基于暗网的早期检测技术在专用网络中的应用

　　摘 要：为了早期检测网络蠕虫，设计实现了一个基于暗网的可视化蠕虫早期检测系统，并在某专用网络中进行了对比实验。结果显示，该系统在专用网络中比传统入侵检测系统能更早发现蠕虫等网络攻击，且时间提前量十分可观，说明基于暗网的早期检测技术在专用网络中有良好的应用前景。
　　关键词：暗网； 蠕虫； 早期检测； 专用网络； 可视化
　　中图分类号：TN915-34文献标识码：A
　　文章编号：1004-373X(2011)01-0110-02
　　
　　Application of Darknet-based Previous Detection Technique in Private Network
　　HOU Feng-han1, BAI Xiao-chong2
　　(1. Department of Computer Engineering, Henan Polytechnic Institute, Nanyang 473009, China; 2. Uint 95865 of PLA, Beijing 102218, China)
　　Abstract： A visualization detection system based on the darknet was designed to detect network worms earlier. A contrast experiment was performed in a private network. The results show that the darknet-based system can detect the network attack launched by network worms much earlier than traditional IDS in private networks. It indicates that the darknet-based detection technique has a good application prospect in private networks.
　　Keywords： darknet; network worm; early detection; private network; visualization
　　
　　暗网检测技术通过分析流向网络中未用IP地址段的数据来检测蠕虫、黑客扫描、DoS攻击等网络攻击行为，具有很高的准确性。银行、铁路、军队等同国际互联网隔离的专用网络中存在大量未用IP地址段，应用暗网检测技术具有先天优势［1-2］。本文实现了一个基于暗网的可视化蠕虫检测系统［3］，并应用于专用网络。
　　1 暗网的概念和相关研究
　　网络中的未用IP地址段被称作暗网(darknet)、黑洞网络(black hole)［1-2,4-5］等，其中不应该有合法流量，而蠕虫、黑客、DoS攻击和错误配置等会产生流向暗网的流量，因此从中可以发现攻击。在暗网研究方面，主要有Network Telescope项目组［4］和Internet Motion Sensor项目组［5］等。文献［4-9］介绍了不同的暗网检测系统并进行分析，但这些研究都是在因特网中进行的且大部分采用仿真方法。
　　2 可视化检测系统
　　2.1 主要思想
　　系统采用了一种可视化检测方法［3］。首先提取IP数据包中的三个首部字段：源IP地址(用Is表示)，目的IP地址(用Id来表示)，目的端口号(用Pd来表示)。建立分别以这三个值为特征维度的三维直角坐标系，然后将每一个IP数据包按照三个首部字段在该三维坐标系中描绘一个点，如图1所示。从图中可以发现一些明显、有规律的图形。这些特征图形表示端口扫描(portscan)、主机扫描(hostscan)和拒绝服务(DoS)等各种攻击。根据这个特点将网络攻击从全部数据流中区分出来，进而在三维坐标系中将其表现出来，达到直观的可视化效果。
　　图1 数据包按三个首部字段显示
　　2.2 系统简介
　　系统主界面由4个界面组成，如图2所示［3］。攻击坐标图在三维坐标系和3个二维截面坐标系中实时显示当前攻击。攻击记录查询界面根据用户输入的查询条件以表格形式显示历史记录信息。攻击记录统计界面则根据用户输入的查询条件和设置用柱图、饼图、折线图三种形式显示历史记录报表。记录坐标图则根据用户输入的查询条件在三维坐标系和3个二维截面坐标系中显示历史攻击记录图形。系统还具有根据包内容过滤的规则设置、阈值设置和数据包离线分析功能，方便用户操作。
　　3 实际网络实验
　　3.1 实验环境
　　该专用网络技术架构同因特网一样，但整个网络与因特网完全隔离。网管中心能够将全部核心路由器的网络流量通过镜像方式汇聚导入该网管中心配置的入侵检测系统。实验时将暗网流量导入可视化检测系统。实验在不同时间进行了三次，之后对网管中心的入侵检测系统和本系统的检测结果进行了比对。
　　3.2 实验结果
　　实验结果如表1所示(出于隐私需要，隐藏IP地址的部分字段)。可以看出，除了1条记录外，其他记录都表明本系统能够比中心现用的入侵检测系统更早地检测出攻击。最早的早了58个多小时，大约3天。对于大规模传播的蠕虫来说，这么早的检测具有重要意义。
