王景中 張春飛

北方工業(yè)大學(xué)信息工程學(xué)院 北京 100144

0 引言

隨著 Internet的不斷發(fā)展，網(wǎng)絡(luò)安全已經(jīng)逐漸成為人們?cè)絹?lái)越關(guān)心的問(wèn)題，防火墻、反病毒軟件、內(nèi)容過(guò)濾器和驗(yàn)證系統(tǒng)等常規(guī)的安全工具逐漸被越來(lái)越多的用戶接受，成為許多公司安全武器庫(kù)當(dāng)中的必要部分。但是隨著網(wǎng)絡(luò)變得日益復(fù)雜起來(lái)，這些工具越來(lái)越不能迅速識(shí)別及挫敗越來(lái)越狡猾的威脅?；诰W(wǎng)絡(luò)流量的異常檢測(cè)和網(wǎng)絡(luò)性能監(jiān)控，可從流量檢測(cè)的角度來(lái)管理網(wǎng)絡(luò)及安全。

1 系統(tǒng)設(shè)計(jì)

本系統(tǒng)主要分為三個(gè)模塊，分別是流量監(jiān)控模塊、網(wǎng)絡(luò)攻擊仿真模塊和網(wǎng)絡(luò)行為分析模塊。這三個(gè)模塊相互獨(dú)立，網(wǎng)絡(luò)攻擊仿真模塊利用工具對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，流量監(jiān)控模塊采集數(shù)據(jù)，并進(jìn)行流量的可視化展現(xiàn)，在流量分析的基礎(chǔ)上進(jìn)行網(wǎng)絡(luò)行為分析。系統(tǒng)框架如圖1所示。

圖1 系統(tǒng)框架圖

1.1 數(shù)據(jù)采集

本系統(tǒng)的數(shù)據(jù)采集主要利用WinPcap庫(kù)來(lái)實(shí)現(xiàn)，數(shù)據(jù)采集的流程圖如圖2所示。

圖2 數(shù)據(jù)采集的流程圖

1.2 流量可視化展現(xiàn)

流量可視化展現(xiàn)是指系統(tǒng)采用圖形顯示技術(shù)，用直觀、清晰的方法顯示網(wǎng)絡(luò)流量的變化情況，從而可以直觀的了解網(wǎng)絡(luò)的運(yùn)行狀況。流量的可視化展現(xiàn)如圖3所示。

圖3 流量的可視化展現(xiàn)

網(wǎng)絡(luò)流量是指網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)量，本系統(tǒng)以秒為單位時(shí)間，記錄了Packet/S和Byte/S的數(shù)據(jù)量。為便于計(jì)算流量，定義兩個(gè)結(jié)構(gòu)體。

根據(jù)上面兩個(gè)結(jié)構(gòu)體的成員變量來(lái)計(jì)算 1S的時(shí)間。定義一個(gè)struct pcap_pkthdr類型的數(shù)據(jù)包頭header，再定義一個(gè)struct timeval類型的headerTimeBack并初始化為第一個(gè)數(shù)據(jù)包的時(shí)間，通過(guò)(header-＞ts).tv_sec!=headerTimeBack.tv_sec)來(lái)控制 1S時(shí)間間隔，把數(shù)據(jù)傳遞給圖形顯示函數(shù)，headerTimeBack記錄當(dāng)前時(shí)間。在大流量的情況下采用這種計(jì)時(shí)方法，誤差可以忽略。

選用按鈕控件來(lái)顯示流量。從 CButton類派生出CMyButton類用于自繪制，當(dāng)按鈕上面任何可見(jiàn)的部分發(fā)生變化的時(shí)候，都要調(diào)用DrawItem()函數(shù)進(jìn)行重繪。自繪制按鈕必須設(shè)定BS_OWNERDRAW屬性，確保這個(gè)Button是用來(lái)繪制而不是接收按下消息的，設(shè)置的代碼在PreSubclassWindows()函數(shù)中完成。為了動(dòng)態(tài)顯示流量，使用SetTimer()定時(shí)器函數(shù)，它每隔一段時(shí)間就向WM_TIMER發(fā)出消息，然后在 WM_TIMER的消息處理函數(shù) OnTimer()中進(jìn)行下一步的處理，最后重繪窗口。

