摘要:
—13—第31卷第4期Vol.31№4·网络与通信·基于统计的网络流量异常检测模型梁昇,肖宗水,许艳美(山东大学计算机科学与技术学院... —123—第 31 卷 第 24 期Vol.31 № 24· 网络与通信· 基于统计的网络流量异常检测模型 梁 昇, 肖宗水, 许艳美 (山东大学计算机科学与技术学院, 济南 250061) 摘 要: 提出了一个基于统计的流量异常检测模型。 根据网络流量的可测度集, 描绘了一个正常网络流量的基线。 参照该正常流量基线,使用假设检验理论进行异常检测。 采用一个基于滑动窗口的流量更新策略, 使异常检测能够更加高效。 论述了在高速网络情况下提高检测性能的方法。 关键词: 异常检测; 网络基线; 滑动窗口 Anomaly Detection Model of Network Traffic Based on Statistics LIANG Sheng, XIAO Zongshui, XU Yanmei (School of Computer Science and Technology, Shandong University, Jinan 250061) 【Abstract】 The paper presents a traffic anomaly detection model based on statistics. According to the measurable aggregate of network traffic, anormal network baseline is built. Compared to the normal network baseline, the theory of hypothesis test is used to execute the anomaly detection. Inorder to make the anomaly detection more efficiently, the model adopts a traffic update policy based on glide window. The method of improvingdetection capability in the high-speed network is also discussed. 【Key words】 Anomaly detection; Network baseline; Glide window 计 算 机 工 程Computer Engineering2005 年 12 月December 2005文章编号: 1000—3428(2005)24—0123—03文献标识码: A 中图分类号: TP393网络流量异常包括主干流量异常和某台 网络主机的流量异常, 事实上网络主机的流量异常造成了主干网络流量的异常, 因此研究异常流量的监测, 定位造成异常的主机, 进而对异常主机进行网络隔离, 对于避免网络拥塞、 保证网络性能、 避免网络资源的滥用, 具有重要意义。
流量异常检测的核心问题是实现流量正常行为的描述,并且能够实时、 快速地对异常进行处理。 检测方法可以归结为以下 4 类: (1)阈值检测方法; (2)统计检测方法; (3)基于小波的检测方法; (4)面向网络安全的检测方法[1]。 本文采用了一种基于统计的流量异常检测方法, 首先确定正常的网络流量基线, 然后根据此基线利用正态分布假设检验实现对当前流量的异常检测。 1 总体设计 网络流量异常检测模型的总体设计思路是: 从局域网的总出口 采集数据, 对每个数据包进行分类, 将它的统计值传到相应的存储空间, 然后对这些数据包进行流量分析。 系统的基本组成见图 1。(1)流量采集模块。 在网络核心设备上设置流量采集点,将负责采集流量的服务器网卡设为混杂模式, 能够把所有内网主机的流量都采集到。 流量采集有两种情况: 对共享网络进行采集和对交换式网络进行采集。 前者直接在共享设备通过一个端口 连接 sniffer 即可; 后者需要设备支持, 通过交换机的 SPAN( Switched Port Analyzer) 端口 把流量镜像到sniffer。 SPAN 在使用中非常灵活, 可以监视交换机的单个端口 , 也可以监视多个端口 , 还可以对 VLAN 进行监视。
利用libpcap 和 linnet 开发高效的协议分析引擎, 对镜像出来的数据包进行报文的监听与发送, 从而便于流量统计和流量异常的检测。 (2)地址映射引擎。 由于我们要对内网中每台主机的流量情况进行检测, 以便定位异常的原因和造成异常的主机, 因此对于内网中的每个 IP 地址, 都需要建立一个存储结构, 用来存储需要测量的值。 对捕获的每个数据包, 区分它是流入的还是流出的数据。 如果是流入的数据, 则把相应的测量值累加到目 的地址所对应的存储结构中上去; 如果是流出的数据, 则把相应的测量值累加到源地址所对应的存储结构中。如果局域网比较大, 查找 IP 地址时会花费很多时间, 流量检测的实时性就下降了, 检测效率也会下降。 因此设立一个地址映射引擎, 可以快速查找地址。 一般的局域网都是由几块连续的 IP 地址组成, 我们采用数组加链表的形式组成查找引擎。 连续的地址可以存放在一个数组中, 不连续的数组之间用链表连接, 这样可以提高查找效率, 降低系统开销。 (3)流量分析引擎。 对采集到的数据进行分析处理。 通过建立正常网络流量模型, 按照一定的规则进行流量异常检测。
同时根据滑动窗口 的更新策略, 能够自 动学习最近的流量情况, 从而调整检测的准确度。 该部分在后文详述。 作者简介: 梁 昇(1977—), 男, 硕士生, 主研方向: 计算机网络;肖宗水, 副教授; 许艳美, 硕士生 收稿日期: 2004-10-17 E-mail: liangsheng@sdu.edu.cn 人机交互界面 流量分析引擎 地址映射引擎 流量采集模块 网络图 1 模型总体框架
