邵國林，陳興蜀，尹學淵，葉曉鳴

?

基于流量結構穩(wěn)定性的服務器網絡行為描述：建模與系統(tǒng)

邵國林，陳興蜀，尹學淵，葉曉鳴

(四川大學計算機學院 成都 610065)

針對現(xiàn)有基于異常特征庫匹配的流量檢測方法難以適應日趨復雜的網絡環(huán)境需要的問題，對服務器網絡流量進行了大量觀測和研究，綜合正常流量在某些屬性上的固有穩(wěn)定性及特定服務在流量層面表現(xiàn)出的穩(wěn)定性，提取相應的流量特征，同時提出了流量結構穩(wěn)定性的概念，并基于此對服務器的正常網絡行為輪廓進行刻畫，依據當前流量結構偏離正常輪廓的程度對服務器網絡異常行為進行檢測。針對流量結構差異性的定量刻畫問題，提出了一種基于Spie Chart的可視化度量方法，并基于一臺郵件服務器流量實現(xiàn)了系統(tǒng)，通過實驗驗證了系統(tǒng)對常見網絡攻擊及未知網絡異常的檢測效果。

正常行為模型; 服務器安全防護; 網絡異常檢測; 流量結構穩(wěn)定性

服務器通常作為IT系統(tǒng)中的核心設備通過網絡對外界提供特定服務，因此服務器的安全防護顯得尤為重要?，F(xiàn)有的服務器網絡安全防護從研究手段方面，可主要分為以下3類：

1) 基于主機或網絡邊界的IDS、IPS研究；

2) 基于服務器日志關聯(lián)分析與挖掘；

3) 基于服務器網絡流量分析。

IDS、IPS研究主要根據入侵檢測的思想編寫特定的攻擊流量特征，對非法網絡請求進行告警和防護。SNORT[1]是目前最常用的輕量級網絡入侵檢測系統(tǒng)，此外也有許多研究[2-4]基于SNORT進行改進，提出了入侵檢測模型。基于日志的服務器安全檢測主要通過數據挖掘[5-6]、關聯(lián)分析[7-8]等方法對服務器各方面的日志信息進行全方位的分析，從而檢測服務器面臨的攻擊和潛在威脅。目前從流量分析角度檢測服務器網絡異常的研究較多，根據流量分析方法，主要分為基于統(tǒng)計分析、信號處理、數據挖掘、機器學習等研究方法。文獻[9]從流量自相似統(tǒng)計特性的角度提出了異常流量檢測模型；文獻[10]提出了基于小波分析的網絡流量異常檢測方法；文獻[11]基于數據挖掘算法抽取流量特征，利用K-Means聚類方法自適應的產生模型檢測Dos攻擊；文獻[12]將K-Means聚類算法和ID3決策樹學習算法用于網絡異常流量的檢測。文獻[13]提出了一種基于貝葉斯網絡與時間序列分析的異常流量檢測方法。

現(xiàn)有的檢測方法主要基于誤用檢測的思路，針對特定的網絡攻擊特點，編寫特定的流量檢測規(guī)則，從而形成一個已知攻擊特征庫，然后將采集的流量數據與特征庫一一匹配，若匹配某項特征，則對異常報警輸出[14]?；谡`用(基于異常特征)的檢測方法的缺點是，必須針對每種攻擊編寫對應的規(guī)則，系統(tǒng)需要維護龐大的特征庫。然而隨著網絡及應用環(huán)境日趨復雜，原有策略難以檢測出層出不窮的新型網絡攻擊，而且在不同應用場景下，對網絡異常的界定更是存在許多分歧(除網絡攻擊外，網絡配置錯誤和用戶操作異常等原因都會導致網絡異常)，因此基于異常特征的檢測方法適應性及擴展性日益難以滿足防護需求。

