异常流量检测要点
网络流量监测与异常检测技术研究
网络流量监测与异常检测技术研究在当今数字化的时代,网络已经成为人们生活和工作中不可或缺的一部分。
随着网络应用的日益丰富和网络规模的不断扩大,网络流量也呈现出爆炸式增长的趋势。
网络流量监测与异常检测技术作为保障网络安全和稳定运行的重要手段,受到了广泛的关注和研究。
网络流量监测是指对网络中传输的数据流量进行实时或定期的采集、分析和统计。
通过监测网络流量,可以了解网络的使用情况、性能状况以及用户的行为模式等。
常见的网络流量监测方法包括基于硬件的监测和基于软件的监测。
基于硬件的监测通常使用专门的网络监测设备,如流量探针、网络分析仪等,这些设备能够直接在网络链路中获取流量数据,并进行实时分析。
基于软件的监测则主要通过在网络中的节点上安装监测软件来实现,如使用 Wireshark 等工具抓取网络数据包进行分析。
网络流量监测的目的不仅仅是为了了解网络的运行状况,更重要的是能够及时发现异常流量。
异常流量可能是由网络攻击、设备故障、恶意软件传播等原因引起的,如果不能及时发现和处理,可能会导致网络瘫痪、数据泄露等严重后果。
异常检测技术是网络流量监测中的核心部分。
目前,异常检测技术主要分为基于阈值的检测、基于统计模型的检测和基于机器学习的检测等。
基于阈值的检测是一种比较简单直观的方法。
通过设定一些流量指标的阈值,如流量大小、数据包数量、连接数等,当监测到的流量数据超过这些阈值时,就认为出现了异常。
然而,这种方法的缺点也很明显,阈值的设定往往比较困难,而且对于一些复杂的异常情况可能无法有效检测。
基于统计模型的检测方法则是通过对历史流量数据进行统计分析,建立流量的统计模型,如正态分布、泊松分布等。
然后,将实时监测到的流量数据与统计模型进行比较,如果偏差较大,则认为出现了异常。
这种方法相对基于阈值的检测更加准确,但需要大量的历史数据来建立可靠的统计模型。
近年来,基于机器学习的异常检测技术得到了快速发展。
机器学习算法能够自动从大量的流量数据中学习正常流量的模式和特征,从而能够更准确地检测出异常流量。
10-异常流量监测
l
24
与报文分片(fragment)相关的网络攻击
l
传送IP报文的数字链路可以规定一个单个IP报文的最大长度,即 最大传输单元(MTU)。对一些大的IP报文进行分片传送。比如 一个4500字节的IP报文在MTU=1500的链路上传输的时候,需 要分成三个IP报文。 分片报文使用的偏移字段和分片标志(MF)标识。
l
路由协议用于在网络设备(路由器)之间交换路由信息。目前常 见的路由协议有 -RIP(Routing Information Protocol,路由信息协议) -OSPF(open shortest path first,开放最短路径) -IS-IS(intermediate system –intermediate system,中间系统 至中间系统) -BGP(Border Gateway Protocol ,边界网关协议)。
网
络
流
ห้องสมุดไป่ตู้
量
监
测
异常流量监测
宽 带 网 络 监 控 教 研 中 心
目录
1. 2. 3. 4.
