网络流行为模式和分类方法-北京工业大学学报.pdfVIP

第33卷第11期 北京工业大学学报 vol33No．1l OF UNIvERSITYoFTECHNOLOGYN0v2007 2007年11月 JOURNALBEUING 网络流行为模式和分类方法 秦华，张书杰7 (北京工业大学计苒机学院，北京100022) 摘要：剧络流行为描述是网络异常检测的基础首先提出了阿络流行为模式的概念，给出了利用行为模式对 网络流进行分类的思想．然后设计出一个高教准确的分类算法．实现对网络流的实时分类，为基于网络流的网络 行为异常检测提供了依据 关键词：阿络流；网络行为；行为模式；网络流分类 中囝分类号：TP393．07 文献标识码：A 文章编号：0254一∞37(2007)11一1222—05 传统的网络流特征和行为分析的主要目的是提高服务的Qos，而目前的研究主要集中在网络流的特 网络流特征【21；异常数据包目的地IP地址之间和端口之间的关联性研究等¨J．大多数的研究成果还只局 限在针对特定的阿络流，对于网络流的共性和表示方法的研究仍然还在探索．文献[4]中。阿络流结构分 析表明，网络中的大多数流具有实时和不确定性，可以用5一lo个独立的维度特征表示．本文用网络流经 典5元组中的不同特征组合来刻画网络流的行为模式，并根据不同待征的取值来分类网络流，设计出相应 的分类算法，不仅可用于了解和掌握已知的应用，还能及时发现和了解未知应用的网络流特点．根据这种 分类思想和方法进一步挖掘异常网络流． 网络流的分类虽然属于包分类[50的一种，但和包分类有本质区别．目前，已经广砭用在防火墙、路由 器和交换机中，实现对网络访问控制的包分类技术的最基本特征是需要有对应的分类规则，而本文研究的 网络流分类面对的是在规则不定的情况下对网络流进行分类，并依据分类结果得出具体的网络流行为。为 制定网络控制规则提供依据． 1网络流特征和行为模式 1．1网络流特征 在2个网络终端用户之间，单向数据包的序列被定义为1个网络流．1个单独的网络流用7个属性来 于任意一个网络流集合来说，每种特征都有不同的具体取值，这些值称为该特征的特征值．任何一个确定 的网络流可以表示成(a，6，c，d，e)，其中n，6。c，d，P分别对应于特征A、B、c、D、E的取值． 1．2网络流行为和行为模式 网络流的行为，就是从流的角度描述网络节点之间的通信模式，即从源到目的地，使用什么协议，采用 什么服务．从观察和简单分析可知，5个特征的取值确定了1个唯一的网络流，而当某些特征的取值不确 定时，得到的不是1个流，而是一类流．用*表示不确定的特征值，则(n，6，*，d，c)表示的是使用协议 收稿日期：2006—07一14． 基金项目：校园同可信运行保障系统研究(Y0105007040121) 作者简介：秦华(1965一)，女，四川雅安人，高工． 万方数据 第11期 秦华等：网络流行为模式和分类方法 1223 n，从源IP地址6的任何一个端口发出的到目的地IP地址d的}端日的一类网络流． 网络流的行为接照其特征取值进行归类，具有形同特征值的网络流分为一类．以网络流所使用的通 信协议为主要特征，把网络流归纳成包括2个特征值相同的流、3个特征值相同的流、4个特征值相同的 流，共包括14种不同的类，每类称为网络流的一种行为模式．网络流行为模式的定义和说明见表1 表1网络流行为模式殛表示方法 hhlel T憎fficbeh吖i07 d挂riPti帅 pa恤阳锕d 1．3网络流的行为分类 行为分类是要在网络流数据中查找5个特征中某些特征的取值完全相同的网络流，即按行为模式找 出特征值相同的网络流实例，： 1)2个特征取值相同的网络流，包括模式AB、AC、AD和AE，每种模式可能会有多种实例，例如： P2)分别是模式Ac和AE的实例． 和(d1，*，c2，d5，*)分别是模式ABC和AcD的实例． (n7，65，c7，*，e1)分别