基于流量结构稳定性的服务器网络行为描述建模与系统.pdf

第 46卷 第 1期 电 子 科 技 大 学 学 报 、，o1．46 No．1 2017年1月 JournalofUniversityofElectronicScienceandTechnologyofChina Jan．2017 基于流量结构稳定性的服务器网络行为描述：建模与系统 邵国林，陈兴蜀，尹学渊，叶晓鸣 (四川大学计算机学院 成都 610065) 【摘要】针对现有基于异常特征库匹配的流量检测方法难以适应 目趋复杂的网络环境需要的问题，对服务器网络流量进 行了大量观测和研究，综合正常流量在某些属性上的固有稳定性及特定服务在流量层面表现出的稳定性 ，提取相应的流量特 征，同时提 出了流量结构稳定性的概念，并基于此对服务器的正常网络行为轮廓进行刻画，依据 当前流量结构偏离正常轮廓 的程度对服务器网络异常行为进行检测。针对流量结构差异性的定量刻画问题，提出了一种基~Spiechan的可视化度量方法， 并基于一台邮件服务器流量实现了系统，通过实验验证 了系统对常见网络攻击及未知网络异常的检测效果。 关 键 词 正常行为模型：服务器安全防护； 网络异常检测：流量结构稳定性 中图分类号 TP393．08 文献标志码 A doi：10．39694．issn．1001．0548．2017．01．016 ProfilingStructure--Stability—-BasedServerTraffic：BehaviorM odels andSystem SHAO Guo—lin，CHENXing-shu，YINXue-yuan，andYEXiao—ming (CollegeofComputerScience，SichuanUniversity Chengdu 610065) Abstract Serverasanimportantpartoftheinstitutionsororganizationsusuallycarriesaparticularnetwork service，forthesecurityprotection，itusuallyadoptsrule-basedapproachestodetectingaaacksaccordingtothe specificcharacters．However,duetothenew networkattacksemergeinendlesslyandnetworknaomalyisdifficult todefine．anomaly—feature-baseddetectionismoreandmoredi伍culttomeethteneedsoftheincreasinglycomplex network environment．Tocopewith it．weproposetheconceptoftrafficstructurestabilitybasedonboth the inherentstabilityofnormal仃affiCattributesandthestabilityofaspecificservice．andprofilethenormalnetwork behaviormodelforhteservertodetecttrafficabnormality．Todescribethedifferencebetweencurrent仃af行c structurenadthenormalprofile，weproposeanovelvisualizationmeasurementmethodbasedonSpieChart． Finally,weimplementhtesystem onamailserverandconfirm thevalidityofthemodelbyexperiments． Key words nomr albehaviormodel； serversecurity； tra伍Cabnomr ality detection； trafficsturcutre stability 服务器通常作为IT系统中的核心设备