第十章網(wǎng)絡(luò)安全事件管理研究意義網(wǎng)絡(luò)應(yīng)用的深入發(fā)展和技術(shù)進(jìn)步的同時(shí)，非法訪問、惡意攻擊、病毒傳播等安全威脅日益頻繁防火墻、IDS、防病毒、身份鑒別、數(shù)據(jù)加密、安全審計(jì)等安全設(shè)備能夠在特定方面發(fā)揮一定的作用，但大部分功能單一，彼此之間沒有有效的統(tǒng)一管理調(diào)度機(jī)制，不能互相支持、協(xié)同工作，從而使各安全設(shè)備的應(yīng)用效能無法得到充分的發(fā)揮同時(shí)，眾多安全設(shè)備產(chǎn)生的大量異構(gòu)安全事件中充斥著很多冗余或不可靠信息。只有從這些龐雜的安全事件中挖掘出真正的攻擊才能對網(wǎng)絡(luò)安全做出合理的評(píng)估和正確響應(yīng)網(wǎng)絡(luò)安全事件管理概念網(wǎng)絡(luò)安全事件管理首先對采集的安全事件按一定的安全事件格式進(jìn)行標(biāo)準(zhǔn)化處理，然后通過過濾、匯聚、安全事件關(guān)聯(lián)分析和嚴(yán)重程度判斷等手段對標(biāo)準(zhǔn)化后的安全事件進(jìn)行處理，以便能夠充分縮減從安全設(shè)備/系統(tǒng)中采集的安全事件，并對安全事件進(jìn)行嚴(yán)重性排序，使安全管理人員和系統(tǒng)管理人員能及時(shí)、全面、方便地了解和識(shí)別出信息系統(tǒng)中存在的安全威脅和異常事件，最后對一定嚴(yán)重程度以上的安全事件進(jìn)行呈現(xiàn)并通過安全報(bào)表管理模塊進(jìn)入響應(yīng)流程。網(wǎng)絡(luò)安全事件管理模型結(jié)構(gòu)圖網(wǎng)絡(luò)安全事件管理產(chǎn)品netForensics公司在1999年提出安全事件管理(SEM)（也稱安全信息管理，SIM)的概念，并率先進(jìn)行相關(guān)網(wǎng)絡(luò)安全事件管理產(chǎn)品的研發(fā)代表性網(wǎng)絡(luò)安全事件管理產(chǎn)品:Cisco公司的安全策略管理器(CiscoSecurePolicyManager)天融信公司的綜合安全管理系統(tǒng)(TOPSECManager)致力于SEM產(chǎn)品研究的其它著名公司，包括IBMSymantecCorp.IntellitacticsInc.e-SecurityInc.網(wǎng)絡(luò)安全事件管理關(guān)鍵技術(shù)安全事件捕獲安全事件關(guān)聯(lián)分析安全態(tài)勢評(píng)估安全事件捕獲包括基于主機(jī)的安全事件(病毒、非法訪問等引起)和基于網(wǎng)絡(luò)的安全事件基于網(wǎng)絡(luò)的安全事件捕獲通過對各安全設(shè)備收集到的流量數(shù)據(jù)進(jìn)行分析、檢測，發(fā)現(xiàn)異常事件并生成告警安全事件捕獲的核心在于流量異常事件檢測流量異常事件的類型流量異常事件根據(jù)存在范圍不同，大致可分為單鏈路流量異常和分布式流量異常。單鏈路流量異常通常是指僅存在于單條流量上的鏈路級(jí)別異常（如洪泛攻擊、大文件傳輸攻擊等）。分布式流量異常是指在網(wǎng)絡(luò)多條鏈路上由同種原因引起的流量異常，具有單條鏈路異常流量小、多條鏈路異?？偭看蟮忍攸c(diǎn)，與單鏈路流量異常相比，影響范圍更廣、破壞力更大、更不易被檢測。例如：DDoS(DistributedDenailofService)和蠕蟲。分布式流量異常特征對全網(wǎng)造成影響分布式流量異常對網(wǎng)絡(luò)的影響并不僅表現(xiàn)在一個(gè)網(wǎng)絡(luò)局部，還會(huì)消耗大量核心網(wǎng)絡(luò)的帶寬資源。分布式存在，匯聚總量驚人都由Internet中多個(gè)分散源發(fā)起，操作異常不僅局限在異常結(jié)點(diǎn)上，通常向相鄰鏈路擴(kuò)散，當(dāng)攻擊流會(huì)聚到達(dá)目標(biāo)系統(tǒng)時(shí)，將變得非常龐大。