一种基于高聚集链路测量的网络级别od流异常检测框架.pdfVIP

研究与开发 一 种基于高聚集链路测量的网络级别 OD流异常检测框架 杨 松 ’．李宗林 z (1．华为赛门铁克科技有限公司 成都 611731；2．西南交通大学信息化研究院 成都 610031) l圜 绝大多数网络异常事件会对网络中的一定空间范围造成影响，形成分布式流量异常，其异常流量模 式通常体现在 网络级别源到端 (OD)流的某些特征参数上 。OD流很难直接测量得到 ，需通过高聚集 链路测量反演技术推测 ，然而反演误差将直接影响下一步基于特征参数 的异常诊 断。本文提 出了一 种直接 由链路测量进行 OD流异常检测 的框架 ，该框架采用 RMLP神经网络 ，并加入部分 OD流估 计值作为约束输入 ，实现 了由链路测量对 OD流级别特征参数的估计 。该方法 的优点是检测过程不 再完全依赖链路到 OD流的估计 ，解决 了反演误差影 响检测 的问题 ，并且该框架允许链路流量到多 种 OD流特征参数的估计 。 种高聚集程度的统计，包含了经过该链路所有OD流流量 1 前言 的叠加，可用于网络元素错误引起的异常流量诊断，这些 网络中的异常行为，如设备故障、链路或节点错误、突 事件通常对链路流量具有明显影响，造成链路幅值陡然上 发访问以及一些由恶意原因引起的异常行为(如DDoS攻 升或下降。然而对于一些造成分布式隐蔽流量异常的网络 击、蠕虫传播等)，都会导致网络性能下降，甚至网络不可 级别异常事件来说，只对链路流量分析是不够的。与链路 用。这些异常具有分布式特征，即同时存在于多条链路中， 流量相比，OD流呈现出端到端流量本质特征且聚集程度 形成分布式的流量异常，并且异常流量从单条链路上来 更低。此外，每条OD流对应网络中的一条路径，选择性地 看，可能极其隐蔽，并不表现出显著的异常特征，如DDoS 挑选某些OD流子集进行分析，能更符合异常发生的现实 攻击发动时．多个攻击源从不同位置向同一个受害者发送 情况：如设备节点发生故障时，经过该节点的多条OD流 攻击分组。为了躲避检测．单条攻击流上的攻击幅值可能 都会有所影响；DDoS攻击发生时，所有指向受害者的OD 被设计得很小，不易察觉。对于网络管理人员来说，及时、 流上都具有相似特征的攻击流量，这些同时发生在多条 有效地检测并响应处理这些分布式隐蔽流量异常十分 OD流上的潜在相似异常特征，可能会引起他们之间的相 困难 。 关性，即一种OD流级别的特征参数，在较正常情况下产 现有用于网络流量异常诊断的流量数据源分为可直 生改变。上述两点说明OD流数据更利于网络级别分布式 接测量得到的链路级别(1inkleve1)和流级别(flowleve1)数 隐蔽流量异常发现。 据以及间接测量得到的OD流数据。链路流量记录…是一 然而，0D流无法通过直接测量得到，一般由两种方式 ％l变 ≮鲜援 获得，一种通过netflow取得的流级别数据结合路由协议 2 相关工作 分析得到_2J，该方式通常不能用于实时在线检测过程；另一 种是由直接测量的链路数据通过反演_3】q方式得到。各种反 现有流量异常检测方法根据是否考虑流量之间的关 演技术面临的主要问题是：由Ⅳ条链路流输入得到，v2条 系，大致分为链路级别和网络级别异常检测。 OD流所面临的严重欠定性，一般通过引入先验信息或对 链路级别异常检测不考虑与其他流量之间的关系，监 OD流建立模型来克服欠定性问题。但是当流量异常发生 控对象是网络中的某些关键链路 】．比如链路速率相对较 时．通常与正常情况下的先验信息不符或者很难符