2 異常流量特征分析

對(duì)每一時(shí)刻t，定義時(shí)間間隔t1-tn內(nèi)的峰值P、谷值L、均值M、方差S2、頻率F等變量，在采集流量的基礎(chǔ)上，進(jìn)行特征分析。計(jì)算公式如(1)-(5)所示。

方差用來(lái)度量隨機(jī)變量和其數(shù)學(xué)期望(即均值)之間的偏離程度。方差越大，表示流量的波動(dòng)越大，越容易出現(xiàn)峰值或谷值，說(shuō)明網(wǎng)絡(luò)不是很穩(wěn)定。

采用Hussain提出的網(wǎng)絡(luò)流量的頻率表示方法，假設(shè)發(fā)出的所有數(shù)據(jù)包都是同樣大小，發(fā)送一個(gè)數(shù)據(jù)包所需時(shí)間T=S/B(其中S代表數(shù)據(jù)包大小，B表示網(wǎng)絡(luò)帶寬)，那么發(fā)送數(shù)據(jù)包的間隔時(shí)間是相同的，這就表明頻率領(lǐng)域有周期性，并且周期等于發(fā)送數(shù)據(jù)包的間隔時(shí)間。因此，不同的帶寬或不同的攻擊方式產(chǎn)生流量峰值的頻率不一樣，并且在這個(gè)頻率的周期處都會(huì)出現(xiàn)流量的峰值。

3 仿真實(shí)驗(yàn)

DDoS(分布式拒絕服務(wù)型)攻擊是使用大量的數(shù)據(jù)包攻擊系統(tǒng)，使系統(tǒng)無(wú)法接受正常用戶的請(qǐng)求，或者主機(jī)掛起不能提供正常的工作。DDoS攻擊和其他類型的攻擊不同之處在于：攻擊者的目地并非尋找進(jìn)入內(nèi)部網(wǎng)絡(luò)的入口，而是阻止合法用戶訪問(wèn)網(wǎng)絡(luò)資源。

典型的DDoS攻擊系統(tǒng)如圖4所示，由攻擊者(黑客)、主控機(jī)(控制傀儡機(jī))、實(shí)施攻擊的代理機(jī)(攻擊傀儡機(jī))、被攻擊的目標(biāo)主機(jī)四部分組成。主控機(jī)和攻擊代理機(jī)分別用作控制和實(shí)際發(fā)起攻擊，對(duì)目標(biāo)機(jī)而言，DDoS的實(shí)際攻擊包來(lái)自攻擊代理機(jī)，攻擊代理機(jī)可以數(shù)十臺(tái)甚至上百臺(tái)，可以瞬間造成目標(biāo)機(jī)網(wǎng)絡(luò)擁塞。

圖4 分布式拒絕服務(wù)攻擊體系結(jié)構(gòu)

本系統(tǒng)中流量監(jiān)控采用端口鏡像的方法，把交換機(jī)的一個(gè)或多個(gè)端口的數(shù)據(jù)鏡像到一個(gè)或多個(gè)端口。其目的主要是方便對(duì)一個(gè)或多個(gè)網(wǎng)絡(luò)接口的流量進(jìn)行分析。交換機(jī)型號(hào)是D-link，把PC機(jī)的IP設(shè)置為192.168.0.2，網(wǎng)關(guān)為192.168.0.1，在瀏覽器里輸入192.168.0.1登入交換機(jī)的管理界面進(jìn)行設(shè)置：監(jiān)控主機(jī)的端口(Sniffer Port)、被監(jiān)控主機(jī)的端口(Source Port)。

