專利名稱:一種利用多點(diǎn)錯(cuò)位聯(lián)合檢測(cè)實(shí)現(xiàn)網(wǎng)絡(luò)異常定位的方法
技術(shù)領(lǐng)域:
本發(fā)明屬于互聯(lián)網(wǎng)網(wǎng)絡(luò)安全技術(shù)����,特別是一種利用多點(diǎn)錯(cuò)位聯(lián)合檢測(cè)實(shí)現(xiàn)網(wǎng)絡(luò)異常定 位的方法,以便實(shí)時(shí)判斷網(wǎng)絡(luò)的異常點(diǎn)�,及時(shí)、有效地排除故障�����。
背景技術(shù):
根據(jù)中國(guó)互聯(lián)網(wǎng)信息中心的最新統(tǒng)計(jì)數(shù)據(jù)顯示�����,從1994年中國(guó)獲準(zhǔn)加入互聯(lián)網(wǎng)至今�����, 中國(guó)網(wǎng)民的數(shù)量已經(jīng)高達(dá)1.37億人����,上網(wǎng)的電腦總量接近6000萬臺(tái)。這其中絕大多數(shù)是 沒有電腦網(wǎng)絡(luò)安全專業(yè)知識(shí)的普通網(wǎng)民��。另一方面��,CNCERT/CC組織2008年中國(guó)計(jì)算 機(jī)網(wǎng)絡(luò)安全應(yīng)急年會(huì)報(bào)告指出���,2007年和2006年相比����,安全事件增長(zhǎng)率在100%—200 %以上。其中�,僵尸網(wǎng)絡(luò)已經(jīng)成為網(wǎng)絡(luò)攻擊非常基本的手段之一��。2007年經(jīng)過抽樣檢測(cè) 發(fā)現(xiàn)����,僵尸網(wǎng)絡(luò)被用來發(fā)動(dòng)分布式拒絕服務(wù)攻擊(DDoS) 10000多次,同時(shí)還發(fā)送垃圾 郵件�����,實(shí)施信息竊取等��。各類網(wǎng)絡(luò)安全攻擊事件的數(shù)量成倍增長(zhǎng)�����,說明互聯(lián)網(wǎng)的形勢(shì)已經(jīng) 是非常嚴(yán)峻���。
拒絕服務(wù)攻擊(DoS)是指攻擊者通過發(fā)送大量假數(shù)據(jù)或請(qǐng)求占用攻擊目標(biāo)的資源�, 使正常請(qǐng)求得不到服務(wù)����。而分布式拒絕服務(wù)攻擊(DDoS)就是攻擊者采用分布式的攻擊 方式,使用僵尸網(wǎng)絡(luò)進(jìn)行DoS攻擊����。因此,由于DDoS分布式的特性�,終端檢測(cè)、單鏈 路檢測(cè)等方法無法有效檢測(cè)DDoS���。所以���,采用分布式多點(diǎn)檢測(cè)十分重要。
按檢測(cè)模式����,DDoS檢測(cè)大概可分為兩類。第一類是模式檢測(cè)�。將現(xiàn)有網(wǎng)絡(luò)數(shù)據(jù)的特 征與事先收集的DDoS攻擊的特征相比較,如果發(fā)現(xiàn)匹配�����,則認(rèn)為發(fā)送了攻擊���。這類方式 的缺點(diǎn)在于檢測(cè)效果與DDoS攻擊特征的提取密切相關(guān)�,因而對(duì)于DDoS新出現(xiàn)的類型, 無法有效檢測(cè)����;此外,對(duì)攻擊特征的提取也存在一定的困難。第二類是異常檢測(cè)�����,即通過 發(fā)現(xiàn)網(wǎng)絡(luò)中的異常來進(jìn)行檢測(cè)���。目前��,大多數(shù)檢測(cè)系統(tǒng)都屬于這一類����。以該類檢測(cè)中普遍 采用的統(tǒng)計(jì)檢測(cè)系統(tǒng)為例(附圖1為該檢測(cè)系統(tǒng)結(jié)構(gòu)示意圖)����,其檢測(cè)方式為若干個(gè)數(shù)據(jù) 采集器采集的數(shù)椐一并輸入同一數(shù)據(jù)處理器進(jìn)行處理。若受監(jiān)控鏈路中����,只要有一條鏈路 出現(xiàn)異常����,數(shù)據(jù)處理器則報(bào)警����。由于是多個(gè)數(shù)據(jù)采集器同時(shí)輸入數(shù)據(jù)�����,則存在檢測(cè)系統(tǒng)無 法實(shí)時(shí)�����、準(zhǔn)確判斷異常來自哪條鏈路�,必將導(dǎo)致網(wǎng)絡(luò)異常無法及時(shí)、有效地進(jìn)行處理而影 響網(wǎng)絡(luò)安全�����、正常運(yùn)行等弊病�。
