論文既是探討問(wèn)題進(jìn)行學(xué)術(shù)研究的一種手段，又是描述學(xué)術(shù)研究成果進(jìn)行學(xué)術(shù)交流的一種工具。關(guān)于網(wǎng)絡(luò)檢測(cè)的論文應(yīng)該怎么寫(xiě)?

　　網(wǎng)絡(luò)檢測(cè)論文篇一：

　　網(wǎng)絡(luò)異常流量檢測(cè)研究

摘要:異常流量檢測(cè)是目前IDS入侵檢測(cè)系統(tǒng))研究的一個(gè)重要分支,實(shí)時(shí)異常檢測(cè)的前提是能夠?qū)崟r(shí),對(duì)大規(guī)模高速網(wǎng)絡(luò)流量進(jìn)行異常檢測(cè)首先要面臨高速流量載荷問(wèn)題,由于測(cè)度、分析和存儲(chǔ)等計(jì)算機(jī)資源的限制,無(wú)法實(shí)現(xiàn)全網(wǎng)絡(luò)現(xiàn)流量的實(shí)時(shí)檢測(cè),因此,抽樣測(cè)度技術(shù)成為高速網(wǎng)絡(luò)流量測(cè)度的研究重點(diǎn)。

　　關(guān)鍵詞:網(wǎng)絡(luò) 異常流量 檢測(cè)

　　一、異常流量監(jiān)測(cè)基礎(chǔ)知識(shí)

　　異常流量有許多可能的來(lái)源,包括新的應(yīng)用系統(tǒng)與業(yè)務(wù)上線、計(jì)算機(jī)病毒、黑客入侵、網(wǎng)絡(luò)蠕蟲(chóng)、拒絕網(wǎng)絡(luò)服務(wù)、使用非法軟件、網(wǎng)絡(luò)設(shè)備故障、非法占用網(wǎng)絡(luò)帶寬等。網(wǎng)絡(luò)流量異常的檢測(cè)方法可以歸結(jié)為以下四類(lèi):統(tǒng)計(jì)異常檢測(cè)法、基于機(jī)器學(xué)習(xí)的異常檢測(cè)方法、基于數(shù)據(jù)挖掘的異常檢測(cè)法和基于神經(jīng)網(wǎng)絡(luò)的異常檢測(cè)法等。用于異常檢測(cè)的5種統(tǒng)計(jì)模型有:①操作模型。該模型假設(shè)異常可通過(guò)測(cè)量結(jié)果和指標(biāo)相比較得到,指標(biāo)可以根據(jù)經(jīng)驗(yàn)或一段時(shí)間的統(tǒng)計(jì)平均得到。②方差。計(jì)算參數(shù)的方差,設(shè)定其置信區(qū)間,當(dāng)測(cè)量值超出了置信區(qū)間的范圍時(shí)表明可能存在異常。③多元模型。操作模型的擴(kuò)展,通過(guò)同時(shí)分析多個(gè)參數(shù)實(shí)現(xiàn)檢測(cè)。④馬爾可夫過(guò)程模型。將每種類(lèi)型事件定義為系統(tǒng)狀態(tài),用狀態(tài)轉(zhuǎn)移矩陣來(lái)表示狀態(tài)的變化。若對(duì)應(yīng)于發(fā)生事件的狀態(tài)轉(zhuǎn)移矩陣概率較小,則該事件可能是異常事件。⑤時(shí)間序列模型。將測(cè)度按時(shí)間排序,如一新事件在該時(shí)間發(fā)生的概率較低,則該事件可能是異常事件。

　　二、系統(tǒng)介紹分析與設(shè)計(jì)