　　图2 系统界面
　　表1 实验结果
　　某中心入侵检测系统可视化检测系统时间提前量源地址攻击类型
　　1月12日19:021月12日18:0755分xxx. xxx.64.77冲击波
　　1月12日19:451月12日18:191小时26分xxx. xxx.96.189尼姆亚
　　1月13日04:311月12日18:339小时58分xxx. xxx.64.167震荡波
　　1月13日14:011月12日18:0719小时54分xxx. xxx.32.10震荡波
　　1月13日22:141月12日18:0728小时07分xxx. xxx.96.26震荡波
　　1月14日12:591月12日18:0742小时52分xxx. xxx.49.215冲击波
　　1月15日17:191月12日18:0771小时12分xxx. xxx.96.244冲击波
　　2月28日14:022月26日09:3352小时29分xxx. xxx.34.62冲击波
　　2月28日15:222月26日18:1545小时07分xxx. xxx.96.18震荡波
　　2月28日20:032月26日09:3658小时27分xxx. xxx.33.253震荡波
　　3月20日08:283月20日08:235分xxx. xxx.33.153冲击波
　　3月21日13:393月20日13:5923小时40分xxx. xxx.96.217冲击波
　　3月21日14:433月21日15:19-36分xxx. xxx.33.226冲击波
　　3月21日15:553月19日18:1145小时44分xxx. xxx.32.11冲击波
　　3月21日17:273月21日14:352小时52分xxx. xxx.30.182冲击波
　　4 结 语
　　设计实现了一个基于暗网的早期检测系统，实验表明该系统能够对蠕虫实施早期检测，说明基于暗网的检测技术在专用网络中有良好的应用前景，可以在银行、铁路、军队等系统的专用网络中发挥巨大作用。
　　
　　参 考 文 献
　　［1］白小翀.基于暗网的网络蠕虫早期检测［C］.中国电子学会第十二届全国青年学术年会,2006.
　　［2］薛卫娟,侯奉含,白小翀.基于暗网的蠕虫检测系统的性能［J］.解放军理工大学学报:自然科学版,2009(3):273-277.
　　［3］白小翀,伏飞,齐望东.网络攻击实时可视化检测系统［C］.第三届全国网络对抗学术年会,2006.
　　［4］BAILEY Michael, COOKE Evan, JAHANLAN Farnam, et al. Practical darknet measurement[C]// 2006 Conference on Information Sciences and Systems (CISS). Princeton, NJ, USA: CISS, 2006: 22-24.
　　［5］MOORE David, SHANNON Colleen, VOELKER Geoffrey M, et al. Network telescopes CS2004-0795[R]. San Diego, USA: University of California, 2004.
　　［6］NAZARIO Jose. Defense and detection strategies against internet worms[M]. Boston London: Artech House, 2004.
　　［7］SINGH S, ESTAN C, VARGHESE G, et al. Automated worm fingerprinting[C]// Proceedings of 2004 OSDI.San Francisco, CA, USA: OSDI, 2004: 45-60.
　　［8］ZOU C, GAO L, GONG W, et al. Monitoring and early warning for Internet worms[C]// Proceedings of the10th AC-M Conference on Computer and Communications Security. Washington DC, USA:[s.n.], 2003: 27-31.
　　［9］BAILEY Michael, COOKE Evan, JAHANLAN Farnam, et al. Data reduction for the scalable automated analysisof distributed darknet traffic[C]// 2005 Internet Measurement Conference (IMC). Berkeley, California, USA: IMC, 2005, 19-21.
　　注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文