前言：尋找寫作靈感？中文期刊網(wǎng)用心挑選的網(wǎng)絡(luò)安全流量分析技術(shù)初探，希望能為您的閱讀和創(chuàng)作帶來靈感，歡迎大家閱讀并分享。

摘要：網(wǎng)絡(luò)安全框架下，眾多安全技術(shù)層出不窮。筆者從概念的角度出發(fā)，對流量分析技術(shù)展開必要說明，之后進(jìn)一步深入，依據(jù)幾個主要的分列指標(biāo)，分類該領(lǐng)域的流量分析技術(shù)，并確定不同類別下，對應(yīng)流量分析技術(shù)的應(yīng)用特征、實(shí)現(xiàn)思路與原理。通過對此類流量分析技術(shù)展開分析，有助于加強(qiáng)該領(lǐng)域的認(rèn)識，在實(shí)際工作中結(jié)合實(shí)際情況，選擇合理的技術(shù)。

關(guān)鍵詞：網(wǎng)絡(luò)安全；流量分析；異常檢測

0引言

網(wǎng)絡(luò)安全框架下，眾多安全技術(shù)層出不窮，成為互聯(lián)網(wǎng)體系正常穩(wěn)定工作的一個重要保證。眾多安全技術(shù)中心中，流量分析的價值不容忽視。

1流量分析技術(shù)的概念

作為網(wǎng)絡(luò)安全保障技術(shù)簇中極為重要的一個環(huán)節(jié)，流量分析技術(shù)的準(zhǔn)確程度一直備受矚目。既要能夠分析異常流量，又不會過于敏感，導(dǎo)致常規(guī)流量波動列入異常范圍[1]。網(wǎng)絡(luò)環(huán)境中，異常網(wǎng)絡(luò)流量來源主要包括異常網(wǎng)絡(luò)操作、蠕蟲病毒傳播、閃存擁擠以及網(wǎng)絡(luò)資源濫用。這幾個方面在實(shí)際網(wǎng)絡(luò)環(huán)境中，都有一些特征，在此僅對流量影響表現(xiàn)展開說明。對異常網(wǎng)絡(luò)操作而言，主要包括網(wǎng)絡(luò)配置變化引發(fā)的流量異常狀況，網(wǎng)絡(luò)設(shè)備本身的存儲及處理能力發(fā)生耗損，也在此類問題范疇中。這不屬于一種異常攻擊，但卻是一種需要優(yōu)化網(wǎng)絡(luò)的重要信號。因此，其危害通常表現(xiàn)為網(wǎng)絡(luò)傳輸性能下降，諸如擁堵等問題，不會帶來更大的安全問題。對于蠕蟲病毒傳播，主要是此類病毒的不停復(fù)制和傳播，占用大量網(wǎng)絡(luò)傳輸資源。對于蠕蟲造成的網(wǎng)絡(luò)異常流量，會隨著病毒的復(fù)制逐步占據(jù)網(wǎng)絡(luò)資源，不會呈現(xiàn)一個比較突出的爆發(fā)期，很難以第一時間有效監(jiān)測。對這一方面來說，通常只能通過收集流量測量有關(guān)數(shù)據(jù)展開分析，才能確定蠕蟲的異常傳播行為。對閃存擁擠而言，主要是公眾用戶共同行為造成。這雖然被歸在流量異常方面，但是只是一種網(wǎng)絡(luò)環(huán)境中正常行為的結(jié)果，且會隨著時間的推移逐步減少。網(wǎng)絡(luò)濫用指端口查看、DoS或者DDoS頻繁，通常是外部攻擊的重要表現(xiàn)。此種異常類型經(jīng)字節(jié)流量、包流量、位流量等有關(guān)數(shù)據(jù)測量，可以通過網(wǎng)絡(luò)流數(shù)據(jù)技術(shù)異常特征進(jìn)行判斷。

