通信網(wǎng)絡(luò)安全10

第十章網(wǎng)絡(luò)安全事件管理研究意義網(wǎng)絡(luò)應(yīng)用的深入發(fā)展和技術(shù)進步的同時，非法訪問、惡意攻擊、病毒傳播等安全威脅日益頻繁防火墻、IDS、防病毒、身份鑒別、數(shù)據(jù)加密、安全審計等安全設(shè)備能夠在特定方面發(fā)揮一定的作用，但大部分功能單一，彼此之間沒有有效的統(tǒng)一管理調(diào)度機制，不能互相支持、協(xié)同工作，從而使各安全設(shè)備的應(yīng)用效能無法得到充分的發(fā)揮同時，眾多安全設(shè)備產(chǎn)生的大量異構(gòu)安全事件中充斥著很多冗余或不可靠信息。只有從這些龐雜的安全事件中挖掘出真正的攻擊才能對網(wǎng)絡(luò)安全做出合理的評估和正確響應(yīng)網(wǎng)絡(luò)安全事件管理概念網(wǎng)絡(luò)安全事件管理首先對采集的安全事件按一定的安全事件格式進行標(biāo)準(zhǔn)化處理，然后通過過濾、匯聚、安全事件關(guān)聯(lián)分析和嚴重程度判斷等手段對標(biāo)準(zhǔn)化后的安全事件進行處理，以便能夠充分縮減從安全設(shè)備/系統(tǒng)中采集的安全事件，并對安全事件進行嚴重性排序，使安全管理人員和系統(tǒng)管理人員能及時、全面、方便地了解和識別出信息系統(tǒng)中存在的安全威脅和異常事件，最后對一定嚴重程度以上的安全事件進行呈現(xiàn)并通過安全報表管理模塊進入響應(yīng)流程。網(wǎng)絡(luò)安全事件管理模型結(jié)構(gòu)圖網(wǎng)絡(luò)安全事件管理產(chǎn)品netForensics公司在1999年提出安全事件管理(SEM)（也稱安全信息管理，SIM)的概念，并率先進行相關(guān)網(wǎng)絡(luò)安全事件管理產(chǎn)品的研發(fā)代表性網(wǎng)絡(luò)安全事件管理產(chǎn)品:Cisco公司的安全策略管理器(CiscoSecurePolicyManager)天融信公司的綜合安全管理系統(tǒng)(TOPSECManager)致力于SEM產(chǎn)品研究的其它著名公司，包括IBMSymantecCorp.IntellitacticsInc.e-SecurityInc.網(wǎng)絡(luò)安全事件管理關(guān)鍵技術(shù)安全事件捕獲安全事件關(guān)聯(lián)分析安全態(tài)勢評估安全事件捕獲包括基于主機的安全事件(病毒、非法訪問等引起)和基于網(wǎng)絡(luò)的安全事件基于網(wǎng)絡(luò)的安全事件捕獲通過對各安全設(shè)備收集到的流量數(shù)據(jù)進行分析、檢測，發(fā)現(xiàn)異常事件并生成告警安全事件捕獲的核心在于流量異常事件檢測流量異常事件的類型流量異常事件根據(jù)存在范圍不同，大致可分為單鏈路流量異常和分布式流量異常。單鏈路流量異常通常是指僅存在于單條流量上的鏈路級別異常（如洪泛攻擊、大文件傳輸攻擊等）。分布式流量異常是指在網(wǎng)絡(luò)多條鏈路上由同種原因引起的流量異常，具有單條鏈路異常流量小、多條鏈路異?？偭看蟮忍攸c，與單鏈路流量異常相比，影響范圍更廣、破壞力更大、更不易被檢測。例如：DDoS(DistributedDenailofService)和蠕蟲。分布式流量異常特征對全網(wǎng)造成影響分布式流量異常對網(wǎng)絡(luò)的影響并不僅表現(xiàn)在一個網(wǎng)絡(luò)局部，還會消耗大量核心網(wǎng)絡(luò)的帶寬資源。分布式存在，匯聚總量驚人都由Internet中多個分散源發(fā)起，操作異常不僅局限在異常結(jié)點上，通常向相鄰鏈路擴散，當(dāng)攻擊流會聚到達目標(biāo)系統(tǒng)時，將變得非常龐大。單條鏈路上的異常流量和正常流量之間沒有明顯的特征區(qū)別單個惡意攻擊流數(shù)據(jù)報與合法報文相似，不存在明顯攻擊特征。多攻擊源情況下，攻擊流極易被隱藏在背景流量中，具有更強的隱蔽性。常見分布式流量異?！狣DoSDDoS攻擊是一種借助于客戶/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，針對一個或者多個目標(biāo)，企圖阻止合法用戶正常使用目標(biāo)系統(tǒng)所提供服務(wù)的攻擊。DDoS攻擊目標(biāo)范圍很廣，從個人計算機、重要主機、具體應(yīng)用服務(wù)、網(wǎng)絡(luò)、到網(wǎng)絡(luò)路由節(jié)點，造成的影響小到降低其服務(wù)性能，大到阻塞網(wǎng)絡(luò)，使系統(tǒng)癱瘓，其目的不是破壞信息的私密性和完整性，而是破壞目標(biāo)系統(tǒng)的可用性常見分布式流量異常——蠕蟲蠕蟲是一種可以在網(wǎng)絡(luò)中自動傳播的惡意代碼，它通過不停地獲得網(wǎng)絡(luò)中存在漏洞的計算機上的部分或全部控制權(quán)來進行傳播，可以在瞬間感染成千上萬的目標(biāo)系統(tǒng)。由于它不需要借助宿主，使得傳播過程異常迅速和猛烈。對Internet構(gòu)成的威脅體現(xiàn)在：每臺受感染主機都試圖通過中間路由器向目標(biāo)主機發(fā)送大量的數(shù)據(jù)，大量的數(shù)據(jù)流匯聚到某個中間路由器，使得高速路由器性能急劇下降甚至無法完成對其它合法數(shù)據(jù)流的轉(zhuǎn)發(fā)，瞬間造成大規(guī)模網(wǎng)絡(luò)的擁塞崩潰。除開DDoS和蠕蟲兩種常見異常，還有操作異常、突發(fā)訪問異常等等。流量信息獲取方式全鏡像監(jiān)測技術(shù)通過在交換機等網(wǎng)絡(luò)設(shè)備的端口上鏡像或者通過分光器、網(wǎng)絡(luò)探針等設(shè)備，復(fù)制和鏡像采集流經(jīng)的一系列數(shù)據(jù)報文流，可完整保留流量的所有數(shù)據(jù)，對其進行深度分析。