 关于论文使用授权的说明 日期 1 生竺 本人完全了解北京工业大学有关保留 使用学位论文的规定 即 学校有权 保留送交论文的复印件 允许论文被查阅和借阅 学校可以公布论文的全部或部 分内容 可以采用影印 缩印或其他复制手段保存论文 保密的论文在解密后应遵守此规定 签名 量4 叁吏 导师签名日期 枷口二f 口 1 1 研究背景 第1 章绪论 关于校园网的安全管理 业界一直把注意力放在边界网络上 但是 据权威 机构调查显示 在目前的网络环境中 8 0 的攻击是从网络内部发起的 大量的 蠕虫 病毒和木马 随时可能通过用户主机进入校园网 给校园网络带来极大的 危害和破坏 例如 冲击波 和 震荡波 它们的破坏性极大 一旦在网络中 开始传播 便很快吃掉大量网络带宽 甚至造成网络拥塞 部署功能强大的边界保护 是确保网络安全的一部分 只能解决来自网络外 部的安全威胁 并不能解决来自网络内部的安全威胁 校园网在向学生 教师 l 临时人员以及其他用户提供访问权限的同时 也给自身带来被攻击的可能 为抵 御来自校园网内部的安全威胁 研究用户行为以及用户行为的安全性是绝对必要 的吼 一直以来 来自校园网内部的安全威胁是靠网络管理员人工解决的 这种方 式具有被动性和滞后性 当校园网中出现安全事件后 通常的解决方法是 网络 管理员根据网络配置和自己的经验 甓录到网络设备上追踪威胁源 然后进行安 全访问控制 如今 校园网的设备类型多样 而且所属厂商多种 随着校园网规 模的不断扩大 网络配置也越来越复杂 所以 进行网络安全管理 延迟越来越 人 对网络管理员的要求也越来越高 而且 大多数新型的蠕虫或病毒传播速度 极快 在网络管理员做出反应之前 网络可能已经遭到破坏 随着人工网络安全管理可行性的降低 提出自动网络安全管理的方案 本文 研究题目的选择 以北京市科委科技项目 校园网可信运行保障系统研究 为主要 背景 校园网可信运行保障系统是为了自动抵御来自校园网内部的安全威胁而提 出的 主要包含以下三个方面的内容 1 校园网用户行为提取和分析 2 当前网络状态的后果预测 即威胁评定 3 快速策略部署 限制威胁扩散 校园网可信运行保障系统 首先采集网络设备n e t f l o w 数据和m m 库数据 校园网可信运行保障系统 首先采集网络设备n e t f l o w 数据和m i b 库数据 北京工业犬学工学硕士学位论文 迸彳亍用户行为提取和分析 然后协同网络蜜全设备及网络震全服务器日志 对当 前网络状惑的后果进行预测 最后自动响皮可疑的网络行为 限镬 威胁扩数 校园网可信运行保障系统把网络设备与网络安全管理联系了越来 在传统的 嬲终安全瓣决方案孛 嬲终安全警疆主要是鼗署掰络安全设备 搦茨火墙 国s 等 网络设备只是实现网络甄连 没有考虑其在网络安全管理中的作用 在校园 隧褥信运雩亍缳簿系统中 逶过霹鄹络设善遮嚣数攒翡采集 对孺户彳亍隽提敬 耱安 全性的分析 实现网络安全自动管理 把网络设备与网络安全管理联系了起来 本论文研究鹣内容是校蘑随蔫户行为摄取和分析技术 属于 校园耐w 信运 行保障系统研究 项目的予课题 1 2 国内外相关研究现状和发展趋势 为抵御来自网络内部的安全威胁 很多厂商已经开发出了很多成熟的网络波全产 品 举铺如下 c t 搀c kp o i m 公司提出了1 氆a la o c e s sp l 哦 d 7 憾p 毙渲妨阅裸护 冀包含 砷醚 p 吐和 鲥缈 既s p 耐是专门为解敬来自网络内部的安全威胁开发的 由于 琢斓删耀荧检澳燃个网终黝滚量 掰苏它霹以撞获菸它技7 l 无法捡裘或隈杀掰邃移 动的蠕虫 实际上 轴觚p e c t 可以阻止未知攻击 除智能隔离和网络区域分段以外 殛娴戆将徭就怒先发压拳l 久浸 舻舷力 醚醛p 哦胃疆舔器至l 溺终的不雾獭 置 以满足客户的不同要求 此外 它可以将网络分为多个褒全分段 以控制区域之间的访 璃稀遘讯 为防止降 蕺两络鹣安全往 毹 p 鳅将试黼访问网络的受感染系统进行隔 离 还可以程采取 救措施之前将受感染的设舞隔离和转移风除 除了轴列瓣t 的入 侵僳护 分陵和隔离能力以外 