一种网络成分协调控制方法

专利名称：：一种网络成分协调控制方法
技术领域：
：本发明属于网络安全检测与防御
技术领域：
，特别是涉及一种网络成分协调控制方法。
背景技术：
：网络遭受的网络攻击，可以发生在网络的各个协议层次，形式也是多种多样的。对于已知的网络攻击，可以通过其特征来发现和防御它；但对于未知的网络攻击和所谓的零日攻击，则网络缺乏必要的检测手段和应对措施。但如果我们把网络正常运行情况下的各种可统计的量作为网络的构成成分，把各种成分的比例分布作为网络正常的参考标准，则我们可以以此参考标准检验每个时刻网络的异常状况，并且在发现网络异常时，对网络各成分进行控制，使得网络各成分保持协调比例，以抑制潜在的网络攻击。这种系统的突出优点是，釆取主动防御的方式，防范已知和未知的各种网络攻击。而且这种系统是基于数据包的网络层头部和传输层头部的信息，不需要对应用层的数据进行解析，所以即便是对数据内容加密型的网络攻击也适用。
发明内容本发明的目的在于克服现有技术的不足，提供一种网络成分协调控制系统。为了实现本发明目的，采用的技术方案如下-一种网络成分协调控制方法，它从数据包头部信息获取各种统计量和各种统计分布;把这些统计分布相对于正常网络构成成分的偏离作为网络异常程度；把对网络异常分量的速率限制作为对网络构成成分的协调控制。它的从数据包头部获取信息的方法，是从数据包的网络层和传输层头部获取各字段的取值，然后对这些取值进行分段处理，其方法具体如下设数据包头部总共有M个字段，每个字段的取值为A,/=1,…，M;如果^只有不太多个可能的取值，则不做分段处理，即令其索引值/叔=如果",有数千至数亿个可能取值，则根据情况选择进行如下分段处理-a)除以一个整数2"并取整，即把",右移"位/血,=^>>"b)取l0g2对数并取整，即求A的最高不为0比特/A.=MW(fl,+Al)c)求相对于整数m的余数/血,=a,,modwd)令&为/血,.实际取值的集合，/=1,...,M。它的从数据包头部获取信息的方法，还可以把多个字段的值0/,q,...,w组合在一起使用，并采用散列函数hash()把它映射成一个索引值/血M+;^hash(力,q,…，&)，并令S似"为Z血胁;t实际取值的集合，…，K;令A^M+K。它的从数据包头部信息获取各种统计量的方法，就是当一个数据包达到时，由其头部各字段变换得到的索引值/血i,/血2,z'血w，对计数器C,[/血,]进行累加统计，即令Cp成]=C,.[z'血,]+片l,2,...，tv,其中c^'由Cp血,]的统计对象来确定，它可以是包数和、载荷长度和、到达时间间隔和，则对应的o^'分另寸等于1、(total—length—head—length*4)、(current—time—last—arrival—time)。它的从数据包头部信息获取各种统计分布的方法，就是在每个单位时间结束时，由该单位时间内的累加结果(C,[/血,],/血,￡&}进一步计算得到统计分布AW，z'=l,2,…，tv，艮卩a)如果&的取值>256，则对C,[/]取log2对数并取整，即令^=厘^((^[/]+G.[/]l)，乂e然后求直方图AW]=A化]+1,7e并记录落在每个区间的^c,.的取值4化]uj》'e&;b)如果&的取值。56，则直接令卩[/]=^[/],4{/]={/},^&;c)重置G.[/]，即令G[/]=0,forall/and乂。它的测量网络异常程度的方法如下设均值A阅和方差A阅是网络正常情况下的构成成分，在每个单位时间结束时，对所获得的统计分布A阅用下式检测它与正常情况的偏离程度^^越大异常程度越大。当所有^4<3时，认为网络处于正常状态，可以把数据A阅保存起来，用做后续的参数更新，即令叫M=W狀]+A阅，=+1，forall/,A:。它的对网络异常分量进行速率限制的方法，具体如下把前一单位时间获得的^4}和{^阅}用于对当前数据包的控制a)如果采用多属性排队调度控制方式，则当数据包的/血^AW时，把该数据包的属性f的优先权设为A4，A&越小优先权越高，该数据包越有可能在第/组优先权队列中优先获得发送权；b)如果采用硬判决过滤方式，则当max(MJ^3时，由F=argmax{Ms}找到异常集4^'];如果当前数据包的/血^4[f]，则把当前数据包丢弃，直到当前的单位时间结束。它的确定网络正常构成成分的描述参数{^阅}和{。阅}的方法如下设典型的网络稳定时间为r，则在每一个参数更新时间r结束时，进行参数更新，即令A[*]=m,[W〃，=V&[W〃—//,[W2,^伙]=o,=o,=0，foraiH,t与现有方法相比，本发明的网络成分协调控制方法，只需要采集数据包的网络层头部和传输层头部的信息，通过统计得到各种分布，并根据正常情况下的分布来发现异常网络成分，再通过对异常成分的速率控制来抑制各种网络攻击。由于该系统采取的是一种主动防御的方式，因而可以防御未知的网络攻击以及零日攻击。该系统不需要复杂的人工分析和系统编程，具有易于实现的特占。八"o图1为本发明的一个实施例的示意图。具体实施方式下面结合附图对本发明做进一步的说明。本发明如附图1所示。其具体实施例如下一、预先确定各字段值的分段处理方法在在线运行网络成分协调控制系统之前，确定网络层头部和传输层头部各字段取值的分段处理方法。