参考《网络异常算法研究》王子玉
异常检测所关注的异常是指那些造成网络流量特征改变的恶意行为。换句话说,如SQL注入,计算机病毒,系统权限提升,缓冲区溢出之类的恶意行为并不在异常检测的考虑范围内。异常检测所关注的网络异常大致分为如下几类:
(1)
物理故障物理故障是指路由器故障,链路破坏,断电等不可预测的突发事件。该类异常以两种方式影响着网络链路的流量。
- 第一种是使直接相连的那些链路上的流量完全消失。
- 第二种是通过路由协议改变互联网中路由表,从而间接地改变其他链路的流量。
(2)
网络扫描黑客在进行网络攻击之前,首先要进行网络扫描,从中寻找可以攻击的目标。具体来说,黑客需要确定网络中哪些主机是活动的,活动主机上运行了哪些存在漏洞的服务等,从而决定下一步的攻击计划。网络扫描分为主机扫描和端口扫描两种。
- 主机扫描主机扫描的目的是确定网络中存在哪些在线的主机或设备。
- 端口扫描端口扫描的目的是确定活动主机上开放了哪些端口,运行了哪些网络服务。按照扫描方式来分,端口扫描分为垂直扫描和水平扫描。垂直扫描会扫描某个主机的所有端口,而水平扫描则扫描网络中所有主机的某个固定端口。
(3)
BGP前缀劫持BGP前缀劫持是指黑客利用BGP协议(Broder Gateway Protocol)和路由转发算法的设计缺陷,恶意修改互联网路由表的内容,从而达到修改和控制数据包转发路径的目的W。BGP前缀劫持可能影响互联网上的每一个路由器,使得某一段IP地址范围成为一个“黑洞”,危害极其严重。
(4)
基于协议或设备缺陷的攻击该类异常是指恶意用户利用网络协议或路由系统的设计漏洞而发动的攻击。属于该类异常的攻击有生成树(Spanning Tree)攻击,MAC表洪流,ARP(Address Resolution Protocol)攻击,VTP(VLAN Trunkong Protocol)攻击等[5]。
(5)
拒绝服务攻击拒绝服务攻击是指黑客恶意破坏网络服务,降低网络的性能和可用性,使得受害主机无法正常地处理和回复客户请求的一种攻击行为。
美国计算机应急响应小组(US-CERT)给出了拒绝服务攻击的典型症状:网速极度缓慢,无法访问给定网站,无法访问任何网站,垃圾邮件数量激增,网络连接异常断开,服务器频繁掉线等。
按照攻击规模来分,拒绝服务攻击可以分为两大类,即拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)。
按照攻击方法来分,拒绝服务攻击可以分为剧毒包(Killer Packet)型攻击和风暴(FloodType)型攻击[6,7]。
- 剧毒包型剧毒包型攻击是指黑客利用网络协议,服务和系统的漏洞,只发送少量的数据包就可以达到拒绝服务的目的。
- 风暴型风暴型攻击并不依赖于系统和协议的漏洞,而是向受害网络或主机暴力地发送大量的数据包,从而达到阻塞网络,耗尽系统资源的目的。
(6)
蠕虫蠕虫本质上是一段传播性极强的恶意代码,通过扫描主机系统和应用软件的漏洞或者通过发送钓鱼邮件,将自己复制到目标主机上并获得控制权限,随后安装木马或后门,并以目标主机为基地重复上述扫描过程。蠕虫的传播速度呈几何级数增长,能够在很短的时间感染整个互联网,危害极大。典型的懦虫有Klez懦虫、MyDoom懦虫、Sasser懦虫、SQL Slammer懦虫和Blaster懦虫等。
(7)
非恶意行为该类异常并非是源于黑客攻击或恶意代码,而是源于一些正常的网络应用或操作。然而,这些正常的行为往往会间接地导致网络流量的变化或性能的下降。属于该类异常的行为有:
- Alpha Flow是指那些在单点到单点之间产生大量流量的应用,如高清视频下载,带宽测量实验,传送大量文件等。
- 瞬时拥塞(Flash Crowds) 瞬时拥塞是指用户数目在短时间内急剧增长,生成了大量流量,从而导致链路拥塞的现象。比如某个网站发布了最新版本的Linux,大量用户的下载行为就会导致瞬时拥塞。再如某个网站发布了一则关于政治人物的丑闻,大量用户浏览网页的行为同样会导致瞬时拥塞。瞬时拥塞与分布式拒绝服务攻击的区别在于瞬时拥塞属于用户正常行为,而分布式拒绝服务攻击则属于黑客的恶意攻击行为。
- 入口切换(Ingress Shift) 为了提高链路和网站的性能和可靠性,Internet内容提供商(ICP)往往采用多路径连接(Multi-Homing)的策略,即将自己的网络接入多个Internet服务提供商(ISP)的多个入口链路上。如此一来,一方面增加了带宽,利于部署负载均衡;一方面大大降低了Internet接入中断的风险。入口切换就是指Internet内容提供商基于某种策略,将流量从一个入口链路切换到另一个入口链路的行为。了解这类异常有助于网络管理员进行网络诊断,负载均衡,流量工程,链路规划等,因而这种本无恶意的行为也成为了异常检测所关注的对象。
5895
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