异常流量概念 链路流量及其异常 直接影响网络正常运行的流 针对路由协议和设备转发表的攻击 与IP报文有关的异常 与TCP报文和通信过程相关的异常 与ICMP报文相关的攻击和异常 其它异常
18
5.与IP报文有关的异常
l
IP报文的头部是一些事先定义的字段。这些字段被填 入错误的值将导致网络或它连接的主机出现各种问题。 以下是一些典型的例子。
19
IP报头结构
版本 V
头⻓长HL
服务类型 TOS 标志Flag
网络安全中的异常流量检测与分析
网络安全中的异常流量检测与分析随着互联网的飞速发展,网络安全问题日益凸显。
网络攻击常常会导致重大的经济损失、数据泄露以及公共安全问题。
恶意攻击的手段和技术越来越高级和复杂,传统的防火墙、入侵检测等安全系统已经难以应对这些攻击。
因此,网络安全领域需要更加高效、智能的解决方案,异常流量检测与分析成为了网络安全的一个重要领域。
一、异常流量的概念和类型异常流量指网络中不符合正常流量特征的流量。
正常流量是具有一定规律性和重复性的网络数据传输,如基于HTTP协议的web访问、电子邮件传输等。
而异常流量则与正常流量相反,具有不规律、突发、高密度等特征,如DDoS攻击、僵尸网络、网络蠕虫等网络安全攻击常见的异常流量。
1. DoS/DDoS攻击DOS(Denial of Service)攻击和DDoS(Distributed Denial of Service)攻击是常见的网络攻击手段之一,旨在通过向目标主机发送大量的服务请求,引起主机的资源瓶颈,让其无法继续提供正常服务。
攻击者通过利用蠕虫、僵尸网络等方式使攻击源变得分散,加大攻击的威力和隐蔽性。
2. 网络蠕虫网络蠕虫是一种具有自我复制能力的恶意程序。
蠕虫扫描网络中的其他主机,通过利用程序漏洞传播自身。
随着蠕虫感染的主机数量增加,网络带宽消耗加大,造成网络拥塞,最终瘫痪整个网络。
3. 僵尸网络僵尸网络是一种通过感染大量的主机,将这些主机作为远程控制的终端,进行大规模的DDoS攻击等恶意活动。
通过远程控制多个僵尸主机,攻击者可以使用其合成的攻击能力来瞄准目标并执行各种攻击操作,如网络流量攻击、网络封锁、木马植入等。
二、异常流量检测的实现方法异常流量的检测可以通过以下方法实现:1. 基于流量统计方法基于流量统计方法是一种被广泛使用的异常流量检测方法,通过对网络流量进行统计和分析,识别不同类型的流量,当发生异常流量时,报警或进行相应的处理。
这种方法同样可以使用机器学习技术对大量的流量数据进行训练和分类,提高异常流量的准确性和细化程度。
网络流量监测中的异常检测算法
网络流量监测中的异常检测算法随着互联网的普及,网络攻击也越来越频繁,网络管理员需要不断地监测和防范各种攻击。
其中,异常检测算法就是一种重要的监测手段。
本文将从异常检测算法的基本原理、常见的异常检测算法、算法的优缺点和应用实例等方面进行探讨。
一、基本原理异常检测算法一般基于统计学原理,其主要思想是将样本数据与正常行为进行比对,如果样本数据与正常行为偏离过大,则认为它是异常的。
因此,异常检测算法的核心是在样本集合中发现与“正常”数据差异明显的数据。
二、常见的异常检测算法1. 方差检验方差检验是一种基本的检测方法,它认为数据集的方差代表数据的波动程度。
当数据的方差超过了一定的阈值,则认为它是异常的。
2. 箱型图检测法箱型图检测法是一种快速判断异常值的方法,通过画出数据的箱型图(或盒须图),然后根据箱型图的分布情况判断是否存在异常值。
3. 离群点检测法离群点检测法是一种基于距离度量的检测方法,它通过寻找样本值与其它样本之间距离的异常点来判断数据是否异常。
其中,常用的距离度量方法有欧几里得距离和曼哈顿距离等。
4. 基于聚类的异常检测算法聚类是一种将样本数据分为不同群体的方法,它可以帮助我们找到数据中的规律。
基于聚类的异常检测方法是一种将样本数据分成两个群体,即正常数据和异常数据的方法。
