基于流量信息结构的异常检测

由于人们对网络流量规律的认识还不够深入,大型高速网络流量的异常检测仍然是目前测量领域研究的一个难点问题.通过对网络流量结构和流量信息结构的研究发现,在一定范围内,正常网络流量的IP、端口等具有重尾分布和自相似特性等较为稳定的流量结构,这种结构对应的信息熵值较为稳定.异常流量和抽样流量的信息熵值以正常流量信息熵值为中心波动,构成以IP、端口和活跃IP数量为维度的空间信息结构.据此对流量进行建模,提出了基于流量信息结构的支持向量机(support vector machine,简称SVM)的二值分类算法,其核心是将流量异常检测转化为基于SVM的分类决策问题.实验结果表明,该算法具有很高的检测效率,还初步验证了该算法的抽样检测能力.因此,将该算法应用到大型高速骨干网络具有实际意义.     

运行网络背景辐射的获取与分析

因特网背景辐射(Internet background radiation,简称IBR)是一种无功流量,已被广泛用于网络安全和管理等领域的研究中.传统的IBR获取方式——暗网系统存在较难满足的布置条件和易被避开的弊端,因此,提出一种从运行网络中获取IBR的算法.该算法基于灰空间、单向流和行为学习这3个概念,能够较准确地获取运行网络的所有IBR流量.一方面,它同时获取了不活跃地址和活跃地址的IBR流量,比现有的基于不活跃地址的算法漏判率低;另一方面,该算法在单向流基础上增加了基于源点的行为学习.与现有的基于单向流的算法相比,虽然查全率有少许降低,但查准率从约93%提升至99%以上.通过将算法运用到一个拥有约128万个IP地址的运行网络,从多个角度对该运行网络中的IBR进行了分析.结果显示,近两年,样本数据中70%以上的入流为IBR流,这一现象应引起相关研究的注意.最后,通过几个安全事件案例说明了运行网络IBR流量在网络安全和管理等领域中的重要作用.     

自相似活跃子网前缀空间的路由查找

IP地址查询是路由器的基本工作,活跃IP和子网前缀地址空问是重尾分布且自相似的,而针对这种重尾分布的IP地址和前缀可以用于对路由查找进行统计优化．文章分析并验证了活跃IP地址空间的特点和子网前缀空间分形自相似特性,活跃IP的子网前缀在不同的聚类规模上的次序统计量服从Pareto分布,主干路由表项的次序统计量也近似服从Pareto分布．该文提出了一种基于活跃度排序的路由逐次查找算法——SOSL,对IP地址查询进行了优化,在该文的模拟实验中,活跃路由表的规模、刷新周期和活跃度判定下限间存在一些对数线性关系,使得作者可以以很小的活跃路由表来实现全部路由查找需求的99％;为SOSL实现中最关键的活跃路由表排序问题提出了一个基于计数器溢出的方案,复杂度为O（1）．对比发现该文的算法与TCAM结合能够提高TCAM的效率,高效地控制活跃路由表的规模,易于硬件实现．     

基于流交互三态模型的DDoS攻击检测*

针对传统方法在检测DDoS攻击时的不足,提出了一种新的IP流交互行为特征算法(IFF),该方法利用IP地址和端口表示IP流的交互性。采用IFF特征,将网络流定义为三种状态,即健康、亚健康和异常,提出了基于IFF特征的三态模型检测方法(DASA),该方法采用了基于滑动平均方法的自适应双阈值算法和报警评估机制,提高了检测DDoS攻击的准确度。仿真实验结果表明,该方法不但能快速、有效地检测DDoS攻击,而且具有较低漏报率和误报率。     

基于地址相关度的分布式拒绝服务攻击检测方法

分布式拒绝服务(DDoS)攻击检测是网络安全领域的研究热点.对DDoS攻击的研究进展及其特点进行了详细分析,针对DDoS攻击流的流量突发性、流非对称性、源IP地址分布性和目标IP地址集中性等本质特征提出了网络流的地址相关度(ACV)的概念.为了充分利用ACV,提高方法的检测质量,提出了基于ACV的DDoS攻击检测方法,通过自回归模型的参数拟合将ACV时间序列变换为多维空间内的AR模型参数向量序列来描述网络流状态特征,采用支持向量机分类器对当前网络流状态进行分类以识别DDoS攻击.实验结果表明,该检测方法能够有效地检测DDoS攻击,降低误报率.     

