對網絡通信異常行為識別方法的相異度分析

張蕓

(濱州技術學院， 濱州 256603)

對網絡通信異常行為識別方法的相異度分析

張蕓

(濱州技術學院， 濱州 256603)

為了對網絡通信異常行為進行有效地識別，提出了一種基于相異度分析的識別方法，以該方法的數據基礎為Netflow網管數據，并對具體的實現步驟進行了設計。通過實驗分析，證明了采用該識別方法能夠對網絡中通信行為異常、突發流量異常以及異常網絡攻擊等表征現象進行實時監測，并且取得了良好的效果，使網絡運營單位的服務質量和網絡安全支撐服務能力取得了有效的提高。

相異度分析； 網絡通信異常； 識別

0 引言

現階段，網絡安全技術已經取得了突飛猛進的發展，產生了一系列的安全措施，比如入侵防御系統、入侵檢測系統、防火墻等，然而網路防范和網路攻擊是共同發展的。在網絡安全事件發生之前，怎樣才能夠快速地、及時地發現網絡異常行為，已然成為了目前一個重要的研究課題[1]?；诖?，本文提出了基于相異度分析方法的網絡通信異常行為識別法，下面本文進行進一步分析。

1 算法分析

1.1 基于地址的網絡通信行為的空間分析

1.1.1 地址相異度分析方法

NetFlow實際上就是一套網絡流量統計協議，路由器通過服務種類、協議類型、目的端口號、目的IP地址、源端口號、源IP地址和路由器輸入界面等這些控制信息來對NetFlow流進行區分[2-3]。當路由器無論何時接收到新的數據包的時候，路由器就對數據流中的這些控制信息進行檢查，對此數據包是否已經是任何已經記錄的NetFlow流進行判斷，如果不存在，那么將產生一條新的記錄；而在存在的情況下，那么將新收集的數據包相關信息整合到相應的NetFlow流的記錄當中去。

根據IPv4地址格式將網絡通信中的兩個地址進行劃分，分析地址的相異度，同時，以四元組的形式進行表達，兩個地址之間的實際差異并通過各個屬性值的差異進行比對[4]。因為IP地址屬于點十分制格式，并且每個隔點之間存在著差異，這就意味著地址類別是不同的，此外，高位數值的差異意味著網絡范圍的顯著差異，故而，我們可以抽象描述地址的相異度，同時展開量化分析[5-6]。

1.1.2 基于地址的平均相異度分析

地址相異度的提出，為下一步進行質心分析提供了理論依據。如果，在某一時間片Δt內，一個網絡節點a同時和n各目的地址存在網絡通信行為，那么我們可以將目的地址的集合記為B，然后，通過相關計算公式，就得到了節點a和集合B的n個元素之間地址相異度，此時，我們可以再將相異度標記為一個新的集合C，那么，我們就能夠通過計算，得到節點a到所有n個目的地址的平均相異度[7-8]。

1.2 基于地址的網絡通信行為的時間分析

為了對相異度之間差異的表征進行計算，然后，提出了偏移方差σ，主要指的是某一時間間隔Δti內，節點a和該時間間隔內全部目的地址的平均相異度與整個時間系列T下的平均相異度之間的差距。

2 框架設計

擴展的Netflow數據采集系統的總體架構如圖1所示。

圖1 系統整體架構

該系統主要包含數據收集器和采集代理兩部分。本文采用Netflow數據作為訓練集的數據來源，創建合理的訓練集，然后通過協議生成法來進行構造。所謂的協議生成法指的是通過程序對各個協議的通訊模式進行模擬，并利用流量記錄的方式，將制定行為的網絡流量特征保存下來，這樣一來就構建了已知的不同類別網絡行為的訓練集合，在一定程度上以此種訓練集能夠有效地降低誤報率。通過協議生成法對網絡通訊進行模擬后，將由路由器生成的有關netflow數據收集起來，這樣一來就實現了訓練集的構造。具體步驟如下所示：