針對上述問題，本文采用基于時間序列的流量統(tǒng)計方法，對某郵件服務器流量進行了長時間的流量觀測，對能夠表現(xiàn)流量結構穩(wěn)定性的屬性及方法進行了研究。本文研究發(fā)現(xiàn)，正常網絡流量在某些屬性上表現(xiàn)出一定的穩(wěn)定性，同時特定服務在流量層面也表現(xiàn)出一定的穩(wěn)定性。本文根據以上研究成果提取出相應的網絡流量特征，提出了流量結構穩(wěn)定性的概念，然后基于流量結構穩(wěn)定性對服務器的正常網絡行為進行刻畫。本文基于上述模型實現(xiàn)了服務器網絡行為描述系統(tǒng)，并通過實驗驗證了正常情況下流量結構穩(wěn)定性的存在，以及根據流量結構偏離正常輪廓的程度進行異常檢測的有效性。

1 流量結構穩(wěn)定性研究及特征分析

1.1 基于統(tǒng)計的流量結構描述

為了刻畫和表示服務器網絡正常模型，本文對某郵件服務器進行了長時間的流量觀測，對流量在各個方面的屬性進行了研究，提取出能夠表征流量穩(wěn)定的屬性。為了刻畫流量的狀態(tài)和穩(wěn)定性，本文基于流量穩(wěn)定屬性提出了流量結構及流量結構穩(wěn)定性的概念。

定義1(流量結構) 一定期間網絡流量各屬性值的大小、規(guī)模、分布、及變化的綜合狀態(tài)，說明網絡流量在特定時間內的統(tǒng)計特性和綜合表現(xiàn)情況。

流量結構主要包括兩層含義：各流量屬性及屬性間的構成關系。本文主要基于熵、相關性等數學方法，對特定時間窗口內的流量統(tǒng)計屬性進行描述，綜合各屬性值以及各屬性在系統(tǒng)中的構成(所占比重)表示流量結構的概念。

定義2(流量結構穩(wěn)定性) 對一定期間網絡流量結構的變動程度的刻畫，表現(xiàn)了網絡在流量層面的穩(wěn)定情況。

本文研究發(fā)現(xiàn)服務器網絡流量在某些屬性上表現(xiàn)出一定的穩(wěn)定性，具體表現(xiàn)在SYN包比例、IP信息熵和相關性、TTL分布、端口分布、協(xié)議分布、包長分布、端口訪問數等方面。因此，本文從正常網絡流量的固有穩(wěn)定性和特定服務的流量穩(wěn)定性表現(xiàn)兩方面入手，以流量結構的穩(wěn)定性作為網絡流量穩(wěn)定的描述手段，對服務器網絡流量正常模型進行研究。正常網絡流量的固有穩(wěn)定性表現(xiàn)出正常流量在任何應用和場景下，流量在某些屬性上都表現(xiàn)出的穩(wěn)定性，當這類屬性嚴重偏離正常值時，通常當前網絡異常。特定服務的流量穩(wěn)定性表現(xiàn)表示的是由服務器承載的特定服務和應用帶來的在流量層面的穩(wěn)定性表現(xiàn)，當這類穩(wěn)定性減弱時，通常表示服務器由于某種因素干擾而無法提供正常服務。

信息熵可以獲取流量特征在分布變化上的有效信息[15]，相關性能有效檢測流量突發(fā)情形(如DDos攻擊[16])，本文根據各屬性的屬性值特點及穩(wěn)定性情況采取信息熵、相關性等表示方法，選取了若干流量特征，對流量結構進行描述。

1.2 正常網絡流量的固有穩(wěn)定性及特征提取

正常網絡流量在某些屬性上表現(xiàn)出固有的穩(wěn)定性，不因服務和應用的不同而有所差異，且其穩(wěn)定性易顯著地被攻擊流量擾動，因此正常流量固有的穩(wěn)定性能夠刻畫正常網絡流量的輪廓，同時將異常網絡流量區(qū)分開來。如流量中的SYN包比例通常較小，當流量達到一定規(guī)模時，即使在短時間內也能表現(xiàn)出一定的穩(wěn)定性；如果網絡中SYN包比例突然顯著增大，則說明服務器的網絡流量在某些方面出現(xiàn)了異常。

本文對正常情況下網絡流量在各屬性上的穩(wěn)定性表現(xiàn)進行了研究，選取若干穩(wěn)定性效果較好的屬性進行了深入分析，圖1為SYN包比例、IP信息熵、IP相關性、TTL分布4類流量屬性在連續(xù)1 000個時間窗口內的統(tǒng)計結果，由圖可看出各屬性在屬性值上具有較穩(wěn)定的分布。其中SYN包比例穩(wěn)定于10-2數量級；IP信息熵屬性值穩(wěn)定維持于4左右；IP相關性基本在0.99以上；TTL屬性值分布穩(wěn)定，在64及52處出現(xiàn)概率最大。

