网络异常行为监测分析系统的研究与开发
2014-05-08张娟,张杰,郎瑜
张 娟,张 杰,郎 瑜
(1.河北省机电一体化中试基地,河北 石家庄 050081;2.天津市公安局西青分局,天津 300380)
目前,随着计算机网络技术的迅猛发展和互联网的普及,各政府部门和企事业单位,都大量通过网络进行信息查询、邮件收发、数据共享等各种办公操作。因此,所面临的安全问题日趋严峻,网络入侵事件频繁发生。根据实际工作经验,木马已经取代病毒,成为网络安全威胁之首,特别是境内外恶意的组织和机构为盗取我国各种情报而专门开发网络木马,进行网络攻击和入侵,对重点部门和单位进行有计划有组织的网络渗透,一旦这些单位或个人被控制,其带来的危害难以估量。因此需要研究开发网络异常行为监测分析系统,及时发现网络木马及异常可疑行为,发现网络上传输的非法内容,打击非法网络活动,维护保护国家和社会的稳定。
1 研究思路与技术优势
本次研究的“网络异常行为监测分析系统”,是通过专家分析模型和可视化分析技术,将分析过程尽可能的做到自动化,并通过关联展示与分析模型,以图形化方式直观的展示网络数据及异常行为之间的关系。研发本系统,可以极大的提高网络数据分析工作的工作效率与准确度,解放大量的人力操作,高效的发现可疑流量及数据、定位可疑计算机,发现已知和未知木马,监测网络可疑行为。
该系统基于网络嗅探技术,对交换以太网采用数据流镜像或旁路接入的方式工作。监测主机网卡采用混杂模式,通过嗅探技术捕获网络中传输的所有数据包,并将这些数据包传递到系统内部进行协议解析分析,然后输出给相应的安全分析引擎。数据分析时需要加载主机OS和应用的指纹数据、安监关键字、蠕虫病毒/木马特征库等信息,为保证监测的准确度,降低误报率,这些数据要能够实时更新。分析后的数据进行各种功能的输出,并以多种表现形式呈现给使用者。
本系统开发基于业界先进的微软.Net技术平台,使用成熟的.Net开发技术,充分保证了系统的稳定性、可靠性,降低了技术风险。此系统的技术优势主要体现在以下几个方面:
(1)数据捕获技术支持多种成熟的数据捕获方式,如 WinPcap、Socket、MicroOLAP、AirP-cap等。
(2)数据库采用MS SQL、MySQL、Oracle等主流的数据库产品,数据访问采用LINQ技术,保证了数据访问的稳定性、安全性。
(3)数据协议解析引擎支持流行的各种网络协议标准,特别是IEEE、IETF的各种标准。
(4)特征监测采用业界流行的匹配算法,保证了监测的性能和精度。
(5)各个子系统通过事件委托机制集成,支持Web服务,对复杂网络环境下的集成提供了可靠技术保证。
2 系统设计
系统通过自由的网络数据捕获引擎,将采集到的数据包送入基本分析模块,通过HTTP分析模块、Email分析模块、DNS分析模块、FTP分析模块等多个分析模块,实现流量分析、协议分析、安全分析、性能管理、故障诊断等功能,最后将数据以报表、图表、等方式输出。
2.1 数据采集
数据采集工作在链路层进行,通过此操作能够获得网络中底层的以太网数据包。数据包采集的关键是效率,网络可疑行为分析系统在内核层就对数据包进行过滤,并将不匹配过滤条件的数据包丢弃,以避免内核层到用户层的数据传送造成的资源浪费,以提高数据采集的效率。
2.2 数据分析
系统采集到符合过滤条件的数据包后,立即将这些数据包传送到系统内部进行分析。数据分析包括对数据包的统计、检测、解码、TCP重组、协议分析等,然后输出给相应的安全分析引擎。
(1)流量分析
主要分析网络的总共流量,网络的广播流量,网络的组播流量,网络中的内部流量,网络中一个IP端点(IP主机)的流量,网络中一个MAC端点的流量等等。
(2)故障诊断
主要包括自动识别ARP扫描,ARP中间人攻击,ARP断网攻击,TCP扫描攻击,BT下载,基于IP地址冲突的攻击,分析网络中的伪造IP和 MAC地址攻击,分析网络中的碎片和溢出攻击,分析网络中的邮件收发是否正常,分析网络中的DNS通讯是否正常,分析网络中的HTTP网页访问是否正常,分析网络中的 MSN通讯是否正常,,分析查找网络中感染病毒的机器,分析查找网络速度慢故障,分析查找网络时断时续故障,分析查找内部用户无法上网故障,分析网络中潜在的安全隐患,分析查找网络中暴力破解用户名与密码攻击,分析查找网络中的蠕虫病毒攻击,分析查找网络中是否存在使用HTTP代理的程序,如QQ、MSN等等。
(3)协议分析
对协议的分析包括自动识别网络应用,分析网络应用,分析网络应用的带宽占用情况,确定网络应用的数据包数,确定特定网络应用的主机,自动对协议进行字段解码、16进制解码、ASCII解码、EBCDIC解码,识别非正常的协议应用,识别伪造的数据包等等。
(4)连接分析
主要包括分析网络中物理端点间的通讯连接,分析网络中IP端点间的通讯连接,分析网络中TCP通讯连接,重组并还原TCP通讯,确定TCP数据传输是否乱序,分析网络中UDP通讯数据,分析网络中的BT下载,分析网络中的TCP扫描,分析网络中的DOS/DDOS/DRDOS攻击,分析网络中特定应用的数据通讯,分析网络中特定主机的数据通讯,分析网络中的异常数据通讯等等。
(5)安全分析
网络可疑行为分析管理系统对网络攻击及安全性进行评估,主要包括,快速定位网络攻击源,分析网络异常行为,评估网络中的网页访问是否存在网络传输风险,评估网络中的邮件收发是否存在网络传输风险,评估网络中的FTP文件传输是否存在网络传输风险,评估网络中的终端访问是否存在网络传输风险,帮助网络管理人员设定网络安全基准等等。
(6)性能管理
网络可疑行为分析管理系统详细的分析网络的性能情况,帮助管理者找到网络性能瓶颈。可以确定网络出口带宽的最大值,网络出口带宽的利用率,网络内部带宽使用情况,网络中关键设备的负载情况,评估网络中关键设备的吞吐率,网络传输性能的高低,帮助网络管理人员设定网络性能基准等等。
2.3 安全分析和报表输出
系统内部完成对数据包的分类解析后,立即传递给对应的数据分析引擎。数据分析引擎根据系统安监数据库中的病毒/蠕虫特征码、安监关键字等进行数据分析,并将分析结果通过系统界面反馈给用户,反馈的途径主要有视图、图表、日志、工程文件、数据包文件。
2.4 数据库更新
网络行为监测系统在进行安全分析时,需要加载主机OS和应用的指纹数据、蠕虫病毒/木马特征库等信息,为保证监测的准确度,降低误报率,这些数据要能够实时更新。
3 结束语
[1] 杨晓丽,王俊淑.互联网用户异常行为检测[J].江苏通信,2013,(04).
[2] 黄超.网络异常行为检测与分析方法研究[D].西安电子科技大学,2010.