專利名稱：一種利用多點錯位聯(lián)合檢測實現(xiàn)網(wǎng)絡(luò)異常定位的方法
技術(shù)領(lǐng)域：
本發(fā)明屬于互聯(lián)網(wǎng)網(wǎng)絡(luò)安全技術(shù)，特別是一種利用多點錯位聯(lián)合檢測實現(xiàn)網(wǎng)絡(luò)異常定 位的方法，以便實時判斷網(wǎng)絡(luò)的異常點，及時、有效地排除故障。
背景技術(shù)：
根據(jù)中國互聯(lián)網(wǎng)信息中心的最新統(tǒng)計數(shù)據(jù)顯示，從1994年中國獲準加入互聯(lián)網(wǎng)至今， 中國網(wǎng)民的數(shù)量已經(jīng)高達1.37億人，上網(wǎng)的電腦總量接近6000萬臺。這其中絕大多數(shù)是 沒有電腦網(wǎng)絡(luò)安全專業(yè)知識的普通網(wǎng)民。另一方面，CNCERT/CC組織2008年中國計算 機網(wǎng)絡(luò)安全應(yīng)急年會報告指出，2007年和2006年相比，安全事件增長率在100%—200 %以上。其中，僵尸網(wǎng)絡(luò)已經(jīng)成為網(wǎng)絡(luò)攻擊非?；镜氖侄沃弧?007年經(jīng)過抽樣檢測 發(fā)現(xiàn)，僵尸網(wǎng)絡(luò)被用來發(fā)動分布式拒絕服務(wù)攻擊(DDoS) 10000多次，同時還發(fā)送垃圾 郵件，實施信息竊取等。各類網(wǎng)絡(luò)安全攻擊事件的數(shù)量成倍增長，說明互聯(lián)網(wǎng)的形勢已經(jīng) 是非常嚴峻。
拒絕服務(wù)攻擊(DoS)是指攻擊者通過發(fā)送大量假數(shù)據(jù)或請求占用攻擊目標的資源， 使正常請求得不到服務(wù)。而分布式拒絕服務(wù)攻擊(DDoS)就是攻擊者采用分布式的攻擊 方式，使用僵尸網(wǎng)絡(luò)進行DoS攻擊。因此，由于DDoS分布式的特性，終端檢測、單鏈 路檢測等方法無法有效檢測DDoS。所以，采用分布式多點檢測十分重要。
按檢測模式，DDoS檢測大概可分為兩類。第一類是模式檢測。將現(xiàn)有網(wǎng)絡(luò)數(shù)據(jù)的特 征與事先收集的DDoS攻擊的特征相比較，如果發(fā)現(xiàn)匹配，則認為發(fā)送了攻擊。這類方式 的缺點在于檢測效果與DDoS攻擊特征的提取密切相關(guān)，因而對于DDoS新出現(xiàn)的類型， 無法有效檢測；此外,對攻擊特征的提取也存在一定的困難。第二類是異常檢測，即通過 發(fā)現(xiàn)網(wǎng)絡(luò)中的異常來進行檢測。目前，大多數(shù)檢測系統(tǒng)都屬于這一類。以該類檢測中普遍 采用的統(tǒng)計檢測系統(tǒng)為例(附圖1為該檢測系統(tǒng)結(jié)構(gòu)示意圖)，其檢測方式為若干個數(shù)據(jù) 采集器采集的數(shù)椐一并輸入同一數(shù)據(jù)處理器進行處理。若受監(jiān)控鏈路中，只要有一條鏈路 出現(xiàn)異常，數(shù)據(jù)處理器則報警。由于是多個數(shù)據(jù)采集器同時輸入數(shù)據(jù)，則存在檢測系統(tǒng)無 法實時、準確判斷異常來自哪條鏈路，必將導致網(wǎng)絡(luò)異常無法及時、有效地進行處理而影 響網(wǎng)絡(luò)安全、正常運行等弊病。
根據(jù)夏春和等所著《攻擊源定位問題的研究》，現(xiàn)有攻擊定位方法主要包括ICMP定
位報文法、采樣標記法、路由器円志法、路徑記錄法。上述方法存在以下缺點 一般要從
被攻擊對象開始回溯、事后響應(yīng)，回溯代價高；與檢測系統(tǒng)無關(guān)，沒有充分利用安全資源，
兼容性差。

發(fā)明內(nèi)容
本發(fā)明的目的是研究設(shè)計一種利用多點錯位聯(lián)合檢測實現(xiàn)網(wǎng)絡(luò)異常定位的方法。利用 分布式異常檢測系統(tǒng)，進行多點錯位聯(lián)合檢測，對攻擊流進行準確定位；最終達到對網(wǎng)絡(luò) 運行中出現(xiàn)的故障進行及時、有效地處理等目的。