三、算法的优缺点1. 方差检验优点:方差检验是一种快速判断是否存在异常数据的简单方法,执行速度快,准确性高。
缺点:方差检验的结果受样本容量、样本分布等因素的影响,因此其适用范围有一定的局限性。
2. 箱型图检测法优点:箱型图可以通过数据的四分位数、中位数等指标反映数据的分布情况,便于理解数据的结构特点。
缺点:箱型图对于数据分布不均、样本容量小等情况,容易造成误差。
3. 离群点检测法优点:离群点检测法能够找到样本中的噪声数据和异常数据,对数据预处理效果好。
缺点:离群点检测法对数据集的样本容量有一定的要求,样本容量小、数据分布不均等情况容易造成误差。
网络安全管理中的异常流量检测与防御(十)
网络安全管理中的异常流量检测与防御随着互联网技术的发展和普及,网络安全问题愈发突出。
在大数据时代,网络攻击手段不断升级,给网络安全带来了更多挑战。
异常流量检测与防御成为了网络安全管理中的重要一环。
本文将探讨异常流量检测与防御的意义、方法以及当前所面临的挑战。
一、异常流量检测的意义异常流量指的是网络中超出正常范围的数据交互。
它可能是网络攻击者故意发起的攻击行为,也可能是由于系统故障、网络拥堵等原因产生的。
异常流量的出现,不仅会对网络的正常运行造成影响,还会导致隐私泄露、经济损失等严重后果。
通过异常流量检测,网络管理员可以及时发现异常流量并做出相应的应对措施,减少安全风险。
因此,异常流量检测在网络安全管理中具有重要的意义。
二、异常流量检测的方法1. 基于行为分析的异常流量检测基于行为分析的异常流量检测主要是通过对网络数据流量的监控与分析,识别出异常行为。
这种方法主要关注网络数据和用户行为的统计特性。
例如,通过统计特定端口的流量是否超过一定阈值,或者分析用户登录行为是否存在异常。
2. 基于机器学习的异常流量检测基于机器学习的异常流量检测通过构建模型,学习正常网络流量的特征,从而可以判断出异常流量。
这种方法能够自动学习并适应网络流量的变化,具有较高的灵活性和准确性。
三、异常流量防御的策略1. 段级别的流量监测与过滤通过在网络中的各个段附加流量监测与过滤设备,可以实时监测流量,并进行针对性的过滤与阻断。
这种策略可以大大提高异常流量检测的效率与准确性。
2. 网络入侵检测与防御系统(IDS/IPS)IDS/IPS系统是一种主动的网络安全防御设备,可以主动检测并阻断攻击行为。
它通过对网络流量、协议等进行深度分析,能够及时发现并应对异常流量。
四、异常流量检测与防御面临的挑战1. 加密流量的处理随着加密通信的普及,攻击者也开始使用加密方式进行攻击。
传统的流量检测方法无法对加密流量进行透明监测,给异常流量检测带来了较大挑战。
网络流量异常检测的算法分析与优化
网络流量异常检测的算法分析与优化随着互联网的普及和发展,网络流量异常检测成为了网络安全领域中的重要研究课题。
网络流量异常指的是网络中出现了与正常流量行为不符的现象,可能是由于网络攻击、硬件故障、软件错误等因素引起,对网络安全和性能造成严重威胁。
因此,研究网络流量异常检测算法并进行优化是保障网络安全和性能的关键。
本文将详细分析网络流量异常检测算法的原理和现有的常见算法,并进一步探讨如何进行算法优化,以提高检测的准确性和效率。
首先,我们来分析网络流量异常检测算法的原理。
网络流量异常检测算法主要分为统计方法和机器学习方法两大类。
统计方法是基于对网络流量的统计信息进行分析和判断的方法。
其中,基于交通流量的统计特性,如平均流量、峰值流量、流量分布等来检测异常。
该方法不需要额外的训练数据,对实时性要求较高,但无法应对复杂的网络攻击。
经典的统计方法包括均值方差模型、时间序列模型等。
机器学习方法是基于网络流量数据构建模型,通过监督学习或无监督学习的方式来进行异常检测。
监督学习方法需要使用标记好的训练数据进行学习,常用的算法有支持向量机(SVM)、决策树(Decision Tree)等。