本文根據這些屬性特點分別提取出對應的流量特征：

1) SYN包比例：SYN包占總包數的比例；

2) IP信息熵：根據信息熵定義，針對IP序列中各IP對應流量占比求取的熵值；

3) IP相關性：當前時間窗口內IP序列及各IP對應流量與上一時間窗口的相關性；

4) TTL分布熵：根據信息熵定義，針對各TTL對應流量占比求取的熵值。需要注明的是，本文主要采取基于時間序列的統(tǒng)計方法，因此各網絡特征都是特定時間窗口內的統(tǒng)計結果；此外，為了便于計算和比較，特征2)和特征3)對IP進行了映射處理，IP代指映射后的邏輯IP。

a. SYN包比例分布

b. IP信息熵分布

c. IP相關性分布

d. TTL屬性值分布

圖1 正常網絡流量固有屬性的穩(wěn)定性表現(xiàn)

1.3 特定服務表現(xiàn)的流量穩(wěn)定性及特征提取

通常由于特定服務和應用的特點、以及相關用戶的生活、工作習慣等特點，也能夠導致流量在某些屬性表現(xiàn)出穩(wěn)定性，這種由業(yè)務特性以及用戶特性帶來的宏觀穩(wěn)定性通常不具有一般性，而由服務器的功能決定。如對于一臺郵件服務器而言，其SMTP及POP3的流量必然占大多數，假如網絡中P2P流量激增，則表明網絡出現(xiàn)異常。

a.服務端口號分布

b. 各類協(xié)議數據包比例分布

c.包長分布

d. 端口訪問數分布

圖2 特定網絡服務的流量穩(wěn)定性表現(xiàn)

圖2是對一臺郵件服務器流量屬性研究的統(tǒng)計結果，由圖可看出流量在服務端口號分布、協(xié)議分布、數據包長分布、端口數訪問情況等屬性上具有較穩(wěn)定分布，其中服務端口號分布集中于25(SMTP)、80(HTTP)及110(POP3)，與郵件服務器職責相匹配；各類協(xié)議的數據包比例分布較穩(wěn)定；由IP包負載長度可知網絡中主要是短包和長包；絕大多數IP訪問服務器端口數小于3。

本文根據以上研究成果分別提取出對應的流量特征：

1) 端口號分布熵：根據信息熵定義，針對各端口號對應流量占比求取的熵值；

2) 協(xié)議分布熵：根據各協(xié)議對應流量占比求取的熵值；

3) 包長分布熵：根據各包長對應流量占比求取的熵值；

4) 端口訪問指數：以每個IP訪問服務器端口數目為研究對象，綜合端口數目和該數目出現(xiàn)概率對其進行刻畫，數目越大且出現(xiàn)概率越低，對應的端口訪問指數越大。

2 基于流量統(tǒng)計的服務器行為建模

2.1 服務器動態(tài)網絡行為輪廓描述

通過觀測發(fā)現(xiàn)，流量各屬性在較短時間內具有相對的穩(wěn)定性，在較長時間內則存在緩慢的周期變化過程。大量研究表明，網絡流量存在明顯的周期性[17-19]，因此，難以使用一個靜態(tài)的、恒定不變的網絡行為輪廓對服務器在任一時刻的網絡行為進行描述。本文基于此提出了動態(tài)網絡行為輪廓對服務器流量正常輪廓進行描述。

定義3(動態(tài)網絡行為輪廓) 不定義一個靜態(tài)的、固定的正常流量輪廓，而是充分考慮當前流量規(guī)模及特點，從而定義一個適合描述當前流量結構的正常輪廓。

由于鄰近時間窗口間的業(yè)務水平及流量結構相當，因此，本文基于當前時間窗口前個無明顯異常的歷史流量數據構建當前時刻的動態(tài)網絡行為輪廓。為了消除歷史數據中的異常值，本文主要基于格拉布斯準則[20]對異常數據(離群值)進行分析剔除，從而獲得正常的歷史數據用于構建適合描述當前流量結構的正常輪廓。