由 啦时所提供的终端安全 最大限度地降低了受感 染黪p c 获褥访闼网终豹权限熬可能黢 连接至g 鼹络静每套诗冀 穰 每鑫员王或者客户 都必须达到r r 安全策略定义的安全级别 4 悉辩公司疆毒 瓣辩鑫魏褥霜络凌疆 梵酸 蓦莛分为三令除菠 魏表i 获涿 表1 1 思科自防御战略 骶l lc 汝 辩搽d e 向她瑗脚耐敷妞魅c 第 阶段 集成纯安全第二阶段 协柞式安全第三阶段 翻适应威胁防御 2 0 0 0 年启动2 0 0 3 年启幼2 0 0 5 年3 月启动 安垒功8 l 被沲嵌予舞绕组l 孛之鼗尺式安全功能在瓣络中建立隔络获得保护稼个分缓和每个 中 例如交换机和路由器黻 并被拓展到劂络终端数据流的能力 从源头带叽上攻击 第1 章绪论 目前 第一阶段和第二阶段已经完成 第二阶段的n a c 网络准入控制 完整版于前 几个月已经推出 n a c 的解决方案如下 在客户端安装客户端软件口 a c i s c 0t m 吼 a g e n t 对上网机器进行实时状态监控 如果状态正常 如病毒库为最新版本 没有被网 络蠕虫感染 则允许其接入网络 否则 对其进行隔离处理并通告隔离原因翻 在思科提出自防御战略的同时 微软也提出了n 曲v o i k a 脚s sp r 咖d n a p 网 络接 保护 问 其基本思想是通过验证计算机是否与预设置的安全策略相符 从而监 测和控制相关的网络访问 网络访问策略由网络管理员直接定义 并通过 个中央 策 略协调服务器 来管理 其主要的目标是针对病毒和恶意程序 通过监视网络内所有机 器是否打安全补丁 病毒库是否更新等方法 确保网络和计算机的安全 受到感染或没 有更新安全补丁的计算机将被隔离 直到系统修复后才获准接入网络 思科公司和微软公司为了提高彼此安全架构的兼容l 生和互操作性 于2 0 0 4 年1 0 月 1 8f j 联合声明 在网络安全架构方面 它们将成为合作伙伴 思科自防御战略的第三阶段 在保护每个分组和数据流方面 思科取得的一项关键 成果是思科安全监控分析和响应系统 c s m a i 氇 网 c s m 懈可以实时地h 每个网 络组件 主机日志和t c p u i p 连接 数据流 搜集关键事件数据 它随后会将这些 数据关联到 起 并与企业安全策略相联系 以确定每个事件是否合法 c s m r s 还 可以充当一个c i s c 0n e t i 砧w 搜集引擎 n g 唧o w 是c i s c o1 0 s 软件的 项功能 可以计 算每个数据流中的分组 从而帮助网络操作人员迅速地确定流量模式和统计网络资源的 使用率 c s m a r s 可以利用n 印l a w 计数功能 发现某个流量急速增长的端口 分组 数是c s m f 蟠制定决策所采用的变量之一 随后c s 小4 a r s 将根据其他数据 例如入 侵防御签名和防火墙日志 判断某个设备是否正在遭受攻击 国内厂商神州数码提出了d 2 s m p d i s t r i b u t c dd o m a i no f s e c u r i t ym a l l a g e m e n t p o l i c y 分布式安全域管理策略 8 它是采用集中式的管理 同时进行分布式 安全策略部署 能够对用户行为进行精细化的管理 保证实现安全通信 全面用 户行为的解决方案 使用于政府 教育 公检法等所有的客户 同时能够给客户 带来移动性 在保证安全的特性上具有移动的特性和非常方便管理的特性 这一 解决方案是由一系列产品构成的 包括安全认证服务器 安全特性交换机 i p s 系统 客户端软件等等一系列安全产品组成的 可以根据用户的地理位置 用户 账号属性 网络使用目的等多种特性划分不同逻辑安全域 不同安全域的身份可 北京工业大学工学硕士学位论文 以得到各种各样的权限 国内网络安全界在2 0 0 4 年提出了 可信网络架构 的概念 所谓的可信网络架构 野哑e d n 吣 谢 加幽t e c 蛐t n a 巴黾一州瞪过对现有网络安全产品和网络安全子系 统的有效整合和管理 并结合可信网络的接入控制机制 