基于流量特征的接入网访问控制研究.pdfVIP

摘 要 摘 要 访问控制是实现系统和网络安全的重要方案，通过特定的访问控制策略，达 到限制用户对数据、网络等资源访问的目的。接入网访问控制是实现大规模互联 网安全的重要基础，传统接入网通常使用基于角色的访问控制策略结合访问控制 列表技术，从而限制非法的用户接入互联网，并对恶意流量进行过滤。然而随着技 术的不断发展，这些策略难以应对更加复杂多样化的攻击与快速变化的恶意流量。 新的恶意应用会不断出现并产生访问控制列表无法识别的恶意流量，被攻击者控 制的用户主机也会借助合法用户的身份进行破坏。为了解决这些问题，本文研究 了基于流量特征的接入网访问控制。接入网网关对流量特征进行实时分析并转换 为流量的属性，然后实施基于属性的灵活访问控制。本文主要研究内容及创新点 包括： 1. 本文提出了一个基于流量特征的接入网访问控制框架，阻止快速变化的恶 意流量，保障接入网安全性。该框架通过对应用层流量的实时分析，将流量按照 应用类型与流量来源类型等多种不同类别的特征赋予相应的属性，然后在流量属 性的基础上通过基于属性的访问控制策略实施访问控制。 2. 本文设计了基于应用触发关系的应用类型识别方案，为访问控制框架提供 了较准确的应用类型特征属性。该方案分析应用间触发关系并建模为有向无环图， 从TCP 流中通过频繁项集挖掘的方法挖掘应用间触发关系，并利用触发关系将应 用类型识别问题建模为最大后验概率估计问题，然后设计了启发式算法在深度包 检测方案的基础上进行应用类型识别，实验表明该方案有效提高了应用类型识别 的准确率。 3. 本文提出了基于流量访问模式的来源类型识别方案，为访问控制框架提供 了较准确的流量来源类型特征属性。该方案利用Cookie 作为基准分析了可靠的用 户身份标识，然后对用户请求建模，抽取了访问时间分布、访问URL 分布等关键 特征，通过机器学习的方法将流量来源按照普通用户和多种类型的机器用户进行 分类，实验表明该方案可达到较高的识别准确率。 4. 本文设计了基于冗余消除的属性基加密方案，并通过该方案为框架提供基 于流量属性的访问控制能力。该方案分析了属性基加密计算开销的来源，重新设 计了属性基加密的计算流程，通过共享访问控制子结构的方式消除了冗余的计算 和存储开销，实验表明该方案可有效地降低访问控制过程中的存储和计算开销。 关键词：流量分析；基于属性的访问控制；流量分类；机器流量识别；接入网 I 目 录 ⺫ 录 第 1 章 引言 1 1.1 研究背景及意义 1 1.1.1 访问控制问题 1 1.1.2 接入网访问控制 2 1.1.3 基于应用层流量特征的接入网访问控制研究动机 3 1.2 论文的研究内容与主要贡献 4 1.2.1 论文的研究内容 4 1.2.2 论文的主要贡献 5 1.3 论文的组织结构 7 第2 章 相关研究综述 8 2.1 引言 8 2.2 接入网访问控制相关研究 8 2.2.1 接入网访问控制基本概念 8 2.2.2 访问控制实现方案 9 2.2.3 传统访问控制策略 9 2.2.4 基于属性的访问控制策略 10 2.3 应用层流量特征分析相关研究 12 2.3.1 流量应用类型识别 12 2.3.2 恶意应用流量识别 15 2.3.3 流量来源类型识别 16 2.4 小结 17 第3 章 基于流量特征的接入⺴访问控制框架设计18 3.1 引言 18 3.2 基于流量特征的访问控制场景分析 18 3.2.1 应用层流量的多重属性 19 3.2.2 流量特征分析算法的复杂性 20 3.2.3 访问控制方案的可实践性 20 3.3 基于流量特征的访问控制框架21 3.3.1 基本架构设计21 3.3.2 访问控制实现流程22