设数据包头部总共有M个字段，每个字段的取值为A,/=1,...,M;如果",只有不太多个可能的取值，例如<28，则不做分段处理，即令其索引值/血,=",;如果a,有数千至数亿个可能取值，例如2213，则根据情况选择进行如下分段处理a)除以一个整数2"并取整，即把^右移"位/血,=^>>"b)取log2对数并取整，即求A的最高不为0比特=M)"O,+A>>1)c)求相对于整数w的余数/血,；a,.modmd)令&为Z我实际取值的集合，f=l,...,M;还可以把多个字段的值ay,...,&组合在一起使用，并采用散列函数hash()把它映射成一个索引值/血胁fhash(》，afoa》，并令5W;t为/血^娃实际取值的集合，hl,…，《；令A^M+《。具体的例子是把IP地址与端口组合形成socketaddress,得到a胁产hash(srcIP,srcPort)orhash(dstIP,dstPort)，把源目IP与端口以及协议组成流的五元组，得到<3^+2=hash(srcIP，srcPort,dstIP，dstPort,Proto)=hash(dstIP,dstPort,srcIP，srcPort,Proto)。所以7V=Af+2。下面是对各字段取值进行分段处理的一个可行的方案:字段编号字段a,的取值范围分段处理方法/A,的取值个数1Version{4,6}1:122HeaderLength{5，>5}1:123ServiceType26x》384TotalLength通常<2"X<=0x7ffx》5:雄《x+x》l)+43695Identification21686FlagsDbit{0,1}1:17FlagsMbit{0，1}1:128FragmentOffset213她.《x+x》1)149Timetolive28x》斗1610Protocol281:125611SourceIPAddress232^内网IPx:;c24variable12DestinationIPAddress232义内网IPjc:x24variable13IPOptions281614UDPSourcePort2'6X<1024x:(x10)+1024108815UDPDestinationPort216K024x:(x》10)+1024108816TCPSourcePort216X<1024x:(jc10)+1024108817TCPDestinationPort216K024;c:Cx10)+1024108818SequenceNumber232x266419AcknowledgementNumber232x266420TCPURG{0,1}1:1221TCPACK{0,1}1:1222TCPPSH{0,1}1:1223TCPRST{0,1}1:12<formula>formulaseeoriginaldocumentpage10</formula>其中，M)雄)代表求二进制数;c的最高比特；代表"如果x成立，则取值》否则取值z"。二、在每个数据包到达时执行的操作(1)从数据包头部信息获取各种统计量当一个数据包到达时，获得可以用于统计的信息包括数据包数(l)、载荷长度(bytes)、到达时间间隔(ns);设oZy'是这三者中的某一项；由数据包解析获得网络层头部和传输层头部各字段的取值；由各字段的取值用前述的分段处理方法得到索引值/血"'血2，...，/血w然后进行累加统计，即令<^[/成]=6^'血,〗+。6乂，forf=l，2,…，iV;每个数据包到达时可获得的累加项的例子如下:<formula>formulaseeoriginaldocumentpage10</formula><table>tableseeoriginaldocumentpage11</column></row><table>(2)对属于网络异常分量的数据包进行速率限制把前一单位时间获得的{714}和{^伙]}用于对当前数据包的控制a)如果采用多属性排队调度控制方式，则当数据包的法,."讽时，把该数据包的属性/的优先权设为^^，A&越小优先权越高，该数据包越有可能在第/组优先权队列中优先获得发送权；b)如果采用硬判决过滤方式，则当max(MJ^3时，由F=argmax(风J找到异常集4[^];如果当前数据包的z'血^4W']，则把当前数据包丢弃，直到当前的单位时间结束；三、在每个单位时间结束时执行的操作典型情况下可以设单位时间长度为1秒。(1)得到各种统计分布在每个单位时间结束时，由该单位时间内的累加结果(C,[/血,],i血,eSJ进一步计算得到统计分布A阅,一l,2,…，见艮口a)如果&的取值>256，则对Q/]取log2对数并取整，即令&=Mh'《G[/]+c,[/]e然后求直方图=A化]+i，j'e并记录落在每个区间的/血,的取值4化]uy,y'eb)如果&的取值《56，则直接令A[/hQ/]"[/]-W,J'e&;c)重置C,[/]，即令Q/]=0,foralH,力在每个单位时间结束时可获得的统计分布的例子为当/血,的取值>256时:<table>tableseeoriginaldocumentpage12</column></row><table><table>tableseeoriginaldocumentpage13</column></row><table>(2)测量网络异常程度设均值/Z,伙]和方差CT,阅是网络正常情况下的构成成分，在每个单位时间结束时，对所获得的统计分布A阅用下式测量它与正常情况的偏离程度Ma=max、0,~「'LM^越大异常程度越大。