基于暗网的早期检测技术在专用网络中的应用

龙源期刊网 6ca46606fe4733687f21aa00

基于暗网的早期检测技术在专用网络中的应用

作者：侯奉含, 白小翀

来源：《现代电子技术》2011年第01期

摘要：为了早期检测网络蠕虫，设计实现了一个基于暗网的可视化蠕虫早期检测系统，

并在某专用网络中进行了对比实验。结果显示，该系统在专用网络中比传统入侵检测系统能更早发现蠕虫等网络攻击，且时间提前量十分可观，说明基于暗网的早期检测技术在专用网络中有良好的应用前景。

关键词：暗网；蠕虫；早期检测；专用网络；可视化

中图分类号：TN915-34文献标识码：A

文章编号：1004-373X(2011)01-0110-02

Application of Darknet-based Previous Detection Technique in Private Network

HOU Feng-han1, BAI Xiao-chong2

(1. Department of Computer Engineering, Henan Polytechnic Institute, Nanyang 473009, China;

2. Uint 95865 of PLA, Beijing 102218, China)

Abstract： A visualization detection system based on the darknet was designed to detect network worms earlier. A contrast experiment was performed in a private network. The results show that the darknet-based system can detect the network attack launched by network worms much earlier than traditional IDS in private networks. It indicates that the darknet-based detection technique has a good application prospect in private networks.

Keywords： darknet; network worm; early detection; private network; visualization

暗网检测技术通过分析流向网络中未用IP地址段的数据来检测蠕虫、黑客扫描、DoS攻击等网络攻击行为，具有很高的准确性。银行、铁路、军队等同国际互联网隔离的专用网络中存在大量未用IP地址段，应用暗网检测技术具有先天优势［1-2］。本文实现了一个基于暗网的可视化蠕虫检测系统［3］，并应用于专用网络。

1 暗网的概念和相关研究

网络中的未用IP地址段被称作暗网(darknet)、黑洞网络(black hole)［1-2,4-5］等，其中不应该有合法流量，而蠕虫、黑客、DoS攻击和错误配置等会产生流向暗网的流量，因此从中可

龙源期刊网 6ca46606fe4733687f21aa00

以发现攻击。在暗网研究方面，主要有Network Telescope项目组［4］和Internet Motion Sensor项目组［5］等。文献［4-9］介绍了不同的暗网检测系统并进行分析，但这些研究都是在因特网中进行的且大部分采用仿真方法。

2 可视化检测系统

2.1 主要思想

系统采用了一种可视化检测方法［3］。首先提取IP数据包中的三个首部字段：源IP地

址(用Is表示)，目的IP地址(用Id来表示)，目的端口号(用Pd来表示)。建立分别以这三个值为特征维度的三维直角坐标系，然后将每一个IP数据包按照三个首部字段在该三维坐标系中描绘一个点，如图1所示。从图中可以发现一些明显、有规律的图形。这些特征图形表示端口扫描(portscan)、主机扫描(hostscan)和拒绝服务(DoS)等各种攻击。根据这个特点将网络攻击从全部数据流中区分出来，进而在三维坐标系中将其表现出来，达到直观的可视化效果。

图1 数据包按三个首部字段显示

2.2 系统简介

系统主界面由4个界面组成，如图2所示［3］。攻击坐标图在三维坐标系和3个二维截面坐标系中实时显示当前攻击。攻击记录查询界面根据用户输入的查询条件以表格形式显示历史记录信息。攻击记录统计界面则根据用户输入的查询条件和设置用柱图、饼图、折线图三种形式显示历史记录报表。记录坐标图则根据用户输入的查询条件在三维坐标系和3个二维截面坐标系中显示历史攻击记录图形。系统还具有根据包内容过滤的规则设置、阈值设置和数据包离线分析功能，方便用户操作。

3 实际网络实验

3.1 实验环境

该专用网络技术架构同因特网一样，但整个网络与因特网完全隔离。网管中心能够将全部核心路由器的网络流量通过镜像方式汇聚导入该网管中心配置的入侵检测系统。实验时将暗网流量导入可视化检测系统。实验在不同时间进行了三次，之后对网管中心的入侵检测系统和本系统的检测结果进行了比对。

3.2 实验结果

实验结果如表1所示(出于隐私需要，隐藏IP地址的部分字段)。可以看出，除了1条记录外，其他记录都表明本系统能够比中心现用的入侵检测系统更早地检测出攻击。最早的早了58个多小时，大约3天。对于大规模传播的蠕虫来说，这么早的检测具有重要意义。

本文来源：https://www.bwwdw.com/article/vh4e.html