　　本系統(tǒng)運(yùn)行在子網(wǎng)連接主干網(wǎng)的出口處,以旁路的方式接入邊界的交換設(shè)備中。從交換設(shè)備中流過(guò)的數(shù)據(jù)包,經(jīng)由軟件捕獲,處理,分析和判斷,可以對(duì)以異常流量方式出現(xiàn)的攻擊行為告警。本系統(tǒng)需要檢測(cè)的基本的攻擊行為如下:(1)ICMP攻擊(2)TCP攻擊,包括但不限于SYN Flood、RST Flood(3)IP NULL攻擊(4)IP Fragmentation攻擊(5)IP Private Address Space攻擊(6)UDP Flood攻擊(7)掃描攻擊不同于以特征、規(guī)則和策略為基礎(chǔ)的入侵檢測(cè)系統(tǒng)(Intrusion Detection Systems),本研究著眼于建立正常情況下網(wǎng)絡(luò)流量的模型,通過(guò)該模型,流量異常檢測(cè)系統(tǒng)可以實(shí)時(shí)地發(fā)現(xiàn)所觀測(cè)到的流量與正常流量模型之間的偏差。當(dāng)偏差達(dá)到一定程度引發(fā)流量分配的變化時(shí),產(chǎn)生系統(tǒng)告警(ALERT),并由網(wǎng)絡(luò)中的其他設(shè)備來(lái)完成對(duì)攻擊行為的阻斷。系統(tǒng)的核心技術(shù)包括網(wǎng)絡(luò)正常流量模型的獲取、及對(duì)所觀察流量的匯聚和分析。由于當(dāng)前網(wǎng)絡(luò)以IPv4為主體,網(wǎng)絡(luò)通訊中的智能分布在主機(jī)上,而不是集中于網(wǎng)絡(luò)交換設(shè)備,而在TCP/IP協(xié)議中和主機(jī)操作系統(tǒng)中存在大量的漏洞,況且網(wǎng)絡(luò)的使用者的誤用(misuse)也時(shí)有發(fā)生,這就使得網(wǎng)絡(luò)正常流量模型的建立存在很大的難度。為達(dá)到保障子網(wǎng)的正常運(yùn)行的最終目的,在本系統(tǒng)中,采用下列方式來(lái)建立多層次的網(wǎng)絡(luò)流量模型:

　　(1)會(huì)話正常行為模型。根據(jù)IP報(bào)文的五元組(源地址、源端口、目的地址、目的端口和協(xié)議),TCP和UDP報(bào)文可以構(gòu)成流(flow)或偽流(pseudo-flow)。兩個(gè)五元組中源和目的相反的流可以構(gòu)成一個(gè)會(huì)話。由于ICMP的特殊性,對(duì)于ICMP的報(bào)文,分別進(jìn)行處理:ICMP(query)消息構(gòu)成獨(dú)立會(huì)話,而ICMP錯(cuò)誤(error)消息則根據(jù)報(bào)文中包含的IP報(bào)頭映射到由IP報(bào)頭所制定的會(huì)話中去。每一類(lèi)協(xié)議(TCP/UDP/ICMP)的正常行為由一個(gè)有限狀態(tài)及刻畫(huà)。在這個(gè)狀態(tài)機(jī)中,如果一個(gè)事件的到來(lái)導(dǎo)致了錯(cuò)誤狀態(tài)的出現(xiàn),那么和狀態(tài)機(jī)關(guān)聯(lián)的計(jì)數(shù)器對(duì)錯(cuò)誤累加。協(xié)議狀態(tài)機(jī)是一種相對(duì)嚴(yán)格的行為模型,累加的錯(cuò)誤計(jì)數(shù)本身并不一定代表發(fā)現(xiàn)了攻擊行為。

　　(2)流量規(guī)則特征模型。在正常的網(wǎng)絡(luò)流量中,存在著穩(wěn)定的規(guī)則特征。比如一個(gè)IP收到和發(fā)出的含SYN標(biāo)志位和含F(xiàn)IN標(biāo)志位的報(bào)文的比值、一個(gè)IP的出度和入度的比值以及一個(gè)IP的平均會(huì)話錯(cuò)誤數(shù)等。這些網(wǎng)絡(luò)不變量是檢驗(yàn)在一定時(shí)間區(qū)間內(nèi),一個(gè)IP是否行為異常的標(biāo)準(zhǔn)之一。這個(gè)模型要求對(duì)會(huì)話表中的會(huì)話摘要(一個(gè)含有會(huì)話特征的向量)進(jìn)行匯聚,在會(huì)話正常行為模型基礎(chǔ)上增加攻擊行為判斷的準(zhǔn)確程度。

