国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

基于基線(xiàn)算法的電力企業(yè)信息網(wǎng)異常流量檢測(cè)的實(shí)現(xiàn)

2014-09-02 01:51:03賴(lài)蔚蔚
機(jī)電信息 2014年36期
關(guān)鍵詞:工作日基線(xiàn)端口

賴(lài)蔚蔚

(廣東電網(wǎng)公司惠州供電局,廣東 惠州 516003)

基于基線(xiàn)算法的電力企業(yè)信息網(wǎng)異常流量檢測(cè)的實(shí)現(xiàn)

賴(lài)蔚蔚

(廣東電網(wǎng)公司惠州供電局,廣東 惠州 516003)

主要提出了一種基于基線(xiàn)算法的電力企業(yè)信息網(wǎng)的異常流量檢測(cè)。該方法利用思科的NetFlow采集工具NetFlow Collector(NFC),每5 min采集一次設(shè)備通過(guò)UDP傳送過(guò)來(lái)的NetFlow原始數(shù)據(jù),然后通過(guò)利用通訊端口、時(shí)間、流量(字節(jié)數(shù)或封包數(shù)目)3個(gè)維度的信息,通過(guò)篩選、去除偏離值、計(jì)算基線(xiàn)數(shù)值、實(shí)際值與基線(xiàn)數(shù)值比較等方式,檢查當(dāng)前網(wǎng)絡(luò)是否存在異常流量。

基線(xiàn)算法;異常流量;基線(xiàn)分析;網(wǎng)絡(luò)安全

0 引言

隨著計(jì)算機(jī)和通信技術(shù)的發(fā)展,電力企業(yè)網(wǎng)絡(luò)的規(guī)模越來(lái)越大,復(fù)雜性也在不斷提升,各種應(yīng)用業(yè)務(wù)也越來(lái)越廣泛,因此發(fā)生各種故障的可能性也越大,各式各樣的異常流量也隨之而來(lái)。異常流量的產(chǎn)生不僅會(huì)影響網(wǎng)絡(luò)的正常運(yùn)行、降低工作效率,更有可能造成企業(yè)機(jī)密信息的泄露,影響企業(yè)的發(fā)展。因此,異常流量檢測(cè)成為電力企業(yè)面臨的一大難題。

主流的流量采集技術(shù)主要有基于鏡像(閥在線(xiàn))交通的協(xié)議分析技術(shù)、分布式監(jiān)測(cè)技術(shù)(基于硬件探針監(jiān)測(cè)技術(shù))、基于NetFlow的監(jiān)測(cè)技術(shù)和基于SNMP的監(jiān)測(cè)技術(shù)4種。相對(duì)于NetFlow的監(jiān)測(cè)技術(shù),其他技術(shù)各有短板。流量鏡像只能應(yīng)用在單條鏈路,全網(wǎng)監(jiān)測(cè)不適宜采用。硬件探針監(jiān)測(cè)技術(shù)受接口速率上限的限制。SNMP技術(shù)主要收集一些設(shè)備狀態(tài)信息和相應(yīng)的流量信息。由于信息的單調(diào)和一些誤差的存在,使得后期的數(shù)據(jù)分析只能在網(wǎng)絡(luò)2、3層的信息以及設(shè)備的狀態(tài)消息上進(jìn)行。而NetFlow監(jiān)測(cè)技術(shù)是屬于統(tǒng)籌部署方案,不依賴(lài)某條鏈路,同時(shí)它采集數(shù)據(jù)的效率高,網(wǎng)絡(luò)應(yīng)用范疇大,成本相比較也更低,有較高的性?xún)r(jià)比。

異常流量檢測(cè)技術(shù)主要有Top N、流量模型、模式匹配、Dark IP等。本文提出的是基于基線(xiàn)的流量檢查方法,其主要目的是設(shè)計(jì)一種針對(duì)異常流量檢測(cè)具有高度可行性的通用機(jī)制,而不是僅針對(duì)特定一種蠕蟲(chóng)所產(chǎn)生的異常流量的精確化方法,不管什么原因產(chǎn)生的流量,網(wǎng)管人員都可以利用此通用的檢測(cè)機(jī)制檢測(cè)異常流量的信息流?;诨€(xiàn)的方法主要是通過(guò)建立一個(gè)基于時(shí)間的流量常態(tài)模型,通過(guò)檢測(cè)網(wǎng)絡(luò)的各種設(shè)備及協(xié)議流量,設(shè)置基于各時(shí)間段的動(dòng)態(tài)流量基線(xiàn)。若在同一個(gè)時(shí)間段中,監(jiān)測(cè)數(shù)據(jù)與設(shè)定的基線(xiàn)存在偏差,則系統(tǒng)會(huì)給出異常警告,并且隨著時(shí)間積累,告警等級(jí)會(huì)逐步升級(jí)。