正常網絡行為輪廓流量結構包括兩部分內容：各屬性的參照值及各屬性在流量結構中的構成(比重)。屬性參照值主要根據正常歷史數據平均求得，比重通過各屬性的穩(wěn)定性求得?；趧討B(tài)網絡行為輪廓的穩(wěn)定性描述方法充分考慮了正常網絡行為輪廓隨時段周期性變化的過程，對異常檢測更具有參考意義。

2.2 服務器異常行為檢測

本文提出了一種基于Spie Chart[21]的可視化度量方法，Spie Chart如圖3a所示，基準餅圖固定了扇形角度，比較餅圖疊加在基準餅圖之上，每個扇形半徑偏離基準餅圖的程度反映了每個構成的相對變化，這樣Spie Chart強調了構成，又反映了構成的變化，從而有效衡量兩個相同構成餅圖的差異性。

a. Spie Chart示意圖

b. Spie Chart差異性度量示意圖

圖3 Spie Chart及差異性度量示意圖

本文將正常網絡行為輪廓的流量結構作為基準餅圖，將當前網絡流量結構作為比較餅圖，每個扇形表示流量結構的一個特征，將兩個餅圖對應扇形的面積差作為偏離度的衡量值。為了方便描述，令每個餅圖的扇形數為，、分別為基準餅圖及比較餅圖的第個扇形半徑。在Spie Chart中，將設為1，表示正常網絡行為輪廓，則為實際網絡流量結構特征值與正常輪廓中對應特征值(正常參考值)的比值。本文以基準餅圖與比較餅圖的差異作為差異性的度量依據，即圖3b中黑色部分面積。

由于每個特征的穩(wěn)定性存在差別，因此各特征對應的扇形角度不同，這里使用穩(wěn)定系數描述，第個扇形的穩(wěn)定系數表示為，越大表明越穩(wěn)定。特征的穩(wěn)定系數決定了對應扇形的角度，扇形的角度越大，對最終計算差異性影響越大。

(1)

(3)

3) 差異性度量

本文基于Spie Chart扇形面積差度量當前流量結構與正常網絡輪廓的偏離度，差異性可通過式(4)計算求得，當超過特定閾值時，說明當前流量結構偏離正常輪廓的程度較大，從而判定為異常：

3 網絡行為描述系統(tǒng)及有效性驗證

3.1 郵件服務器網絡行為描述系統(tǒng)

為了驗證該模型的有效性，本文基于某郵件服務器流量構建并部署了服務器網絡行為描述系統(tǒng)，對服務器網絡流量進行監(jiān)測，同時通過實施攻擊實驗觀察流量結構的變化情況。

系統(tǒng)工作流程為：1) 針對流量結構各特征基于時間序列對流量進行統(tǒng)計。2) 基于前120個時間窗口的歷史數據構建正常網絡行為輪廓(首先基于格拉布斯準則剔除歷史數據中的異常值，基于正常值的均值確定正常參考值；其次基于各特征值在歷史數據中表現(xiàn)出的穩(wěn)定性求穩(wěn)定系數及扇形角度，即確定各特征的權重)。3) 基于當前時間窗口的實際流量結構和正常網絡行為輪廓，根據本文提出的Spie Chart差異性度量方法計算偏離度。4) 若偏離度超過特定閾值，則對異常進行告警。

由于不同服務器及不同的網絡環(huán)境表現(xiàn)出的穩(wěn)定性不同，因此偏離度閾值也應不同。本文閾值設定方法是：基于格拉布斯準則將偏離度歷史數據中的正常值和異常值分開，計算各自均值，然后以二者中間值作為閾值。

為了驗證該系統(tǒng)對異常流量的檢測效果，本文從已知異常(網絡攻擊)檢測和未知異常檢測兩個方面進行分析。

3.2 針對已知異常的檢測驗證

本文主要通過對服務器實施常見的網絡攻擊實現(xiàn)對已知異常檢測的效果評估。表1是系統(tǒng)對端口掃描、SYN Dos及UDP Flood 3種常見網絡攻擊的檢測效果。針對不同的攻擊類型，實驗分別選取了3種不同的攻擊規(guī)模(表示每個時間窗口內的探測次數)，共實施了9組實驗，每組實驗實施30次攻擊。

