網絡應用流分析與風險評估透析論文

導語：網絡應用流分析與風險評估透析論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

論文摘要：針對網絡中的各種應用服務的識別檢測，采用應用層協議簽名的流量識別技術和流量分組技術，實現網絡應用流的分析和風險評估系統——RAS，提出基于流量分組技術的應用流風險評估模型。該系統為網絡資源分配和網絡安全的預測提供有價值的依據。實驗結果表明，TARAS系統具有良好的流量分析效率和風險評估準確性。

論文關健詞：應用流分析；風險評估；流量分組

1概述

基于互聯網的新技術、新應用模式及需求，為網絡的管理帶來了挑戰:(1)關鍵應用得不到保障，OA,ERP等關鍵業務與BT,QQ等爭奪有限的廣域網資源;(2)網絡中存在大量不安全因素，據CNCERT/CC獲得的數據表明，2006年上半年約有14萬臺中國大陸主機感染過Beagle和Slammer蠕蟲;(3)傳統流量分析方法已無法有效地應對新的網絡技術、動態端口和多會話等應用，使得傳統的基于端口的流量監控方法失去了作用。

如何有效地掌握網絡運行狀態、合理分配網絡資源，成為網絡管理者們的當務之急。針對以上需求，作者設計并實現了一套網絡應用流分析與風險評估系統(TrafficAnalysisandRiskAssessmentSystem,TARAS)。

當前，網絡流量異常監測主要基于TCP/IP協議。文獻[5]提出使用基于協議簽名的方法識別應用層協議。本系統采用了應用層協議簽名的流量分析技術，這是目前應用流分析最新技術。然而，簡單的流量分析并不能確定網絡運行狀態是否安全。因此，在流量分析的基礎上，本文提出了應用流風險評估模型。該模型使用流量分組技術從定量和定性兩方面對應用流進行風險評估，使網絡運行狀態安全與杏這個不確定性問題得到定性評估，這是當前網絡管理領域需要的。

2流量分析模型

目前應用流識別技術有很多，本文提出的流量識別方法是對SubhabrataSen提出的應用協議特征方法的改進。針對種類繁多的應用層協議采用了兩級匹配結構，提高效率。

應用識別模塊在Linux環境下使用Libpcap開發庫，通過旁路監聽的方式實現。在設計的時候考慮到數據報文處理的效率，采用了類似于Linux下的NetFilter框架的設計方法，結構見圖1。

采取上述流量識別框架的優點:(1)在對TCP報文頭的查找中使用了哈希散列算法，提高了效率;(2)借鑒狀態防火墻的技術，使用面向流(flow)的識別技術，對每個TCP連接的只分析識別前10個報文，對于該連接后續的數據報文則直接查找哈希表進行分類，這樣避免了分析每個報文帶來的效率瓶頸;(3)模式匹配模塊的設計使得可擴展性較好。

在匹配模塊設計過程中，筆者發現如果所有的協議都按照基于協議特征的方式匹配，那么隨著協議數量的增大，效率又會成為一個需要解決的問題。

因此，在設計應用流識別模塊時，筆者首先考慮到傳輸層端口與網絡應用流之間的聯系，雖然兩者之間沒有絕對固定的對應關系，但是它們之間存在著制約，比如:QQ協議的服務器端口基本不會出現在80,8000,4000以外的端口;HTTP協議基本不會出現在80,443,8080以外的端口等，因此，本文在流量分析過程中首先將一部分固定端口的協議使用端口散列判斷進行預分類，提高匹配效率。

對于端口不固定的應用流識別，采用兩級的結構。將最近經常檢測到的業務流量放在常用流量識別子模塊里面，這樣可以提高查找的速度。另外，不同的網絡環境所常用的網絡應用流也不同，因此，也沒有必要在協議特征庫中大范圍查找。兩級查詢匹配保證了模型對網絡環境的自適應性，它能夠隨著網絡環境的改變以及網絡應用的變化而改變自己的查詢策略，但不降低匹配效率。應用流識別子模塊的設計具體結構見圖2。

