CN100527663C - 基于网络生命频谱的网络安全监测方法 - Google Patents

Abstract

一种基于网络生命频谱的网络安全监测方法，通过固定的网络流量采样周期收集网络流量，提取网络安全特征参数并归一化处理，构造表征网络安全和健康程度的网络生命频谱，以动态、直观的可视化形式绘制显示网络生命频谱。随着网络流量采样周期的推移，***实时刷新网络生命频谱。它为管理人员评判当前网络安全状态和健康程度提供参考依据和决策支持。其特点是：流量采集实时性强，动态、直观，以可视化的形式展现当前网络安全状态和健康程度。

Description

基于网络生命频谱的网络安全监测方法

技术领域

本发明涉及一种基于网络生命频谱的网络安全监测方法，提出表征网络安全和健康程度的网络生命频谱，属于计算机网络安全领域。

背景技术

随着信息化建设和网络应用的普及，网络安全问题遭遇到新的严峻挑战—DoS/DDoS攻击，大规模爆发的蠕虫病毒、难以抑制的大量垃圾邮件和肆意泛滥的各类P2P视频/语音下载等应用而产生的异常网络流量，严重影响了局域网的网络速度和信息化应用，导致了大规模的网络中断，并带来了大量的资源浪费和数以亿计的经济损失。虽然在网络中已经部署有各种防火墙、IDS/IPS、防病毒等安全类型的设备和产品，但是，一方面这些安全类型的设备和产品不能及时对新爆发的病毒或攻击等异常流量进行有效的反应，导致异常流量的增多进一步恶化局域网速度；另一方面也不能快速准确定位在网内传播的病毒流量或DoS/DDoS攻击。

分布式拒绝服务攻击和蠕虫病毒攻击，利用网络服务、***服务的漏洞或利用网络资源、***资源的有限性，网络协议和鉴别机制自身的不完善性，通过在短时间内发动大规模网络攻击，消耗特定资源，实现拒绝服务攻击的攻击目标。因此，在众多的网络安全威胁中，分布式拒绝服务攻击和蠕虫病毒是最难以实现有针对性的主动防御的一类网络攻击。

在目前众多的网络安全技术中，网络流量异常监测技术是解决异常流量问题的首要技术手段。网络的异常行为通常表现为通过流量的异常，例如由特定的攻击程序或蠕虫爆发所引起的突发流量行为，这种流量异常行为的特点是发作突然，先兆特征未知或比较隐蔽。异常流量对网络的影响主要体现在两个方面，占用带宽资源，使网络拥塞，造成网络丢包、时延增大，严重时可导致网络不可用；占用网络设备***资源(CPU、内存等)，使网络不能提供正常的服务。

根据对网络异常流量的采集方式可将网络异常流量监测技术分为基于网络流量全镜像的监测技术、基于SNMP的监测技术和基于Netflow的监测技术。目前网络流量异常监测技术呈现迅猛发展的态势，技术和产品不断推陈出新，正朝着越来越智能化的方向发展，具体表现在：流量自学习能力，可以更加精确地掌握网络中实际的正常流量的情况，为判断异常流量提供有力的依据；蠕虫攻击特征检测，可以提高已知蠕虫特征的攻击监测准确性，也可以提高监测未知蠕虫攻击的能力；攻击源的自动追溯，可以提高攻击源的定位效率，从而大大提高应急响应的速度。

面对网络异常流量，应当建立一套完善的网络流量分析***，支持异常流量的发现和报警，能够通过对一个时间段内历史数据的自动学***、流量波动、流量跳变等在内的多种网络流量测度，并自动建立当前流量的置信度区间作为流量异常监测的基础。

因此，如何提高计算机网络在遭受攻击或蠕虫病毒侵害时的防范能力，提高计算机网络的性能、可靠性、安全性以及网络的利用率，对于保证国家和社会的安全稳定已经成为一个不容丝毫忽视的迫切问题。

