基于数值分析异常扫描行为监测系统①.PDFVIP

2014 年 第 23 卷 第 1 期 计 算 机 系 统 应 用 基于数值分析的异常扫描行为监测系统① 荆 涛 1,2, 李 俊 1 1( 中国科学院 计算机网络信息中心, 北京 100190) 2( 中国科学院大学, 北京 100049) 摘 要: 提出了一种基于数值分析的异常扫描行为监测方法, 以 Netflow 网管数据为基础, 设计开发了监测系统, 实现了对网络中主流网络蠕虫病毒、IRC 僵尸木马的传播爆发以及黑客恶意扫描探测等异常行为的实时监测, 取 得良好效果, 大幅提升了网络运营单位的网络安全支撑服务能力. 关键词: 异常扫描; 行为监测; 网络安全 Abnormal Scan Behavior Monitoring System Based on Numerical Analysis JING Tao1,2, LI Jun1 1(Computer Network Information Center, Chinese Academy of Sciences, Beijing 100190, China) 2(University of Chinese Academy of Sciences, Beijing 100049, China) Abstract: This paper introduces an abnormal scan behavior monitoring methods based on numerical analysis. It designs and develops a monitoring system with Netflow network management data, to achieve real-time monitoring for abnormal behaviors such as network worms, IRC Trojan zombie outbreak and spreading of malicious scan by hackers, etc. The system shows significant implement results, and increase network security support service capabilities of ISP. Key words: abnormal scan; behavior monitor; network security 1 引言 领域. 网络行为分析(Network Behavior Analysis-NBA)[3] 根据中国互联网络信息中心(CNNIC)发布的《第 往往与网络行为异常的探测相结合, 主要是利用对网络 [1] 31 次中国互联网络发展状况》 , 截至 2012 年 12 月 的被动观察和描述找到通讯和应用中违反安全策略的 底, 中国网民规模达到 5.64 亿. 另外, 国家互联网应 行为. 急中心(CNCERT/CC)发布的《2012 年我国互联网网络 结合僵尸木马和网络蠕虫的传播特点和网络流量 [2] 安全态势综述》 显示, 木马和僵尸网络依然对网络安 变化特征, 本文提出了一种基于数值分析的异常扫描 全构成直接威胁. 2012 年, 国家互联网应急中心全年 行为监测实现方法, 能够对 Slammer、冲击波、震荡波、 共发现 1419.7万个境内主机IP 地址感染了木马和僵尸 魔波、SSH 和 SQL Server 口令猜解扫描等异常探测行 程序; 分布式拒绝服务攻击依然危害网络安全, 2012 为进行实时监测, 取得很好的效果. 年, 分布式拒绝服务(DDoS)攻击依然是影响互联网运 行安全最主要的威胁之一,