2流量分析技術(shù)的發(fā)展與分類

實(shí)際安全應(yīng)用中，流量異常檢測會依據(jù)不同的指向性呈現(xiàn)不同的分類。有些異常檢測技術(shù)單純面向某一個特定異常流量類別展開檢測，有些則面向整個網(wǎng)絡(luò)環(huán)境，展開更泛化的檢測。綜合當(dāng)前的應(yīng)用現(xiàn)狀，主要的檢測方法包括以下幾類。

2.1面向特定異常流量的檢測

此種流量異常檢測技術(shù)，更多是在一個相對狹窄的范圍內(nèi)，綜合數(shù)據(jù)識別進(jìn)行開展。對于這一方面的流量監(jiān)測技術(shù)，會與小范圍內(nèi)的業(yè)務(wù)特征相結(jié)合，對應(yīng)的技術(shù)具有針對性，缺乏一定的普適特征。這一類技術(shù)在實(shí)際工作過程中，實(shí)現(xiàn)的方式各有千秋，例如TRW算法常常用于快速檢測端口。針對蠕蟲病毒的識別，有基于假設(shè)檢驗(yàn)和連接速率限制而形成的計(jì)算方法，利用數(shù)據(jù)平面信息檢測前綴綁架的分布式實(shí)時監(jiān)測。

2.2基于流量的檢測技術(shù)

此類技術(shù)主要考察網(wǎng)絡(luò)環(huán)境中的流量大小。對網(wǎng)絡(luò)而言，異常操作常常會帶來額外的流量，這種異常操作也會關(guān)系到網(wǎng)絡(luò)環(huán)境安全。因此，網(wǎng)絡(luò)環(huán)境中的流量高峰和突變，都可以視為異常可疑事件。雖然并不是所有安全問題都會在流量上有所表現(xiàn)，但是流量表現(xiàn)仍然是安全防范需要重點(diǎn)關(guān)注的一個重要指標(biāo)。對于這一方面的檢測技術(shù)有多種，例如可以用Sketch統(tǒng)計(jì)流量數(shù)據(jù)的壓縮摘要，從而避免記錄每一個信息流。在概要信息的基礎(chǔ)上，進(jìn)一步通過一個多樣時間序列預(yù)測模型，檢測得到的流量和實(shí)際流量的偏差程度，根據(jù)偏差大小判斷是否發(fā)生異常。類似技術(shù)還包括開源軟件RRDtool等，該軟件提出了利用Holt-Winters預(yù)測模型實(shí)現(xiàn)異常流量的實(shí)時監(jiān)測。通常做法是依據(jù)歷史數(shù)據(jù)，通過Holt-Winters模型預(yù)測正常流量，并獲取當(dāng)前實(shí)際流量和預(yù)測結(jié)果之間的偏差，進(jìn)一步依據(jù)設(shè)置的對應(yīng)閾值判斷幅度偏差是否正常。此外，Anomography框架是展開有效流量判斷的重要技術(shù)，其作用方式是從鏈路的流量數(shù)據(jù)應(yīng)用各類異常檢測算法，推斷整個網(wǎng)絡(luò)的異常情況。此種方式可以有效識別造成整個網(wǎng)絡(luò)流量異常的根源，但不能有效確定對流量影響不大的安全隱患。

2.3基于特征的流量檢測技術(shù)