數(shù)據(jù)流采集技術(shù)NetFlow是Cisco公司提出的網(wǎng)絡(luò)數(shù)據(jù)包交換技術(shù)，實現(xiàn)對流量進行采樣分析，并將分析結(jié)果發(fā)送至分析器進行流量分析。管理信息庫查詢用于網(wǎng)絡(luò)管理系統(tǒng)中，對網(wǎng)絡(luò)中的設(shè)備進行監(jiān)控，通過提取網(wǎng)絡(luò)設(shè)備代理提供的MIB(ManagementInformationBase)中一些具體設(shè)備及流量有關(guān)信息，安裝在設(shè)備上的SNMP代理以變量的形式來維護被管理設(shè)備上的各種信息，網(wǎng)絡(luò)管理系統(tǒng)通過不同協(xié)議操作來獲取這些變量。檢測方法分類統(tǒng)計分析技術(shù)統(tǒng)計分析方法觀察歷史流量的活動情況，然后產(chǎn)生刻畫這些活動的行為輪廓，并將當(dāng)前流量的行為輪廓與己存儲的特征輪廓之間的差異是否超過預(yù)先設(shè)定好的閾值，來判斷異常行為，歷史流量的輪廓將根據(jù)新到達的流量定期進行調(diào)整。從這個檢測角度出發(fā)，統(tǒng)計方法可以看作是流量的變化檢測問題，即尋找流量中與統(tǒng)計模式偏差較大的突發(fā)變化。Thottan使用MIB中變量在關(guān)聯(lián)模式下發(fā)生的突變描述網(wǎng)絡(luò)異常，結(jié)合多個MIB變量的異常指標(biāo)定義了是否存在異常的網(wǎng)絡(luò)健康函數(shù)。Wang通過SYN與FIN數(shù)據(jù)包之間動態(tài)變化來檢測SYN洪泛攻擊，使用非參數(shù)化CUSUM(CumulativeSum)方法發(fā)現(xiàn)動態(tài)序列的突發(fā)變化。當(dāng)DDoS攻擊和蠕蟲掃描泛濫時，網(wǎng)絡(luò)業(yè)務(wù)量統(tǒng)計上呈現(xiàn)出較明顯的轉(zhuǎn)變，所以在檢測這兩類惡意流量的時候統(tǒng)計分析方法非常有效，然而該類方法中的參數(shù)(如閾值)往往是一個確定的值，當(dāng)流量模式轉(zhuǎn)變時，這些參數(shù)缺乏靈活性，不能作自適應(yīng)調(diào)整。時間序列模型時間序列模型把網(wǎng)絡(luò)流量視為均勻時間間隔采樣形成、依據(jù)時間先后順序排列起來的序列，建立相應(yīng)序列模型描述其動態(tài)特性，模型需要能體現(xiàn)出觀測值序列中的動態(tài)依存關(guān)系Brutlag等使用Holt-Winters預(yù)測增量模型對正常的網(wǎng)絡(luò)流量數(shù)據(jù)進行建模，檢測時間序列中的異常。一些方法利用經(jīng)典的時間序列分析模型，如AR(AutoRegression)、ARMA(AutoRegressiveandMovingAverage)模型等，對流量進行預(yù)報，并根據(jù)實際觀測值與預(yù)報值之間的偏差大小達到檢測目的。隨著流量長相關(guān)以及自相似特性的發(fā)現(xiàn)，研究人員提出了自相似模型來表征流量的突發(fā)特性，并將其應(yīng)用于檢測中，檢驗特征參數(shù)Hurst系數(shù)變化程度發(fā)現(xiàn)流量異常?；跁r間序列模型的檢測方法，其準(zhǔn)確性主要依賴于模型對數(shù)據(jù)動態(tài)性和復(fù)雜性的描述上，然而對于高速網(wǎng)絡(luò)，現(xiàn)有研究表明，這些模型很難實現(xiàn)對流量的準(zhǔn)確刻畫，給后續(xù)檢測步驟的準(zhǔn)確性帶來影響。信號處理近年來，研究人員將流量觀測值看作待處理信號，開始探討異常流量在頻域中表現(xiàn)出的特性。Barford等使用小波工具分析了不同異常的特性，提出了基于小波的異常檢測方法，能有效辨認短持續(xù)期和長持續(xù)期的流量異常。Kim等提出一種通過離散小波變換分析邊界路由器中出口流量目的IP地址之間的關(guān)聯(lián)性來進行流量異常檢測的技術(shù)，該技術(shù)可以用于事后或者實時檢測出流量異常。L.Li提出了一種基于小波分析的能量分布方法來檢測DDoS攻擊，研究發(fā)現(xiàn)當(dāng)流量被DDoS攻擊影響時，流量能量分布的方差產(chǎn)生明顯的“尖刺”。Dainotto等人提出了一種層次結(jié)構(gòu)的檢測，采用CWT(ContinuousWaveletTransform)對粗檢測結(jié)果進行再次分析，降低粗檢測的誤報率。機器學(xué)習(xí)機器學(xué)習(xí)是一種自適應(yīng)取得流量測量與網(wǎng)絡(luò)狀態(tài)是否正常或異常映射的方法，其主要目的是為了得出能夠由測量中提取相關(guān)信息的自動學(xué)習(xí)算法，用于未知網(wǎng)絡(luò)環(huán)境或是未知攻擊檢測。聚類分析是機器學(xué)習(xí)中的一種無監(jiān)督學(xué)習(xí)過程，基于正常與異常之間的差異性來描述異常。該方法假設(shè)正常行為下的測量是相似的，并聚集在一起，而異常是落在正常聚類之外的。貝葉斯信任網(wǎng)絡(luò)借助概率圖形模型，研究變量與異常之間的統(tǒng)計關(guān)聯(lián)性以及因果關(guān)系。PCA(PrincipalComponentAnalysis)是一種數(shù)據(jù)維度降解方法，基于PCA分析的異常檢測基本思想是通過維度降解技術(shù)，將異常行為模式從正常行為中劃分出來。數(shù)據(jù)挖掘數(shù)據(jù)挖掘方法通過關(guān)聯(lián)分析、序列模式分析等算法，發(fā)掘數(shù)據(jù)間潛在的模式，找出某些容易被忽略的信息，以便于理解和觀察的方式返回給用戶作為決策依據(jù)。