基于时空特性的恶意流量生成方法的研究与实现.docVIP

基于时空特性的恶意流量生成方法的研究与实现 　　摘 要：建设网络靶场具有重大战略意义，为了使网络靶场更加逼真地模拟真实环境，需要在其中模拟产生真实网络中必然存在着的恶意流量。论文在对网络恶意流量的空间和时间特征分析的基础之上，提出一种基于时空特性的网络恶意流量生成方法。将用于入侵检测系统的Snort规则库反向解析翻译成脚本，用以构建恶意流量的空间特征。选用泊松模型，模拟恶意流量数据包的到达速率，模拟其时间特征。最后借助Libnet函数库，依据时间特性发送构造好的数据?笪模?模拟产生网络恶意流量。实验表明，这种方法模拟产生的恶意流量符合真实流量特性，并且可以定制产生特定行为模式的恶意流量。 　　关键词：网络靶场；恶意流量；Snort；泊松模型 　　中图分类号：TP393.08 文献标识码：A 　　A malicious traffic simulation approach based on time and space features 　　Abstract： It is of great importance in constructing the Cyber Range. To make the Cyber Range more realistic， simulating the inevitable malicious traffic in the real network is very essential. An approach of simulating the malicious traffic based on time and space feathers is brought out in this paper. Snort Rules are reversely used to construct the spatial features and Poisson Model is applied to modeling the temporal characteristics. Finally， the packets are sent by Libnet. Experimental results indicate that the traffic generated by the proposed method satisfies the properties of the real one. Further more， it can be used to generate some specific pattern of traffic. 　　Key words： cyber Range； malicious traffic； snort； poisson model 　　1 引言 　　网络靶场在支撑网络空间安全技术演示和网络攻防对抗演练中起着至关重要的作用[1]，越来越受到世界各国的重视。为了更加逼真地模拟现实网络环境，需要对网络靶场中的网络流量进行模拟生成。在真实网络中，恶意流量的存在不容忽视，所以在网络靶场流量模拟中，恶意流量也必须考虑。目前，主要有两种主流的恶意流量产生方式。一是使用攻击代码对目标网络设备发动攻击，采集获得这些攻击流量（如攻击测试数据集DARPA99[2]）。虽然这种方法获取的是真实的网络恶意流量，但是也有其缺点。首先，很多网络攻击代码不会公开，获取的可能性极低，即使能够获取也存在滞后性。其次，攻击代码一般是基于不同平台不同语言编写的，对研究人员的素质和能力等方面的要求非常高。最后，若网络攻击不能得到很好的控制，将会造成极大的损失。这些缺点让很多科研人员转向研究另一种恶意流量的产生方法：对网络恶意流量特征进行分析，通过搭建虚拟网络环境，并根据这些特征模拟产生恶意流量。这种方法不需要发动真实攻击就可以生成恶意流量的方法成本低，可行度高，受到学术界的广泛应用。本文基于这一方向，通过分析网络恶意流量的时间和空间特征，提出一种基于时空特性的网络恶意流量产生方法。 　　2 相关研究 　　网络应用的多样化使得网络流量呈现出自相似性[3，4]，科研人员在研究中提出了不同的基于自相似性的网络流量模型。主要分为单源模型（如Pareto分布）和聚合模型（ON/OFF模型[5]、分形布朗运动FBM模型[6]、小波变换模型[7]、自回归积分滑动模型ARIMA[8]、多分形小波模型MWM[9]等）。从模型驱动方式上看，网络流量生成技术主要分为两类：一类是通过数学方法合成，模拟出这种自相似性；另一种就是根据网络流量数据生成流量，最简单的就是将这些数据按包序列再发一次。但这并不能反映网络的普遍特性，而只能反映某个时刻。更普遍的是获取网络流量，分析其统计特征，构建流量模型，再生成所需