发明内容

本发明的目的是在于针对现有技术的不足，提供一种基于网络生命频谱的网络安全监测方法，为管理人员评判当前网络安全状态和健康程度提供参考依据和决策支持。

本发明是通过以下技术方案实现的，本发明通过硬件网络设备，在网络流量安全策略的调控下，以固定的网络流量采样周期收集整个网络环境下的网络流量，提取表征网络安全和健康程度的网络安全特征参数，进行归一化处理，构造网络生命频谱，以动态、直观的可视化形式绘制显示网络安全特征参数谱线和网络生命频谱。随着网络流量采样周期的推移，***实时刷新并绘制新的网络生命频谱，具体步骤如下：

A.通过集成有安全功能芯片的硬件网络设备，在网络流量安全策略的调控下，以固定的网络流量采样周期τ秒，收集整个网络环境下的流量信息，从所收集的网络流量中，提取表征网络安全和健康程度的网络安全特征参数，网络安全特征参数根据其性质有以下种类：

a健康参数，包括源IP地址输入流量、目的IP地址输出流量，协议端口流量(TCP，HTTP，SMTP，POP3，FTP)；

b活跃参数，包括网络传输速率、实时连接会话数、IP包传输延迟、IP包误差率、IP包丢失率；

c安全参数，包括单位时间TCP-SYN的报文数量、报文平均长度；

d管理水平参数；

e服务质量参数：包括吞吐量、出错率、建立连接延迟、连接失败率、传输失败率、释放延迟、释放失败率；

B.根据网络安全特征参数在数量级方面的差异以及网络生命频谱的可绘制区域的范围，给每一网络安全特征参数选取不同的归一化系数，将提取的网络安全特征参数值乘以对应的归一化系数，进行归一化处理；

C.***采用预设的网络生命频谱绘制方案和表现形式，等间距绘制显示网络安全特征参数谱线，形成网络生命频谱。具体步骤如下：

1)设定坐标轴x表示网络流量采样周期，坐标轴y表示网络安全特征参数的频谱振幅，其值由网络安全特征参数归一化结果所确定；

2)网络安全特征参数谱线之间的间距d由公式：

$d=\frac{\mathrm{\τ}-d\′}{N_{\mathrm{sp}}-1}$

确定，公式中各参量的含义是：

τ：网络流量采样周期；

d′：网络生命频谱之间的间距；

N_sp：网络安全特征参数的数量；

3)根据网络安全特征参数对网络安全和健康程度的决定作用和影响程度，赋予网络安全特征参数不同的权重系数，并且满足条件：

0<w_k<1

∑w_k＝1.

4)选择网络生命频谱绘制方案，包括(但不限于)：

a、将不同类型的网络安全特征参数绘制显示在四个不同的坐标象限内；

b、将不同类型的网络安全特征参数集中绘制显示在两个不同坐标象限内；

c、将所有的网络安全特征参数集中绘制显示在同一坐标象限内；

5)确定网络生命频谱表现形式，包括(但不限于)：

a、包络线：以封闭的包络线形式展现网络生命频谱；

b、脉冲：以脉冲的形式展现网络生命频谱；

6)根据网络生命特征参数的权重系数大小，确定网络生命频谱谱线的绘制顺序、颜色、线型；

7)网络生命频谱谱线的颜色和线型分别以红、橙、黄、绿色和以粗实线、粗虚线、实线、虚线标识权重系数从大到小的网络安全特征参数谱线；

8)在绘制的坐标象限内，从网络流量采样周期的时刻，以计算所得的谱线间距，按照由权重系数所决定的顺序、颜色、线型，绘制与网络安全特征参数归一化结果值等长的直线，并以直线连接各谱线顶点，形成封闭的包络线形式的网络生命频谱。

9)在绘制的坐标象限内，从网络流量采样周期的时刻，以计算所得的谱线间距，按照由权重系数所决定的顺序、颜色、线形，绘制与网络安全特征参数归一化结果值等长的直线，形成脉冲形式的网络生命频谱；