支持向量機是數(shù)據(jù)挖掘中的一項新技術(shù)，借助最優(yōu)化方法解決機器學(xué)習(xí)問題的新工具，也被廣泛用于檢測過程中。另一種通過模擬自然進化過程搜索最優(yōu)解的問題求解方法的遺傳算法，在檢測過程中用于不同目的，如分類規(guī)則的取得等等。數(shù)據(jù)挖掘方式的優(yōu)點是數(shù)據(jù)驅(qū)動形式，不需要依靠先前觀測的網(wǎng)絡(luò)行為模式，并且適于處理大量數(shù)據(jù)的情況，然而該方法中各種挖掘算法太過分散，針對的數(shù)據(jù)對象差異較大。時間檢測方法早期開展的流量異常檢測方法多采用時間檢測的方式，利用單條流量的時間序列模式偏離正常的程度揭示異常。單條流量可獲得多種觀測變量，如分組數(shù)，字節(jié)數(shù)，流數(shù)等，檢測方法又可分為單變量時間檢測和多變量時間檢測。在某些應(yīng)用環(huán)境下，時間檢測方式被證明是有效的，該方式通常要求使用的時間序列模型具有較高準(zhǔn)確性，能夠刻畫流量的動態(tài)特征。此外，由于網(wǎng)絡(luò)連通性結(jié)構(gòu)，不考慮鏈路流量之間關(guān)聯(lián)性，孤立地分析每條流量，使得時間檢測方法在檢測性能上往往有一定局限性，適用于時間模式上發(fā)生明顯改變的流量異常。時間檢測方法單變量：單變量流量記錄作為單時間序列，通過時間上觀測值之間的變化關(guān)系檢測異常。多種構(gòu)建行為特征技術(shù)均可用于分析觀測值之間的變化關(guān)系是否偏離正常?；诹髁扛乓兓瘷z測方法發(fā)現(xiàn)數(shù)據(jù)流中的大流量異常。使用時間序列分析方法辨認網(wǎng)絡(luò)錯誤。使用信號處理取得流量序列的時頻特征。多變量：在流量獨立的假設(shè)條件下，單條流量的正常輪廓由多個監(jiān)控變量共同描述。Thottan利用廣義似然比對MIB庫中的多個變量之間的關(guān)系進行分析，診斷網(wǎng)絡(luò)故障，并利用變量的異常信息對網(wǎng)絡(luò)故障進行分類。使用時間序列分析方法辨認網(wǎng)絡(luò)錯誤。Yeung等開發(fā)了協(xié)方差矩陣方法對洪泛攻擊進行建模和檢測?？臻g檢測方法大規(guī)模網(wǎng)絡(luò)管理中，需要同時監(jiān)控多條流量，并且各條流量之間往往并非完全獨立，而是存在相關(guān)性。網(wǎng)絡(luò)節(jié)點異常時，原本經(jīng)過該節(jié)點所在鏈路流量下降，而相鄰鏈路流量增加，這是由于結(jié)點故障后，分組經(jīng)過重路由，繞過該結(jié)點，繼續(xù)轉(zhuǎn)發(fā)到目的結(jié)點。在針對服務(wù)器的DDoS攻擊場景中，會引起指向某些受害者目的地址的多條流量增加。這些網(wǎng)絡(luò)級別的問題，將流量作為單時間序列分析是不夠的，需要從空間角度出發(fā)，同時分析多條流量，有助于捕捉異常在多條鏈路上的變化趨勢；對于相互關(guān)聯(lián)的流量，利用它們之間的關(guān)聯(lián)性是否發(fā)生較大偏離，而不是流量時間模式上的轉(zhuǎn)變，有利于檢測單條流量上不明顯的異常特征。該方式根據(jù)監(jiān)控流量的多少，可以分為全局檢測方式和分布式檢測方式。空間檢測方法全局：全局檢測是一種同時對網(wǎng)絡(luò)中的多條流量進行分析，利用流量之間的關(guān)系進行檢測的方法。Lakhina等提出了一種基于數(shù)據(jù)降維PCA技術(shù)的子空間方法，對美國學(xué)術(shù)教育骨干網(wǎng)Abilene網(wǎng)中全局流量進行降維，在劃分出的低維異?？臻g中確定異常，能夠發(fā)現(xiàn)網(wǎng)絡(luò)中的多種異常。2005年，Lakhina又將PCA擴展應(yīng)用到全局流量的特征分布上，同時還提出了一種多路PCA(multiwayPCA)檢測DDoS攻擊。Ahmed等提出了一種在線檢測算法，檢測前根據(jù)全局流量向量構(gòu)建出一系列近似正常行為子集的特征空間，檢測時通過核函數(shù)度量當(dāng)前時刻輸入向量與特征空間的距離，假設(shè)正常流量測量的特征空間是“匯聚”的，而異常則表現(xiàn)為特征空間中遠離聚集的正常測量。Rubinstein等調(diào)查了全局PCA方法對于骨干網(wǎng)異常的辨別能力，指出該方法不能檢測出長持續(xù)期的緩慢幅值攻擊?？臻g檢測方法分布式空間：分布式空間檢測在決策層次上可以分為協(xié)作式以及獨立式。協(xié)作式結(jié)構(gòu)是一個樹型的分層體系，該結(jié)構(gòu)底層是網(wǎng)絡(luò)中選取一些節(jié)點，作為檢測節(jié)點分別建立檢測子網(wǎng)絡(luò)，首先各節(jié)點依靠自己搜集的信息展開快速簡單的本地局部檢測；再利用一定的通信機制，交互各個節(jié)點的檢測結(jié)果；最后上層結(jié)點接受并處理部分或全部節(jié)點的結(jié)果，以確認是否發(fā)生異常。如Talpade等提出了NOMAD(NetworkMonitoringFrameworkforAnomalyDetection)異常檢測的監(jiān)控框架，分為局部和全局監(jiān)測，用于檢測和定位網(wǎng)絡(luò)異常.獨立式結(jié)構(gòu)無上層結(jié)點，多個相互平等的檢測節(jié)點在網(wǎng)絡(luò)中分別進行檢測，并且協(xié)同處理大規(guī)模的入侵行為。P.Chhabra等提出了一種基于聚類的檢測方法，其研究表明各個路由器上的流入流出鏈路流量具有關(guān)聯(lián)性，依據(jù)它們之間的關(guān)系進行的異常檢測可以達到與全局流量分析方式相同的檢測效果。