该测量结果用于对下一单位时间内的数据包的控制。(3)保存正常数据如果所有^14<3，则认为网络处于正常状态，把此时获得的数据A阅保存起来，用做后续的参数更新，即令m讽-m,[A]+A伙],A阅"讽+A[W2，+1，forall/,A:;四、在每个更新周期结束时更新模型参数典型的网络稳定时间至少30分钟，所以可以把参数更新周期时间r设为30分钟；在一个参数更新周期时间r结束时，进行参数更新，即令=附,[W〃，(T,[/t]=+,[，-〃,时，w,阅=0，=0,f=0,forall/,A:所获得的结果{}和(CT,阅}将被用于对下一个周期内的网络异常检测。权利要求1、一种网络成分协调控制方法，其特征在于从接收到的数据包头部信息中获取各种数据特征统计量以及统计量的统计分布，再测量这些统计分布相对于正常网络构成成分的偏离值，该偏离值作为网络异常程度，最后对产生网络异常的数据分量进行速率限制。2、根据权利要求1所述的网络成分协调控制方法，其特征在于所述数据包头部信息，是从数据包的网络层和传输层头部获取各字段的取值，然后对这些取值进行分段处理，其具体处理方法如下数据包头部总共有M个字段，每个字段的取值为",，/=1，...,M;令其索引值/血f化；或进行如下分段处理1)除以一个整数2"并取整，即把a,右移"位/血产。,》";2)取log2对数并取整，即求fl,.的最高不为0比特/血尸她"0汁",》1);3)求相对于整数m的余数/血产a,modm;4)令&为/血,实际取值的集合，戶1,…，M。3、根据权利要求2所述的网络成分协调控制方法，其特征在于数据包头部信息，还包括把多个字段的值"_/,^...,^组合在一起使用，并采用散列函数hash()把它映射成一个索引值/血胁产hash(力，...,"》，并令5"m化为实际取值的集合，令A^M+K。4、根据权利要求3所述的网络成分协调控制方法，其特征在于所述的从数据包头部信息获取各种统计量的方法，就是当一个数据包达到时，由其头部各字段变换得到的索引值z'&,/血2,法w，对计数器G[/成]进行累加统计，即令C,[/血,]=C&血,]+o^，/=1,2,iV,其中o&'由Cp血,]的统计对象来确定，选取包数和、或载荷长度和、或到达时间间隔和。5、根据权利要求4所述的网络成分协调控制方法，其特征在于所述的从数据包头部信息获取各种统计分布的方法，就是在每个单位时间结束时，由该单位时间内的累加结果(G[/成]，/血,eW进一步计算得到统计分布A阅，/=1,2,…,见即1)如果&的取值>256，则对G[/]取log2对数并取整，即令y^M^(C,[/]+G[/]》1)，然后求直方图A化]-A伪]+l，并记录落在每个区间的/血,的取值4伐]uy'Je&;2)如果&的取值《56，则直接令几[/]=0/]，為[/]={/}，^&;3)重置G[/']。6、根据权利要求5所述的网络成分协调控制方法，其特征在于所述的测量网络异常程度的方法如下令均值A阅和方差。估]是网络正常情况下的构成成分，在每个单位时间结束时，对所获得的统计分布A仏]用下式测量它与正常情况的偏离程度^;i越大表示异常程度越大，如果所有^4<3，则认为网络处于正常状态，把此时获得的数据A伙]保存起来，用做后续的参数更新，即令附,阅=附,伙]+A讽湖=孝]+A[tf，f="1;所述的确定网络正常构成成分的描述参数{/4巧}和{。仏]}的方法如下令典型的网络稳定时间为r，在每一个参数更新时间r结束时，进行参数更新，即令//,[们=附,[^〃，,=扭]〃-//,时。7、根据权利要求6所述的网络成分协调控制方法，其特征在于所述的对网络异常分量进行速率限制的方法，具体如下把前一单位时间获得的(MW和(A[印用于对当前单位时间内收到的数据包的控制1)如果采用多属性排队调度控制方式，则当数据包的/血,",阅时，把该数据包的属性/的优先权设为71^，Tl^越小优先权越高，该数据包越有可能在第/组优先权队列中优先获得发送权；或者2)如果采用硬判决过滤方式，则当max(M,J^3时，由=argrnaX{M,.J找到异常集j,"'];如果当前数据包的/血,e4[r],则把当前数据包丢弃，直到当前的单位时间结束。全文摘要本发明提供一种网络成分协调控制方法，它通过采集数据包的网络层和传输层头部的信息，统计得到各种统计量和各种统计分布，把这些统计分布相对于正常网络构成成分的偏离作为网络异常程度，把对网络异常分量的速率限制作为对网络构成成分的协调控制，以此抑制各种网络攻击。本发明是一种网络安全的主动防御系统，可以防御未知的网络攻击以及零日攻击。文档编号H04L12/24GK101442536SQ20081022018公开日2009年5月27日申请日期2008年12月19日优先权日2008年12月19日发明者余顺争申请人:中山大学