D.以网络流量采样周期，刷新绘制网络生命频谱，步骤如下：

a、以网络流量采样周期τ为刷新周期刷新网络生命频谱，并在绘制过程中保存历史网络安全特征参数值和归一化结果值。

b、假设***已经绘制显示了τ和2τ时刻的网络生命频谱，刷新并绘制3τ网络生命频谱的方法如下：

c、采用位操作运算进行τ和2τ历史网络生命频谱谱线的消隐运算；

d、在τ时刻位置，以相同的绘制方式绘制显示2τ的历史网络生命频谱谱线，并将时间标记为2τ；

e、在2τ时刻位置，经过网络安全特征参数归一化处理，以相同的绘制方式绘制显示3τ的网络生命频谱谱线，同时将时间标记为3τ。

附图说明

图1是本发明的流程图；

图2是本发明的网络生命频谱样图。

具体实施方式

以下结合附图对本发明作进一步的说明。具体步骤如下：

步骤1：***通过集成有安全芯片的硬件网络设备，在网络流量安全策略的调控下，以固定的网络流量采样周期τ秒，收集整个网络环境下的流量信息。

步骤2：从采样的网络流量中，提取表征网络安全和健康程度的网络安全特征参数。按照网络安全特征参数的性质，包括：

A.健康参数，包括源IP地址输入流量，目的IP地址输出流量，协议端口流量(TCP、HTTP、SMTP、POP3、FTP)；

B.活跃参数，包括网络传输速率、实时连接会话数、IP包传输延迟、IP包误差率、IP包丢失率；

C.安全参数，包括单位时间TCP-SYN的报文数量、报文平均长度；

D.管理水平参数；

E.服务质量参数：包括吞吐量、出错率、建立连接延迟、连接失败率、传输失败率、释放延迟、释放失败率。

但是在具体实施过程中，并不限于上述网络安全特征参数，甚至包括处理器利用率、内存剩余空间、温度、电压以及其它性能参数。

步骤3：根据网络安全特征参数在数量级方面的差异以及网络生命频谱的可绘制区域的范围，给每一网络安全特征参数选取不同的归一化系数，将提取的网络安全特征参数值乘以对应的归一化系数，进行归一化处理。

步骤4：***采用预设的网络生命频谱绘制方案和表现形式，等间距绘制显示网络安全特征参数谱线，形成网络生命频谱。具体步骤如下：

A、设坐标轴x表示网络流量采样周期τ，坐标轴y表示网络安全特征参数的频谱振幅，其值由网络安全特征参数归一化结果值所确定。

B、网络安全特征参数谱线之间的间距d由公式：

$d=\frac{\mathrm{\&tau;}-d\&prime;}{N_{\mathrm{sp}}-1}$

确定。其中，各参量的含义是：

-τ：网络流量采样周期；

-d′：网络生命频谱之间的间距；

-N_sp：网络安全特征参数的数量；

C、根据网络安全特征参数对网络安全和健康程度的决定作用和影响程度，赋予网络安全特征参数不同的权重系数，并且满足条件：

0<w_k<1

∑w_k＝1.

D、选择网络生命频谱绘制方案，包括(但不限于)：

a、将不同类型的网络安全特征参数绘制显示在四个不同的坐标象限内；

b、将不同类型的网络安全特征参数集中绘制显示在两个不同坐标象限内；

c、将所有的网络安全特征参数以分组形式集中绘制显示在同一坐标象限内；

E、确定网络生命频谱表现形式，包括(但不限于)：

a、包络线：以封闭的包络线形式展现网络生命频谱；

b、脉冲：以脉冲的形式展现网络生命频谱；

F、根据网络生命特征参数的权重系数大小，确定网络生命频谱谱线的绘制顺序、颜色、线型；

G、网络生命频谱谱线的颜色和线型分别以红、橙、黄、绿色和以粗实线、粗虚线、实线、虚线标识权重系数从大到小的网络安全特征参数谱线；

H、在绘制的坐标象限内，从网络流量采样周期的时刻，以计算所得的谱线间距，按照由权重系数所决定的顺序、颜色、线形，绘制与网络安全特征参数归一化结果值等长的直线，并以直线连接各频谱顶点，形成封闭的包络线形式的网络生命频谱。

I、在绘制的坐标象限内，从网络流量采样周期的时刻，以计算所得的谱线间距，按照由权重系数所决定的顺序、颜色、线形，绘制与网络安全特征参数归一化结果值等长的直线，形成脉冲形式的网络生命频谱。

