論文關健詞:應用流分析;風險評估;流量分組
論文摘要:針對網路中的各種應用服務的識別檢測,採用應用層協議簽名的流量識別技術和流量分組技術,實現網路應用流的分析和風險評估系統——RAS,提出基於流量分組技術的應用流風險評估模型。該系統為網路資源分配和網路安全的預測提供有價值的依據。實驗結果表明,TARAS系統具有良好的流量分析效率和風險評估準確性。
1概述
基於網際網路的新技術、新應用模式及需求,為網路的管理帶來了挑戰:(1)關鍵應用得不到保障,OA, ERP等關鍵業務與BT,QQ等爭奪有限的廣域網資源;(2)網路中存在大量不安全因素,據CNCERT/CC獲得的資料表明,2006年上半年約有14萬臺中國大陸主機感染過Beagle和Slammer蠕蟲;(3)傳統流量分析方法已無法有效地應對新的網路技術、動態埠和多會話等應用,使得傳統的基於埠的流量監控方法失去了作用。
如何有效地掌握網路執行狀態、合理分配網路資源,成為網路管理者們的當務之急。針對以上需求,作者設計並實現了一套網路應用流分析與風險評估系統(Traffic Analysis and Risk Assessment System, TARAS)。
當前,網路流量異常監測主要基於TCP/IP協議。文獻[5]提出使用基於協議簽名的方法識別應用層協議。本系統採用了應用層協議簽名的流量分析技術,這是目前應用流分析最新技術。然而,簡單的流量分析並不能確定網路執行狀態是否安全。因此,在流量分析的基礎上,本文提出了應用流風險評估模型。該模型使用流量分組技術從定量和定性兩方面對應用流進行風險評估,使網路執行狀態安全與杏這個不確定性問題得到定性評估,這是當前網路管理領域需要的。
2流量分析模型
目前應用流識別技術有很多,本文提出的流量識別方法是對Subhabrata Sen提出的應用協議特徵方法的改進。針對種類繁多的應用層協議採用了兩級匹配結構,提高效率。
應用識別模組在Linux環境下使用Libpcap開發庫,通過旁路監聽的方式實現。在設計的時候考慮到資料報文處理的效率,採用了類似於Linux下的NetFilter框架的設計方法,結構見圖1。
採取上述流量識別框架的優點:(1)在對TCP報文頭的查詢中使用了雜湊雜湊演算法,提高了效率;(2)借鑑狀態防火牆的技術,使用面向流(flow)的識別技術,對每個TCP連線的只分析識別前10個報文,對於該連線後續的資料報文則直接查詢雜湊表進行分類,這樣避免了分析每個報文帶來的效率瓶頸;(3)模式匹配模組的設計使得可擴充套件性較好。
在匹配模組設計過程中,筆者發現如果所有的協議都按照基於協議特徵的方式匹配,那麼隨著協議數量的增大,效率又會成為一個需要解決的問題。
因此,在設計應用流識別模組時,筆者首先考慮到傳輸層埠與網路應用流之間的聯絡,雖然兩者之間沒有絕對固定的對應關係,但是它們之間存在著制約,比如:QQ協議的伺服器埠基本不會出現在80, 8000, 4000以外的埠;HTTP協議基本不會出現在80, 443, 8080以外的埠等,因此,本文在流量分析過程中首先將一部分固定埠的`協議使用埠雜湊判斷進行預分類,提高匹配效率。
對於埠不固定的應用流識別,採用兩級的結構。將最近經常檢測到的業務流量放在常用流量識別子模組裡面,這樣可以提高查詢的速度。另外,不同的網路環境所常用的網路應用流也不同,因此,也沒有必要在協議特徵庫中大範圍查詢。兩級查詢匹配保證了模型對網路環境的自適應性,它能夠隨著網路環境的改變以及網路應用的變化而改變自己的查詢策略,但不降低匹配效率。應用流識別子模組的設計具體結構見圖2。
3風險評估模型