表1 針對網絡攻擊的檢測結果

結果顯示系統(tǒng)對端口掃描具有較靈敏的檢測效果，當攻擊規(guī)模達到240時，檢測率就已達到100%，隨著攻擊規(guī)模加大，異常值也在增大。當攻擊規(guī)模分別達到1 800和1 200時，SYN Dos和UDP Flood的檢測率都能達到93.3%，隨著攻擊規(guī)模的增大，檢測率和差異值也在不斷增大。由實驗結果可知，系統(tǒng)對能夠影響網絡流量結構的常見網絡攻擊具有較好的檢測效果。

3.3 針對未知異常的檢測驗證

針對未知異常的檢測結果如表2所示，包括3列數據，分別表示正常情形、某周期性網絡異常及某次郵件密碼暴力破解3類情形下的流量結構變化情況。理論正常情形是各流量特征與正常輪廓對應特征相等(即表中各特征值為1)，差異值為0，但是網絡不可能是一成不變的。表中第1列數據是對43 200個時間窗口(30 d)流量結構數據經格拉布斯準則剔除異常值后的均值統(tǒng)計結果，由表中數據可看出正常情形下各特征較穩(wěn)定，流量結構與正常輪廓差異較小，同時這也驗證了流量結構穩(wěn)定性的存在。

表2中第2列數據表示的是系統(tǒng)從郵件服務器流量中檢測出的某類未知網絡異常的流量結構。流量監(jiān)測數據顯示，異常發(fā)生期間TCP連接數、網絡數據包數、SYN包數顯著增大，分別達到鄰近時刻數據水平的6倍、10倍和8倍左右，使流量結構在各方面偏離正常輪廓，差異值達到19.448。鑒于該異常長期且持續(xù)發(fā)生于每天早上6:22左右，時間和模式較固定，因此猜測可能是郵件服務器自身某項定時功能或配置導致的網絡異常。

表2中第3列數據表示的是某次異常事件的流量結構，數據顯示異常發(fā)生期間SYN包比例、端口分布熵、協(xié)議分布熵等變化較劇烈，總差異值達到14.824。分析原始數據發(fā)現(xiàn)為一次郵件密碼暴力破解活動，持續(xù)時間近3 min，共進行了13 298次密碼猜解。

表2 針對未知異常的檢測結果

研究過程發(fā)現(xiàn)，針對不同的網絡異常，其所影響的流量結構屬性及程度也各不相同。如SYN Dos攻擊對SYN比例影響巨大，端口掃描對端口訪問指數影響巨大，UDP Flood對協(xié)議分布熵影響較大，某周期性網絡異常對端口訪問指數等影響較大，密碼暴力破解對SYN比例及協(xié)議分布熵影響較大。而研究過程中也發(fā)現(xiàn)，IP相關性在許多網絡異常期間一直較穩(wěn)定，主要原因是已考察的網絡異常都未能明顯改變訪問服務器的IP列表，IP相關性如果出現(xiàn)明顯擾動，則可能預示著分布式網絡攻擊的發(fā)生。因此對于流量結構而言，所包含的穩(wěn)定性屬性越全面，其所代表的流量狀態(tài)也越準確。

4 結束語

本文基于流量結構的穩(wěn)定性對服務器正常網絡行為進行建模，根據當前網絡流量結構與正常輪廓的偏離度進行流量異常檢測。本文從正常流量固有穩(wěn)定性及業(yè)務特性、用戶特性等表現(xiàn)的流量穩(wěn)定性兩方面，對流量屬性進行了深入研究，基于信息熵、相關性等方法提取了若干流量特征描述流量結構。針對正常流量輪廓隨業(yè)務強度在不同時段周期性變化的問題，提出了根據臨近時間窗口的流量結構構建動態(tài)網絡行為輪廓的概念，從而使正常輪廓更具參考意義。為了對流量結構的偏離程度定量描述，提出了一種基于Spie Chart扇形面積差的度量方法。本文基于流量結構穩(wěn)定性的服務器網絡行為模型在一臺郵件服務器上構建了系統(tǒng)進行驗證，證明了流量結構穩(wěn)定性的存在，同時該系統(tǒng)對常見網絡攻擊及未知網絡流量異常都具有較好檢測效果。然而當前提取的流量屬性還較單一，依據流量結構穩(wěn)定性的評判依據，提取和選擇出更多來源和粒度的屬性表示流量結構，是下一步的研究方向。

[1] ROESCH M. Snort: Lightweight intrusion detection for networks[C]//LISA. Washington, USA: ACM, 1999: 99: 229-238.