无监督学习方法则直接从未标记的数据中自动学习异常的行为,典型的算法包括聚类算法、主成分分析(PCA)等。
接下来,我们将对现有常见的网络流量异常检测算法进行综述。
常见的统计方法有均值方差模型、时间序列模型等。
均值方差模型是一种基于统计特性的方法,通过计算网络流量的均值和方差来判断是否异常。
该方法简单易用,但无法应对复杂的网络攻击。
时间序列模型则通过对时间序列数据的建模和预测,来判断网络流量是否异常。
常用的时间序列模型有ARIMA模型、指数平滑模型等。
在机器学习方法中,支持向量机(SVM)是一种常用的分类算法,其通过将数据映射到高维空间,并找到最优的超平面来区分正常流量和异常流量。
决策树则根据一系列的判断规则来分类数据,简单直观,但容易过拟合。
流量异常检测算法
流量异常检测算法随着互联网的快速发展,网络流量的异常情况也越来越多。
流量异常指的是网络中传输的数据量与正常情况下的数据量有较大差异,可能是由于网络攻击、硬件故障、网络拥塞等原因引起的。
为了保证网络的正常运行,需要对流量进行实时监测和异常检测。
流量异常检测算法是一种用于识别网络流量中的异常情况的方法。
它通过对流量数据进行分析和建模,可以及时发现异常情况并采取相应的措施进行处理。
下面将介绍几种常见的流量异常检测算法。
1. 基于统计的方法基于统计的方法是最常见的流量异常检测算法之一。
它通过分析流量数据中的统计特征,如平均值、方差、分位数等,来判断流量是否异常。
当流量的统计特征与正常情况下的统计特征有较大差异时,就可以判断流量存在异常。
2. 基于机器学习的方法基于机器学习的方法是近年来流量异常检测领域的研究热点。
它通过构建模型并使用机器学习算法对流量数据进行分类或回归,从而判断流量是否异常。
常用的机器学习算法包括支持向量机、决策树、神经网络等。
这些算法可以根据流量数据的特征进行训练,并预测未来的流量情况,从而判断是否存在异常。
3. 基于时间序列的方法基于时间序列的方法是一种常用的流量异常检测算法。
它通过对流量数据进行时间序列分析,如自回归模型、移动平均模型等,来预测未来的流量情况,并判断是否存在异常。
这种方法可以较好地捕捉到流量数据中的周期性和趋势性,从而提高异常检测的准确性。
4. 基于图论的方法基于图论的方法是一种新兴的流量异常检测算法。
它通过将流量数据表示为图的形式,并利用图的结构和属性进行异常检测。
常用的图论算法包括最短路径算法、聚类算法、图神经网络等。
这些算法可以发现流量数据中的异常模式和异常节点,并给出相应的异常报警。
流量异常检测算法在保障网络安全和正常运行方面起着重要的作用。
不同的算法有各自的优缺点,可以根据具体的需求和情况选择合适的算法。
未来,随着技术的不断发展,流量异常检测算法将会更加准确和高效,为网络的安全和稳定提供更好的保障。
网络流量分析与异常检测技术教程
网络流量分析与异常检测技术教程网络流量分析与异常检测技术是当今互联网时代中非常重要的一个领域。
它涵盖了对网络流量进行收集、分析和处理的方法和技术,以及通过分析网络流量来检测和防止网络中的异常活动和安全威胁。
1. 网络流量分析技术网络流量分析是指对网络中的数据流进行收集、存储和分析的过程。
通过对网络流量进行分析,我们可以了解网络的使用模式、用户行为、流量趋势等信息。
网络流量分析可以有助于网络管理员监控和优化网络性能,帮助企业了解用户需求并制定相应的策略。
在网络攻击和安全威胁方面,网络流量分析可以帮助检测和识别可疑流量,及时响应和阻止潜在的安全威胁。
网络流量分析技术包括数据包捕获、数据包分析和数据可视化等方面。
数据包捕获是指在网络中截获数据包并将其保存到存储设备中。
常用的数据包捕获工具有Wireshark、tcpdump等。
数据包分析是指对捕获的数据包进行解析和提取有用信息的过程。
常用的数据包分析工具有各种网络协议解析器、流量分析工具等。