單條鏈路上的異常流量和正常流量之間沒有明顯的特征區(qū)別單個(gè)惡意攻擊流數(shù)據(jù)報(bào)與合法報(bào)文相似，不存在明顯攻擊特征。多攻擊源情況下，攻擊流極易被隱藏在背景流量中，具有更強(qiáng)的隱蔽性。常見分布式流量異?！狣DoSDDoS攻擊是一種借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，針對一個(gè)或者多個(gè)目標(biāo)，企圖阻止合法用戶正常使用目標(biāo)系統(tǒng)所提供服務(wù)的攻擊。DDoS攻擊目標(biāo)范圍很廣，從個(gè)人計(jì)算機(jī)、重要主機(jī)、具體應(yīng)用服務(wù)、網(wǎng)絡(luò)、到網(wǎng)絡(luò)路由節(jié)點(diǎn)，造成的影響小到降低其服務(wù)性能，大到阻塞網(wǎng)絡(luò)，使系統(tǒng)癱瘓，其目的不是破壞信息的私密性和完整性，而是破壞目標(biāo)系統(tǒng)的可用性常見分布式流量異?！湎x蠕蟲是一種可以在網(wǎng)絡(luò)中自動(dòng)傳播的惡意代碼，它通過不停地獲得網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)上的部分或全部控制權(quán)來進(jìn)行傳播，可以在瞬間感染成千上萬的目標(biāo)系統(tǒng)。由于它不需要借助宿主，使得傳播過程異常迅速和猛烈。對Internet構(gòu)成的威脅體現(xiàn)在：每臺(tái)受感染主機(jī)都試圖通過中間路由器向目標(biāo)主機(jī)發(fā)送大量的數(shù)據(jù)，大量的數(shù)據(jù)流匯聚到某個(gè)中間路由器，使得高速路由器性能急劇下降甚至無法完成對其它合法數(shù)據(jù)流的轉(zhuǎn)發(fā)，瞬間造成大規(guī)模網(wǎng)絡(luò)的擁塞崩潰。除開DDoS和蠕蟲兩種常見異常，還有操作異常、突發(fā)訪問異常等等。流量信息獲取方式全鏡像監(jiān)測技術(shù)通過在交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口上鏡像或者通過分光器、網(wǎng)絡(luò)探針等設(shè)備，復(fù)制和鏡像采集流經(jīng)的一系列數(shù)據(jù)報(bào)文流，可完整保留流量的所有數(shù)據(jù)，對其進(jìn)行深度分析。數(shù)據(jù)流采集技術(shù)NetFlow是Cisco公司提出的網(wǎng)絡(luò)數(shù)據(jù)包交換技術(shù)，實(shí)現(xiàn)對流量進(jìn)行采樣分析，并將分析結(jié)果發(fā)送至分析器進(jìn)行流量分析。管理信息庫查詢用于網(wǎng)絡(luò)管理系統(tǒng)中，對網(wǎng)絡(luò)中的設(shè)備進(jìn)行監(jiān)控，通過提取網(wǎng)絡(luò)設(shè)備代理提供的MIB(ManagementInformationBase)中一些具體設(shè)備及流量有關(guān)信息，安裝在設(shè)備上的SNMP代理以變量的形式來維護(hù)被管理設(shè)備上的各種信息，網(wǎng)絡(luò)管理系統(tǒng)通過不同協(xié)議操作來獲取這些變量。檢測方法分類統(tǒng)計(jì)分析技術(shù)統(tǒng)計(jì)分析方法觀察歷史流量的活動(dòng)情況，然后產(chǎn)生刻畫這些活動(dòng)的行為輪廓，并將當(dāng)前流量的行為輪廓與己存儲(chǔ)的特征輪廓之間的差異是否超過預(yù)先設(shè)定好的閾值，來判斷異常行為，歷史流量的輪廓將根據(jù)新到達(dá)的流量定期進(jìn)行調(diào)整。從這個(gè)檢測角度出發(fā)，統(tǒng)計(jì)方法可以看作是流量的變化檢測問題，即尋找流量中與統(tǒng)計(jì)模式偏差較大的突發(fā)變化。