本教研室研究現(xiàn)狀分布式流量異常的全局相關(guān)檢測方法DDoS攻擊的全局時頻分析方法基于ICA的流量異常檢測方法基于多時間序列分析的網(wǎng)絡(luò)流量行為感知基于頻繁子結(jié)構(gòu)的異常特征提取算法尺度可調(diào)的多分辨網(wǎng)絡(luò)流異常檢測基于網(wǎng)絡(luò)全局流量異常特征的DDoS攻擊檢測基于小波包的異常流量檢測方法基于瞬時頻率分析的網(wǎng)絡(luò)流量異常檢測基于子圖模式的流量分類方法……安全事件關(guān)聯(lián)分析安全報警事件關(guān)聯(lián)(用戶網(wǎng)絡(luò)中)安全事件關(guān)聯(lián)(骨干網(wǎng)絡(luò)中)安全報警事件關(guān)聯(lián)簡介(1)為了保障網(wǎng)絡(luò)的可用性和網(wǎng)絡(luò)上信息的機密性、完整性、防止來自外部或內(nèi)部的攻擊行為，網(wǎng)絡(luò)管理者購買大量網(wǎng)絡(luò)安全設(shè)備，力圖保障網(wǎng)絡(luò)的安全。網(wǎng)絡(luò)安全設(shè)備如防火墻，入侵檢測系統(tǒng)（IDS），虛擬專用網(wǎng)（VPN）網(wǎng)關(guān)和防病毒軟件等會發(fā)出不同層次、不同內(nèi)容的報警信息。這些信息即安全報警事件，是網(wǎng)絡(luò)安全工作中防御、檢測和響應(yīng)的重要基礎(chǔ)依據(jù)。安全報警事件關(guān)聯(lián)簡介(2)現(xiàn)實網(wǎng)絡(luò)環(huán)境中，這些安全報警事件是海量和零星雜亂的，存在較高的漏報和誤報率，使其并不等于真實有效的安全信息，也不能單獨構(gòu)成有用的安全事件，繼而不能形成有指導(dǎo)意義的安全響應(yīng)知識。網(wǎng)絡(luò)安全報警事件現(xiàn)存的主要問題有：①海量報警事件的處理②嚴重的漏報和誤報③報警事件的冗余性與重復(fù)性安全報警事件關(guān)聯(lián)簡介(3)安全報警事件關(guān)聯(lián)分析：通過對大量報警信息進行聚合處理得到粗粒度的報警事件，再使用關(guān)聯(lián)方法將屬于同一攻擊的每一步攻擊動作所產(chǎn)生的報警聯(lián)系在一起，重建攻擊過程。安全報警事件關(guān)聯(lián)分析分為三步：①事件收集（收集報警信息并整理語義）②事件聚合（利用聚類技術(shù)等方法消除重復(fù)報警生成粗粒度報警事件）③事件關(guān)聯(lián)（判斷報警事件是否源于同一攻擊）安全報警事件關(guān)聯(lián)目的(1)消除或減少重復(fù)報警：網(wǎng)絡(luò)上不同安全設(shè)備針對同一個安全事件都可能報警，這些重復(fù)報警少則幾個，多則上萬，通過對報警事件進行聚合和關(guān)聯(lián)可以大大減少重復(fù)報警率。降低誤報率：通過將一個攻擊過程相關(guān)報警信息關(guān)聯(lián)在一起，可以消除某些孤立和隨機事件產(chǎn)生的誤報警。另外，報警信息同被保護網(wǎng)絡(luò)系統(tǒng)本身的信息相互比對可以更好地濾除無關(guān)報警，降低誤報率。安全報警事件關(guān)聯(lián)目的(2)擴大防御范圍：在較大型的交換式網(wǎng)絡(luò)系統(tǒng)中，單個安全設(shè)備其檢測范圍和處理能力是有限的，要想掌握整個網(wǎng)絡(luò)的安全情況，就要將多個安全設(shè)備布置在網(wǎng)絡(luò)上的不同位置，然后將來自于這些安全設(shè)備的報警進行關(guān)聯(lián)分析處理，從而實現(xiàn)全網(wǎng)范圍內(nèi)的安全防御。安全報警事件關(guān)聯(lián)目的(3)發(fā)現(xiàn)高層攻擊策略：將一系列攻擊活動關(guān)聯(lián)在一起，重建攻擊過程，這樣就可以對攻擊的整體情況進行描述，有利于對攻擊的理解，發(fā)現(xiàn)高層攻擊策略，克服了分析結(jié)果過于細化和底層的缺點，避免了“只見樹木，不見森林”負面效果，為攻擊的意圖識別、攻擊行動預(yù)測和攻擊的快速響應(yīng)打下了基礎(chǔ)。算法及分析在整個安全報警事件關(guān)聯(lián)分析的步驟中，報警信息收集所涉及算法較少，這里重點對報警事件的聚合與關(guān)聯(lián)的算法進行分析。需要注意的是，報警事件的聚合算法主要處理的是原始報警信息，而報警事件的關(guān)聯(lián)算法的主要處理對象是經(jīng)過聚合后的粗粒度報警事件。算法及分析聚合算法可分為兩種：①根據(jù)報警屬性聚合②根據(jù)被保護系統(tǒng)本身特點聚合關(guān)聯(lián)算法可分為三種：①根據(jù)事先定義好的攻擊過程進行關(guān)聯(lián)②根據(jù)前因后果進行關(guān)聯(lián)③根據(jù)統(tǒng)計因果分析進行關(guān)聯(lián)聚合算法根據(jù)報警屬性的相似性來進行聚合。屬于同一攻擊的報警通常都具有相似的屬性，直接的聚合方法就是通過檢查報警屬性發(fā)現(xiàn)它們之間的相似性。此方法要解決的問題是確定需要比較哪些屬性，怎樣知道這些屬性是相似的，在比較中對不同的屬性怎樣分配權(quán)重此類算法通過精心選定相似度標(biāo)準(zhǔn)、權(quán)重數(shù)等參數(shù)，可以較好地捕捉到許多已知攻擊類型的實質(zhì)，且算法的實時性較好。但系統(tǒng)本身對攻擊并不理解，其屬性相似度計算和權(quán)重分配很大程度上依賴于領(lǐng)域知識，所以說它是一個由專家經(jīng)驗維護的系統(tǒng)聚合算法基于被保護系統(tǒng)本身特點的聚合方法。除了利用報警本身所攜帶的信息，我們還可以從被保護網(wǎng)絡(luò)系統(tǒng)的角度來聚合報警信息。