根據(jù)夏春和等所著《攻擊源定位問題的研究》,現(xiàn)有攻擊定位方法主要包括ICMP定
位報(bào)文法����、采樣標(biāo)記法���、路由器円志法、路徑記錄法��。上述方法存在以下缺點(diǎn) 一般要從
被攻擊對(duì)象開始回溯����、事后響應(yīng),回溯代價(jià)高���;與檢測(cè)系統(tǒng)無關(guān)�����,沒有充分利用安全資源��,
兼容性差��。
發(fā)明內(nèi)容
本發(fā)明的目的是研究設(shè)計(jì)一種利用多點(diǎn)錯(cuò)位聯(lián)合檢測(cè)實(shí)現(xiàn)網(wǎng)絡(luò)異常定位的方法�。利用 分布式異常檢測(cè)系統(tǒng)�����,進(jìn)行多點(diǎn)錯(cuò)位聯(lián)合檢測(cè),對(duì)攻擊流進(jìn)行準(zhǔn)確定位���;最終達(dá)到對(duì)網(wǎng)絡(luò) 運(yùn)行中出現(xiàn)的故障進(jìn)行及時(shí)��、有效地處理等目的����。
本發(fā)明的解決方案是以一般分布式異常檢測(cè)系統(tǒng)為基礎(chǔ)�,構(gòu)建多點(diǎn)依次錯(cuò)位多對(duì)多 (即多組數(shù)據(jù)采集器與多個(gè)數(shù)據(jù)處理器對(duì)應(yīng)組成)綜合檢測(cè)、定位系統(tǒng)��。引入一條模擬的 正常鏈路�����,并利用相同數(shù)量的數(shù)據(jù)采集器與數(shù)據(jù)處理器(假設(shè)均分別為n個(gè))���,則通過不 同組合的n-l個(gè)數(shù)據(jù)采集器依次與一個(gè)數(shù)據(jù)處理器對(duì)應(yīng)連接組成一組子系統(tǒng),共組成n個(gè) 子系統(tǒng)���,整個(gè)檢測(cè)系統(tǒng)則形成一種多對(duì)多的多點(diǎn)錯(cuò)位聯(lián)合檢測(cè)�����,以及時(shí)���、準(zhǔn)確地判定攻擊 點(diǎn)的安全檢測(cè)體系���。本發(fā)明的檢測(cè)方法是
A. .建立檢測(cè)系統(tǒng)將n個(gè)數(shù)據(jù)采集器中的n-l個(gè)數(shù)據(jù)采集器與第1個(gè)數(shù)據(jù)處理器對(duì)應(yīng) 連接,組成第1子系統(tǒng)�;再將不同組合的另一組n-l個(gè)數(shù)據(jù)采集器與第2個(gè)數(shù)據(jù)處理器對(duì) 應(yīng)連接,組成第2個(gè)子系統(tǒng)��;依次共組成n個(gè)具有不同數(shù)據(jù)采集器組合與數(shù)據(jù)處理器組成 的子系統(tǒng)��;全部子系統(tǒng)即組成了一個(gè)多點(diǎn)錯(cuò)位聯(lián)合檢測(cè)系統(tǒng)���;
B. 檢測(cè)定位系統(tǒng)運(yùn)行時(shí)���,當(dāng)某個(gè)子系統(tǒng)的數(shù)據(jù)處理器未發(fā)生報(bào)警,而其它子系統(tǒng)的 數(shù)據(jù)處理器都發(fā)出報(bào)警信號(hào)�,則未接入該子系統(tǒng)的鏈路為異常鏈路;而當(dāng)所有子系統(tǒng)的 數(shù)據(jù)處理器均發(fā)出報(bào)警信號(hào)時(shí)�����,貝lj:
a����、 將所有數(shù)據(jù)處理器的報(bào)警次數(shù)根據(jù)大小排序(升序����、降序均可)�����;
b���、 計(jì)算相鄰報(bào)警次數(shù)之間的差值的絕對(duì)值�;
C. 根據(jù)最大的那個(gè)差值�����,將該差值所對(duì)應(yīng)的兩個(gè)子系統(tǒng)的報(bào)警次數(shù)分別定為上�����、下 限�,各子系統(tǒng)中凡是報(bào)警次數(shù)等于或大于上限值的�����,其未接入該子系統(tǒng)的鏈路為正常鏈路; 凡是報(bào)警次數(shù)等于或小于下限值的�����,其未接入該子系統(tǒng)的鏈路均為異常鏈路����。