网络内部信息的保护和信息加 密传输机制 实现全面提高网络整体安全防护能力的可信网络安全技术体系 该体系主 要通过有效整合 管理与监管网络安全资源 达到有效提升用户网络安全防御能力的目 的 其主要的局限性在于只强调网络安全资源的整合 忽略了网络连接设备在网络安全 控带帅管理中发挥的重要作用 在学术界 探讨抵御来自内网安全威胁的解决方案也是热门话题 如基于全网考虑 的分布式安全威胁检测方案 基本思想是实现网络安全必须从全网考虑 网络是用户 服务器及各种应用服务通讯的基础 为了提供良好的网络环境 确保全网安全是必需的 此方案介绍了威胁 釉方法并详细设计了分布式的网络监测和威胁检测系鲥埘 可以通过分析用户行为检测安全威胁 如基于用户行为的可视检测方法 主要思想 是把安全事件联系起来 用图来表示各个安全事件的关系 以更准确判断用户行为的安 全世 1 3 主要研究内容 本文主要研究校园网用户行为提取和分析技术 用户访问网络的所有数据都 流经网络设备 所以 用户行为的特征一定可以在网络设备上得到体现 进行用户行为提取首先是数据源的确定 在网络设备中可以提取的数据有 n e t f l o w 数据和m i b 库数据 本文称之为网络运行数据 到底在哪里提取n e t f l o w 数据及提取哪些m i b 库数据是需要研究的 其次 研究把所采集的数据按什么 方式存储及按什么格式存储 接着 根据所采集的数据进行用户行为分析 需要 研究分析方法 制定分析方案 并对分析结果进行实验验证等 最后 需要把有 异常行为用户的i p 地址及其所对应的数据输出 供其它子系统的做进一步分析 归纳起来 本文的主要研究内容有 1 数据采集 主要采集分布层设备的n e t f l o w 数据和接入层设备的m i b 库 数据 2 数据存储 在m y s q l 数据库中建立存储n e t f l o w 数据和m i b 库数据的 第1 章绪论 表 并且实现数据存储 3 数据分析 对数据库中的数据进行分析 提取具有安全威胁的用户行为 4 数据输出 如果异常用户行为引起所接入的接入层交换机状态的变化 则输出设备异常信息和异常用户行为对应的n e t f l o w 数据 如果异常用 户行为没有引起所接入的接入层交换机状态的变化 则直接输出异常用 户行为对应的n e t f l o w 数据 本系统的输出数据为威胁评估系统提供依 据 第2 章网络安全基础 第2 章网络安全基础 2 1 校园网安全问题 随着校园网规模的不断扩大 校园网的安全管理成为热点问题 过去 校园 网规模较小 网络应用简单 内部安全事件较少 网络管理员可以很容易地进行 安全监控及人工地进行安全访问控制 现在 校园网规模变得很大 信息点个数 上万 网络设备品种多样 网络应用复杂 在校园网给人们带来便捷的同时 也 产生了大量的安全问题 而且这些安全问题对网络的破坏力越来越大 破坏速度 也越来越快 使网络管理员靠人工进行安全访问控制不再可行 按照对校园网流量的影响 可以把安全问题分为不影响网络流量的安全威胁 和影响网络流量的安全威胁 不影响网络流量的安全威胁是指不会影响网络的可 用性 不会引起网络数据流量的异常变化 如特洛伊木马 1 2 l 间谍软件 或广 告软件 等 虽然对客户端存在很大威胁 但是不会影响网络的流量分布和其 它网络应用 本文主要研究影响网络流量的安全威胁 即一旦网络中发生此种威胁 则必 然引起网络流量的显著变化 甚至可能会导致网络拥塞 严重影响网络的可用性 校园网中 常见的影响网络流量的安全威胁主要有 1 扫描 2 蠕虫 3 拒绝服务 d o s 和分布式拒绝服务 d d o s 攻击 4 各种原因引起的广播风暴 扫描包含 个终端扫描一个i p 地址块和一个终端依次扫描目标主机的所有 端口号 有很多攻击行为都是利用扫描探测目标主机漏洞的 例如 探测漏洞的 一个典型行为是 先扫描一个地址块来探测目标主机的存活 然后依次扫描存活 主机的端口号 根据开放端口号可以得到目标主机开放的应用 接着查询此应用 存在的漏洞 并依据漏洞对目标主机发起攻击 显然 