1 NetFlow簡(jiǎn)介

思科公司的NetFlow是在IOS體系下引入的一種交換技術(shù)。它是利用源IP地址、目標(biāo)IP地址、TOS字節(jié)、第3層協(xié)議類(lèi)型等7個(gè)具有段標(biāo)識(shí)的屬性,同時(shí)在被思科路由器所支持的前提下,對(duì)不同類(lèi)型的Flow進(jìn)行快速精確的區(qū)分,然后進(jìn)行跟蹤、計(jì)量和分析,得到其時(shí)間、類(lèi)型和大小等信息。

NetFlow服務(wù)可以提供一些其他高效優(yōu)質(zhì)的服務(wù),如與路由器配合的最優(yōu)交換路徑下的數(shù)據(jù)統(tǒng)計(jì),路由器與交換機(jī)信息交互的最大限額下的高效數(shù)據(jù)統(tǒng)計(jì),以及用戶(hù)、協(xié)議、端口和服務(wù)類(lèi)型等多類(lèi)型數(shù)據(jù)統(tǒng)計(jì)。此外,NetFlow還可以部署在網(wǎng)絡(luò)的任何位置作為可尋徑的設(shè)備,并且在某種程度上通過(guò)數(shù)據(jù)包過(guò)濾實(shí)現(xiàn)一些安全性服務(wù)措施。

NetFlow因采用特殊的交換技術(shù),對(duì)路由器的影響較小。其查詢(xún)過(guò)程只針對(duì)第一個(gè)分組進(jìn)行,當(dāng)Flow被識(shí)別區(qū)分以后,后面的分組默認(rèn)為其一部分,這樣面向連接基礎(chǔ)的處理,回避了訪(fǎng)問(wèn)列表的操作,從而實(shí)現(xiàn)了小影響下的數(shù)據(jù)采集。

通過(guò)進(jìn)一步分析NetFlow的字段說(shuō)明,更能體現(xiàn)其優(yōu)越性。如表1所示,可以發(fā)現(xiàn)flow record中有源/目的IP地址、傳輸層源、目的端口號(hào)等具有數(shù)據(jù)流標(biāo)識(shí)的信息,包含對(duì)這些對(duì)數(shù)據(jù)安全相關(guān)的數(shù)據(jù)tcp flags,與地址相關(guān)的數(shù)據(jù)如源地址、目的地址、源自治號(hào)和目的自治號(hào)等,NetFlow提供了很多關(guān)于數(shù)據(jù)的細(xì)節(jié),它能詳細(xì)分析數(shù)據(jù)的各種信息。

表1 NetFlow字段說(shuō)明

綜上所述,NetFlow技術(shù)因其特殊的形式架構(gòu),不反復(fù)對(duì)每個(gè)數(shù)據(jù)包進(jìn)行搜索,而是對(duì)數(shù)據(jù)流進(jìn)行分析,改進(jìn)了以往流量監(jiān)控低效、對(duì)設(shè)備影響高等不利因素,因此更加適合大型網(wǎng)絡(luò)。

2 基線(xiàn)分析

基線(xiàn)分析是一種多時(shí)間段平均法,其思想是把一個(gè)時(shí)間段有限細(xì)分,計(jì)算每個(gè)細(xì)分中變量的平均值,將其值連接起來(lái),即為參考基線(xiàn),它表征著一個(gè)系統(tǒng)的常態(tài)值,應(yīng)用在流量監(jiān)控上,則反映了正常的流量變化情況。

本文采用基線(xiàn)分析的方法,監(jiān)測(cè):

(1) 知名端口(1024以下的端口號(hào))的某些特定端口(黑名單方式),即一些已公布的跟異常流量有關(guān)的端口,如一些蠕蟲(chóng)病毒(沖擊波病毒使用的135端口);

(2) 其他所有非知名端口(1024以上的端口號(hào)),排除掉某些特定應(yīng)用(如一些企業(yè)內(nèi)部通訊軟件之類(lèi))的端口(白名單方式)。

通過(guò)對(duì)符合上述條件的端口的歷史記錄和當(dāng)前記錄進(jìn)行基線(xiàn)分析,執(zhí)行如下步驟:

(1) 讀取NetFlow記錄并執(zhí)行統(tǒng)計(jì);

(2) 從歷史記錄表數(shù)據(jù)計(jì)算基線(xiàn)值;

(3) 確定動(dòng)態(tài)臨態(tài)值;