本發(fā)明由于采取多點(diǎn)聯(lián)合錯(cuò)位異常檢測(cè)的策略,并引入了一條模擬的正常鏈路����,使所 有檢測(cè)鏈路中至少有l(wèi)條是正常鏈路,即能確保對(duì)檢測(cè)出的異常進(jìn)行定位��,鎖定異常所在 鏈路�����。從而具有不需即時(shí)更新采樣數(shù)據(jù)��,計(jì)算量小���,能有效針對(duì)網(wǎng)絡(luò)異常進(jìn)行實(shí)時(shí)��、準(zhǔn)確 地檢測(cè)定位�,大大提高了排除網(wǎng)絡(luò)故障的效率等特點(diǎn);克服了背景技術(shù)無法實(shí)時(shí)����、準(zhǔn)確判 斷異常鏈路,導(dǎo)致無法及時(shí)���、有效地排除網(wǎng)絡(luò)故障���,影響網(wǎng)絡(luò)安全、正常運(yùn)行等弊病��。
圖l為背景技術(shù)結(jié)構(gòu)示意圖2為本發(fā)明的定位檢測(cè)方法結(jié)構(gòu)示意圖��; 圖3~7為本實(shí)施方式各子系統(tǒng)的結(jié)構(gòu)示意圖中A卜A2�、 A3、 A4����、 A^�����、 An�����、 Ac均為數(shù)據(jù)采集器;B��、 Bi�、 B2、 B3�����、 B4�����、 B5��、
Bn-卜Bn均為數(shù)據(jù)處理器���;
具體實(shí)施例方式
本實(shí)施例以由5個(gè)數(shù)據(jù)采集器及5個(gè)數(shù)據(jù)處理器組成的檢測(cè)系統(tǒng)為例�。數(shù)據(jù)采集器和 數(shù)據(jù)處理器使用Ling Huang等人所著《Communication-E伍cient Tracking of Distributed Cumulative Triggers》中的數(shù)據(jù)采集器和數(shù)據(jù)處理器��。而本實(shí)施例使用的實(shí)驗(yàn)數(shù)據(jù)來源于 由美國(guó)計(jì)算機(jī)協(xié)會(huì)數(shù)據(jù)通訊專業(yè)組(ACM SIGCOMM)在網(wǎng)絡(luò)(The Internet Tra伍c Archive. http:〃www.acm.org/sigs/sigcomm/ITA )上所提供的實(shí)際網(wǎng)絡(luò)流量數(shù)據(jù)日志����。其中4條鏈路 為運(yùn)行鏈路��,分別與數(shù)據(jù)采集器A^A4相連����,而數(shù)據(jù)釆集器Ac與之連接的另一條為模擬 的正常鏈路��。在運(yùn)行鏈路中���,選擇3條加入攻擊流��,此時(shí)各子系統(tǒng)中連接數(shù)據(jù)采集器組與 數(shù)據(jù)處理器之間的連接關(guān)系見附圖3 7�,其中各子系統(tǒng)數(shù)據(jù)處理器括號(hào)中所示數(shù)字為該 子系統(tǒng)的報(bào)警次數(shù)����。本實(shí)施例異常定位過程如下
① 將報(bào)警次數(shù)依升序排序24 (B3), 33 (B!)�, 33 (B4), 59 (B2)����, 60 (B5);
② 計(jì)算相鄰值的差值B,-B3=9, B4-B尸0���, B2-B4=26�, B5-B2=l�����,其中最大差值為(B2-B4)
26;
③ 根據(jù)最大差值為26�,所對(duì)應(yīng)B4的報(bào)警次數(shù)33為下限,則B卜B3的報(bào)警次數(shù)分別等 于及小于該下限��,因此B3���、 Bb B4所對(duì)應(yīng)的子系統(tǒng)中未接入的鏈路為異常(故障)鏈路; 而B2的報(bào)警次數(shù)59為上限����,因此B2�、 B5所對(duì)應(yīng)的子系統(tǒng)中未接入的鏈路為正常鏈路(其
中未接入B5對(duì)應(yīng)的子系統(tǒng)的鏈路為模擬鏈路)。
根據(jù)本實(shí)施例的檢測(cè)結(jié)果即可迅速����、準(zhǔn)確地判定未接入B3、 B卜B4所對(duì)應(yīng)子系統(tǒng)的 鏈路均為異常(故障)鏈路����,從而可及時(shí)地給后續(xù)維護(hù)提供了準(zhǔn)確的目標(biāo)工作位,確保網(wǎng) 絡(luò)安全�����、正常地運(yùn)行。