網(wǎng)絡(luò)環(huán)境下，數(shù)據(jù)傳輸通常會為數(shù)據(jù)流帶來對應(yīng)的特征，這些特征也是實(shí)現(xiàn)數(shù)據(jù)識別的重要基礎(chǔ)。對于流量特征統(tǒng)計(jì)的方案，比較常規(guī)的做法是將包頭一些域或流量行為模式作為流量特征。異常的流量，對應(yīng)的行為模式會呈現(xiàn)異常。這一領(lǐng)域中，可以依據(jù)多個標(biāo)準(zhǔn)確定細(xì)分的流量監(jiān)測技術(shù)類別，諸如基于分類、基于聚類、基于統(tǒng)計(jì)和基于信息理論等，都是可行的分類標(biāo)準(zhǔn)。對基于分類的異常檢測技術(shù)而言，根本在于建立一個分類的特征數(shù)據(jù)庫，并將網(wǎng)絡(luò)環(huán)境中的流量與這個數(shù)據(jù)庫對比，從而確定異常。這個過程中，基于機(jī)器學(xué)習(xí)的方法是保持進(jìn)步的根本。因此，神經(jīng)網(wǎng)絡(luò)方法、貝葉斯網(wǎng)絡(luò)方法、支持向量機(jī)方法和基于規(guī)則方法等，都是檢測技術(shù)得以實(shí)現(xiàn)的核心。對基于聚類的異常檢測技術(shù)而言，則是將相似的數(shù)據(jù)傳輸實(shí)例納入不同的分類簇，并進(jìn)一步展開異常判斷。這一類檢測中，對應(yīng)的策略可以分為三種。第一，異常數(shù)據(jù)流量難以歸類到正常簇中。此種工作方式不強(qiáng)制歸類每一個數(shù)據(jù)實(shí)例，但是無法展開對應(yīng)優(yōu)化。第二，如果建立簇時按照特征確定空間位置，異常數(shù)據(jù)實(shí)例必然遠(yuǎn)離簇的空間中心。這種識別方式受到攻擊的初期易確定異常，但如果初期未能實(shí)現(xiàn)有效識別，隨著異常總量的增加，簇中心的位置會發(fā)生偏移，導(dǎo)致識別難度增加。此種思路下，對于簇中心的定義，或者對于數(shù)據(jù)實(shí)例與簇中心相對位置的確定，成為一個關(guān)鍵。最后一種思路，認(rèn)為正常的數(shù)據(jù)屬于大且密集的簇，異常數(shù)據(jù)屬于比較小的范本，基于此特征確定異常簇。基于統(tǒng)計(jì)的檢測技術(shù)方面，最根本的思想在于利用統(tǒng)計(jì)方法，實(shí)現(xiàn)對應(yīng)數(shù)據(jù)特征的分析，從而將不符合選定模型的數(shù)據(jù)列為異常范疇。這種對于模型符合與不符合的判斷，是一種基于概率的判斷，換言之，正常數(shù)據(jù)是與統(tǒng)計(jì)模型符合程度較高的數(shù)據(jù)，而異常數(shù)據(jù)則相反。基于高斯模型、基于回歸模型，都是該領(lǐng)域中用于實(shí)現(xiàn)異常檢測的重要依據(jù)。此外，有一些不需要參數(shù)的異常檢測技術(shù)。對這一類異常檢測而言，模型不是事先確定，而是由數(shù)據(jù)決定，直方圖是該領(lǐng)域常見的形態(tài)。對信息理論的異常檢測技術(shù)而言，主要依據(jù)不同的信息理論實(shí)現(xiàn)流量特征分析，假設(shè)異常數(shù)據(jù)流會給網(wǎng)絡(luò)環(huán)境帶來不規(guī)則變化。

3結(jié)語

對于流量分析技術(shù)，雖然其對安全保障有不容忽視的積極價值，但是仍受限于技術(shù)發(fā)展，且這種技術(shù)不僅僅是流量分析技術(shù)、攻擊技術(shù)的發(fā)展，攻擊過程中呈現(xiàn)的流量特征同樣不容忽視。因此，發(fā)展的道路上，唯有不斷深入分析攻擊技術(shù)帶來的新特征，密切關(guān)注流量分析技術(shù)，才能切實(shí)打造安全環(huán)境。

參考文獻(xiàn)

[1]張賓.互聯(lián)網(wǎng)異常流量特征分析及其應(yīng)用研究[D].北京:清華大學(xué),2012:74

作者:周孝鵬 單位:大慶油田信息技術(shù)公司