如果目标主机没有安装针 对此漏洞的补丁 则必然被攻击成功 常用的扫描i p 地址的方法是向目标主机 发送i c m pe c h o 若目标返回i c m pr e p l y 则目标存活 常用的扫描端口号的 北京工业火学工学硕士学位论文 方法是向目标主机的指定端口号发送t c ps y n 若目标返回t c ps y n a c k 则 对应的目标端口开放 由此可知 当扫描发生时 在网络中会产生大量的流量 严重浪费网络资源 当扫描规模大到一定程度 严重影响网络的可用性 l 纠 所 以 在校园网中 扫描应该被严格控制 蠕虫是一段可执行代码 一旦网络中的一台主机受感染 则可能很快扩散到 整个网络 如同传染病的肆虐传染一样 蠕虫有三个模块组成 传播模块 隐藏 模块和目的功能模块 传播模块负责蠕虫的传播 隐藏模块负责隐藏侵入主机的 蠕虫程序 防止被用户发现 目的功能模块实现对计算机的控制 监视和破坏等 功能 蠕虫开始传播时需要判断其它计算机是否存在 判断特定应用服务是否存 在 判断漏洞是否存在等等 这不可避免的会产生附加的网络数据流量 同时蠕 虫副本在不同机器之间传递 或者向随机目标发出的攻击数据都不可避免的会产 生大量的网络数据流量 即使是不包含破坏系统正常工作的恶意代码的蠕虫 也 会因为它产生的巨量网络流量 导致整个网络拥塞甚至瘫痪 严重影响网络的可 用性 16 近年来 关于蠕虫的报道很频繁 而且破坏性越来越大 如在 冲击 波 和 震荡波 蠕虫发作时 迅速波及全球 造成上于万台服务器停顿 大量 主机无法上网 而且这两只蠕虫变种速度极快 变种的破坏力更强 在校园网中 应该严格监控蠕虫的发作 尽量减少损失 拒绝服务攻击 d o s 是攻击者消耗掉系统资源 使网络 系统或服务不可 用 导致正常的用户服务无法进行 d o s 攻击容易部署 而且破坏性极大 所以 需要引起网络管理员关注 常见的d o s 攻击如p i n g 攻击 s y n 洪泛和电子邮件 炸弹等 p i n g 攻击是修改包头i p 部分 声明含有比实际数据多的数据量 引起 接收系统崩溃 s y n 洪泛是向网络设备或目标主机请求大量的t c p 会话 造成 其他人无法建立t c p 会话 电子邮件炸弹是向个人 列表或域发送大量的垃圾 邮件 耗尽邮件服务资源 1 7 威胁性更大的另一类拒绝服务攻击是分布式拒绝服务攻击 d d o s 它的攻 击手段和d o s 类似 但是不只是一个攻击点 而是成百上千的攻击点协作攻击 同一个目标 大量的伪造数据涌向目标 导致正常的数据被丢弃或直到目标主机 崩溃 1 8 当校园网中发生拒绝服务攻击时 网络流量剧增 网络带宽被大量占用 受 第2 章网络安全基础 攻击的应用服务不可用 严重影响校园网的可用性 所以 严格控制拒绝服务攻 击的发生是必须的 当主机系统响应一个在网上不断循环的报文分组或者试图响应一个没有应 答的系统时就会发生广播风暴 一般为了改变这种状态 请求或者响应分组源源 不断地产生出来 常使情况变得更糕 随着网络上分组数目的增加 拥塞会随之 出现 从而降低网络的性能最终使之陷入瘫痪 例如 一些比较流行的网络病毒 f l h l l o v e 震荡波 r p c 等病毒 一旦有机器中毒 会立即通过网络进行传播 网络病毒的传播 会损耗大量的网络带宽 引起网络堵塞 引起广播风暴 1 9 以上的安全威胁都会导致网络数据流量的变化 影响网络的可用性 而现有 的网络安全设备如防火墙 i d s 等虽然能够对已知的上述异常做出反应 但是对 于新出现的威胁很难做出及时正确的反应 通过分析网络数据流量中包含的信息 可以感知安全威胁 在进行流量分析时 也许并不能确定具体的攻击类型或攻击 手段 但是 可以根据流量变化的异常感知网络中可能存在安全威胁 2 2 校园网安全管理 以前校园网的安全管理 主要是强调网络安全设备和网络安全服务器 通常 的安全架构是在边界放置一台性能强大的防火墙 把防火墙划分为三个不同安全 级别的区域 o u t s i d e 区域接i n t e m e t i n s i d e 区域接校园网 