3風險評估模型

本文采用基于流量分組技術的風險評估方法。流量分組的目的是為流量的安全評估提供數據。

3.1應用流的分組

網絡應用種類多、變化頻度高，這給應用流的評估帶來了麻煩，如果要綜合考慮每一種應用流對網絡帶來的影響，顯然工作量是難以完成的。因此，本文引入應用流分組的概念。應用流分組的目的是從網絡環境和安全角度的考慮，將識別后的流量進行歸類分組。筆者在長期實驗過程中，根據應用的重要性、對網絡的占用率、對網絡的威脅性等因素得到一個較為合理的分組規則，即將網絡流量分為:關鍵業務，傳統流量，P2P及流媒體，攻擊流，其他5類。應用流分組確定了流量評估的維度，這樣有利于提高評估的效率。表1列舉了部分應用流的分組。

應用流分組模塊有2個功能。首先是將檢測到的各種應用流量按照表1中的分組歸類，并計算各分組應用流量的大小、連接數目、通信主機數目3個方面的信息，并以一定的時間周期向流量安全評估模塊傳送數據。另外一個是在安全事件出現時，向安全響應模塊提供異常應用流名稱和其他相關信息。應用流分組模塊的輸入是各應用流的流量大小，而輸出有2個:

(1)整個網絡的流量分布矩陣。

(2)異常主機流量分組中的成份。

筆者引入流量矩陣的概念。流量矩陣A的數學定義為

其中，aij表示第i臺主機的第j組流量的大小，aij的單位為實際流量的單位大小。流量矩陣反映了網絡中信息流動的整體情況。

由于TCP/IP協議的廣泛應用，網絡流量中的絕大部分使用基于TCP的傳輸層協議，因此傳輸層的網絡連接數也在一定程度上反映了網絡流量的情況。定義網絡連接數矩陣為

其中，Lij表示第i臺主機第J組應用流的網絡連接數。

在網絡通信過程中，每個流量分組的通信主機數量具有參考價值，在此引入通信主機數量矩陣，數學描述為

其中，hij為表示某一分組流量的通信主機數目。

另外，流量分組模塊在接收到安全響應模塊的請求時，會向其發送該異常網絡節點的應用流類別信息。

信息內容為:主機IP地址，主機應用流分組名，應用流名稱列表。

3.2應用流的風險評估

網絡流量的特征是網絡安全性的重要表現。本節主要描述網絡用戶流量的安全評估過程和機制。流量的安全評估實際上是網絡風險評估過程的一部分。風險評估的方法有定量評估、定性評估和定性與定量結合的評估方法。在此本文借鑒風險評估定性與定量結合的方法設計流量的安全評估子模型。

本節首先確定該模型的評估的對象、指標和目標，評估的具體方法如下:

(1)流量安全評估的對象是每個網絡節點的應用流分組。

(2)評估對象的定量指標分別是網絡流量大小、網絡連接數和網絡通信主機數。

(3)評價的目標是確定各應用流的安全性。

(4)評估方法是以先定量后定性的方法為原則，具體方法如下:

1)制定各分組流量的安全評估規則，為量化評估提供依據。

2)參照安全評估規則，根據3個量化指標評價網絡用戶流量的安全性，并得到安全評分。

3)根據安全性評價集，將量化后的安全評分指標定性化。另外，對于攻擊流進行特別評估，并且當出現攻擊流時，攻擊流安全等級代表主機安全等級。

安全評估子模型的結構如圖3所示。

3.2.1各分組流量的安全定量評價

對于不同分組的通信行為和流量特點，本模塊采用分指標量化評估的方法進行安全評估。表2中各指標的安全性劃分是根據實驗得出的結論。

對于各流量安全評估節點，A各節點應用分組流量的集合;L為網絡連接的集合;H是各節點通信主機數集合;Sij是各節點量化評估的結果集合。定義安全評估函數F(A,L,H)=Sij(1≤i≤n,1≤j≤5)，用于表示目標節點流量安全評估的量化結果，從而實現對目標安全狀況的定量分析。