数据可视化是指将分析得到的网络流量数据以可视化的方式进行展示和呈现,以方便用户理解和分析。
2. 异常检测技术网络中的异常活动和安全威胁对于网络的安全性和稳定性都构成了威胁。
异常检测技术旨在通过对网络流量的分析和比对,识别和提醒有可能的异常活动和威胁。
异常检测技术主要有基于特征的检测和基于行为的检测两种。
基于特征的检测方法是通过定义和提取正常网络流量和异常流量的特征,然后基于这些特征进行比对和检测。
这种方法的优点是检测准确度较高,但需要事先定义和提取特征,且对于未知的新型威胁的检测能力比较弱。
基于行为的检测方法是通过建立正常网络流量的行为模型,然后将实际的网络流量与模型进行比对和检测。
这种方法的优点是能够检测未知的新型威胁,但对于复杂的行为模式建模和计算较为复杂。
3. 综合应用与案例分析网络流量分析与异常检测技术广泛应用于各个领域。
在网络安全领域,它可以帮助监测和防止各种网络攻击,如DDoS攻击、SQL注入攻击等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
特 征 DoS/DDoS 如 :Smurf 等
特 征 蠕 虫 如 : SQL Slammer 等
私 有 IP , 协 议 异 常 等
自 定 义 异 常 行 为 检 测
及 未 知
行 为
行 为 如
等
中未 未知 定 义 的 蠕行 虫为 行, 为包 括 模 板 库 WORM
及恶 主意 机扫 扫描 描行 为 , 包 括 网 络 扫 描
知
异常特征 学习
行 行为 为如 :TCP Flodd 等 及 未
定未 义知 的 蠕 虫 行行 为为 , 包 括 模 板 库 中 未 WORM
扫恶 描意 扫 描 行 为 , 包 括 网 络 扫 描 及 主 机
基于目标IP的session 缓存统计(5秒Buffer) 基于源IP的session 缓存统计(5秒Buffer) 基于源IP + 目标端口的 session缓存统计 (5秒Buffer)
提纲
系统总体方案 系统功能及特色 系统软硬件部署 项目实施及售后服务 实际案例介绍 技术澄清&应答
方案 特 点--系统总体特点
纯B/S架构
客户端无须安装任何插件,只需有浏览器即可访问系统,真正做到了 随时、随地访问业务系统。
人性化设计
系统主动适应用户操作习惯,如:数据的组织呈现方式等功能,完全 仿造windows操作。
(3)
采用DFI(深度流检测)技术实现全网异常行为(包括攻击行为,如 DoS/DDoS, 蠕虫等)监测及控制
DFI技术监测网络异常行为技术实现原理
异常行为监测流程 异常(是) DFI包头特征检测 (Pattern Signature) 特征扫描 异常(否) 流数据
sion行为 检测(基于统计分析)
基于DFI技术、DPI技术的安全及异常监测对比
传统的入侵检测方法分为两种:基于误用检测(misused-based)方法和基于异常检测。 (1) 基于误用检测方法需要攻击样本,通过描述每一种攻击的特殊模式来检测。该方法的查准率很高,并且可提供 详细的攻击类型和说明,是目前入侵检测商业产品中使用的主要方法。然而经过长时间的研究和应用,该方法 也暴露出一定的弱点,由于基于特征的入侵检测系统是依靠人为的预先设定报警规则来实现,所以在面对不断 变化的网络攻击时有其本身固有的缺陷,比如,利用这种方法时需要维护一个昂贵的攻击模式库、只能检测 已知的攻击等。另一方面,攻击者可以通过修改自己的攻击特征模式来隐藏自己的行为,而且有些攻击方法 根本没有特定的攻击模式。 (2) 基于异常检测方法主要针对解决误用检测方法所面临的问题。
方案 特 点—异常行为监测(NBA)
(1) 系统内置异常行为控制模块,能够跟行为特征中受影响设备最重要的设备联动,部署策略进行控制,目前 支持恶意扫描、网络蠕虫及病毒的控制及异常基准线行为的限速控制,对于DoS/DDoS类的攻击基于受影响 设备的异常行为拓扑关系,最大限度控制DoS/DDoS行为,保护用户自身网络,如果想彻底消除DoS/DDoS行 为的影响建议采用流量引流方案,因为引流对于DoS/DDoS效果最好 (2) 流量引流及清洗,系统支持与第三方设备整合,如思科Guard或华为SIG设备