(4) 找出受感染主機(jī)。

具體過(guò)程形式描述如下:

2.1 選定基線(xiàn)分析NetFlow記錄并執(zhí)行統(tǒng)計(jì)

從NetFlow采集的信息流中,找到目的端口(dstport)的字段進(jìn)行分析,判斷其是否為基線(xiàn)統(tǒng)計(jì)所需要的目標(biāo)對(duì)象。如果是知名端口,先檢查該目的端口是否屬于黑名單端口,如果是,則將該端口的流量記錄進(jìn)行統(tǒng)計(jì),并寫(xiě)入歷史表供以后基線(xiàn)計(jì)算使用;如果是非知名端口,先檢查該目的端口是否屬于白名單端口,如果不是,則將所有相關(guān)端口的流量記錄作為整體(以端口號(hào)-1表明這些整體的端口)進(jìn)行統(tǒng)計(jì)。

網(wǎng)絡(luò)異常可以包括3個(gè)廣義的類(lèi)型:濫用異常、閃現(xiàn)擁擠異常和操作異常,而企業(yè)內(nèi)部最常見(jiàn)的是濫用異常,具體包括的內(nèi)容如表2所示。

表2 網(wǎng)絡(luò)濫用異常種類(lèi)說(shuō)明

表2展示了各種異常流量與封包數(shù)目(Packets)或者字節(jié)數(shù)(Bytes)的對(duì)應(yīng)關(guān)系,以蠕蟲(chóng)感染為例分析,當(dāng)蠕蟲(chóng)感染時(shí),就網(wǎng)絡(luò)流量而言,會(huì)有大量的數(shù)據(jù)封包數(shù)目或數(shù)據(jù)字節(jié),然而蠕蟲(chóng)所散布的字節(jié)數(shù)與正常信息相比較會(huì)小很多,由此可知蠕蟲(chóng)感染的情況下,網(wǎng)絡(luò)中封包的數(shù)量統(tǒng)計(jì)會(huì)明顯增加,而字節(jié)統(tǒng)計(jì)不會(huì)有明顯變化。所以這時(shí)候統(tǒng)計(jì)封包數(shù)目這個(gè)字段值比較有用,可以更有效地檢測(cè)網(wǎng)絡(luò)是否有蠕蟲(chóng)病毒這種異常流量。相反,對(duì)于閃現(xiàn)擁擠,例如一些下載行為,封包數(shù)目或字節(jié)數(shù)均會(huì)增加,但下載的流量值對(duì)網(wǎng)絡(luò)的運(yùn)行有著更重要的影響,所以這時(shí)候統(tǒng)計(jì)字節(jié)數(shù)這個(gè)字段值,更能反映網(wǎng)絡(luò)是否有異常的不符合要求的流量。

2.2 從歷史記錄表數(shù)據(jù)計(jì)算基線(xiàn)值

公司或組織的群體成員具有相似的行為特性,則其網(wǎng)絡(luò)流量也具有高度的一致性,即隨著組織成員的作息,網(wǎng)絡(luò)流量具有周期性規(guī)律和尖峰發(fā)布情況。根據(jù)這一特性,我們將算法分為工作日與非工作日兩種。

工作日:以5 min為單位,取前20個(gè)工作日當(dāng)前分鐘對(duì)應(yīng)的某端口的采樣點(diǎn),求出它們的平均值和標(biāo)準(zhǔn)差,并利用格拉布斯準(zhǔn)則剔除壞值,之后再利用。

非工作日:以5 min為單位,取前8個(gè)非工作日當(dāng)前分鐘對(duì)應(yīng)的某端口采樣點(diǎn),剔除最大5%和最小5%的數(shù)據(jù),然后取平均值,得出當(dāng)前小時(shí)基線(xiàn)。

以工作日為例,具體步驟描述如下:

(1) 對(duì)每個(gè)符合條件的端口的前20個(gè)工作日該設(shè)備的流量值進(jìn)行排序,得出如下序列:

綜上,僅有文獻(xiàn)[6]對(duì)集裝箱駁運(yùn)及拖運(yùn)的經(jīng)濟(jì)性進(jìn)行了比較,但該文獻(xiàn)未能考慮運(yùn)輸時(shí)間及服務(wù)水平對(duì)路徑經(jīng)濟(jì)性的影響.本文基于以上背景,以深圳西部港水上“巴士”為研究對(duì)象,分析其現(xiàn)存問(wèn)題,并通過(guò)與其他出口路徑經(jīng)濟(jì)性的比較分析,探討提高集裝箱物流運(yùn)轉(zhuǎn)速度、提升水上“巴士”滿(mǎn)載率及運(yùn)營(yíng)效率的對(duì)策建議.