此算法主要用于特定目的(如報警驗證alertverification或事件排序incidentrank)的報警聚合此類算法將“知彼”(報警信息)與“知己”(被保護的系統(tǒng)情況）綜合在一起，來驗證攻擊所利用的操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)和相關(guān)漏洞與被攻擊的主機實際情況是否相匹配，從而可以有效地濾除無關(guān)報警(不匹配的報警)關(guān)聯(lián)算法關(guān)聯(lián)規(guī)則：表明兩個報警進行關(guān)聯(lián)所需滿足的條件，一個攻擊過程可以由這樣的多條關(guān)聯(lián)規(guī)則組成根據(jù)事先定義好的攻擊過程進行關(guān)聯(lián)。通過機器學(xué)習(xí)等方法得到各種攻擊過程，將其作為模板輸入到系統(tǒng)中，然后系統(tǒng)就可以將報警同這些攻擊過程模板相比較，進行實時關(guān)聯(lián)，這種方法的關(guān)鍵問題是如何挖掘出這些關(guān)聯(lián)規(guī)則這類算法的缺點是：①由于各方面的不確定性很難獲得合適的訓(xùn)練集②不能處理在訓(xùn)練集中未出現(xiàn)的攻擊過程③抗噪能力較差關(guān)聯(lián)算法根據(jù)前因后果進行關(guān)聯(lián)。任何一個攻擊都具有前因和后果。所謂前因就是攻擊要實施所必須具有的前提條件，后果就是攻擊成功后所造成的結(jié)果。在一個有多個攻擊動作組成的攻擊過程中，一個攻擊的后果就是下一個攻擊前因。基于這一思想，首先定義每一個單獨攻擊的前因、后果，然后就可以將具有因果關(guān)系的攻擊關(guān)聯(lián)在一起，重現(xiàn)整個攻擊過程這類算法的缺點是：①不能處理新攻擊(不知道其前因、后果)，且只適用于攻擊步驟的關(guān)聯(lián)。②由于關(guān)聯(lián)時搜索空間較大，對計算資源消耗大，處理時間長，不適合實時在線處理關(guān)聯(lián)算法根據(jù)統(tǒng)計分析進行關(guān)聯(lián)。基于統(tǒng)計分析的關(guān)聯(lián)方法是目前提出的最新的關(guān)聯(lián)方法之一。其主要通過已經(jīng)收到的歷史報警信息建立關(guān)于報警事件的預(yù)測模型，然后通過訓(xùn)練出的預(yù)警模型去計算其與正處于關(guān)聯(lián)過程中的攻擊序列的接近程度，以完成關(guān)聯(lián)。安全事件關(guān)聯(lián)簡介(1)由于網(wǎng)絡(luò)環(huán)境的不同，骨干網(wǎng)絡(luò)中的網(wǎng)絡(luò)安全管理與用戶網(wǎng)絡(luò)中有明顯的區(qū)別。骨干網(wǎng)絡(luò)中的網(wǎng)絡(luò)安全管理不再依賴網(wǎng)絡(luò)安全設(shè)備，而是通過在骨干路由器上采集流量信號，得到流量特征信號，從流量特征信號上提取異常情況即安全事件，以進行進一步的分析和處理。骨干通信網(wǎng)絡(luò)中的安全事件關(guān)聯(lián)與用戶網(wǎng)絡(luò)中的告警關(guān)聯(lián)有明顯的區(qū)別，具體體現(xiàn)在以下三個方面：安全事件關(guān)聯(lián)簡介(2)①關(guān)聯(lián)的對象不同：在用戶網(wǎng)絡(luò)中，將由網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的告警作為關(guān)聯(lián)的對象。而在骨干網(wǎng)絡(luò)中，傳統(tǒng)的基于精細包檢測的網(wǎng)絡(luò)安全設(shè)備在面對海量、高速的骨干網(wǎng)絡(luò)數(shù)據(jù)時顯得無能為力，因此，我們采用在骨干路由器上采集流量信號，從流量特征信號上提取出安全事件用作關(guān)聯(lián)對象。安全事件關(guān)聯(lián)簡介(3)②關(guān)聯(lián)的目的不同：用戶網(wǎng)絡(luò)中告警關(guān)聯(lián)的目的就是在海量告警數(shù)據(jù)中得到精簡的超報警呈現(xiàn)給網(wǎng)絡(luò)管理人員。而在骨干網(wǎng)絡(luò)中安全事件關(guān)聯(lián)的目的則是挖掘安全事件與網(wǎng)絡(luò)攻擊之間的關(guān)聯(lián)關(guān)系，即某種網(wǎng)絡(luò)攻擊會引發(fā)哪些安全事件。形成安全事件與網(wǎng)絡(luò)攻擊之間的關(guān)聯(lián)規(guī)則后，在網(wǎng)絡(luò)攻擊的檢測中，我們可以用骨干網(wǎng)中的流量特征信號分析代替用戶網(wǎng)絡(luò)中的精細包分析，進行骨干網(wǎng)中的網(wǎng)絡(luò)安全管理。安全事件關(guān)聯(lián)簡介(4)③流量異常事件與告警的屬性不同在用戶網(wǎng)絡(luò)中，各種安全設(shè)備產(chǎn)生的告警都有自己的告警數(shù)據(jù)格式，且告警蘊含了大量的信息，告警的屬性豐富，如大部分入侵檢測系統(tǒng)（IDS）采用IntrusionDetectionMessageExchangeFormat（IDMEF）的數(shù)據(jù)格式。而骨干通信網(wǎng)中的安全事件是由流量特征信號的的行為特征表現(xiàn)出來的異常情況而產(chǎn)生，其屬性較少。為此，傳統(tǒng)的告警關(guān)聯(lián)技術(shù)中基于屬性相似性的方法不適用于安全事件的關(guān)聯(lián)分析。安全事件關(guān)聯(lián)基本思想是否有網(wǎng)絡(luò)攻擊？

DOS,DDOS,portscan,worm,et是否患病?