(1) 對訓練集數據中的時間信息和地址信息進行提取和預處理。

(2) 將相關數據信息導入數據庫，同時按照相關算法計算有關導出屬性。

(3) 選擇一個科學合理的時間長度，并對各個源IP地址所對應的各類數學參數的值進行計算。

(4) 將全部時間長度的數學參數進行計算，并計算偏移方差的值。

(5) 建立各個源IP地址的基本對照集，同時供驗證使用。

(6) 選取某一時間間隔的網絡數據，分別代入模型，驗證結果。

3 實驗分析

本文選取的實驗數據為某個時間區間一臺網站服務器的NetFlow數據，并對該時間區間內的主機NetFlow數據在1h內的訪問信息進行了解，在這個時間段內IP地址通信對的IP地址和主機連接次數構成信息。通過利用本文所提出的基于地址和時間相異度分析法，來比較和分析該網站的訪問情況。通過實驗我們得出了某主機近十天內10-11點之間的地址差異度距離對照值，如表1所示。

表1 主機近十天內10-11點之間的地址差異距離對照值

通過計算進而就得到了該主機的地地址相異距離平均值，如表2所示：

由表1、表2 分析，我們得到某主機在某時刻內地址差異分析圖，如圖2所示。

表2 主機10-11點之間的地址差異距離

圖2 地址差異分析圖

由圖2可知，在10:25-10:45之間的距離數值遠遠超過了差異度的可信 區間，同時和對照曲線存在著顯著區別，因此，我們就能夠判斷出該時間點內的主機流量有異常，進而推斷出此時間段的網絡行為存在異常。

4 總結

針對網絡通信異常行為的識別，本文提出了基于相異度分析法，實現了互聯網運營單位支撐保障能力以及服務質量的提升，然而，令人遺憾的是該方法仍然存在著諸多亟待解決的問題，比如計算復雜、模型優化等等，在未來的研究過程中需要進一步地充實和完善。

[1] 荊濤沼，李俊. 基于相異度分析的網絡通信異常行為識別方法[J].微電子學與計算機，2014,31(6):12-15.

[2] 肖宇，許煒，張晨，等.社交網絡中用戶區域影響力評估算法研究[J].微電子學與計算機，2012,7(7);58-63.

[3] 郭小芳，李鋒，劉慶華.一種有效的多元時間序列相似性度量算法分析[J].江西師范大學學報(自然科學版)，2013，37(1):56-59.

[4] 鄧冠男.聚類分析中的相似度研究[J].東北電力大學學報，2013,33(02):156-161.

[5] 溫祥西，孟相如，馬志強，張永春.小時問尺度網絡流量混沌性分析及趨勢預測[J].電了學報，2012, 40(8):1609-1616.

[6] 高波，張欽宇，梁永生，等.基于EMD及ARMA的白相似網絡流量預測[J].通信學報，2011, Vol. 32, No.4: 47-56.

[7] 張賓，楊家海，吳建平.Internet流量模型分析與評述[J].軟件學報，2011, 22(1): 115-131.

[8] 吳樺，龔儉，楊望.一種基于雙重Counter Bloom Filter的長流識別算法[J].軟件學報，2010，Vo1.21， No.5: 1115-1126.

[9] 曹軍威，萬宇鑫，涂國煌，等.智能電網信息系統體系結構研究[J].計算機學報，2013, 36(1):143-167.

[10] Ye W, Cho K. Hybrid P2P traffic classification with heuristic rules and machine learning[J]. Soft Computing, 2014:1-13.

Analysis of the Abnormal Degree of Network Communication Distinguishing Behavior

Zhang Yun

(Binzhou Technical College, Shandong 256603, China)

In order to identify the abnormal behavior of network communication effectively, this paper proposes a recognition method based on dissimilarity analysis. The data base of the method is Netflow network management data, and the concrete implementation steps are designed. Then, through the experiment analysis and analysis, it is proved that this method can be used to monitor the phenomena such as abnormal communication behavior, sudden traffic anomaly and abnormal network attack in the network, and obtain good results, so that the network service unit's service quality and Network security support service capacity has been effectively improved.

dissimilarity analysis; network communication anomaly; recognition

張蕓(1980-),女，山東五蓮人，山東省濱州市技術學院，大學學歷，中級職稱，研究方向：網絡通信。

1007-757X(2017)08-0079-02

TP311

A

2017.01.28)