步骤5：***以网络流量采样周期τ为刷新周期刷新网络生命频谱，并在绘制过程中保存历史网络安全特征参数值和归一化结果值。假设***已经绘制显示了τ和2τ时刻的网络生命频谱，刷新并绘制3τ网络生命频谱的方法(但不限于)如下：

A.采用位操作运算进行τ和2τ历史网络生命频谱谱线的消隐操作；

B.在τ时刻位置，以相同的绘制方式绘制显示2τ的历史网络生命频谱谱线，并将时间标记为2τ；

C.在2τ时刻位置，经过网络安全特征参数归一化处理，以相同的绘制方式绘制显示3τ的网络生命频谱谱线，形成新的网络生命频谱，同时将时间标记为3τ。

实施例

以下通过具体的实施例和附图对本发明做详细的说明。

基于本发明方法的***由流量采集、频谱构造、绘制显示模块组成。各模块的具体实施应用如下：

(1)流量采集：通过集成有安全功能芯片的硬件网络设备，在网络流量安全策略的调控下，以固定的网络流量采样周期收集整个网络环境下的流量信息；

(2)频谱构造：提取表征网络安全和健康程度的网络安全特征参数，根据其对网络安全和健康程度的决定作用和影响程度，分别赋予网络安全特征参数不同的权重系数，并进行归一化处理，构造网络生命频谱；

(3)绘制显示：按照网络安全特征参数权重系数所确定的绘制顺序、颜色和线形，采用预设的网络生命频谱绘制方案，以动态、直观的可视化形式绘制显示网络生命频谱。同时，以网络流量采样周期为刷新周期，刷新网络生命频谱，形成连续的网络生命频谱。

具体的网络生命频谱构造过程是：设网络流量采样周期为τ，根据所收集的网络流量信息，提取10个表征网络安全和健康程度的网络安全特征参数：

a、健康参数，包括源IP地址输入流量，目的IP地址输出流量，协议端口流量(TCP、HTTP)；

b、活跃参数，包括网络传输速率、实时连接会话数、IP包传输延迟、IP包丢失率；

c、安全参数，包括单位时间TCP-SYN的报文数量、报文平均长度；

根据对网络安全和健康程度的决定作用和影响程度，分别赋予网络安全特征参数不同的权重系数，分别记为W_k，并且满足条件：

0≤W_k≤1

∑W_k＝1

其中k＝1，...，10。

根据网络安全特征参数在数量级方面的差异以及网络生命频谱的可绘制区域的范围，给每一网络安全特征参数选取不同的归一化系数，将提取的10个网络安全特征参数值乘以对应的归一化系数，进行归一化处理。

设坐标轴x表示网络流量采样周期τ，坐标轴y表示网络安全特征参数的频谱振幅，其值由网络安全特征参数归一化结果所确定。

采用网络生命频谱绘制方案(B)，按照网络安全特征参数权重系数从大到小的顺序，采用红、橙、黄、绿色，以粗实线、粗虚线、实线、虚线分别标识权重系数从大到小的网络安全特征参数谱线，以包络线形式在象限I、IV绘制网络生命频谱。

在网络流量采样周期τ时刻，根据公式 $d=\frac{\mathrm{\&tau;}-d\&prime;}{N_{\mathrm{sp}}-1}$ (其中，τ：网络流量采样周期；d′：网络生命频谱之间的间距；N_sp：网络安全特征参数的数量)所确定的网络安全特征参数间距，绘制与网络安全特征参数归一化结果值等长的直线，并以直线连接各频谱顶点，形成时刻τ的封闭的包络线形式的网络生命频谱。

随着网络流量采样周期的推移，***以网络流量采样周期τ为刷新周期，进行网络生命频谱的刷新绘制，从而形成连续的网络生命频谱，如附图2所示。

最后应说明的是：以上实施例仅用以说明本发明而非限制本发明所描述的技术方案；因此，尽管本说明书参照上述的各个实施例对本发明已进行了详细的说明，但是，本领域的普通技术人员应当理解，仍然可以对本发明进行修改或者等同替换；而一切不脱离本发明的精神和范围的技术方案及其改进，其均应涵盖在本发明的权利要求范围当中。

Claims (1)