d m z 区域放置应 用服务器和安全服务器1 2 应用服务器有w 曲服务器 邮件服务器 视频服务 器等 安全服务器有防病毒服务器 自动打补丁服务器 认证服务器等 为了进 一步增强入侵抵御能力 还可以部署入侵保护系统 i p s 防垃圾邮件网关 即 时通讯网关等 这样的网络安全架构足以使校园网抵御来自外界的大部分安全威 胁 但是 对于来自校园网内部的安全威胁 却无能为力 所以 抵御来自校园网内部安全威胁 只能靠网络管理员人工干预 当在网 络内部发生安全事件后 网络管理员凭经验根据现象判断安全事件发生的原因 然后登陆到网络设备上配置相应访问列表保证校园网的可用性 这种单纯的人工 处理方法存在以下缺点 1 晌应缓慢 当快速传播的蠕虫开始肆虐时 网络管理员根本来不及响应 2 配置复杂 网络管理员需要熟练掌握校园网中多种厂商网络设备的配置 北京工业大学工学硕士学位论文 方法 能够准确定位威胁源及正确配置访问列表 3 静态性 为解决安全威胁 网络管理员所配置的访问列表是静态存在的 不能够在威胁消失后自动取消 针对人工处理的以上缺点 有必要设计一种自动感知来自内部安全威胁的解 决方案 一直以来 网络设备完成的任务只是最大限度地实现网络的连通性 没 有考虑其在网络安全管理中的作用 因为所有的网络数据都要经过网络设备 所 以提出 通过采集网络设备运行数据 研究感知网络安全威胁的方案 2 3 本章小结 本章简述了校园网安全威胁及存在的安全管理问题 并提出研究网络设备自 动感知网络安全威胁的必要性 下一章将介绍网络运行数据的采集 第3 章网络运行数据 第3 章网络运行数据 网络设备有管理信息库 m i b 通过简单网络管理协议 s n m p 可以实 现对m i b 库数据的读取 思科网络设备支持n e t f l o w 功能 在l i n u 平台部署 c f l o v d 可以实现对n e t f l o w 数据的采集 本文采集网络设备的m i b 库数据和 n e t f l o w 数据作为网络运行数据 实现用户行为的提取和分析 3 1 b 库数据 3 1 1 简单网络管理协议 简单网络管理协议是一个帮助网络设备之间交换管理信息的应用层协议 目 前有三个版本 分别为s n m p v l s n m p v 2 和s n m p v 3 其中s n m p v l 和s n m p v 2 已经成熟 s n m p v 3 阻2 2 还在发展中 31 1 1s n 忡v 1 的工作原理s n m p 网络管理包含两个部分 s n m p 管理系统和 s n m p 被管理系统 如图3 1 所示 图3 1s n m p 管理模型 f i g u r e3 ls n m pm 8 1 1 a g e m e n tm o d e l s n m p 管理系统通常是一台安装了网络管理软件的计算机 可以显示所有被 管设备的状态 通常被称之为网络管理系统 n m s 而s n m p 被管理系统则种 类繁多 包括交换机 路由器 防火墙以及服务器等等 被管设备上的管理软件 北京工业大学工学硕士学位论文 我们称之为代理进程 a g e m 用于执行n m s 的指令 2 3 s n m p v l 消息的格式包含两部分 消息头和协议数据单元 p d u 基本的 s n m p h v l 消息格式如图3 2 所示 r 一 r 一 消息头 p d u 图3 2s n m p v l 消息格式 f i g i l r e3 2s n v 1m e s s a g ef b m a 乜 s n m p v l 消息头包含两个域 版本号和团体名字串 版本号指定所使用s n l 协 协议的版本 团体名字串为一组n m s s 定义访问环境 不知道正确团体名字串的 设备不被允许执行s n m p 操作 s n m p 协议有五种协议数据单元 p d u 和四种基本操作 五种协议数据单元分别为 1 协议数据单元g e t r e q u e s t 用于管理进程向代理进程请求一个或者多个 m i b 参数值 这些参数值均在管理信息库中被定义 