基于流記錄的非授權(quán)流量行為檢測(cè).pdf

1、新一代網(wǎng)絡(luò)的變革式發(fā)展，也將網(wǎng)絡(luò)安全帶入了一個(gè)新的時(shí)代。病毒、木馬、黑客攻擊等各種安全威脅產(chǎn)生的非授權(quán)流量充斥著互聯(lián)網(wǎng)。這些非授權(quán)流量一方面會(huì)侵犯網(wǎng)絡(luò)用戶自身的利益，另一方面也給網(wǎng)絡(luò)整體的可用性帶來(lái)影響。面對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境，主干網(wǎng)層級(jí)的監(jiān)測(cè)與防護(hù)是非常重要的一環(huán)。面對(duì)大量級(jí)數(shù)據(jù)的網(wǎng)絡(luò)流量，以IP流為基礎(chǔ)的流量行為分析是一種有意義的工作方式。本論文以IP流記錄為基礎(chǔ)面向主干網(wǎng)針對(duì)一些常見(jiàn)非授權(quán)流量行為的檢測(cè)展開(kāi)研究。
　　論文首先圍

2、繞非授權(quán)流量相關(guān)的定義進(jìn)行了討論，然后研究了基于熱點(diǎn)流量事件的非授權(quán)流量檢測(cè)和面向WEB服務(wù)器的非授權(quán)流量行為檢測(cè)。兩個(gè)研究工作均基于流記錄展開(kāi)。
　　對(duì)于基于熱點(diǎn)流量事件的非授權(quán)流量，論文通過(guò)分類的方式將熱點(diǎn)流量主機(jī)歸納為具有不同特征行為的主機(jī)，并從中發(fā)現(xiàn)非授權(quán)流量。該方法從流記錄中提取流屬性作為分類屬性，采用無(wú)監(jiān)督方式生成分類目標(biāo)，對(duì)網(wǎng)絡(luò)內(nèi)出方向流量熱點(diǎn)主機(jī)進(jìn)行行為分類，在此基礎(chǔ)上發(fā)現(xiàn)并檢測(cè)出產(chǎn)生非授權(quán)流量的主機(jī)。最后，實(shí)現(xiàn)該

3、方法并在實(shí)際環(huán)境中部署運(yùn)行，結(jié)果證實(shí)該方法有效。
　　通過(guò)熱點(diǎn)流量事件的檢測(cè)，發(fā)現(xiàn)UDP DRDOS攻擊的普遍存在，論文以基于Chargen協(xié)議的UDP DRDOS攻擊為例，提出根據(jù)端口和流量放大比的檢測(cè)算法的理論模型。
　　對(duì)于面向WEB服務(wù)器的非授權(quán)流量，論文針對(duì)異常端口交互、流量異常、WEB掃描攻擊等WEB服務(wù)器流量行為做了分類描述。提出了通過(guò)從流記錄提取屬性，根據(jù)流量行為進(jìn)行特征匹配的誤用檢測(cè)算法，并通過(guò)實(shí)驗(yàn)證實(shí)算法