[2] 鄭禮良, 吳國鳳, 胡曉明, 等. 基于Snort的入侵檢測系統(tǒng)的研究與改進[J]. 合肥工業(yè)大學學報: 自然科學版, 2011, 34(4): 529-532.

ZHENG Li-liang, WU Guo-feng, HU Xiao-ming, et al. Research on intrusion detection system based on Snort and its improvement[J]. Journal of Hefei University of Technology (Natural Science), 2011, 34(4): 529-532.

[3] SAGANOWSKI ?, GONCERZEWICZ M, ANDRYSIAK T. Anomaly detection preprocessor for Snort IDS system[M]//Image Processing and Communications Challenges 4. Berlin Heidelberg: Springer, 2013: 225-232.

[4] WANG H X, CHENG G Y, HAN Y F. Research on increasing speed of rule-matching in Snort[J]. Computer & Information Technology, 2013, 21(1): 30-33.

[5] 郁繼鋒. 基于數據挖掘的Web應用入侵異常檢測研究[D]. 武漢: 華中科技大學, 2011.

YU Ji-feng. Research on anomaly intrusion detection od Web application based on data mining[D]. Wuhan: Huazhong University of Science and Technology, 2011.

[6] 雷驚鵬, 顏世波. 基于Windows日志的主機入侵檢測[J]. 吉林工程技術師范學院學報, 2013, 29(1): 71-72.

LEI Jing-peng, YAN Shi-bo. Host intrusion detection based on windows log[J]. Journal of Jilin Teachers Institute of Engineering and Technology, 2013, 29(1): 71-72.

[7] 何鵬程, 方勇. 一種基于Web日志和網站參數的入侵檢測和風險評估模型的研究[J]. 信息網絡安全, 2015(1): 61-65.

HE Peng-cheng, FANG Yong. A risk assessment model of intrusion detection for Web applications based on Web server logs and website parameters[J]. Netinfo Security, 2015(1): 61-65.

[8] 周麗, 王小玲. 基于網絡審計日志關聯(lián)規(guī)則挖掘的改進[J]. 計算機技術與發(fā)展, 2011, 21(6): 150-153.

ZHOU Li, WANG Xiao-lin. Improved algorithm for association rules mining based on network audit record[J]. Computer Technology and Development, 2011, 21(6): 150-153.

[9] 賈慧, 高仲合. 基于自相似的異常流量檢測模型[J]. 通信技術, 2010, 43(12): 115-117.

JIA Hui, GAO Zhong-he. Anomalous-traffic detection model based on self-similarity[J]. Communications Technology, 2010, 43(12): 115-117.

[10] DAINOTTI A, PESCAPé A, VENTRE G. NIS04-1: Wavelet-based detection of DoS attacks[C]//Global Telecommunications Conference, 2006, GLOBECOM'06. [S.l.]: IEEE, 2006: 1-6.

[11] 高能, 馮登國, 向繼. 一種基于數據挖掘的拒絕服務攻擊檢測技術[J]. 計算機學報, 2006, 29(6): 944-951.

GAO Neng, FENG Deng-guo, XIANG Ji. A data-mining based DoS detection technique[J]. Chinese Journal of Computers, 2006, 29(6): 944-951.

[12] YASAMI Y, MOZAFFARI S P. A novel unsupervised classification approach for network anomaly detection by k-Means clustering and ID3 decision tree learning methods[J]. The Journal of Supercomputing, 2010, 53(1): 231-245.

[13] KLINE J, NAM S, BARFORD P, et al. Traffic anomaly detection at fine time scales with bayes nets[C]//Internet Monitoring and Protection, 2008, ICIMP'08. [S.l.]: IEEE, 2008: 37-46.