權(quán)利要求
1���、一種利用多點(diǎn)錯(cuò)位聯(lián)合檢測(cè)實(shí)現(xiàn)網(wǎng)絡(luò)異常定位的方法�����,其方法包括A..建立檢測(cè)系統(tǒng)將n個(gè)數(shù)據(jù)采集器中的n-1個(gè)數(shù)據(jù)采集器與第1個(gè)數(shù)據(jù)處理器對(duì)應(yīng)連接�,組成第1子系統(tǒng)�;再將不同組合的另一組n-1個(gè)數(shù)據(jù)采集器與第2個(gè)數(shù)據(jù)處理器對(duì)應(yīng)連接,組成第2個(gè)子系統(tǒng)�����;依次共組成n個(gè)具有不同數(shù)據(jù)采集器組合與數(shù)據(jù)處理器組成的子系統(tǒng)����;全部子系統(tǒng)即組成了一個(gè)多點(diǎn)錯(cuò)位聯(lián)合檢測(cè)系統(tǒng);B.檢測(cè)定位系統(tǒng)運(yùn)行時(shí)�����,當(dāng)某個(gè)子系統(tǒng)的數(shù)據(jù)處理器未發(fā)生報(bào)警,而其它子系統(tǒng)的數(shù)據(jù)處理器都發(fā)出報(bào)警信號(hào)��,則未接入該子系統(tǒng)的鏈路為異常鏈路�����; 而當(dāng)所有子系統(tǒng)的數(shù)據(jù)處理器均發(fā)出報(bào)警信號(hào)時(shí)�����,則a����、將所有數(shù)據(jù)處理器的報(bào)警次數(shù)根據(jù)大小排序��;b�、計(jì)算相鄰報(bào)警次數(shù)之間的差值的絕對(duì)值;c����、根據(jù)最大的那個(gè)差值,將該差值所對(duì)應(yīng)的兩個(gè)子系統(tǒng)的報(bào)警次數(shù)分別定為上����、下限,各子系統(tǒng)中凡是報(bào)警次數(shù)等于或大于上限值的,其未接入該子系統(tǒng)的鏈路為正常鏈路���;凡是報(bào)警次數(shù)等于或小于下限值的�,其未接入該子系統(tǒng)的鏈路均為異常鏈路�����。
全文摘要
該發(fā)明屬于互聯(lián)網(wǎng)網(wǎng)絡(luò)安全技術(shù)中利用多點(diǎn)錯(cuò)位聯(lián)合檢測(cè)實(shí)現(xiàn)網(wǎng)絡(luò)異常定位的方法���,包括建立檢測(cè)系統(tǒng)�、檢測(cè)并鎖定異常部位�;即以一般分布式異常檢測(cè)系統(tǒng)為基礎(chǔ),引入一條模擬的正常鏈路�,并利用相同數(shù)量的數(shù)據(jù)采集器與數(shù)據(jù)處理器(當(dāng)均分別為n個(gè)時(shí)),則通過不同組合的n-1個(gè)數(shù)據(jù)采集器依次與一個(gè)數(shù)據(jù)處理器對(duì)應(yīng)連接組成一組子系統(tǒng)�����,共組成n個(gè)子系統(tǒng)����,整個(gè)檢測(cè)系統(tǒng)則形成一種多對(duì)多的多點(diǎn)錯(cuò)位聯(lián)合檢測(cè),從而可及時(shí)��、準(zhǔn)確地判定網(wǎng)絡(luò)異常點(diǎn),以便為及時(shí)排除故障提供可靠依據(jù)�,確保網(wǎng)絡(luò)安全運(yùn)行。該發(fā)明具有不需即時(shí)更新采樣數(shù)據(jù)���,計(jì)算量小�����,能有效針對(duì)網(wǎng)絡(luò)異常進(jìn)行實(shí)時(shí)、準(zhǔn)確地檢測(cè)定位���,大大提高了排除網(wǎng)絡(luò)故障的效率等特點(diǎn)�;克服了背景技術(shù)無法實(shí)時(shí)����、準(zhǔn)確判斷異常鏈路,導(dǎo)致無法及時(shí)�、有效地排除網(wǎng)絡(luò)故障,影響網(wǎng)絡(luò)安全��、正常運(yùn)行等弊病���。
文檔編號(hào)H04L12/26GK101360014SQ20081004611
公開日2009年2月4日 申請(qǐng)日期2008年9月22日 優(yōu)先權(quán)日2008年9月22日
發(fā)明者虞紅芳, 都 許, 黃鵬滔 申請(qǐng)人:電子科技大學(xué)