通信网络安全要点.ppt

网络流连接关系图 经过端口种类及连接数量阈值筛选后的网络流连接关系图 网络流连接关系图重点关注网络安全事件发生下图模式的变化 网络流连接关系图的某些子图模式与网络事件密切相关 挖掘与网络事件相关的闭频繁子图和核心频繁子图，进一步掌握网络流的连接行为特征 挖掘动态频繁子图的特征和子图状态转移模式，刻画网络流连接行为的演化特征 网络现实事件关联分析 基本概念 从网络空间出发，根据一系列网络空间中的实体（如网络流、网络拓扑等）的状态及其变化，推断、检测、分类或追踪发生在现实社会中的事件，以达到现实社会事件的信息归档、隐藏信息发现、趋势预测等目的。 通常来讲，网络现实事件关联分析主要有两层含义：一是站在网络空间角度，发掘隐藏在现实事件背后的一些被遗漏的，不为人知的细节信息；二是通过检测和发现一些存在于网络空间中的现实事件将要发生的预兆，对现实社会中将要发生的事件进行预知，或者对正在发生的事件的趋势进行预测。 网络现实事件关联分析 基本模型 网络现实事件关联分析可以看做是一个反问题。 现实社会事件：指发生在现实社会中的实际事件，如政治军事事件、自然灾害事件、新闻娱乐事件等等。 网络空间实体：指组成计算机网络或计算机网络承载的具体或抽象的对象，如网络拓扑、网络应用、网络流量等等。 建立从现实社会空间事件到网络空间实体状态与变化的关联关系库，从网络空间实体的变化反推现实社会事件。 现实社会事件 网络空间实体 实体状态与变化 影响 表现出 反过程 正过程 网络现实事件关联分析：UESTC学生网络应用使用一周变化图 流分类 流：具有相同源IP，目的IP，源端口号，目的端口号以及传输层协议的数据包的有序集合 80 Port: 80 Endpoint: (, 80) 4 16250 Connection: (, 80) 、 (4, 16250) 和传输层协议 流分类的意义 是众多网络活动的基础 实时监控与管理 容量规划、网络优化 网络安全 现有流分类方法 现有的流分类技术 基于端口号的流分类技术 根据标准端口号识别各种流量（如HTTP使用80） 优点：速度快 缺点：新的应用使用非标准端口、动态端口 基于负载的流分类技术 根据负载中的特征字段识别各种流量 优点：速度快；准确率高 缺点：侵犯隐私；处理开销大 现有流分类方法 基于流行为特征的流分类技术 不同的应用表现出不同的行为特征。可通过计算流的行为特征，采用合适的分类方法，识别出各流量 优点： 不需要考察端口号、包的负载等特征。不但克服了基于端口号和基于包负载两种分类技术无法解决的难点，且提高了准确率 可识别新型应用，完整性好 缺点： 有些特征对网络动态变化极其敏感（包的到达时间间隔、流的持续时间等） 流行为特征向量集合的维数高，存在大量冗余的或无效的特征向量 计算量大，处理速度慢 对分类算法的性能要求高；不同的网络环境对分类性能的影响也较大 流量捕获 流量收集工具： TCPDUMP (For Linux) WINDUMP (For Windows) Nprobe (TCPDUMP改良版本) 流提取 特征参数提取 流量捕获 1.抓取网络流量数据 目的：获得实验数据，用于手工分类、流量特征分析、以及流量分类等。 抓取环境：电子科技大学某重点实验室 工具：WinDump或Wireshark 抓取方法：利用具有端口镜像功能的网管交换机将实验室的所有数据镜像至一个端口，数据采集终端连接该镜像端口，利用Windump工具实现数据采集。 手工标记 2.手工分类 主要根据数据包中出现的特征字段来识别流量 对于公开协议，根据通信协议来识别流量（BT、eDonkey、Kademlia等） 对于私有协议，根据各种客户端来识别流量（PPS、PPTV等） 方法： 通过查阅文献、资料或分析通信协议的方式收集各种特征字段；通过抓包逆向分析的方式收集特征字段 抓包分析验证特征字段的有效性 编程实现流量分类 时域参数分析 3.时域特征参数分析 伦敦大学的Moore于2005年提出的流248种参数，分析了流的一些基本特征，如： 时域参数分析 P2P使用固定的、大小适中的文件块作为共享单元，而不是将整个文件作为共享单元。 P2P的报文可以分为：文件块数据包和控制包 P2P流的特点就是连续传输文件块 包长序列 （a）P2P （b）非P2P 包达到时间间隔序列 （a）P2P （b）非P2P 基于小波变换的P2P流特征参数提取 小波特征参数 PayloadDetailMean_LvK 负载序列第K层小波系数的平均值 PayloadDetailStd_LvK 负载序列第K层小波系数的方差 PayloadDetailMedian_LvK 负载