感冒,發(fā)燒,

胃病,氣管炎,等流量特征異常：時間域,頻率域,地址統(tǒng)計屬性,等身體癥狀異常：體溫高,咳嗽,頭暈,嘔吐,等網(wǎng)絡(luò)人醫(yī)生進行病情診斷建立身體異常癥狀與病情的規(guī)則（醫(yī)書）建立網(wǎng)絡(luò)攻擊與流量特征異常之間的規(guī)則（關(guān)聯(lián)規(guī)則庫）攻擊檢測關(guān)聯(lián)規(guī)則S={s1,s2,s3,…,sn}為網(wǎng)絡(luò)狀態(tài)的時間序列，Si∈{E0,E1,E2,…Eu}表示網(wǎng)絡(luò)的在i時刻狀態(tài)，E0表示當(dāng)前網(wǎng)絡(luò)為正常狀態(tài)，Ej表示當(dāng)前網(wǎng)絡(luò)上正在發(fā)生第j種網(wǎng)絡(luò)攻擊，如：DDOS，端口掃描，洪范攻擊等。u為已知的網(wǎng)絡(luò)攻擊的種類。Fm×n稱為網(wǎng)絡(luò)流量特征矩陣。其中n表示時間上n個采樣點，m表示流量特征信號的數(shù)量。其中fij是一個連續(xù)數(shù)值，表示第i個流量特征信號在第j時刻的數(shù)值關(guān)聯(lián)規(guī)則連續(xù)數(shù)值不便于進行關(guān)聯(lián)分析，通過離群點挖掘，在流量特征信號中挖掘得到離群點，形成流量異常事件。一般情況下，流量特征信號有三種離散的狀態(tài)，一種為“normal”狀態(tài)，表示無異常事件，用數(shù)字“0”表示；一種為“up”狀態(tài)，表示流量特征信號在該點有一個大于正常行為的值，用數(shù)字“1”表示；一種為“down”，表示流量特征信號在該點有一個小于正常行為的值，用數(shù)字“2”表示。于是，fji就離散化為“0”、“1”、“2”三種符，通過離散符號表示，我們就得到離散數(shù)值的矩陣FAEm×n。同樣，我們也將Si∈{E0,E1,E2,…Eu}也用數(shù)字簡化表示。關(guān)聯(lián)規(guī)則這樣，一段時間內(nèi)的網(wǎng)絡(luò)流量特征與網(wǎng)絡(luò)狀況就用下面的網(wǎng)絡(luò)特征時序圖來表示。橫坐標(biāo)為時間軸，縱坐標(biāo)為流量特征，F(xiàn)1、F2等為各種流量特征信號。將時間軸上的流量異常事件矩陣與時間軸下的網(wǎng)絡(luò)狀態(tài)序列合并，便可以得到一個增廣矩陣，于是，我們通過在這個增廣矩陣的所有列向量中挖掘滿足一定條件的頻繁子向量集以得到關(guān)聯(lián)規(guī)則。關(guān)聯(lián)規(guī)則挖掘算法安全事件關(guān)聯(lián)分析的重點在于關(guān)聯(lián)規(guī)則的挖掘。為了準(zhǔn)確描述關(guān)聯(lián)規(guī)則挖掘算法，下面給出關(guān)聯(lián)規(guī)則的相關(guān)定義：

設(shè)I={I1,I2,I3,…,Im}是m個元素的集合，其中的每個元素稱為項(item)。項的集合稱項集(itemset)。記事務(wù)數(shù)據(jù)庫D為事務(wù)(transaction)T的集合，其中每個事物T是項的集合，使得T?I。每個事務(wù)有一個標(biāo)識符，記作TID。設(shè)A是一個項集且A?I，如果A?T，那么稱事務(wù)T包含A。關(guān)聯(lián)規(guī)則是形如A=>B的蘊含式，其中A?I，B?I，并且A∩B=?。關(guān)聯(lián)規(guī)則挖掘算法一條關(guān)聯(lián)規(guī)則的成立必須要滿足一定的條件，關(guān)聯(lián)規(guī)則的描述一般有兩個參數(shù)：支持度和置信度。(1)支持度(Support)：關(guān)聯(lián)規(guī)則A=>B的支持度表示項集出現(xiàn)的頻率，為事務(wù)集中同時包含A和B的事務(wù)的數(shù)量與所有事務(wù)數(shù)量的比值，記作support(A=>B)，即 support(A=>B)=(2)置信度(Confidence)：關(guān)聯(lián)規(guī)則A=>B的置信度是事務(wù)集D中包含項集A的事務(wù)同時也包含項集B的事務(wù)的百分比，這是條件概率P(A|B)，記作confidence(A=>B)，即 confidence(A=>B)=關(guān)聯(lián)規(guī)則挖掘算法支持度是對關(guān)聯(lián)規(guī)則在事務(wù)集中的普遍性的衡量，而置信度是對關(guān)聯(lián)規(guī)則準(zhǔn)確度的衡量。一條關(guān)聯(lián)規(guī)則應(yīng)該是既普遍又準(zhǔn)確，因此要求有較高的支持度與置信度。于是，關(guān)聯(lián)規(guī)則的挖掘問題可描述為：在給定的事務(wù)數(shù)據(jù)庫D中找出滿足用戶設(shè)定的最小支持度和最小置信度的關(guān)聯(lián)規(guī)則。挖掘過程可以被分解為兩個步驟：(1)找出所有的頻繁項集。根據(jù)定義，這些項集的每一個出現(xiàn)的頻繁性不小于預(yù)設(shè)的最小支持度。(2)由頻繁項集生成關(guān)聯(lián)規(guī)則：這些規(guī)則必須滿足最小支持度和最小置信度。應(yīng)用與分析在網(wǎng)絡(luò)流量異常事件關(guān)聯(lián)分析中，我們希望從歷史流量集中挖掘出網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)流量特征信號之間的關(guān)系。

這表明，當(dāng)網(wǎng)絡(luò)攻擊A發(fā)生時，流量特征子空間中的流量特征信號也有很高的概率會發(fā)生異常事件。在今后的攻擊檢測中，我們就可以通過關(guān)聯(lián)的流量特征子空間出現(xiàn)的異常事件來識別出網(wǎng)絡(luò)攻擊。