{X1i,X2i,…,X20i,ij?{1,2,…,20},

X1i≤X2i≤…≤X20i}

(2) 去除最大和最小的5%,即去掉最大和最小的值,剩下如下序列:

{X1i,X2i,…,X19i,ij?{1,2,…,20},

X1i≤X2i≤…≤X19i}

2.3 確定動(dòng)態(tài)臨態(tài)值

設(shè)Th為一個(gè)時(shí)間段細(xì)分的基線(xiàn)閾值,b1為基線(xiàn)值。b1值越大,Th應(yīng)越大,即b1正比于Th。則有:

Th=K×b1

假設(shè)K為一大于1的常數(shù),K值根據(jù)歷史數(shù)據(jù)進(jìn)行經(jīng)驗(yàn)性適度調(diào)整。簡(jiǎn)單分析有,K值越大,感染行為愈容易確定,但是它同時(shí)會(huì)導(dǎo)致漏判率增加,使得一些蠕蟲(chóng)病毒不容易被發(fā)現(xiàn);反之,K值越小,感染行為則愈加敏感,同時(shí)也會(huì)導(dǎo)致誤判率增加,有些正常的信息流也會(huì)被誤判為異常流量。本文所建立的一個(gè)系統(tǒng)初步將K值設(shè)為2,即當(dāng)前值比基線(xiàn)值大一倍時(shí)才發(fā)現(xiàn)異常警報(bào)。

2.4 找出異常流量來(lái)源

當(dāng)某一時(shí)間段細(xì)分中的所監(jiān)控的流量超過(guò)第3步所描述的臨界值時(shí),此時(shí)間段則被稱(chēng)為異常時(shí)段,追蹤這一時(shí)間段的記錄進(jìn)行進(jìn)一步分析,根據(jù)NetFlow記錄,找出產(chǎn)生異常流量的主機(jī)。主要步驟是通過(guò)分析NetFlow原始記錄,對(duì)該時(shí)段、該端口的字節(jié)數(shù)或封包數(shù)目進(jìn)行top排序,從而找出出現(xiàn)問(wèn)題的主機(jī)IP及使用的端口,再進(jìn)行進(jìn)一步的處理。

3 實(shí)驗(yàn)結(jié)果分析

圖1是某工作日10:00—11:35的一段真實(shí)流量和計(jì)算的基線(xiàn)值的非知名端口流量值,屬于正常情況,不存在報(bào)警情況。

圖1 非知名端口流量值1

圖2是某工作日14:00—15:35的一段真實(shí)流量和計(jì)算的基線(xiàn)值的非知名端口流量值,實(shí)際值超過(guò)基線(xiàn)值2倍以上,屬于異常情況,需要報(bào)警,并需要通過(guò)原始NetFlow記錄分析產(chǎn)生大流量的IP及端口,并分析原因。

圖2 非知名端口流量值2

圖3是某工作日16:00—17:35的關(guān)于TCP端口135的一段真實(shí)流量和計(jì)算的基線(xiàn)值。此端口為沖擊波使用的端口,字節(jié)數(shù)為48。從圖中我們可以看出,16:45時(shí)135端口的流量值出現(xiàn)了突增,之后恢復(fù)正常,可能是某機(jī)器感染了沖擊波病毒,當(dāng)該機(jī)器想感染其他機(jī)器時(shí),被防火墻封了而讓流量值恢復(fù)正常。

圖3 知名端口(135端口)流量值

4 總結(jié)與展望

本文提出了一種基于基線(xiàn)算法的企業(yè)異常流量檢測(cè)的方法,同時(shí)提出了多時(shí)間段細(xì)分、多通訊端口監(jiān)控的基線(xiàn),在此動(dòng)態(tài)基線(xiàn)的基礎(chǔ)上,分別對(duì)工作日和非工作日的流量數(shù)據(jù)進(jìn)行基線(xiàn)分析,從而達(dá)到檢測(cè)異常流量的目的。根據(jù)實(shí)驗(yàn)結(jié)果分析該方法的優(yōu)點(diǎn)如下:

(1) 分析的數(shù)據(jù)來(lái)源均為標(biāo)準(zhǔn)化的。本文所分析的數(shù)據(jù)均采用思科公司已列為RFC標(biāo)準(zhǔn)草案的NetFlow標(biāo)準(zhǔn),且已在設(shè)備中廣泛應(yīng)用。雖然其他廠(chǎng)家,如華為、Juniper等都有提出基于自己設(shè)備的NetFlow格式,但都與思科的類(lèi)似,所以數(shù)據(jù)來(lái)源的使用上具有通用性,實(shí)現(xiàn)了標(biāo)準(zhǔn)化的要求。