本發(fā)明的解決方案是以一般分布式異常檢測系統(tǒng)為基礎(chǔ)，構(gòu)建多點依次錯位多對多 (即多組數(shù)據(jù)采集器與多個數(shù)據(jù)處理器對應(yīng)組成)綜合檢測、定位系統(tǒng)。引入一條模擬的 正常鏈路，并利用相同數(shù)量的數(shù)據(jù)采集器與數(shù)據(jù)處理器(假設(shè)均分別為n個)，則通過不 同組合的n-l個數(shù)據(jù)采集器依次與一個數(shù)據(jù)處理器對應(yīng)連接組成一組子系統(tǒng)，共組成n個 子系統(tǒng)，整個檢測系統(tǒng)則形成一種多對多的多點錯位聯(lián)合檢測，以及時、準確地判定攻擊 點的安全檢測體系。本發(fā)明的檢測方法是
A. .建立檢測系統(tǒng)將n個數(shù)據(jù)采集器中的n-l個數(shù)據(jù)采集器與第1個數(shù)據(jù)處理器對應(yīng) 連接，組成第1子系統(tǒng)；再將不同組合的另一組n-l個數(shù)據(jù)采集器與第2個數(shù)據(jù)處理器對 應(yīng)連接，組成第2個子系統(tǒng)；依次共組成n個具有不同數(shù)據(jù)采集器組合與數(shù)據(jù)處理器組成 的子系統(tǒng)；全部子系統(tǒng)即組成了一個多點錯位聯(lián)合檢測系統(tǒng)；
B. 檢測定位系統(tǒng)運行時，當某個子系統(tǒng)的數(shù)據(jù)處理器未發(fā)生報警，而其它子系統(tǒng)的 數(shù)據(jù)處理器都發(fā)出報警信號，則未接入該子系統(tǒng)的鏈路為異常鏈路；而當所有子系統(tǒng)的 數(shù)據(jù)處理器均發(fā)出報警信號時，貝lj:
a、 將所有數(shù)據(jù)處理器的報警次數(shù)根據(jù)大小排序(升序、降序均可)；
b、 計算相鄰報警次數(shù)之間的差值的絕對值；
C. 根據(jù)最大的那個差值，將該差值所對應(yīng)的兩個子系統(tǒng)的報警次數(shù)分別定為上、下 限，各子系統(tǒng)中凡是報警次數(shù)等于或大于上限值的，其未接入該子系統(tǒng)的鏈路為正常鏈路； 凡是報警次數(shù)等于或小于下限值的，其未接入該子系統(tǒng)的鏈路均為異常鏈路。
本發(fā)明由于采取多點聯(lián)合錯位異常檢測的策略，并引入了一條模擬的正常鏈路，使所 有檢測鏈路中至少有l(wèi)條是正常鏈路，即能確保對檢測出的異常進行定位，鎖定異常所在 鏈路。從而具有不需即時更新采樣數(shù)據(jù)，計算量小，能有效針對網(wǎng)絡(luò)異常進行實時、準確 地檢測定位，大大提高了排除網(wǎng)絡(luò)故障的效率等特點；克服了背景技術(shù)無法實時、準確判 斷異常鏈路，導致無法及時、有效地排除網(wǎng)絡(luò)故障，影響網(wǎng)絡(luò)安全、正常運行等弊病。


圖l為背景技術(shù)結(jié)構(gòu)示意圖2為本發(fā)明的定位檢測方法結(jié)構(gòu)示意圖； 圖3~7為本實施方式各子系統(tǒng)的結(jié)構(gòu)示意圖中A卜A2、 A3、 A4、 A^、 An、 Ac均為數(shù)據(jù)采集器；B、 Bi、 B2、 B3、 B4、 B5、
Bn-卜Bn均為數(shù)據(jù)處理器；
具體實施例方式
本實施例以由5個數(shù)據(jù)采集器及5個數(shù)據(jù)處理器組成的檢測系統(tǒng)為例。數(shù)據(jù)采集器和 數(shù)據(jù)處理器使用Ling Huang等人所著《Communication-E伍cient Tracking of Distributed Cumulative Triggers》中的數(shù)據(jù)采集器和數(shù)據(jù)處理器。而本實施例使用的實驗數(shù)據(jù)來源于 由美國計算機協(xié)會數(shù)據(jù)通訊專業(yè)組(ACM SIGCOMM)在網(wǎng)絡(luò)(The Internet Tra伍c Archive. http:〃www.acm.org/sigs/sigcomm/ITA )上所提供的實際網(wǎng)絡(luò)流量數(shù)據(jù)日志。其中4條鏈路 為運行鏈路，分別與數(shù)據(jù)采集器A^A4相連，而數(shù)據(jù)釆集器Ac與之連接的另一條為模擬 的正常鏈路。在運行鏈路中，選擇3條加入攻擊流，此時各子系統(tǒng)中連接數(shù)據(jù)采集器組與 數(shù)據(jù)處理器之間的連接關(guān)系見附圖3 7，其中各子系統(tǒng)數(shù)據(jù)處理器括號中所示數(shù)字為該 子系統(tǒng)的報警次數(shù)。本實施例異常定位過程如下