在流量特征空間F={f1,f2,f3…,ft}中挖掘出與網(wǎng)絡(luò)攻擊A關(guān)聯(lián)的流量特征子空間Fsub(A)={fa1,fa2,fa3…faw}得到關(guān)聯(lián)規(guī)則A=>{fa1,fa2,fa3…faw}關(guān)聯(lián)規(guī)則挖掘算法在離線數(shù)據(jù)中進行關(guān)聯(lián)規(guī)則挖掘，得到了網(wǎng)絡(luò)攻擊的關(guān)聯(lián)規(guī)則庫后，我們就可以通過流量特征信號的異常情況，根據(jù)規(guī)則庫的每條關(guān)聯(lián)規(guī)則，進行網(wǎng)絡(luò)攻擊的檢測，如下圖：網(wǎng)絡(luò)安全態(tài)勢評估研究背景隨著攻擊技術(shù)的變異提升，僅僅對已發(fā)生的攻擊進行報警和攔截已不能滿足需要人們需要對惡意代碼、網(wǎng)絡(luò)攻擊等網(wǎng)絡(luò)威脅進行分析、對網(wǎng)絡(luò)的安全狀況進行評估、對網(wǎng)絡(luò)安全的態(tài)勢進行分析，以期能對大規(guī)模的網(wǎng)絡(luò)攻擊進行預(yù)報，在其產(chǎn)生或者說是準(zhǔn)備階段就進行預(yù)警防范基于此種形勢，網(wǎng)絡(luò)安全態(tài)勢評估已經(jīng)逐漸成為當(dāng)前網(wǎng)絡(luò)安全評估中的一個研究熱點。網(wǎng)絡(luò)安全態(tài)勢評估基本概念網(wǎng)絡(luò)安全態(tài)勢評估是分析過去一段時間內(nèi)網(wǎng)絡(luò)系統(tǒng)所處的運行狀態(tài)及其未來發(fā)展的趨勢，使管理員對過去的安全狀況有一個宏觀的把握，并對未來網(wǎng)絡(luò)系統(tǒng)所處的運行狀態(tài)有一定的預(yù)測的技術(shù)。通常，網(wǎng)絡(luò)安全態(tài)勢評估包含了兩層含義：一是實時地對網(wǎng)絡(luò)安全設(shè)備的告警信息進行關(guān)聯(lián)歸并、數(shù)據(jù)融合，并實時地反映網(wǎng)絡(luò)實際的運行狀況；二是根據(jù)歷史數(shù)據(jù)，進行一定的離線分析，采用數(shù)據(jù)挖掘等手段對潛在的可能威脅進行預(yù)測。網(wǎng)絡(luò)安全態(tài)勢評估總體目標(biāo)建立大規(guī)模網(wǎng)絡(luò)統(tǒng)一、上下一體的安全態(tài)勢評估體系，提供統(tǒng)一全網(wǎng)安全策略、進行廣域態(tài)勢評估的技術(shù)手段，為實施網(wǎng)絡(luò)安全指揮提供態(tài)勢感知和決策支持的工具。建立起一套科學(xué)、全面、合理的評估指標(biāo)體系。所謂評估指標(biāo)體系是指由反映一個復(fù)雜系統(tǒng)安全的一系列指標(biāo)所組成的相互聯(lián)系、相互補充以及相互依存的指標(biāo)群。通常，它們建立在某些原則基礎(chǔ)之上，需根據(jù)網(wǎng)絡(luò)安全要素、安全特性和安全目標(biāo)，確定評價指標(biāo)體系，進而達到全面評價系統(tǒng)整體安全的目的。網(wǎng)絡(luò)安全態(tài)勢評估基本模型1988年，M.R.Endsley提出了態(tài)勢估計功能模型。態(tài)勢覺察：也稱為事件檢測，是態(tài)勢估計處理過程中的核心和起點。其主要目標(biāo)是提取對態(tài)勢估計有意義的態(tài)勢要素，并對其進行分類。態(tài)勢理解：根據(jù)態(tài)勢覺察階段獲取的態(tài)勢特征向量，并結(jié)合專家系統(tǒng)對當(dāng)前態(tài)勢做出解釋，用于判斷識別敵方的意圖和計劃。態(tài)勢預(yù)測：根據(jù)態(tài)勢理解的結(jié)果對網(wǎng)絡(luò)安全態(tài)勢未來可能出現(xiàn)的態(tài)勢情況進行預(yù)測。態(tài)勢覺察（一級）態(tài)勢理解（二級）態(tài)勢預(yù)測（三級）網(wǎng)絡(luò)安全態(tài)勢評估的研究現(xiàn)狀1999年，TimBass等人首次提出了網(wǎng)絡(luò)態(tài)勢感知（CyberspaceSituationAwareness）概念，即網(wǎng)絡(luò)安全態(tài)勢感知，并提出了基于多傳感器數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢感知框架。諸多研究機構(gòu)紛紛開始研制并完成了自己的網(wǎng)絡(luò)安全態(tài)勢評估工具。美國國家能源研究科學(xué)計算中心的勞倫斯伯克利國家實驗室開發(fā)了“SpinningCubeofPotentialDoom”系統(tǒng)。2005年，CMU/SEI領(lǐng)導(dǎo)的CERT/NetSAG開發(fā)了SILK。美國國家高級安全系統(tǒng)研究中心正在進行的SIFT項目。西安交通大學(xué)研制了基于IDS和防火墻的集成化網(wǎng)絡(luò)安全監(jiān)控平臺。網(wǎng)絡(luò)流連接特征分析基本概念網(wǎng)絡(luò)流行為特征分為應(yīng)用層流行為特征以及傳輸層流行為特征傳輸層特征分為流本身的行為特征以及流連接行為特征，流本身特征包括例如流速率、平均包大小、平均包到達時間間隔及包大小方差等，流連接行為特征則描述的是網(wǎng)絡(luò)主機之間的交互行為模式網(wǎng)絡(luò)流行為特征應(yīng)用層流行為特征傳輸層流行為特征流本身的行為特征流連接行為特征網(wǎng)絡(luò)流連接特征分析網(wǎng)絡(luò)流量傳播圖（TDG，TrafficDispersionGraph）2007年由加州大學(xué)河濱分校的Marios

Iliofotou和Michalis

