专利名称:一种利用多点错位联合检测实现网络异常定位的方法
技术领域:
本发明属于互联网网络安全技术,特别是一种利用多点错位联合检测实现网络异常定 位的方法,以便实时判断网络的异常点,及时、有效地排除故障。
背景技术:
根据中国互联网信息中心的最新统计数据显示,从1994年中国获准加入互联网至今, 中国网民的数量已经高达1.37亿人,上网的电脑总量接近6000万台。这其中绝大多数是 没有电脑网络安全专业知识的普通网民。另一方面,CNCERT/CC组织2008年中国计算 机网络安全应急年会报告指出,2007年和2006年相比,安全事件增长率在100%—200 %以上。其中,僵尸网络已经成为网络攻击非常基本的手段之一。2007年经过抽样检测 发现,僵尸网络被用来发动分布式拒绝服务攻击(DDoS) 10000多次,同时还发送垃圾 邮件,实施信息窃取等。各类网络安全攻击事件的数量成倍增长,说明互联网的形势已经 是非常严峻。
拒绝服务攻击(DoS)是指攻击者通过发送大量假数据或请求占用攻击目标的资源, 使正常请求得不到服务。而分布式拒绝服务攻击(DDoS)就是攻击者采用分布式的攻击 方式,使用僵尸网络进行DoS攻击。因此,由于DDoS分布式的特性,终端检测、单链 路检测等方法无法有效检测DDoS。所以,采用分布式多点检测十分重要。
按检测模式,DDoS检测大概可分为两类。第一类是模式检测。将现有网络数据的特 征与事先收集的DDoS攻击的特征相比较,如果发现匹配,则认为发送了攻击。这类方式 的缺点在于检测效果与DDoS攻击特征的提取密切相关,因而对于DDoS新出现的类型, 无法有效检测;此外,对攻击特征的提取也存在一定的困难。第二类是异常检测,即通过 发现网络中的异常来进行检测。目前,大多数检测系统都属于这一类。以该类检测中普遍 采用的统计检测系统为例(附图1为该检测系统结构示意图),其检测方式为若干个数据 采集器采集的数椐一并输入同一数据处理器进行处理。若受监控链路中,只要有一条链路 出现异常,数据处理器则报警。由于是多个数据采集器同时输入数据,则存在检测系统无 法实时、准确判断异常來自哪条链路,必将导致网络异常无法及时、有效地进行处理而影 响网络安全、正常运行等弊病。
根据夏春和等所著《攻击源定位问题的研究》,现有攻击定位方法主要包括ICMP定
位报文法、采样标记法、路由器円志法、路径记录法。上述方法存在以下缺点 一般要从
被攻击对象开始回溯、事后响应,回溯代价高;与检测系统无关,没有充分利用安全资源,
兼容性差。
发明内容
本发明的目的是研究设计一种利用多点错位联合检测实现网络异常定位的方法。利用 分布式异常检测系统,进行多点错位联合检测,对攻击流进行准确定位;最终达到对网络 运行中出现的故障进行及时、有效地处理等目的。
本发明的解决方案是以一般分布式异常检测系统为基础,构建多点依次错位多对多 (即多组数据采集器与多个数据处理器对应组成)综合检测、定位系统。引入一条模拟的 正常链路,并利用相同数量的数据采集器与数据处理器(假设均分别为n个),则通过不 同组合的n-l个数据采集器依次与一个数据处理器对应连接组成一组子系统,共组成n个 子系统,整个检测系统则形成一种多对多的多点错位联合检测,以及时、准确地判定攻击 点的安全检测体系。本发明的检测方法是
A. .建立检测系统将n个数据采集器中的n-l个数据采集器与第1个数据处理器对应 连接,组成第1子系统;再将不同组合的另一组n-l个数据采集器与第2个数据处理器对 应连接,组成第2个子系统;依次共组成n个具有不同数据采集器组合与数据处理器组成 的子系统;全部子系统即组成了一个多点错位联合检测系统;
B. 检测定位系统运行时,当某个子系统的数据处理器未发生报警,而其它子系统的 数据处理器都发出报警信号,则未接入该子系统的链路为异常链路;而当所有子系统的 数据处理器均发出报警信号时,贝lj:
a、 将所有数据处理器的报警次数根据大小排序(升序、降序均可);
b、 计算相邻报警次数之间的差值的绝对值;
C. 根据最大的那个差值,将该差值所对应的两个子系统的报警次数分别定为上、下 限,各子系统中凡是报警次数等于或大于上限值的,其未接入该子系统的链路为正常链路; 凡是报警次数等于或小于下限值的,其未接入该子系统的链路均为异常链路。
