基于流記錄的熱點(diǎn)主機(jī)非授權(quán)流量識(shí)別.pdf

1、互聯(lián)網(wǎng)的迅速發(fā)展已使其成為人類日常生活中必不可少的組成部分。然而，掃描、DDoS攻擊等各種安全威脅產(chǎn)生的大量非授權(quán)流量（Unwanted Traffic）嚴(yán)重影響著網(wǎng)絡(luò)的穩(wěn)定、性能和安全。從大規(guī)模的網(wǎng)絡(luò)流量中識(shí)別并過(guò)濾掉這些流量是一項(xiàng)有意義的研究工作。從主機(jī)角度出發(fā)，許多非授權(quán)流量會(huì)導(dǎo)致發(fā)送方或接收方的流量行為發(fā)生較大變化，使之占用較大的網(wǎng)絡(luò)或服務(wù)資源，成為熱點(diǎn)主機(jī)。因此本論文將以IP流記錄為基礎(chǔ)，從熱點(diǎn)主機(jī)角度展開非授權(quán)流量的識(shí)別研究

2、。
　　本論文首先討論了非授權(quán)流量的定義，然后從兩個(gè)角度對(duì)熱點(diǎn)主機(jī)非授權(quán)流量的檢測(cè)進(jìn)行了研究，一個(gè)是基于熱點(diǎn)主機(jī)地址的活躍性，另一個(gè)是基于熱點(diǎn)主機(jī)的行為特征。兩項(xiàng)研究工作均基于流記錄展開。
　　基于主機(jī)地址活躍性的檢測(cè)將熱點(diǎn)空間分為活躍地址空間和非活躍地址空間，并判定非活躍地址空間的熱點(diǎn)流量是非授權(quán)流量。為了獲取非活躍地址空間，本文提出基于流記錄的地址活躍性判定算法，核心思路是將存在雙向有效通信流量作為地址活躍判定條件，并討

3、論了抽樣、偽造地址等問(wèn)題對(duì)算法的影響以及相應(yīng)的應(yīng)對(duì)策略，通過(guò)實(shí)驗(yàn)，證明了該算法的準(zhǔn)確性和有效性。
　　對(duì)于活躍地址空間的熱點(diǎn)，采用基于行為特征的方法進(jìn)行非授權(quán)流量識(shí)別。對(duì)于已知角色和應(yīng)用的主機(jī)（DNS服務(wù)器），論文分析了其正常行為時(shí)的流量特征，并總結(jié)出相應(yīng)的檢測(cè)規(guī)則;對(duì)于未知角色的主機(jī)，論文提出了主機(jī)行為分類算法，選取源端口分布、目的端口分布、目的IP地址分布和通信協(xié)議分布這四個(gè)測(cè)度來(lái)描述主機(jī)的行為特征，并通過(guò)各測(cè)度值對(duì)主機(jī)進(jìn)行標(biāo)

4、記，自動(dòng)將主機(jī)分到不同的行為類中。每個(gè)行為類都有相關(guān)的行為語(yǔ)義，表達(dá)了主機(jī)的角色和應(yīng)用屬性。通過(guò)對(duì)行為類的屬性以及熱點(diǎn)主機(jī)行為動(dòng)態(tài)性的深入分析，從中總結(jié)出面向行為類和熱點(diǎn)主機(jī)的非授權(quán)流量檢測(cè)規(guī)則。
　　本論文最終在NBOS平臺(tái)上實(shí)現(xiàn)了熱點(diǎn)非授權(quán)流量檢測(cè)。首先對(duì)系統(tǒng)現(xiàn)有非授權(quán)流量檢測(cè)功能進(jìn)行改進(jìn)，保證了檢測(cè)結(jié)果的唯一性。然后基于以上兩個(gè)研究點(diǎn)總結(jié)出的檢測(cè)規(guī)則，設(shè)計(jì)并實(shí)現(xiàn)了基于熱點(diǎn)主機(jī)的非授權(quán)流量檢測(cè)算法，最后通過(guò)對(duì)檢測(cè)結(jié)果的分析驗(yàn)證