IP流检测中基于信息熵的哈希算法改进

介绍流检测中常见的哈希算法,从信息熵的角度分析异或移位(XOR-SHIFT)算法。将异或运算扩展到字节,利用区域网络检测中数据包IP地址低字节比高字节变化频繁的特点,通过对称交叉异或运算,将五元组中的信息量尽可能更大化地表现在哈希值中,从而优化哈希算法的散列性能,使后续以流标识为约束进行的IP流处理更高效。     

基于攻击特征的ARMA预测模型的DDoS攻击检测方法

分布式拒绝服务(DDoS)攻击检测是网络安全领域的研究热点。本文提出一个能综合反映DDoS攻击流的流量突发性、流非对称性、源IP地址分布性和目标IP地址集中性等多个本质特征的IP流特征(IFFV)算法,采用线性预测技术,为正常网络流的IFFV时间序列建立了简单高效的ARMA(2,1)预测模型,进而设计了一种基于IFFV预测模型的DDoS攻击检测方法(DDDP)。为了提高方法的检测准确度,提出了一种报警评估机制,减少预测误差或网络流噪声所带来的误报。实验结果表明,DDDP检测方法能够迅速、有效地检测DDoS攻击,降低误报率。     

基于近似方法的抽样报文流数估计算法

维护每个报文的流记录需要占用大量测量资源.目前已有多种抽样技术估计网络流统计信息,然而精确地估计出流数统计信息是目前的研究难点.提出了Integral和Iteration 两种基于报文抽样样本估计网络流数的算法.Integral算法只需使用抽样流长为1的流数信息就可以近似推导出未抽样的流数.Iteration算法通过建立迭代函数估计未抽样流数,然后根据未抽样流数和已抽样的流数推断出原始流量的流数.采用CERNET(China education andresearch network)骨干网络链路数据将这两种算法与EM(expectation maximization)算法进行对比,表明Iteration算法具有较好的精度和性能.     

基于候选组合频繁模式的骨干网蠕虫检测研究

现有的网络蠕虫检测方法大多都是基于包的检测,针对骨干网IP流检测的研究较少,同时也不能很好地描述蠕虫的攻击模式。为此研究了一种在骨干网IP流数据环境下的蠕虫检测方法,通过流活跃度增长系数和目的地址增长系数定位可疑源主机,接着采用基于候选组合频繁模式的挖掘算法(CCFPM),将候选频繁端口模式在FP树路径中进行匹配来发现蠕虫及其攻击特性,实验证明该方法能快速地发现未知蠕虫及其端口扫描模式。     

网络安全及一种防火墙可靠性增强算法

本文根据计算机网络出现的安全问题,分析了现有的网络安全机制,并重点讨论了防火墙技术在网络安全控制中的应用.在此基础上提出了一种根据路由表记录情况决定数据安全性的防火墙可靠性增强算法.该算法采用记录IP数据报路由和设置不安全IP地址,通过地址比较的办法来确认数据报的接收与抛弃,同其他同类算法比较具有实现简单、自适应性强、安全可靠等特点.为防火墙技术的进一步研究探索了一条新的途径.     

基于宏观网络流相关性的DDoS攻击检测

针对现行分布式拒绝服务(DDoS)攻击检测方法存在检测效率低、适用范围小等缺陷,在分析DDoS攻击对网络流量大小和IP地址相关性影响的基础上,提出基于网络流相关性的DDoS攻击检测方法。对流量大小特性进行相关性分析,定义Hurst指数方差变化率为测度,用以区分正常流量与引起流量显著变化的异常性流量。研究IP地址相关性,定义并计算IP地址相似度作为突发业务流和DDoS攻击的区分测度。实验结果表明,对网络流中流量大小和IP地址2个属性进行相关性分析,能准确地区分出网络中存在的正常流量、突发业务流和DDoS攻击,达到提高DDoS攻击检测效率的目的。     

基于时间序列分析的SYN Flooding源端检测方法

提出了一种基于时间序列分析从源端对SYN Flooding攻击进行检测的方法。该方法是为了从源端对网络流量进行检测并预测,从而判断是否发生了SYN Flooding攻击,为受害者端及时响应提供依据;利用攻击网络流量的自相似性,采用Bloom Filter提取数据流特征信息,构造网络流量时间序列,建立自回归预报模型;通过动态预测网络流量并与设定的阈值进行比较来对攻击预警,提前作出响应。仿真实验结果表明,该方法能准确地统计出网络中数据包和新源IP数据包的出现次数,具有较好的检测率和较低的误报率,能够较准确地预测出下一时间段甚至几个时间段的网络流量,能为有效防御SYN Flooding攻击提供有力的数据支撑。     

