摘要:网络安全框架下,众多安全技术层出不穷。笔者从概念的角度出发,对流量分析技术展开必要说明,之后进一步深入,依据几个主要的分列指标,分类该领域的流量分析技术,并确定不同类别下,对应流量分析技术的应用特征、实现思路与原理。通过对此类流量分析技术展开分析,有助于加强该领域的认识,在实际工作中结合实际情况,选择合理的技术。
关键词:网络安全;流量分析;异常检测
0引言
网络安全框架下,众多安全技术层出不穷,成为互联网体系正常稳定工作的一个重要保证。众多安全技术中心中,流量分析的价值不容忽视。
1流量分析技术的概念
作为网络安全保障技术簇中极为重要的一个环节,流量分析技术的准确程度一直备受瞩目。既要能够分析异常流量,又不会过于敏感,导致常规流量波动列入异常范围[1]。网络环境中,异常网络流量来源主要包括异常网络操作、蠕虫病毒传播、闪存拥挤以及网络资源滥用。这几个方面在实际网络环境中,都有一些特征,在此仅对流量影响表现展开说明。对异常网络操作而言,主要包括网络配置变化引发的流量异常状况,网络设备本身的存储及处理能力发生耗损,也在此类问题范畴中。这不属于一种异常攻击,但却是一种需要优化网络的重要信号。因此,其危害通常表现为网络传输性能下降,诸如拥堵等问题,不会带来更大的安全问题。对于蠕虫病毒传播,主要是此类病毒的不停复制和传播,占用大量网络传输资源。对于蠕虫造成的网络异常流量,会随着病毒的复制逐步占据网络资源,不会呈现一个比较突出的爆发期,很难以第一时间有效监测。对这一方面来说,通常只能通过收集流量测量有关数据展开分析,才能确定蠕虫的异常传播行为。对闪存拥挤而言,主要是公众用户共同行为造成。这虽然被归在流量异常方面,但是只是一种网络环境中正常行为的结果,且会随着时间的推移逐步减少。网络滥用指端口查看、DoS或者DDoS频繁,通常是外部攻击的重要表现。此种异常类型经字节流量、包流量、位流量等有关数据测量,可以通过网络流数据技术异常特征进行判断。
2流量分析技术的发展与分类
实际安全应用中,流量异常检测会依据不同的指向性呈现不同的分类。有些异常检测技术单纯面向某一个特定异常流量类别展开检测,有些则面向整个网络环境,展开更泛化的检测。综合当前的应用现状,主要的检测方法包括以下几类。
2.1面向特定异常流量的检测
此种流量异常检测技术,更多是在一个相对狭窄的范围内,综合数据识别进行开展。对于这一方面的流量监测技术,会与小范围内的业务特征相结合,对应的技术具有针对性,缺乏一定的普适特征。这一类技术在实际工作过程中,实现的方式各有千秋,例如TRW算法常常用于快速检测端口。针对蠕虫病毒的识别,有基于假设检验和连接速率限制而形成的计算方法,利用数据平面信息检测前缀绑架的分布式实时监测。
2.2基于流量的检测技术
此类技术主要考察网络环境中的流量大小。对网络而言,异常操作常常会带来额外的流量,这种异常操作也会关系到网络环境安全。因此,网络环境中的流量高峰和突变,都可以视为异常可疑事件。虽然并不是所有安全问题都会在流量上有所表现,但是流量表现仍然是安全防范需要重点关注的一个重要指标。对于这一方面的检测技术有多种,例如可以用Sketch统计流量数据的压缩摘要,从而避免记录每一个信息流。在概要信息的基础上,进一步通过一个多样时间序列预测模型,检测得到的流量和实际流量的偏差程度,根据偏差大小判断是否发生异常。类似技术还包括开源软件RRDtool等,该软件提出了利用Holt-Winters预测模型实现异常流量的实时监测。通常做法是依据历史数据,通过Holt-Winters模型预测正常流量,并获取当前实际流量和预测结果之间的偏差,进一步依据设置的对应阈值判断幅度偏差是否正常。此外,Anomography框架是展开有效流量判断的重要技术,其作用方式是从链路的流量数据应用各类异常检测算法,推断整个网络的异常情况。此种方式可以有效识别造成整个网络流量异常的根源,但不能有效确定对流量影响不大的安全隐患。
2.3基于特征的流量检测技术
网络环境下,数据传输通常会为数据流带来对应的特征,这些特征也是实现数据识别的重要基础。对于流量特征统计的方案,比较常规的做法是将包头一些域或流量行为模式作为流量特征。异常的流量,对应的行为模式会呈现异常。这一领域中,可以依据多个标准确定细分的流量监测技术类别,诸如基于分类、基于聚类、基于统计和基于信息理论等,都是可行的分类标准。对基于分类的异常检测技术而言,根本在于建立一个分类的特征数据库,并将网络环境中的流量与这个数据库对比,从而确定异常。这个过程中,基于机器学习的方法是保持进步的根本。因此,神经网络方法、贝叶斯网络方法、支持向量机方法和基于规则方法等,都是检测技术得以实现的核心。对基于聚类的异常检测技术而言,则是将相似的数据传输实例纳入不同的分类簇,并进一步展开异常判断。这一类检测中,对应的策略可以分为三种。第一,异常数据流量难以归类到正常簇中。此种工作方式不强制归类每一个数据实例,但是无法展开对应优化。第二,如果建立簇时按照特征确定空间位置,异常数据实例必然远离簇的空间中心。这种识别方式受到攻击的初期易确定异常,但如果初期未能实现有效识别,随着异常总量的增加,簇中心的位置会发生偏移,导致识别难度增加。此种思路下,对于簇中心的定义,或者对于数据实例与簇中心相对位置的确定,成为一个关键。最后一种思路,认为正常的数据属于大且密集的簇,异常数据属于比较小的范本,基于此特征确定异常簇。基于统计的检测技术方面,最根本的思想在于利用统计方法,实现对应数据特征的分析,从而将不符合选定模型的数据列为异常范畴。这种对于模型符合与不符合的判断,是一种基于概率的判断,换言之,正常数据是与统计模型符合程度较高的数据,而异常数据则相反。基于高斯模型、基于回归模型,都是该领域中用于实现异常检测的重要依据。此外,有一些不需要参数的异常检测技术。对这一类异常检测而言,模型不是事先确定,而是由数据决定,直方图是该领域常见的形态。对信息理论的异常检测技术而言,主要依据不同的信息理论实现流量特征分析,假设异常数据流会给网络环境带来不规则变化。
3结语
对于流量分析技术,虽然其对安全保障有不容忽视的积极价值,但是仍受限于技术发展,且这种技术不仅仅是流量分析技术、攻击技术的发展,攻击过程中呈现的流量特征同样不容忽视。因此,发展的道路上,唯有不断深入分析攻击技术带来的新特征,密切关注流量分析技术,才能切实打造安全环境。
参考文献
[1]张宾.互联网异常流量特征分析及其应用研究[D].北京:清华大学,2012:74
作者:周孝鹏 单位:大庆油田信息技术公司