本发明由于采取多点联合错位异常检测的策略,并引入了一条模拟的正常链路,使所 有检测链路中至少有l条是正常链路,即能确保对检测出的异常进行定位,锁定异常所在 链路。从而具有不需即时更新采样数据,计算量小,能有效针对网络异常进行实时、准确 地检测定位,大大提高了排除网络故障的效率等特点;克服了背景技术无法实时、准确判 断异常链路,导致无法及时、有效地排除网络故障,影响网络安全、正常运行等弊病。
图l为背景技术结构示意图2为本发明的定位检测方法结构示意图; 图3~7为本实施方式各子系统的结构示意图中A卜A2、 A3、 A4、 A^、 An、 Ac均为数据采集器;B、 Bi、 B2、 B3、 B4、 B5、
Bn-卜Bn均为数据处理器;
具体实施例方式
本实施例以由5个数据采集器及5个数据处理器组成的检测系统为例。数据采集器和 数据处理器使用Ling Huang等人所著《Communication-E伍cient Tracking of Distributed Cumulative Triggers》中的数据采集器和数据处理器。而本实施例使用的实验数据来源于 由美国计算机协会数据通讯专业组(ACM SIGCOMM)在网络(The Internet Tra伍c Archive. http:〃www.acm.org/sigs/sigcomm/ITA )上所提供的实际网络流量数据日志。其中4条链路 为运行链路,分别与数据采集器A^A4相连,而数据釆集器Ac与之连接的另一条为模拟 的正常链路。在运行链路中,选择3条加入攻击流,此时各子系统中连接数据采集器组与 数据处理器之间的连接关系见附图3 7,其中各子系统数据处理器括号中所示数字为该 子系统的报警次数。本实施例异常定位过程如下
① 将报警次数依升序排序24 (B3), 33 (B!), 33 (B4), 59 (B2), 60 (B5);
② 计算相邻值的差值B,-B3=9, B4-B尸0, B2-B4=26, B5-B2=l,其中最大差值为(B2-B4)
26;
③ 根据最大差值为26,所对应B4的报警次数33为下限,则B卜B3的报警次数分别等 于及小于该下限,因此B3、 Bb B4所对应的子系统中未接入的链路为异常(故障)链路; 而B2的报警次数59为上限,因此B2、 B5所对应的子系统中未接入的链路为正常链路(其
中未接入B5对应的子系统的链路为模拟链路)。
根据本实施例的检测结果即可迅速、准确地判定未接入B3、 B卜B4所对应子系统的 链路均为异常(故障)链路,从而可及时地给后续维护提供了准确的目标工作位,确保网 络安全、正常地运行。
权利要求
1、一种利用多点错位联合检测实现网络异常定位的方法,其方法包括A..建立检测系统将n个数据采集器中的n-1个数据采集器与第1个数据处理器对应连接,组成第1子系统;再将不同组合的另一组n-1个数据采集器与第2个数据处理器对应连接,组成第2个子系统;依次共组成n个具有不同数据采集器组合与数据处理器组成的子系统;全部子系统即组成了一个多点错位联合检测系统;B.检测定位系统运行时,当某个子系统的数据处理器未发生报警,而其它子系统的数据处理器都发出报警信号,则未接入该子系统的链路为异常链路; 而当所有子系统的数据处理器均发出报警信号时,则a、将所有数据处理器的报警次数根据大小排序;b、计算相邻报警次数之间的差值的绝对值;c、根据最大的那个差值,将该差值所对应的两个子系统的报警次数分别定为上、下限,各子系统中凡是报警次数等于或大于上限值的,其未接入该子系统的链路为正常链路;凡是报警次数等于或小于下限值的,其未接入该子系统的链路均为异常链路。
全文摘要
该发明属于互联网网络安全技术中利用多点错位联合检测实现网络异常定位的方法,包括建立检测系统、检测并锁定异常部位;即以一般分布式异常检测系统为基础,引入一条模拟的正常链路,并利用相同数量的数据采集器与数据处理器(当均分别为n个时),则通过不同组合的n-1个数据采集器依次与一个数据处理器对应连接组成一组子系统,共组成n个子系统,整个检测系统则形成一种多对多的多点错位联合检测,从而可及时、准确地判定网络异常点,以便为及时排除故障提供可靠依据,确保网络安全运行。该发明具有不需即时更新采样数据,计算量小,能有效针对网络异常进行实时、准确地检测定位,大大提高了排除网络故障的效率等特点;克服了背景技术无法实时、准确判断异常链路,导致无法及时、有效地排除网络故障,影响网络安全、正常运行等弊病。
文档编号H04L12/26GK101360014SQ20081004611
公开日2009年2月4日 申请日期2008年9月22日 优先权日2008年9月22日
发明者虞红芳, 都 许, 黄鹏滔 申请人:电子科技大学