Thottan使用MIB中變量在關(guān)聯(lián)模式下發(fā)生的突變描述網(wǎng)絡(luò)異常，結(jié)合多個(gè)MIB變量的異常指標(biāo)定義了是否存在異常的網(wǎng)絡(luò)健康函數(shù)。Wang通過SYN與FIN數(shù)據(jù)包之間動(dòng)態(tài)變化來檢測SYN洪泛攻擊，使用非參數(shù)化CUSUM(CumulativeSum)方法發(fā)現(xiàn)動(dòng)態(tài)序列的突發(fā)變化。當(dāng)DDoS攻擊和蠕蟲掃描泛濫時(shí)，網(wǎng)絡(luò)業(yè)務(wù)量統(tǒng)計(jì)上呈現(xiàn)出較明顯的轉(zhuǎn)變，所以在檢測這兩類惡意流量的時(shí)候統(tǒng)計(jì)分析方法非常有效，然而該類方法中的參數(shù)(如閾值)往往是一個(gè)確定的值，當(dāng)流量模式轉(zhuǎn)變時(shí)，這些參數(shù)缺乏靈活性，不能作自適應(yīng)調(diào)整。時(shí)間序列模型時(shí)間序列模型把網(wǎng)絡(luò)流量視為均勻時(shí)間間隔采樣形成、依據(jù)時(shí)間先后順序排列起來的序列，建立相應(yīng)序列模型描述其動(dòng)態(tài)特性，模型需要能體現(xiàn)出觀測值序列中的動(dòng)態(tài)依存關(guān)系Brutlag等使用Holt-Winters預(yù)測增量模型對正常的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行建模，檢測時(shí)間序列中的異常。一些方法利用經(jīng)典的時(shí)間序列分析模型，如AR(AutoRegression)、ARMA(AutoRegressiveandMovingAverage)模型等，對流量進(jìn)行預(yù)報(bào)，并根據(jù)實(shí)際觀測值與預(yù)報(bào)值之間的偏差大小達(dá)到檢測目的。隨著流量長相關(guān)以及自相似特性的發(fā)現(xiàn)，研究人員提出了自相似模型來表征流量的突發(fā)特性，并將其應(yīng)用于檢測中，檢驗(yàn)特征參數(shù)Hurst系數(shù)變化程度發(fā)現(xiàn)流量異常?；跁r(shí)間序列模型的檢測方法，其準(zhǔn)確性主要依賴于模型對數(shù)據(jù)動(dòng)態(tài)性和復(fù)雜性的描述上，然而對于高速網(wǎng)絡(luò)，現(xiàn)有研究表明，這些模型很難實(shí)現(xiàn)對流量的準(zhǔn)確刻畫，給后續(xù)檢測步驟的準(zhǔn)確性帶來影響。信號(hào)處理近年來，研究人員將流量觀測值看作待處理信號(hào)，開始探討異常流量在頻域中表現(xiàn)出的特性。Barford等使用小波工具分析了不同異常的特性，提出了基于小波的異常檢測方法，能有效辨認(rèn)短持續(xù)期和長持續(xù)期的流量異常。Kim等提出一種通過離散小波變換分析邊界路由器中出口流量目的IP地址之間的關(guān)聯(lián)性來進(jìn)行流量異常檢測的技術(shù)，該技術(shù)可以用于事后或者實(shí)時(shí)檢測出流量異常。L.Li提出了一種基于小波分析的能量分布方法來檢測DDoS攻擊，研究發(fā)現(xiàn)當(dāng)流量被DDoS攻擊影響時(shí)，流量能量分布的方差產(chǎn)生明顯的“尖刺”。Dainotto等人提出了一種層次結(jié)構(gòu)的檢測，采用CWT(ContinuousWaveletTransform)對粗檢測結(jié)果進(jìn)行再次分析，降低粗檢測的誤報(bào)率。機(jī)器學(xué)習(xí)機(jī)器學(xué)習(xí)是一種自適應(yīng)取得流量測量與網(wǎng)絡(luò)狀態(tài)是否正?；虍惓Ｓ成涞姆椒ǎ渲饕康氖菫榱说贸瞿軌蛴蓽y量中提取相關(guān)信息的自動(dòng)學(xué)習(xí)算法，用于未知網(wǎng)絡(luò)環(huán)境或是未知攻擊檢測。