　　(3)網(wǎng)絡(luò)流量關(guān)聯(lián)模型。把一些流量特征(如字節(jié)數(shù)、報(bào)文數(shù)、會(huì)話錯(cuò)誤數(shù)等)在一定時(shí)間區(qū)間內(nèi)的累加值記錄下來(lái),可以看作時(shí)間序列。通過(guò)對(duì)序列的分析,可以找到長(zhǎng)期的均值、方差、周期、趨勢(shì)等特征。當(dāng)攻擊行為發(fā)生時(shí),觀察到的一些流量特征會(huì)偏離其長(zhǎng)期特征。這種特征偏離的相關(guān)性就提供了判斷是否攻擊已發(fā)生的一個(gè)依據(jù)。

　　三、大規(guī)模流量異常檢測(cè)框架

　　異常檢測(cè)通常需要描述正常網(wǎng)絡(luò)行為,網(wǎng)絡(luò)行為模型越準(zhǔn)確,異常檢測(cè)算法效果越好。在大規(guī)模流量異常檢測(cè)中通常通過(guò)網(wǎng)絡(luò)探針了解單個(gè)實(shí)體或結(jié)點(diǎn)的行為來(lái)推測(cè)整個(gè)網(wǎng)絡(luò)行為,基于網(wǎng)絡(luò)斷層成像(network tomography)思想通過(guò)使用探針測(cè)量推斷網(wǎng)絡(luò)特征,這是檢測(cè)非協(xié)作(noncooperative)網(wǎng)絡(luò)異常和非直接管理控制網(wǎng)絡(luò)異常的有效手段。對(duì)于單個(gè)管理域,基于實(shí)體研究可以向網(wǎng)絡(luò)管理者提供有用信息,例如網(wǎng)絡(luò)拓?fù)洹Ｔ趩蝹€(gè)結(jié)點(diǎn)使用一些基本的網(wǎng)絡(luò)設(shè)計(jì)和流量描述的方法,可以檢測(cè)網(wǎng)絡(luò)異常和性能瓶頸。然后觸發(fā)網(wǎng)絡(luò)管理系統(tǒng)的告警和恢復(fù)機(jī)制。為了對(duì)大規(guī)模網(wǎng)絡(luò)的性能和行為有一個(gè)基本的了解,需要收集和處理大量網(wǎng)絡(luò)信息。有時(shí),全局網(wǎng)絡(luò)性能信息不能直接獲得,只有綜合所獲得的本地網(wǎng)絡(luò)信息才能對(duì)全局網(wǎng)絡(luò)行為有個(gè)大致的了解。因?yàn)椴淮嬖跍?zhǔn)確的正常網(wǎng)絡(luò)操作的統(tǒng)計(jì)模型,使得難以描述異常網(wǎng)絡(luò)模型的統(tǒng)計(jì)行為,也沒(méi)有單個(gè)變量或參數(shù)能包括正常網(wǎng)絡(luò)功能的各個(gè)方面。需要從多個(gè)統(tǒng)計(jì)特征完全不同的矩陣中合成信息的問(wèn)題。為解決該問(wèn)題,有人提出利用操作矩陣關(guān)聯(lián)單個(gè)參數(shù)信息。但導(dǎo)致算法的計(jì)算復(fù)雜度較高,為了滿足異常檢測(cè)的實(shí)時(shí)性要求,本文關(guān)聯(lián)本地和全局?jǐn)?shù)據(jù)檢測(cè)網(wǎng)絡(luò)異常。盡管本章利用行為模型對(duì)IP Forwarding異常進(jìn)行檢測(cè),但該方法并不僅限于檢測(cè)本地異常。通過(guò)關(guān)聯(lián)多條網(wǎng)絡(luò)鏈路的時(shí)間序列數(shù)據(jù),也可以檢測(cè)類(lèi)似于空間的網(wǎng)絡(luò)異常。因此,該方法可以擴(kuò)展到其他類(lèi)型的大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)和其他大規(guī)模網(wǎng)絡(luò)異常。

　　參考文獻(xiàn):

　　[1]司偉紅.淺析網(wǎng)絡(luò)攻擊常用方法.科技廣場(chǎng),2006,7:36-38.

　　[2]卿斯?jié)h等.入侵檢測(cè)技術(shù)研究綜述.通信學(xué)報(bào),2004,25(7):20-25.

　　[3]戴英俠、連一峰、王航.系統(tǒng)安全與入侵檢測(cè).北京:清華大學(xué)出版社,2002:24-26.