2 协议数据单元g e l n e x t r e q u e s t 用于向代理进程请求当前参数的下一个 参数值 3 协议数据单元s e u 妯q u e s t 用于请求代理进程为m i b 参数赋值 4 协议数据单元蛳r e s p o n s e 代理进程对以上三种操作的响应数据单元 5 协议数据单元t r 印 代理进程主动向管理进程发送的数据单元 用于通 知管理进程某种特殊事件的发生 前三个协议数据单元是管理进程向代理进程发出的 后两个协议数据单元则 是代理进程向管理进程发出的 其中除了t r a p 使用u d p 协议1 6 2 号端口外 其 余四个均使用u d p 协议1 6 l 号端口 管理进程和代理进程之间利用这五种协议 数据单位进行通信 四种基本操作分别为 1 g b t r e q u e s t 操作 2 g e t n e x 仅e q u e s t 操作 3 s e t r e q u e s t 操作 4 t r 印操作 具体的操作过程如图3 3 所示 第3 章网络运行数据 5etreqll ii ji冲 n htitreq ii j 冲 seteeq i 眸 h r j 豪工擅夫学工学磺 学位论文 义了一个支持m i b i i 的远程脏控管理信息库 它把管理系统需要的统计 数据在代理蠛簸瞍集起来 减少了嚣考之瓣豹逶售滤爨 3 1 1 38 n m p v 3 的新增特征s m 艚v 1 和s n m p v 2 版本的最大缺陷就是翻体名字 串采用明文传输 一凰有人得到团体名字串 则可用它来获得网络上相关设备的 售患 或修改配置甚至楚荚捧设备 姒醚p v 3 懿撼爨慰 洽埝是镑砖安垒蛙撼滋匏 而且s n l 咿v 3 支持s n m p v l 和s n m p v 2 所有的操作 并且没有增加新的操作 只是在文本的表示方式上更加安全和准确 但s n m p v 3 还不是一个完整的标准 强翦只鸯缀少的裁造麓提供支持s n 御v 3 豹弱络产爨 因懿s n 犍艮3 还露特遴 一步研究和完善鲫 如图3 4 是s n m p v 3 的体系框架 在s n l 憎v 3 中 管理代理和管理器被称为 s n m p 安然 每个实体惫摇一令s n m p 零l 擎襄一个或多个s 挺m p 痤廷程澎 脚娜囊林i 轴榔戳擎l 镬囊程謦耩蠢整莲警蒸蜜垒子煮簸薅糍燕剿子鬟 筑蔬 躐滋鳓 i 蚺蜘嚣lj 潺辩捺般 i 悯转黼l 鬻每璃斑爨 溅翔声燕攀 蓑窀 图3 4s h m 帆3 的体系椴架 f g u 撑3 4s n m p v 3s y s 钯mf 糖m e w o f k 溅凇弓 擎包含 1 调度程序 它熊赏发送和接受消息 根据报文的版本来交给不同的消息 处理予系统模块 当接收到消息时 调度程序试图确定该游息鲍版本号 然藤把该清怠传递给适当瀚消息处理模黧 2 消息处理予系绕 根据版本的不同来对消息进行处理 系统由一个藏多 个溜感处理模块缀成 如图3 5 豚示 整零了一个消慰处理予系统 它 镪禽了s n 凇v l s n m p v 2 s n m p v 3 和疑经内容的支持模块 第3 章网络运行数据 图3 5 消息处理子系统 f i g u r e3 5m e s s a g ep r o c e s s i n gs u b s t e m 3 安全子系统 提供了验证消息和加密解密消息的安全服务 安全子系统 支持基于s n m p v 3 用户的安全模型 基于s n m p v l s n m p v 2 和s n m p v 3 团体名字串的安全模型和其他安全模型 s n m p v 3 推荐使用基于用户的 安全模型 4 访问控制子系统 访问控制机制决定是否允许对某一本地m i b 管理对象 的访问 访问控制机制的安全功能是针对s n m p 的p d u s n m p 应用程序包含 1 命令生成器 c o m m a i l dg e n e r a t o r s 生成收集或设置管理数据的s n m p 命令 如产生g e t g e t n