互联网网络中的扫描监控方法

### 互联网网络中的扫描监控方法 在互联网网络中，扫描活动的监控对于保障网络安全至关重要。本文将介绍一种基于Kullback-Leibler散度（KLD）的扫描监控方法，该方法能够有效地检测扫描模式的变化。 #### 扫描监控算法 扫描监控算法主要基于观察窗口内的数据包来推导聚合参考分布，并将其与相同大小的运行窗口内推断的分布进行比较。如果参考窗口的偏差大于检测阈值，则检测到扫描模式的变化。具体步骤如下： 1. **聚合可疑扫描流量**：在选定的观察点收集可疑扫描流量，并将其聚合到大小为w的独立窗口中。 2. **计算经验联合分布**：对于每个窗口，计算扫描流量中感兴趣特征的经验联合分布。 3. **分析分布偏差**：分析这些经验分布，并跟踪与参考分布的偏差，以发现需要进一步调查的严重安全问题。 为了收集扫描流量，我们选择收集所有在60秒内未收到SYN/ACK响应的SYN数据包。这种方法虽然可能包含良性流量和真实扫描流量，但具有以下优点： - **资源友好**：忽略所有非SYN数据包，无需完整的会话重组。 - **主要由扫描组成**：通常可以忽略配置错误流量、临时网络拥塞或故障。 - **扫描流量的主要形式**：孤立的SYN数据包构成了大部分扫描流量，而非SYN扫描由于TCP/IP实现的特殊性，效率较低且使用较少。 #### 特征选择 为了跟踪扫描活动的分布变化，我们选择了以下流量特征： - **(@IPsrc, # dst)**：用于检测来自僵尸网络主节点和单个攻击者的新兴水平扫描。 - **(# dst)**：用于检测新的蠕虫扫描。 - **(@IPsrc, @IPdst)**：用于检测新的或重复的垂直扫描。 - **(@IPsrc, @IPdst, # src, # dst)**：用于检测协调扫描。 不同的端口扫描策略会以不同的方式影响特征分布。例如，水平扫描会影响扫描流量的# dst分布，使其变得偏斜并集中在被扫描的易受攻击端口上。如果源IP地址字段的分布也偏斜，则意味着单个或少数IP地址在进行攻击，可能是僵尸网络主节点在寻找易受攻击的机器。垂直扫描可能表现为源IP地址和目标IP地址分布的变化，变得更加集中。而协调扫描则较难检测，因为攻击者可以使用多个源IP地址对不同目标IP地址的多个端口进行探测，使得所有特征分布看起来都很分散。 #### 分布推断 计算每个时间窗口的流量特征联合分布通常需要一个最多包含296个条目的向量，每个条目代表特征值的一种可能分配。然而，由于不同的TCP端口对和IP地址对数量仍然很大，精确估计分布是不可行的。因此，我们采用聚合直方图的方法。 一种构建聚合直方图的方法是应用掩码，将所有具有相同掩码值的特征值聚合到一个bin中。但这种方法缺乏灵活性，聚合级别不易控制，并且过于确定，攻击者可以猜测所应用的掩码来隐藏其扫描流量。为了解决这些问题，我们提出对每个特征应用随机哈希函数，并根据哈希值聚合值。这种方法易于实现，具有灵活的聚合能力，并且对攻击者的猜测具有免疫力。为了提高安全性，还可以频繁更改随机哈希函数。 在本文中，我们直接使用直方图，而不将其细化为估计的分布，以保持非参数方法。 #### 变化检测 为了测量两个分布之间的差异，我们需要定义一种方法。在统计学中，主要有两种方法来处理这个问题： - **参数方法**：通过参数分布的参数变化来测量两个分布的距离。 - **非参数方法**：不使用任何特定类型的分布，例如基于熵的方法。 然而，熵并不是一个很好的分布变化指标。通过对熵的敏感性分析，我们发现熵的变化强烈依赖于概率p的值，而不是分布的变化。即使是很小的分布变化也可能