基于流記錄的熱點主機非授權流量識別.pdf

1、互聯(lián)網(wǎng)的迅速發(fā)展已使其成為人類日常生活中必不可少的組成部分。然而，掃描、DDoS攻擊等各種安全威脅產生的大量非授權流量（Unwanted Traffic）嚴重影響著網(wǎng)絡的穩(wěn)定、性能和安全。從大規(guī)模的網(wǎng)絡流量中識別并過濾掉這些流量是一項有意義的研究工作。從主機角度出發(fā)，許多非授權流量會導致發(fā)送方或接收方的流量行為發(fā)生較大變化，使之占用較大的網(wǎng)絡或服務資源，成為熱點主機。因此本論文將以IP流記錄為基礎，從熱點主機角度展開非授權流量的識別研究

2、。
　　本論文首先討論了非授權流量的定義，然后從兩個角度對熱點主機非授權流量的檢測進行了研究，一個是基于熱點主機地址的活躍性，另一個是基于熱點主機的行為特征。兩項研究工作均基于流記錄展開。
　　基于主機地址活躍性的檢測將熱點空間分為活躍地址空間和非活躍地址空間，并判定非活躍地址空間的熱點流量是非授權流量。為了獲取非活躍地址空間，本文提出基于流記錄的地址活躍性判定算法，核心思路是將存在雙向有效通信流量作為地址活躍判定條件，并討

3、論了抽樣、偽造地址等問題對算法的影響以及相應的應對策略，通過實驗，證明了該算法的準確性和有效性。
　　對于活躍地址空間的熱點，采用基于行為特征的方法進行非授權流量識別。對于已知角色和應用的主機（DNS服務器），論文分析了其正常行為時的流量特征，并總結出相應的檢測規(guī)則;對于未知角色的主機，論文提出了主機行為分類算法，選取源端口分布、目的端口分布、目的IP地址分布和通信協(xié)議分布這四個測度來描述主機的行為特征，并通過各測度值對主機進行標

4、記，自動將主機分到不同的行為類中。每個行為類都有相關的行為語義，表達了主機的角色和應用屬性。通過對行為類的屬性以及熱點主機行為動態(tài)性的深入分析，從中總結出面向行為類和熱點主機的非授權流量檢測規(guī)則。
　　本論文最終在NBOS平臺上實現(xiàn)了熱點非授權流量檢測。首先對系統(tǒng)現(xiàn)有非授權流量檢測功能進行改進，保證了檢測結果的唯一性。然后基于以上兩個研究點總結出的檢測規(guī)則，設計并實現(xiàn)了基于熱點主機的非授權流量檢測算法，最后通過對檢測結果的分析驗證