e x t g e t b u i k s e tr e q u e s t 和处理r e s p 叫s er e q u e s t 2 命令响应器 c o m m a l l dr e s p o n d e r s 提供对管理数据的响应 如响应g e t g e t n e x t g e t b u l k s e tr e q u e s t 3 通知产生器 n o t i f i c a t i o no r i g i n a t o r s 初始化t r a p 或i n f o m 消息 4 通知接收器 n o t m c a t i o nr e c e i v e r s 接收并处理t r 印和i n f o r r n 消息 5 代理转发器 p r o x yf o 州a r d e r s 负责转发各实体间的消息传送 3 1 2 管理信息结构 管理信息结构 s m i 是s n m p 网络管理框架的重要组成部分之一 它定义了 s n m p 框架所用信息的组织 组成和标识 它还为描述管理信息库 m i b 对象和 描述协议怎样交换信息奠定了基础1 2 引 s m i 的一个基本用途就是定义s n m p 使 用的管理对象 按照s m i 定义的s n m p 管理对象都具有3 个属性 名字 语法 和编码 名字 每一个管理对象都有一个唯一的对象标识符作为其名字 语法 每 个管理对象的抽象数据结构用抽象语法表示法来定义 j l 哀工娃大学工学矮士学燕论支 编硒 管理对象的实例也用抽象语法袭示法编码 发送和接收韵包含管理对 象馕的协议报文溺基本编硝瘸掰来定义 s 糕标溱规定必矮使焉l s o 豹藕象语法a s n 1 a b s 骶e ts y l 姻 n o 镰娃o ni 来 定义秘粤l 用m 璐变量 宅霹以燎确翳 纛霆复豹表零任意交鬟 弊霹激转换残 摄文中使用的基本编码靓则 b e r 绽璐形式 3 1 2 1 管璞对象的标识s m l 中详细定义了m i b 瘁的缎织结构 如图3 6 艇示 7 1 雠连k o 括o 1 j o 妇 i 舯 c d 娃 2 埘g 3 l d o d 砷 i n f 州1 一 r d 瞅 盯y 1 m 蚪i t 2 幅弭d m e 嘛l 3 埘 喇 l m f h t 1 p 妇 1 图3 6 m i b 库组成结构 f i g u r e3 6s t m c t u r eo f m i b 为了读取醚 转痒审豹辩象 s 0 和c e 疆t 提供了一个全褥命名树 为需要 翕名翦对象分聚禽名楗下螅 个节点 s 删p 熬设计者镬蠲全餍佘名树来为管理 对象命名 实际上是让罄理慰象成为全局愈名樾豹一擐予楗 这攥予楗邋豢豁为 m i b 树 s m l 采用了和d 咐s 中名字空间棚类似的方式寒表示管理对象的名字 s m i 为m i b 树上的每个节点分配一个数字标识 同时为了便于理解和记忆 又为各 节点提供了一个文本方式的对象描述符 一个管理对象完整的标识称为对象标识 它是从m i b 树的根开始到此对象 所对应的节点沿途上所有节点的数字标识 中间以 间隔 m i b 树的根节 点下有三个子树 1 c c i 髓固 崮c c 湃管理 2 i s o 1 由l s 0 管理 3 j 确裕i s o e e i 链 2 壶l s o 耱e c 疆t 焚霜餐理 我们遁常蹶使用的瓣理傣患都是农i s o 1 子犍下定义孵 在隧b 树孛鞠雕 2 第3 章网络运行数据 子树包含有关协议的管理信息 目前该子树包含的对象使用最为广泛 研v a t e 4 通常负责为各厂家提供管理信息 每个向i s o 提出申请的企业在e m e r p r i s e s 节点 下分得一颗子树 然后该企业就可以在所分得的子树下创建自己产品的特定管理 信息库 3 1 2 2 抽象语法表示 a s n 1 抽象语法表示法 a b s t r a c ts y n t a xn o t a t i o no n e 提供了一种表示数据的标准方法 这些数据是要在互联网中传输的 a