CC(Challenge Collapsar)攻擊是DDoS的一種形式，原理就是攻擊者控制某些主機(jī)不停地發(fā)大量數(shù)據(jù)包給對(duì)方服務(wù)器造成服務(wù)器資源耗盡，一直到崩潰。CC主要是用來(lái)攻擊頁(yè)面的，當(dāng)一個(gè)網(wǎng)頁(yè)訪問(wèn)的人數(shù)特別多的時(shí)候，打開(kāi)網(wǎng)頁(yè)就慢了。利用Storm Attack Tool進(jìn)行CC攻擊，需要在主控機(jī)上生成服務(wù)端(攻擊傀儡機(jī)端)，在傀儡機(jī)上運(yùn)行生成的Sever.exe文件，其系統(tǒng)類型、內(nèi)存、CPU等參數(shù)都會(huì)在主控機(jī)上顯示。CC攻擊的參數(shù)設(shè)置如圖5所示。

圖5 CC攻擊的參數(shù)設(shè)置

流量監(jiān)控軟件的過(guò)濾 IP為目標(biāo) IP，使用兩臺(tái)傀儡機(jī)進(jìn)行攻擊，流量監(jiān)控界面產(chǎn)生的流量變化如圖6所示。

圖6 CC攻擊時(shí)產(chǎn)生的流量變化

攻擊開(kāi)始之后，正常用戶的訪問(wèn)請(qǐng)求得不到響應(yīng)。圖 6中紅色代表實(shí)際流量，綠色代表流量的平均值；t1-t2時(shí)段為正常流量，實(shí)際流量在平均值上下浮動(dòng)；t2-t3時(shí)段為攻擊時(shí)產(chǎn)生的流量，分析得出結(jié)果：(1)攻擊剛開(kāi)始的時(shí)候，流量出現(xiàn)峰值；(2)實(shí)際流量遠(yuǎn)高于平均值；(3)實(shí)際流量很大并持續(xù)一段時(shí)間然后趨向于平穩(wěn)；(4)其余的特征有待進(jìn)一步發(fā)現(xiàn)。

由此可以發(fā)現(xiàn)，流量的峰值、均值等特征可以描述某些網(wǎng)絡(luò)攻擊行為。

4 結(jié)論

基于流量的網(wǎng)絡(luò)行為分析可以檢測(cè)出具有明顯流量異常的網(wǎng)絡(luò)攻擊，對(duì)于有大量數(shù)據(jù)需要處理的網(wǎng)絡(luò)攻擊檢測(cè)來(lái)說(shuō)，使用較少的行為算法，能夠捕捉到大部分的問(wèn)題，然后再把重點(diǎn)轉(zhuǎn)向具體的方面，這樣可以節(jié)省分析系統(tǒng)的開(kāi)銷。本文提出的系統(tǒng)方案解決了以往網(wǎng)絡(luò)行為分析和數(shù)據(jù)收集相脫離的問(wèn)題，對(duì)實(shí)際網(wǎng)絡(luò)的保護(hù)具有較好的實(shí)時(shí)性。

[1]李一.網(wǎng)絡(luò)行為一個(gè)網(wǎng)絡(luò)社會(huì)學(xué)概念的簡(jiǎn)要分析[J].蘭州大學(xué)學(xué)報(bào).2006.

[2]基于宏觀網(wǎng)絡(luò)流相關(guān)性的DDoS攻擊檢測(cè).計(jì)算機(jī)工程.2011.

[3]孫向陽(yáng),鄧勝蘭.一個(gè)基于NS2的拒絕服務(wù)攻擊與防御模擬系統(tǒng). 2008年《全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集(第二十三卷)》.

[4]李慧萍,魯曉帆,張凱.基于Winpcap的數(shù)據(jù)包捕獲技術(shù)的研究.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2010.

[5]王景中,胡柳武,段建勇.網(wǎng)絡(luò)行為數(shù)據(jù)的獲取與解析實(shí)現(xiàn).網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2011.

[6]張毅,劉強(qiáng).基于流量行為的DDoS檢測(cè)系統(tǒng).計(jì)算機(jī)工程.2011.