1、一种基于网络生命频谱的网络安全监测方法，其特征在于方法包括：

A.通过集成有安全功能芯片的硬件网络设备，在网络流量安全策略的调控下，以固定的网络流量采样周期τ秒，收集整个网络环境下的流量信息，从所收集的网络流量中，提取表征网络安全和健康程度的网络安全特征参数，网络安全特征参数根据其性质有以下种类：

a健康参数，包括源IP地址输入流量、目的IP地址输出流量、协议端口流量TCP，HTTP，SMTP，POP3，FTP；

b活跃参数，包括网络传输速率、实时连接会话数、IP包传输延迟、IP包误差率、IP包丢失率；

c安全参数，包括单位时间TCP-SYN的报文数量、报文平均长度；

d管理水平参数；

e服务质量参数：包括吞吐量、出错率、建立连接延迟、连接失败率、传输失败率、释放延迟、释放失败率；

B.根据网络安全特征参数在数量级方面的差异以及网络生命频谱的可绘制区域的范围，给每一网络安全特征参数选取不同的归一化系数，将提取的网络安全特征参数值乘以对应的归一化系数，进行归一化处理；

C.***采用预设的网络生命频谱绘制方案和表现形式，等间距绘制显示网络安全特征参数谱线，形成网络生命频谱，具体步骤如下：

1)设定坐标轴x表示网络流量采样周期，坐标轴y表示网络安全特征参数的频谱振幅，其值由网络安全特征参数归一化结果所确定；

2)网络安全特征参数谱线之间的间距d由公式：

$d=\frac{\mathrm{\&tau;}-d\&prime;}{N_{\mathrm{sp}}-1}$

确定，公式中各参量的含义是：

τ：网络流量采样周期；

d′：网络生命频谱之间的间距；

N_sp：网络安全特征参数的数量；

3)根据网络安全特征参数对网络安全和健康程度的决定作用和影响程度，赋予网络安全特征参数不同的权重系数，并且满足条件：

0<w_k<1

∑w_k＝1

4)选择网络生命频谱绘制方案：

a、将不同类型的网络安全特征参数绘制显示在四个不同的坐标象限内；

b、将不同类型的网络安全特征参数集中绘制显示在两个不同坐标象限内；

c、将所有的网络安全特征参数集中绘制显示在同一坐标象限内；

5)确定网络生命频谱表现形式：

a.包络线；以封闭的包络线形式展现网络生命频谱；

b.脉冲；以脉冲的形式展现网络生命频谱；

6)根据网络生命特征参数的权重系数大小，确定网络生命频谱谱线的绘制顺序、颜色、线型；

7)网络生命频谱谱线的颜色和线型分别以红、橙、黄、绿色和以粗实线、粗虚线、实线、虚线标识权重系数从大到小的网络安全特征参数谱线；

8)在绘制的坐标象限内，从网络流量采样周期的时刻，以计算所得的谱线间距，按照由权重系数所决定的顺序、颜色、线形，绘制与网络安全特征参数归一化结果值等长的直线，并以直线连接各谱线顶点，形成封闭的包络线形式的网络生命频谱。

9)在绘制的坐标象限内，从网络流量采样周期的时刻，以计算所得的谱线间距，按照由权重系数所决定的顺序、颜色、线形，绘制与网络安全特征参数归一化结果值等长的直线，形成脉冲形式的网络生命频谱；

D以网络流量采样周期，刷新绘制网络生命频谱，步骤如下：

a、以网络流量采样周期τ为刷新周期刷新网络生命频谱，并在绘制过程中保存历史网络安全特征参数值和归一化结果值；

b、***已经绘制显示了τ和2τ时刻的网络生命频谱，刷新并绘制3τ网络生命频谱的方法如下：

(1)采用位操作运算进行τ和2τ历史网络生命频谱谱线的消隐运算；

(2)在τ时刻位置，以相同的绘制方式绘制显示2τ的历史网络生命频谱谱线，并将时间标记为2τ；

(3)在2τ时刻位置，经过网络安全特征参数归一化处理，以相同的绘制方式绘制显示3τ的网络生命频谱谱线，同时将时间标记为3τ。

Images