(2) 采取基線(xiàn)分析方法具有單一化。本文提出的基于基線(xiàn)分析異常流量監(jiān)測(cè)方法具有高度的單一性,按照工作日和非工作日的多時(shí)間段細(xì)分進(jìn)行分析,監(jiān)測(cè)中只采用基線(xiàn)作為分析的唯一準(zhǔn)則,免去了其他方法監(jiān)測(cè)等的繁瑣復(fù)雜,不會(huì)隨著異常流量產(chǎn)生原因的不同而使用不同的檢測(cè)方法,這種整體機(jī)制使得分析方法呈現(xiàn)高度的單一性。

(3) 網(wǎng)絡(luò)檢測(cè)盡量簡(jiǎn)易化。本文所提出的監(jiān)測(cè)方法,雖然在精準(zhǔn)度上有些許欠缺,無(wú)法保證完全監(jiān)測(cè)出異常流量,但是由于其高度的單一化機(jī)制,使得監(jiān)測(cè)方法得到很大的簡(jiǎn)化,對(duì)于一個(gè)大企業(yè)復(fù)雜龐大的網(wǎng)絡(luò)來(lái)說(shuō)是非常有用的,效率會(huì)有所提高,且具有更高更好的實(shí)時(shí)性。

但是,本文提出的初始基線(xiàn)生成方法相對(duì)簡(jiǎn)單,而基線(xiàn)的臨界倍數(shù)對(duì)算法的準(zhǔn)確性有很大的影響,后續(xù)需要做到保持在同樣的時(shí)間復(fù)雜度下改善生成基線(xiàn)算法,以更有效地去檢測(cè)異常流量。

[1]王衛(wèi)東.電信IP骨干網(wǎng)絡(luò)異常流量分析及其檢測(cè)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007(9)

[2]王海龍.大規(guī)模網(wǎng)絡(luò)流量異常分析[D].國(guó)防科學(xué)技術(shù)大學(xué),2006

[3]滕云.利用NetFlow技術(shù)構(gòu)建網(wǎng)絡(luò)異常監(jiān)測(cè)及分析系統(tǒng)[J].廣西通信技術(shù),2007(3)

[4]Andrew S.Tanenbaum.計(jì)算機(jī)網(wǎng)絡(luò)[M].第4版.北京:清華大學(xué)出版社,2004

[5]馬艷春,肖創(chuàng)柏.基于動(dòng)態(tài)基線(xiàn)分析方法的網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)機(jī)制的研究[J].華北科技學(xué)院學(xué)報(bào),2008(1)

[6]鄒柏賢.一種網(wǎng)絡(luò)異常實(shí)時(shí)檢測(cè)方法[J].計(jì)算機(jī)學(xué)報(bào),2003(8)

2014-11-10

賴(lài)蔚蔚(1978—),男,廣東河源人,碩士研究生,高級(jí)工程師,研究方向:電力信息化。

猜你喜歡
工作日基線(xiàn)端口
適用于MAUV的變基線(xiàn)定位系統(tǒng)
一種端口故障的解決方案
航天技術(shù)與甚長(zhǎng)基線(xiàn)陣的結(jié)合探索
科學(xué)(2020年5期)2020-11-26 08:19:14
端口阻塞與優(yōu)先級(jí)
一種改進(jìn)的干涉儀測(cè)向基線(xiàn)設(shè)計(jì)方法
初識(shí)電腦端口
電腦迷(2015年6期)2015-05-30 08:52:42
生成樹(shù)協(xié)議實(shí)例探討
技術(shù)狀態(tài)管理——對(duì)基線(xiàn)更改的控制
航天器工程(2014年5期)2014-03-11 16:35:50
對(duì)《資本論》中工作日問(wèn)題的哲學(xué)思考
商(2012年14期)2013-01-07 07:46:16
鄭州局辦理業(yè)務(wù)全程提速
永善县| 淮南市| 区。| 兴义市| 大渡口区| 连平县| 宁德市| 嘉兴市| 垫江县| 焉耆| 九龙城区| 自治县| 淮南市| 吉安市| 兰考县| 信丰县| 米易县| 蓬莱市| 分宜县| 天门市| 大连市| 来宾市| 苍梧县| 邵阳市| 凤台县| 吴桥县| 保靖县| 东港市| 紫阳县| 禹城市| 宣武区| 太康县| 陆良县| 顺义区| 盐城市| 澄迈县| 皋兰县| 塘沽区| 城固县| 西平县| 巴彦淖尔市|