① 將報警次數(shù)依升序排序24 (B3)， 33 (B!)， 33 (B4)， 59 (B2)， 60 (B5);
② 計算相鄰值的差值B,-B3=9， B4-B尸0， B2-B4=26， B5-B2=l，其中最大差值為(B2-B4)
26;
③ 根據(jù)最大差值為26，所對應(yīng)B4的報警次數(shù)33為下限，則B卜B3的報警次數(shù)分別等 于及小于該下限，因此B3、 Bb B4所對應(yīng)的子系統(tǒng)中未接入的鏈路為異常(故障)鏈路; 而B2的報警次數(shù)59為上限，因此B2、 B5所對應(yīng)的子系統(tǒng)中未接入的鏈路為正常鏈路(其
中未接入B5對應(yīng)的子系統(tǒng)的鏈路為模擬鏈路)。
根據(jù)本實施例的檢測結(jié)果即可迅速、準確地判定未接入B3、 B卜B4所對應(yīng)子系統(tǒng)的 鏈路均為異常(故障)鏈路，從而可及時地給后續(xù)維護提供了準確的目標工作位，確保網(wǎng) 絡(luò)安全、正常地運行。
權(quán)利要求
1、一種利用多點錯位聯(lián)合檢測實現(xiàn)網(wǎng)絡(luò)異常定位的方法，其方法包括A..建立檢測系統(tǒng)將n個數(shù)據(jù)采集器中的n-1個數(shù)據(jù)采集器與第1個數(shù)據(jù)處理器對應(yīng)連接，組成第1子系統(tǒng)；再將不同組合的另一組n-1個數(shù)據(jù)采集器與第2個數(shù)據(jù)處理器對應(yīng)連接，組成第2個子系統(tǒng)；依次共組成n個具有不同數(shù)據(jù)采集器組合與數(shù)據(jù)處理器組成的子系統(tǒng)；全部子系統(tǒng)即組成了一個多點錯位聯(lián)合檢測系統(tǒng)；B.檢測定位系統(tǒng)運行時，當某個子系統(tǒng)的數(shù)據(jù)處理器未發(fā)生報警，而其它子系統(tǒng)的數(shù)據(jù)處理器都發(fā)出報警信號，則未接入該子系統(tǒng)的鏈路為異常鏈路； 而當所有子系統(tǒng)的數(shù)據(jù)處理器均發(fā)出報警信號時，則a、將所有數(shù)據(jù)處理器的報警次數(shù)根據(jù)大小排序；b、計算相鄰報警次數(shù)之間的差值的絕對值；c、根據(jù)最大的那個差值，將該差值所對應(yīng)的兩個子系統(tǒng)的報警次數(shù)分別定為上、下限，各子系統(tǒng)中凡是報警次數(shù)等于或大于上限值的，其未接入該子系統(tǒng)的鏈路為正常鏈路；凡是報警次數(shù)等于或小于下限值的，其未接入該子系統(tǒng)的鏈路均為異常鏈路。
全文摘要
該發(fā)明屬于互聯(lián)網(wǎng)網(wǎng)絡(luò)安全技術(shù)中利用多點錯位聯(lián)合檢測實現(xiàn)網(wǎng)絡(luò)異常定位的方法，包括建立檢測系統(tǒng)、檢測并鎖定異常部位；即以一般分布式異常檢測系統(tǒng)為基礎(chǔ)，引入一條模擬的正常鏈路，并利用相同數(shù)量的數(shù)據(jù)采集器與數(shù)據(jù)處理器(當均分別為n個時)，則通過不同組合的n-1個數(shù)據(jù)采集器依次與一個數(shù)據(jù)處理器對應(yīng)連接組成一組子系統(tǒng)，共組成n個子系統(tǒng)，整個檢測系統(tǒng)則形成一種多對多的多點錯位聯(lián)合檢測，從而可及時、準確地判定網(wǎng)絡(luò)異常點，以便為及時排除故障提供可靠依據(jù)，確保網(wǎng)絡(luò)安全運行。該發(fā)明具有不需即時更新采樣數(shù)據(jù)，計算量小，能有效針對網(wǎng)絡(luò)異常進行實時、準確地檢測定位，大大提高了排除網(wǎng)絡(luò)故障的效率等特點；克服了背景技術(shù)無法實時、準確判斷異常鏈路，導致無法及時、有效地排除網(wǎng)絡(luò)故障，影響網(wǎng)絡(luò)安全、正常運行等弊病。
文檔編號H04L12/26GK101360014SQ20081004611
公開日2009年2月4日 申請日期2008年9月22日 優(yōu)先權(quán)日2008年9月22日
發(fā)明者虞紅芳, 都 許, 黃鵬滔 申請人:電子科技大學