这两类方法都存在如下问题: 可扩展性较差 (1) 由于现有的异常检测系统大多采用一种或几种单一的网络特征向量作为学习和判断的依据,对网络流量的异常描 述较为单薄; (2) 在入侵检测系统协同运行中网络特征向量选取得较少就可能会影响检测系统的可扩展性,基于会话的保存状态 信息的异常检测方法由于现有网络流量的不断变大将逐步受到限制。因而在DARPA1998年总结出的判断每一 个正常与异常TCP/IP连接的41个特征向量的实时使用就变得越来越难以实现。 DFI异常检测是基于将网络流量特征向量分层划分的思想实现的。 将流量特征分为两个层次:基本特征集合和组合特征集合。 其中基本特征集合是实时从网络流量中提取的一些网络流量的基本特征数据,比如流量的大小、包长的信息、协议 的信息、端口流量的信息、TCP标志位的信息等。这些基本特征比较详细地描述了网络流量的运行状态组合特征集 合是可以根据实际需要实时改变设置的。 针对某种特定的攻击行为,将涉及该攻击行为的基本特征的子集作为描述该种攻击行为的特征。比如对于SYN FLOOD攻击,组合特征就可以选取sessions/s、平均包长、SYN包的个数等信息。利用以往基本特征集合的数据 对该种攻击行为的特征进行学习和训练,就可以实时得到该攻击行为组合特征的正常和异常模型。 用此模型就可以实时地对网络上该种攻击行为进行检测。
与发流源网络设备互动 基于ACL、QoS等技术实现结合异常行为 攻击拓扑,在最有效点部署控制策略 及规则,实现正常流与异常流的分离及控制
通 过 限 速 、 阻 断 等 手 段 控 制
目 标 固 定 类 异 常 , 如
段意 源 控扫 制描 固 等定 通类 过异 限常 速, 、如 阻蠕 断虫 等、 手恶 IP
系统自维护成本低
基于被监控设备及网络的技术特点进行的数据探测技术与基于硬件探针技术进行的数 据探测技术相比,在系统自维护方面,成本几何数量降低是显而易见的。
方案 特 点—异常行为监测(NBA)
一体化安全防御异 监测及管控方法论
异常 行为 跟踪 全局 策略 管理
DFI
深粒度异常流 行为检测 异常 行为 监测 异常 行为 清洗 管控
流量、数据包、session 异常(否) 基准线检测 异常(是) 基准线异常
DoS/DDoS :TCP Flodd DoS/DDoS
异常行为特征汇聚及异常行为控制 异常明细数据记录(细化到会话数据),可以联动xSensor协议分析仪
DarkIP,
正常流
DFI技术监测网络异常行为-流包头扫描特征
此类检测的特点是逐流检测,计算量小,检测响应时间快,缺点是必须是已知异常行为: 如已知异常DoS/DDoS, 已知蠕虫病毒,其检测逻辑如下: 流数据
Web 浏览器
移动 客户机
WEB PORTAL
告警监视/故障定位
全网性能/KPI监控
全网异常行为监控
全网流量监控
方案 特 点– 数据探测特点
全网范围采集,无需附加探测硬件探针
方案采用的技术确保数据探测无需附加硬件探针,对于未来网络结构调整及增加设备 、扩容等无需附件额外的硬件探针成本
部署灵活
方案采用数据(流量数据、性能数据)探测技术,与用户网络特性无关,这与采用探针技 术的数据探测方式(需要紧密结合用户网络特性)不同,不需要用户考虑增加硬件探针的 部署点等,更有甚者,比如: 用户网络内部被外来系统基于技术渗透方式感染蠕虫,如 果内网任何角度没有部署探针或者由于用户网络结构调整、设备更新等造成探针没有 探测整个内网,就会导致安全监测漏洞,采用本方案的探测技术,无论网络如何变化 ,没有任何硬件成本附件即可进行全网任何位置进行安全监测,这样渗透进来的蠕虫 病毒将无处可藏。
系统功能结构
综合分析数据采集能力