Faloutsos等提出。其中網(wǎng)絡(luò)主機映射為圖形的節(jié)點，主機之間的交互行為映射為圖形的邊不同應(yīng)用行為的TDG具有不同的特點，根據(jù)不同的圖結(jié)構(gòu)特征對網(wǎng)絡(luò)應(yīng)用流行為進行正確分類，并能夠檢測網(wǎng)絡(luò)異常事件的發(fā)生不同應(yīng)用行為的網(wǎng)絡(luò)流量活動圖網(wǎng)絡(luò)流連接特征分析網(wǎng)絡(luò)流量活動圖（TAG，TrafficActivityGraph）在2009年由YuJin,EsamSharafuddin,Zhi-LiZhang等提出。TAG和TDG中的節(jié)點與邊的定義相似，但TAG是一個無向邊構(gòu)成的有向圖，方向性通過內(nèi)外網(wǎng)節(jié)點體現(xiàn)。TAG將校園網(wǎng)的節(jié)點屬于TAG的內(nèi)部節(jié)點，外網(wǎng)的節(jié)點屬于TAG的外部節(jié)點，將內(nèi)部節(jié)點視為應(yīng)用服務(wù)的請求者，外部節(jié)點是服務(wù)的提供者。1000條流下不同應(yīng)用行為的網(wǎng)絡(luò)流量活動圖網(wǎng)絡(luò)流連接關(guān)系圖網(wǎng)絡(luò)流連接關(guān)系圖（NFCG，NetworkFlowConnectionGraph）網(wǎng)絡(luò)主機作為圖中的節(jié)點，主機之間的交互行為映射為邊，從而用于刻畫網(wǎng)絡(luò)中主機之間流交互關(guān)系網(wǎng)絡(luò)流連接圖重點研究節(jié)點在整個網(wǎng)絡(luò)等級制度以及邊的權(quán)值屬性，通過設(shè)定相應(yīng)閾值從而實現(xiàn)對網(wǎng)絡(luò)流行為核心結(jié)構(gòu)的提取與挖掘節(jié)點確定規(guī)則：節(jié)點在網(wǎng)絡(luò)流連接關(guān)系圖中的物理含義節(jié)點過濾規(guī)則：根據(jù)不同的條件篩選目標(biāo)核心節(jié)點邊生成規(guī)則：邊在網(wǎng)絡(luò)流連接關(guān)系圖中的生成方式，例如在通信網(wǎng)絡(luò)中當(dāng)兩臺主機產(chǎn)生TCP三次握手時生成一條邊,主機之間的有UDP流連接就直接生成一條邊；在社交網(wǎng)絡(luò)中用戶之間有通信交互就能夠生成一條邊邊過濾規(guī)則：根據(jù)不同的條件篩選目標(biāo)邊，如利用流的目的節(jié)點端口號篩選滿足特定端口號的邊，生成不同應(yīng)用種類的網(wǎng)絡(luò)流連接關(guān)系圖網(wǎng)絡(luò)流連接關(guān)系圖基于端口種類數(shù)以及基于流連接數(shù)量的網(wǎng)絡(luò)流連接關(guān)系圖網(wǎng)絡(luò)流連接關(guān)系圖經(jīng)過端口種類及連接數(shù)量閾值篩選后的網(wǎng)絡(luò)流連接關(guān)系圖網(wǎng)絡(luò)流連接關(guān)系圖重點關(guān)注網(wǎng)絡(luò)安全事件發(fā)生下圖模式的變化網(wǎng)絡(luò)流連接關(guān)系圖的某些子圖模式與網(wǎng)絡(luò)事件密切相關(guān)挖掘與網(wǎng)絡(luò)事件相關(guān)的閉頻繁子圖和核心頻繁子圖，進一步掌握網(wǎng)絡(luò)流的連接行為特征挖掘動態(tài)頻繁子圖的特征和子圖狀態(tài)轉(zhuǎn)移模式，刻畫網(wǎng)絡(luò)流連接行為的演化特征網(wǎng)絡(luò)現(xiàn)實事件關(guān)聯(lián)分析基本概念從網(wǎng)絡(luò)空間出發(fā)，根據(jù)一系列網(wǎng)絡(luò)空間中的實體（如網(wǎng)絡(luò)流、網(wǎng)絡(luò)拓撲等）的狀態(tài)及其變化，推斷、檢測、分類或追蹤發(fā)生在現(xiàn)實社會中的事件，以達到現(xiàn)實社會事件的信息歸檔、隱藏信息發(fā)現(xiàn)、趨勢預(yù)測等目的。通常來講，網(wǎng)絡(luò)現(xiàn)實事件關(guān)聯(lián)分析主要有兩層含義：一是站在網(wǎng)絡(luò)空間角度，發(fā)掘隱藏在現(xiàn)實事件背后的一些被遺漏的，不為人知的細節(jié)信息；二是通過檢測和發(fā)現(xiàn)一些存在于網(wǎng)絡(luò)空間中的現(xiàn)實事件將要發(fā)生的預(yù)兆，對現(xiàn)實社會中將要發(fā)生的事件進行預(yù)知，或者對正在發(fā)生的事件的趨勢進行預(yù)測。網(wǎng)絡(luò)現(xiàn)實事件關(guān)聯(lián)分析基本模型網(wǎng)絡(luò)現(xiàn)實事件關(guān)聯(lián)分析可以看做是一個反問題?，F(xiàn)實社會事件：指發(fā)生在現(xiàn)實社會中的實際事件，如政治軍事事件、自然災(zāi)害事件、新聞娛樂事件等等。網(wǎng)絡(luò)空間實體：指組成計算機網(wǎng)絡(luò)或計算機網(wǎng)絡(luò)承載的具體或抽象的對象，如網(wǎng)絡(luò)拓撲、網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)流量等等。建立從現(xiàn)實社會空間事件到網(wǎng)絡(luò)空間實體狀態(tài)與變化的關(guān)聯(lián)關(guān)系庫，從網(wǎng)絡(luò)空間實體的變化反推現(xiàn)實社會事件?，F(xiàn)實社會事件網(wǎng)絡(luò)空間實體實體狀態(tài)與變化影響表現(xiàn)出反過程正過程網(wǎng)絡(luò)現(xiàn)實事件關(guān)聯(lián)分析：UESTC學(xué)生網(wǎng)絡(luò)應(yīng)用使用一周變化圖流分類流：具有相同源IP，目的IP，源端口號，目的端口號以及傳輸層協(xié)議的數(shù)據(jù)包的有序集合80Port:

80Endpoint:

(,80)416250Connection:

(,80)、(4,16250)

和傳輸層協(xié)議流分類的意義是眾多網(wǎng)絡(luò)活動的基礎(chǔ)實時監(jiān)控與管理容量規(guī)劃、網(wǎng)絡(luò)優(yōu)化網(wǎng)絡(luò)安全現(xiàn)有流分類方法現(xiàn)有的流分類技術(shù)基于端口號的流分類技術(shù)根據(jù)標(biāo)準(zhǔn)端口號識別各種流量（如HTTP使用80）優(yōu)點：速度快缺點：新的應(yīng)用使用非標(biāo)準(zhǔn)端口、動態(tài)端口