基于信息熵度量的深度包检测设备异常流量监控方法
【技术领域】
[0001] 本发明设及数据通信技术领域,具体设及基于信息赌度量的深度包检测设备异常 流量监控方法。
【背景技术】
[0002] 随着移动互联网、智能终端、物联网的不断发展,W及网络技术的不断进步,现代 网络在组网方式、网络设备种类、网络组成结构、网络应用程序等方面都趋于复杂化和多样 化。运些复杂且多样化的网络因素,导致了网络通信流量激增,网络设备负载增大。同时,在 网络中传输的信息数据量庞大且复杂,既包括各类正常传输数据也包括恶意的攻击数据。 运些因素时刻威胁着网络元素的安全性和网络服务的可用性,因此,保障网络的安全与网 络杨通已成为当前网络设备发展的一个趋势。
[0003] 针对通信网的安全防护,除了入侵检测设备、入侵防护设备、防火墙等网络设备W 夕h深度包检测设备也是被广泛使用的一种网络异常流量监控设备。深度包检测设备基于 深度包检测技术实现,是一种应用层的网络流量检测设备,当数据包通过深度包检测设备 时,深度包检测引擎在分析IP包头的基础上,增加了对应用层载荷的分析,通过读取数据包 的载荷内容,进行应用层信息重组,W此识别出数据包所属的应用层协议。
[0004] 在网络安全监控方面,深度包检测设备将对应用层载荷检测得到的信息与已经建 立的协议特征库进行比对,检测其中是否存在安全问题,从而实现基于应用层的安全防护。 当前深度包检测设备的协议特征库已经具备了大量异常流量的应用协议特征积累,包括分 布式拒绝服务、蠕虫繁殖、端口扫描等大类,每个大类下又细分了多个小类的具体协议类 型。同时,深度包检测设备在应用层检测的基础上,还提供基于流量的检测方法包括流量大 小检测方法和包速率检测方法,进一步提升了异常流量的检测精准性。
[0005] 与传统的入侵检测设备、入侵防护设备、防火墙等安全防护设备相比,深度包检测 设备在对应用层检测的准确率和检测性能上具备有很大的优势,并且具备部署灵活的特 点。但是,深度包检测设备基于协议特征库和流量大小行为的检测方式都有其局限性,由于 网络中的异常流量更新速度很快,一旦协议特征库没有包含异常流的应用层特征,则无法 完成对异常流量的检测。
[0006] 因此,需要一种更普适的方法与之配合,从而提升深度包检测设备对异常流量的 检查范围和检测能力,满足现代网络的安全防护应用需求。
【发明内容】
[0007]本发明所要解决的技术问题是由于网络中的异常流量更新速度很快,一旦协议特 征库没有包含异常流的应用层特征,则无法完成对异常流量的检测的问题。
[000引为了解决上述技术问题,本发明所采用的技术方案是提供一种基于信息赌度量的 深度包检测设备异常流量监控方法,包括W下步骤:
[0009]深度包检测设备维护一张采样代理模块的私网IP地址池列表,从中取出IP地址赋 予采样代理模块;
[0010] 采样代理模块W该IP地址初始化采样代理实例,采样代理实例监听深度包检测设 备的链路接口,并从该链路接口获取原始流量的报文样本,WsFlow协议格式封装为采样报 文;
[0011] 解析采样报文获得原始流量报文的源IP地址、目的IP地址、源端口、目的端口、协 议类型、流量上下行方向信息;
[0012] 分别计算原始流量报文的源IP地址、目的IP地址、源端口、目的端口在本采样周期 中的信息赌值,并做标准化处理,得到一个周期内的流特征分布特性的量化度量;
[OOU]根据原始流量报文的源IP地址、目的IP地址、源端口、目的端口的历史信息赌值曲 线,得到流特征分布的波动和变化情况,结合预先设定的判定阔值和信息赌值变化趋势判 定当前流量是否为异常流量;
[0014] 根据管控策略对异常流量进行管控。
[0015] 在上述方法中,从深度包检测设备的策略管理子系统中同步由管理员预先配置的 流特征分布特性检测模型,所述流特征分布特性检测模型即为预先设定的判定阔值和信息 赌值变化趋势。
[0016] 在上述方法中,采样报文封装的内容包括一个首部和若干采样数据记录字段,其 中首部包括:采样协议信息、采样时间信息、采样代理信息、包含的采样数据记录数等信息; 采样记录字段包括:采样数据头和采样数据,其中采样数据头包括该字段的采样方法信息、 该字段采样数据长度信息,采样数据则表示该字段采样数据的具体内容;采样记录字段使 用类型+长度+值的可变长数据结构方式封装。
[0017] 在上述方法中,根据深度包检测设备初始化时设定的采样模式和采样率判定原始 流量报文是否被采样。
[0018] 在上述方法中,具有相同五元组:源IP地址、目的IP地址、协议类型、源端口、目的 端口的报文归属为同一条流;
[0019] 对同一条流在深度包检测设备上缓存的流表节点中增加一个方向字段,用W表示 流的上下行方向,其中流的方向通过深度包检测设备的监控链路的出入接口配置来判断。
[0020] 在上述方法中,网络中异常流量主要包括:分布式拒绝服务、蠕虫繁殖、端口扫描、 突发访问请求、AlphaFlows。
[0021] 在上述方法中,对网络流量分成一个一个固定时间间隔的周期性采样时间窗,计 算每个时间窗内流量特性的分布特性。
[0022] 在上述方法中,采用基于白名单机制来保护特殊服务和防止误操作,即管理员提 前将需要受保护或者不管控服务的IP地址、端口,或者应用协议,加入到一个由深度包检测 设备的策略管理子系统维护的白名单列表,白名单列表被下发到深度包检测设备,再由深 度包检测设备对匹配白名单的网络流量采用只上报不管控的策略。
[0023] 本发明还提供了一种基于信息赌度量的深度包检测设备,内置有一个流特征检测 引擎,所述流特征检测引擎包括采样代理模块、采样报文收集模块W及流量分析模块,所述 深度包检测设备还包括:
[0024] 配置管理子系统,用于管理员对采样代理模块、采样报文收集模块、流量分析模块 进行属性配置,包括采样代理模块的IP地址池、采样代理模块与采样报文收集模块的映射 关系、采样代理模块的采样模式、采样代理模块的采样率、采样报文收集模块的上报周期;
[0025] 接口管理子系统,用于在报文采样过程中,采样代理模块对深度包检测设备的网 络接口进行监控;接收深度包检测设备接口变更事件;向深度包检测设备的链路接口查询 报文的统计信息;
[0026] 通信管理子系统,用于实现采样代理模块与采样报文收集模块的通信;
[0027]策略管理子系统,用于流量分析模块在配置初始化阶段和流分布特性检测算法模 型变更时,实现对流分布特性检测算法模型的同步;在基于流分布特性的异常流量检测结 束时将检测结果上报;根据上报的检测结果匹配预置策略并向深度包检测设备下发需要执 行的管控策略。
[0028]在上述基于信息赌度量的深度包检测设备中,若深度包检测设备采用集群化的部 署方式,则集群中的每个设备节点在初始化阶段都使能一个采样代理实例,采样报文上报 给深度包检测设备服务器集群中的唯一的采样报文收集模块,并通过唯一的流量