方案特点: (1) 全网流量数据采集, 无需探针, 数据传输量微小 保守计算公式: 实际物理流量每 10 Gbps, 产生流的带宽小于 4 Mbps 10 Gbps 对应于: 2500 flow/second (1:500采样比) size=2500 * 200 * 8 = 4 Mbps (2) 全网性能数据采集,无需探针,性能数据传输量微小 保守计算公式: 500个拨测性能测量,数据传输量小于 50 Kbps
DoS/DDoS DoS/DDoS
DFI技术监测网络异常-异常行为跟踪
异常行为特征汇聚了: 源IP集合,目标IP集合、源端口集合、 目标端口集合、应用协议、TCP Flag 基于异常行为特征过于异常明细会话信 息 从异常行为特征中得到 异常开始时间 (检测时间与异常开始实际时间误差 特征扫描: 毫秒级 统计分析session行为: 5 - 10秒 基准线检测: 5 - 10分钟
基于行为特征,行为明细数据记录 粗粒度: 直接记录异常流会话数据
细粒度: 结合xSensor协议分析仪或第三方 DPI设备详细记录异常流过程数据包内容
否
根据实时异常行为的结束 时间判断是否结束异常明细 数据记录
是
记录结束
DFI技术监测网络异常-异常行为控制
异常行为特征汇聚了: 源IP集合,目标IP集合、源端口集合、 目标端口集合、应用协议、TCP Flag 产生控制策略 整合第三方清洗设备接口 思科Guard 华为清洗设备Eudmemon 其他防火墙、IDS/IPS等
IP DoS/DDoS
制基 准 线 类 异 常 通 过 限 速 方 式 控
基于DFI技术、DPI技术的安全及异常监测对比
与传统的基于数据包检测技术的异常检测(如: IDS/IPS)等对比而言,基于流的DFI检测异常行为技术,可以实现全 网范围内的异常检测,比较适合于运营商、大型网络的内网安全检测。 这两类技术在技术层面上是互相补充和互动的关系,他们之间的互补能更好地解决用户网络安全检测问题。 但是由于技术实现手段及原理的不同,现在针对DFI和DPI技术实现异常行为检测的不同点,概述如下: (1) DFI由于采用流数据技术的行为检测,很容易实现全网范围,尤其是内网范围的网络异常行为检测,DPI技术 主要基于数据包捕获技术进行解析数据包分析,这样在全网内部部署代价非常昂贵,且容易造成网络单点故障 的可能性。 (2) DPI技术采用基于会话的保存状态信息的异常检测方法由于现有网络流量的不断变大将逐步受到限制,并且网络 结构的调整对其检测和部署影响非常大,而DFI技术基于流数据并且基于流量特征向量的检测,网络结构及环 境的调整对其影响不大
DFI技术监测网络异常-网络行为统计分析
此类检测的特点是可以在全网范围内检测异常行为,主要是session异常,网络中发生的异常大多属于session级异常这类session级异 常是基于三类特征,即固定目标IP如DoS/DDoS, 固定源IP如恶意扫描, 固定源IP + 固定目标端口如蠕虫病毒,它是基准线session异 常的补充,因为基准线session异常在运营商及大型网络中很难发现,比如,用户骨干网上的一条40 Gbps链路中产生session的速率为: 10,000 sessions/second, 发生一个异常行为DoS/DDoS, session速率增加: 1000 sessions/second,这样的情况,基准线一般检测不到 (session速率的变化率为: 1%), 基于三类行为特征的检测可以检测这类异常,它是弥补基准线粗粒度检测的不足, 同时这种检测可以检 测网络中的未知DoS/DDoS, 未知蠕虫等。其检测逻辑如下: 网络边界定义 流数据 从属边界 (内网范围), 基于内网边界 基于TCP Flag过滤可疑 过滤流数据 流数据 边界范围外 其他检测 基于缓存数据检测session 速率是否达到探测器阈值 达到阈值 阈值验证 可疑流