聚類分析是機(jī)器學(xué)習(xí)中的一種無監(jiān)督學(xué)習(xí)過程，基于正常與異常之間的差異性來描述異常。該方法假設(shè)正常行為下的測量是相似的，并聚集在一起，而異常是落在正常聚類之外的。貝葉斯信任網(wǎng)絡(luò)借助概率圖形模型，研究變量與異常之間的統(tǒng)計(jì)關(guān)聯(lián)性以及因果關(guān)系。PCA(PrincipalComponentAnalysis)是一種數(shù)據(jù)維度降解方法，基于PCA分析的異常檢測基本思想是通過維度降解技術(shù)，將異常行為模式從正常行為中劃分出來。數(shù)據(jù)挖掘數(shù)據(jù)挖掘方法通過關(guān)聯(lián)分析、序列模式分析等算法，發(fā)掘數(shù)據(jù)間潛在的模式，找出某些容易被忽略的信息，以便于理解和觀察的方式返回給用戶作為決策依據(jù)。支持向量機(jī)是數(shù)據(jù)挖掘中的一項(xiàng)新技術(shù)，借助最優(yōu)化方法解決機(jī)器學(xué)習(xí)問題的新工具，也被廣泛用于檢測過程中。另一種通過模擬自然進(jìn)化過程搜索最優(yōu)解的問題求解方法的遺傳算法，在檢測過程中用于不同目的，如分類規(guī)則的取得等等。數(shù)據(jù)挖掘方式的優(yōu)點(diǎn)是數(shù)據(jù)驅(qū)動(dòng)形式，不需要依靠先前觀測的網(wǎng)絡(luò)行為模式，并且適于處理大量數(shù)據(jù)的情況，然而該方法中各種挖掘算法太過分散，針對的數(shù)據(jù)對象差異較大。時(shí)間檢測方法早期開展的流量異常檢測方法多采用時(shí)間檢測的方式，利用單條流量的時(shí)間序列模式偏離正常的程度揭示異常。單條流量可獲得多種觀測變量，如分組數(shù)，字節(jié)數(shù)，流數(shù)等，檢測方法又可分為單變量時(shí)間檢測和多變量時(shí)間檢測。在某些應(yīng)用環(huán)境下，時(shí)間檢測方式被證明是有效的，該方式通常要求使用的時(shí)間序列模型具有較高準(zhǔn)確性，能夠刻畫流量的動(dòng)態(tài)特征。此外，由于網(wǎng)絡(luò)連通性結(jié)構(gòu)，不考慮鏈路流量之間關(guān)聯(lián)性，孤立地分析每條流量，使得時(shí)間檢測方法在檢測性能上往往有一定局限性，適用于時(shí)間模式上發(fā)生明顯改變的流量異常。時(shí)間檢測方法單變量：單變量流量記錄作為單時(shí)間序列，通過時(shí)間上觀測值之間的變化關(guān)系檢測異常。多種構(gòu)建行為特征技術(shù)均可用于分析觀測值之間的變化關(guān)系是否偏離正常?；诹髁扛乓兓瘷z測方法發(fā)現(xiàn)數(shù)據(jù)流中的大流量異常。使用時(shí)間序列分析方法辨認(rèn)網(wǎng)絡(luò)錯(cuò)誤。使用信號(hào)處理取得流量序列的時(shí)頻特征。多變量：在流量獨(dú)立的假設(shè)條件下，單條流量的正常輪廓由多個(gè)監(jiān)控變量共同描述。Thottan利用廣義似然比對MIB庫中的多個(gè)變量之間的關(guān)系進(jìn)行分析，診斷網(wǎng)絡(luò)故障，并利用變量的異常信息對網(wǎng)絡(luò)故障進(jìn)行分類。使用時(shí)間序列分析方法辨認(rèn)網(wǎng)絡(luò)錯(cuò)誤。Yeung等開發(fā)了協(xié)方差矩陣方法對洪泛攻擊進(jìn)行建模和檢測?？臻g檢測方法大規(guī)模網(wǎng)絡(luò)管理中，需要同時(shí)監(jiān)控多條流量，并且各條流量之間往往并非完全獨(dú)立，而是存在相關(guān)性。網(wǎng)絡(luò)節(jié)點(diǎn)異常時(shí)，原本經(jīng)過該節(jié)點(diǎn)所在鏈路流量下降，而相鄰鏈路流量增加，這是由于結(jié)點(diǎn)故障后，分組經(jīng)過重路由，繞過該結(jié)點(diǎn)，繼續(xù)轉(zhuǎn)發(fā)到目的結(jié)點(diǎn)。