將該評價方法設為F則該過程可用數學描述如下:

其中，Sij為各網絡節點中應用流分組的安全評分。

3.2.2流量安全定性評價

量化后的安全評分對與安全程度的描述仍然有很大的不確定性，因此，需要將安全評分定性化以確定其所在的安全級別。每個安全級別確定安全分數以及對于攻擊流的安全等級劃分如表3—表5所示。

以上5個安全等級對于流量的安全性的區分如下:

(1)安全狀態表明該分組流量屬于正常情況;

(2)可疑狀態表明該分組流量中有可疑成分或流量大小超過正常情況;

(3)威脅狀態表明該類流量威脅到網絡的正常運行和使用;

(4)危險狀態主要指該分組流量危害網絡的正常運行;

(5)高危狀態表明該類分組的流量成分已嚴重危害網絡正常運行。

量化安全評分經過定性劃分后可以得到一個定性的流量安全評估矩陣Th，將該過程用運算h表示為

其中，Tij為第i臺主機第j組應用流的安全等級。

4實驗結果

4.1應用流的識別率

由于TARAS系統能夠識別多種應用流量，因此識別算法的準確性是一個重要的指標。網絡環境重的各種因素以及網絡應用協議特征不斷變化等原因，TARAS系統對應用流的識別存在漏報和誤報的間題。應用流的識別率見表6。由表6的統計數據可以看到，TARAS對各種協議的識別存在漏報和誤報的情況。具體來看，eMule應用由于大量使用UDP傳輸數據，因此識別率不高。另外，http協議通常使用傳輸層80端口，但這個端口也被QQ和MSN2個聊天軟件使用，除此之外一些木馬后門程序為了防止防火墻的封殺也往往使用該端口，因此，在識別過程中http協議會產生誤報，即將非http協議數據也當作http協議計算。

4.2應用流的風險評估

為了測試TARAS系統風險評估的準確性，筆者在擁有8臺主機的局域網中做相關測試，并以其中3臺(主機17、主機77和主機177)進行實驗。局域網內8臺主機各應用分組流量狀況如表7所示。關鍵業務和其他應用的分組流量為0。

主機17使用傳統應用FTP執行下載任務，其他流量分組中無或只有極少流量，從表7可以看出，該主機的傳統應用分組流量達到2Mb/s，此時傳統應用流量分組應該達到威脅級別，而其他分組應該都是安全級別，主機的總體評價為安全。主機77不斷受到Nimda蠕蟲病毒的攻擊，從表7可以發現，該主機高危分組的流量為2048kb/s，此時該分組應該達到高危級別，而其他分組由于流量為0因此為安全，主機的總體評價為高危。主機177使用BT進行下載，并使其流量達到1536kb/s，根據風險評估策略，該主機的P2P及流媒體分組應該達到威脅級別，其他分組應該都是安全級別，主機的總體評價為安全。表8為TETRAS系統對表7所示流量狀況進行評估所得的風險評估結果。

對比表7和表8可以發現，TARAS系統能夠正確地對網絡中各主機流量狀況進行風險評估。同時該實驗結果也證實:雖然TARAS系統對于應用流的識別存在一定誤差，但是該誤差沒有嚴重影響網絡運行狀況和風險級別安全，誤差在可接受范圍內。

5結束語

本文針對當前網絡管理面臨的問題，將應用流成份分析和風險評估引入到網絡流量分析和評估領域中，設計并實現了應用流分析和評估系統——TARAS。該系統主要解決網絡流量管理中的2個問題:

(1)網絡運行狀態感知。借鑒韓國浦項大學Myung-SupKim的分析方法，采用常用協議特征識別的方法設計流量識別系統。

(2)網絡應用流的風險評估。采用基于權重打分的方法對各網絡節點應用分組的流量進行先定量后定性的評估。