s n 1 被用 来描述被管对象是如何定义以及如何在管理信息库中表示 a s n 1 是一种高级的 对象类型定义语言 它描述了在网络管理进程和代理进程之间传输的s n m p 报 文的格式 a s n 1 不仅是一个形式化的文法 还是一个抽象的表示法 需要注意 的是s n m p 使用的仅仅是a s n 1 的一个子集 下面给出了与s n m p 相关的三个 主要a s n 1 组件 1 定义管理对象数据类型的类型符号 2 定义数据类型值和实例值符号 3 发送和接收用a s n 1 编码信息的传送语法 s n m p 采用的基本数据类型是a s n 1 定义的基本数据类型的一个子集 它是 用o b j e c t s y n t a 数据类型定义的 o b j e c t s y m a 采用a s n 1 定义的c h o i c e 类型 c h o i c e 类型是一个类联合的数据结构 它可取若干数据类型的一种 它包括下列 3 种数据类型 1 简单类型 包括整型 字符串型 对象标识符和空类型 2 简单结构类型 包括列表和表格 它们常被称为聚合类型 3 应用类型 i n t e m e t 的s m i 中定义了6 个主要的i n t e m e t 管理对象类 分 别为网络地址 1 p 地址 计数器 量规 时间变量和模糊变量 3 1 2 3 基本编码规则 b e r 对象的编码是指使用对象语法进行编码 对象的编 码规则采用a s n 1 基本编码规则 这里先做如下约定 1 八位位组 八比特字节 是编码的基本单位 2 八位位组中的二进制位编号从8 到1 用来定义串行为传输的顺序 约定 第8 位是最高有效位 第一位是最低有效位 北京工业大学丁掌硕士学位论文 b e r 是一种算法 它把a s n 1 数据编码为适合在互联网上传输的字节格式 b e r 规定最高位是比特位的第8 位 在网上传输时从最高位开始 b e r 编码有 三个字段 1 标签 t a g 关于标签和编码格式的信息 2 长度 l c n g t h 定义内容字段的长度 3 内容 v a l u e 包括实际的数据 因此 一个b e r 编码实际上是一个t l v 三元组 标签 长度 内容 每个 字段都是由一个或多个八位位组组成 3 1 3 管理信息库 管理信息库 m i b 定义了被管理设备必须保存的数据项和允许对每个数据 项进行的操作 它是一个虚拟数据库 网络管理活动正是通过访问和操作m i b 中的管理对象来进行的 它是一个树型结构面向对象的数据库 存放各种管理 对象的管理参数 2 9 1 它有两种类型 标准m i b 库和私有m i b 库 如图3 7 所示 是一个标准m i b 库结构图 图3 7 标准m i b 库结构图 f i g u r e3 7 咖n d a r dm i bs t r u c t l u i e 第3 章网络运行数据 i n t e m e t 管理机构定义了i n t e m e t 管理信息库 它有2 个版本 一个是m i b i 另一个是m i b i i m i b i 中定义了1 1 4 种管理对象 并分成8 个组 分别为s y s t c m 组 i n t e r f a c e 组 a t 组 i p 组 i c m p 组 t c p 组 u d p 组 e g p 组 m i b i i 和m i b i 兼容 但增加了三个新的管理对象 分别是c m o t 组 t r a n s m i s s i o n 组和s 啪p 组 如图3 7 所示 是r f c l 2 1 3 中定义的m i b i i 结构 每一个对象都有一个唯一的 对象标识符 它的值由一个整数序列组成 对象的集合成一个树状结构 各节点的含义如表3 1 所示 表3 1 各节点含义 t a b l e3 1m e a n i n go f e v e r yp o i n t 节点含义 s v s t e m 被管理设备的操作系统描述 i n t e r f h c e 各个网络端口的状态信息 a t 地址转