Mean–variance relationship of the number of flows in traffic aggregation and its application to traffic management

We consider the mean–variance relationship of the number of flows in traffic aggregation, where flows are divided into several groups randomly, based on a predefined flow aggregation index, such as source IP address. We first derive a quadratic relationship between the mean and the variance of the number of flows belonging to a randomly chosen traffic aggregation group. Note here that the result is applicable to sampled flows obtained through packet sampling. We then show that our analytically derived mean–variance relationship fits well those in actual packet trace data sets. Next, we present two applications of the mean–variance relationship to traffic management. One is an application to detecting network anomalies through monitoring a time series of traffic. Using the mean–variance relationship, we determine the traffic aggregation level in traffic monitoring so that it meets two predefined requirements on false positive and false negative ratios simultaneously. The other is an application to load balancing among network equipments that require per-flow management. We utilize the mean–variance relationship for estimating the processing capability required in each network equipment.     

Building an Identity Management Infrastructure for Today…and Tomorrow

ABSTRACT

The basis of denial of service (DoS)/distributed DoS (DDoS) attacks lies in overwhelming a victim's computer resources by flooding them with enormous traffic. This is done by compromising multiple systems that send a high volume of traffic. The traffic is often formulated in such a way that it consumes finite resources at abnormal rates either at victim or network level. In addition, spoofing of source addresses makes it difficult to combat such attacks. This paper adopts a twofold collaborative mechanism, wherein the intermediate routers are engaged in markings and the victim uses these markings for detecting and filtering the flooding attacks. The markings are used to distinguish the legitimate network traffic from the attack so as to enable the routers near the victim to filter the attack packets. The marked packets are also helpful to backtrack the true origin of the spoofed traffic, thus dropping them at the source rather than allowing them to traverse the network. To further aid in the detection of spoofed traffic, Time to Live (TTL) in the IP header is used. The mappings between the IP addresses and the markings along with the TTLs are used to find the spurious traffic. We provide numerical and simulated experimental results to show the effectiveness of the proposed system in distinguishing the legitimate traffic from the spoofed. We also give a statistical report showing the performance of our system.     

基于主成分分析的网络流相关性研究

网络流量是由主机间的大量连接组成,并且包含各种各样的数据。大部分研究集中在整体流量的统计性质上,忽视了整体流量中不同网络流之间的微观关系。该文从微观的角度将整体流量进行分析,找出了基于源和目的IP地址的网络流之间的关系,研究了正常网络流和攻击网络流在相关性上的不同。     

基于概要数据结构的全网络持续流检测方法

持续流是隐蔽的网络攻击过程中显现的一种重要特征，它不产生大量流量且在较长周期内有规律地发生，给传统的检测方法带来极大挑战。针对网络攻击的隐蔽性、单监测点的重负荷和信息有限的问题，提出全网络持续流检测方法。首先，设计一种概要数据结构，并将其部署在每个监测点；其次，当网络流到达监测点时，提取流的概要信息并更新概要数据结构的一位；然后，在测量周期结束时，主监测点将来自其他监测点的概要信息进行综合；最后，提出流持续性的近似估计，通过一些简单计算为每个流构建一个位向量，利用概率统计方法估计流持续性，使用修正后的持续性估计检测持续流。通过真实的网络流量进行实验，结果表明，与长持续时间流检测算法（TLF）相比，所提方法的准确性提高了50%，误报率和漏报率分别降低了22%和20%，说明全网络持续流检测方法能够有效监测高速网络流量。     

Virtual Traffic Path Optimization in Connection-Oriented Networks with Stochastic Traffic

Traffic control is a critical issue in connection-oriented packet-switching networks such as asynchronus transfer mode, Mutiprotocol Label Switching, and Internet Protocol with IntServ. In this paper, we present a generalized concept, the virtual traffic path (VTP), to characterize the traffic control problems in connection-oriented networks. The VTP distribution typically addresses logical network design based on the physical network, and involves both the call level and the flow level controls. To date, various VTP optimization schemes for connection-oriented networks have been proposed. However, most reported schemes are based on the conventional flow assignment model. In this paper, we propose an extended flow assignment model focusing on the connection-oriented service with a non-linear objective function. The proposed model incorporates two concepts: VTP capacity and VTP flow, to perform the optimization. This model distributes traffic on all available VTPs evenly and takes the redundant capacities into account. In addition, we introduce a stochastic programming methodology to allocate VTPs when the injected traffic changes stochastically. Experimental results show that the proposed model and the stochastic methodology can significantly improve the performance of networks.