[14] 程柏良, 周洪波, 鐘林輝. 基于異常與誤用的入侵檢測系統(tǒng)[J]. 計算機工程與設計, 2007, 28(14):3341-3343.

CHENG Bai-liang, ZHOU Hong-bo, ZHONG Lin-hui. Intrusion detection system based on anomaly and misuse[J]. Computer Engineering and Design, 2007, 28(14): 3341- 3343.

[15] 杜鑫, 楊英杰, 常德顯. 基于特征分布分析的網絡流量監(jiān)測系統(tǒng)[J]. 計算機工程, 2009, 35(6): 116-118.

DU Xin, YANG Ying-jie, CHANG De-xian. Network traffic supervision system based on feature distribution analysis[J]. Computer Engineering, 2009, 35(6): 116-118.

[16] 王忠民. 基于統(tǒng)計分析的DDoS攻擊檢測的研究[D]. 河北, 秦皇島: 燕山大學, 2012.

WANG Zhong-ming. Dos attack detection based on the stastical analysis[D]. Qinhuangdao, Hebei: Yanshan University, 2012.

[17] 張鳳荔, 趙永亮, 王丹, 等. 基于流量特征的網絡流量預測研究[J]. 計算機科學, 2014, 41(4): 86-89.

ZHANG Feng-li, ZHAO Yong-liang, WANG Dan, et al. Prediction of network traffic based on traffic characteristic[J]. Computer Scienc, 2014, 41(4): 86-89.

[18] 朱倩雨. 網絡流量預測模型的研究[D]. 烏魯木齊: 新疆大學, 2014.

ZHU Qian-yu, Research on prediction model of network traffic[D]. Wulumuqi: Xinjiang University, 2014.

[19] 邵雪梅. 校園網流量測量與性能優(yōu)化研究[D]. 合肥: 合肥工業(yè)大學, 2013.

SHAO Xue-mei. Research on campus network traffic measurement and performance optimization[D]. Hefei: Hefei University of Technology, 2014.

[20] 孫培強. 正確選擇統(tǒng)計判別法剔除異常值[J]. 計量技術, 2013(11): 71-73.

SUN Pei-qiang. Correct selection of statistical criterion to eliminate outliers[J]. Measurement Technique, 2013(11): 71-73.

[21] FEITELSON D G. Comparing partitions with Spie Charts[EB/OL]. [2015-04-20]. http://www.cs.huji.ac.il/~ feit/papers/Spie03TR.pdf.

[22] 王明濤. 多指標綜合評價中權數確定的離差, 均方差決策方法[J]. 中國軟科學, 1999(8): 100-101.

WANG Ming-tao. The dispersion and mean square deviation decision method: Determination of the weight in multiple-parameters comprehensive evaluation[J]. China Soft Science, 1999(8): 100-101.

編 輯 漆 蓉

Profiling Structure-Stability-Based Server Traffic: Behavior Models and System

SHAO Guo-lin, CHEN Xing-shu, YIN Xue-yuan, and YE Xiao-ming

(College of Computer Science, Sichuan University Chengdu 610065)

Server as an important part of the institutions or organizations usually carries a particular network service, for the security protection, it usually adopts rule-based approaches to detecting attacks according to the specific characters. However, due to the new network attacks emerge in endlessly and network anomaly is difficult to define, anomaly-feature-based detection is more and more difficult to meet the needs of the increasingly complex network environment. To cope with it, we propose the concept of traffic structure stability based on both the inherent stability of normal traffic attributes and the stability of a specific service, and profile the normal network behavior model for the server to detect traffic abnormality. To describe the difference between current traffic structure and the normal profile, we propose a novel visualization measurement method based on Spie Chart. Finally, we implement the system on a mail server and confirm the validity of the model by experiments.

normal behavior model; server security; traffic abnormality detection; traffic structure stability

TP393.08

A

10.3969/j.issn.1001-0548.2017.01.016

2015-07-21；

2016-01-15

國家自然科學基金(61272447)；國家科技支撐計劃(2012BAH18B05)

邵國林(1991-)，男，博士生，主要從事計算機網絡與信息安全方面的研究.