在針對服務(wù)器的DDoS攻擊場景中，會(huì)引起指向某些受害者目的地址的多條流量增加。這些網(wǎng)絡(luò)級(jí)別的問題，將流量作為單時(shí)間序列分析是不夠的，需要從空間角度出發(fā)，同時(shí)分析多條流量，有助于捕捉異常在多條鏈路上的變化趨勢；對于相互關(guān)聯(lián)的流量，利用它們之間的關(guān)聯(lián)性是否發(fā)生較大偏離，而不是流量時(shí)間模式上的轉(zhuǎn)變，有利于檢測單條流量上不明顯的異常特征。該方式根據(jù)監(jiān)控流量的多少，可以分為全局檢測方式和分布式檢測方式?？臻g檢測方法全局：全局檢測是一種同時(shí)對網(wǎng)絡(luò)中的多條流量進(jìn)行分析，利用流量之間的關(guān)系進(jìn)行檢測的方法。Lakhina等提出了一種基于數(shù)據(jù)降維PCA技術(shù)的子空間方法，對美國學(xué)術(shù)教育骨干網(wǎng)Abilene網(wǎng)中全局流量進(jìn)行降維，在劃分出的低維異?？臻g中確定異常，能夠發(fā)現(xiàn)網(wǎng)絡(luò)中的多種異常。2005年，Lakhina又將PCA擴(kuò)展應(yīng)用到全局流量的特征分布上，同時(shí)還提出了一種多路PCA(multiwayPCA)檢測DDoS攻擊。Ahmed等提出了一種在線檢測算法，檢測前根據(jù)全局流量向量構(gòu)建出一系列近似正常行為子集的特征空間，檢測時(shí)通過核函數(shù)度量當(dāng)前時(shí)刻輸入向量與特征空間的距離，假設(shè)正常流量測量的特征空間是“匯聚”的，而異常則表現(xiàn)為特征空間中遠(yuǎn)離聚集的正常測量。Rubinstein等調(diào)查了全局PCA方法對于骨干網(wǎng)異常的辨別能力，指出該方法不能檢測出長持續(xù)期的緩慢幅值攻擊?？臻g檢測方法分布式空間：分布式空間檢測在決策層次上可以分為協(xié)作式以及獨(dú)立式。協(xié)作式結(jié)構(gòu)是一個(gè)樹型的分層體系，該結(jié)構(gòu)底層是網(wǎng)絡(luò)中選取一些節(jié)點(diǎn)，作為檢測節(jié)點(diǎn)分別建立檢測子網(wǎng)絡(luò)，首先各節(jié)點(diǎn)依靠自己搜集的信息展開快速簡單的本地局部檢測；再利用一定的通信機(jī)制，交互各個(gè)節(jié)點(diǎn)的檢測結(jié)果；最后上層結(jié)點(diǎn)接受并處理部分或全部節(jié)點(diǎn)的結(jié)果，以確認(rèn)是否發(fā)生異常。如Talpade等提出了NOMAD(NetworkMonitoringFrameworkforAnomalyDetection)異常檢測的監(jiān)控框架，分為局部和全局監(jiān)測，用于檢測和定位網(wǎng)絡(luò)異常.獨(dú)立式結(jié)構(gòu)無上層結(jié)點(diǎn)，多個(gè)相互平等的檢測節(jié)點(diǎn)在網(wǎng)絡(luò)中分別進(jìn)行檢測，并且協(xié)同處理大規(guī)模的入侵行為。P.Chhabra等提出了一種基于聚類的檢測方法，其研究表明各個(gè)路由器上的流入流出鏈路流量具有關(guān)聯(lián)性，依據(jù)它們之間的關(guān)系進(jìn)行的異常檢測可以達(dá)到與全局流量分析方式相同的檢測效果。本教研室研究現(xiàn)狀分布式流量異常的全局相關(guān)檢測方法DDoS攻擊的全局時(shí)頻分析方法基于ICA的流量異常檢測方法基于多時(shí)間序列分析的網(wǎng)絡(luò)流量行為感知基于頻繁子結(jié)構(gòu)的異常特征提取算法尺度可調(diào)的多分辨網(wǎng)絡(luò)流異常檢測基于網(wǎng)絡(luò)全局流量異常特征的DDoS攻擊檢測基于小波包的異常流量檢測方法基于瞬時(shí)頻率分析的網(wǎng)絡(luò)流量異常檢測基于子圖模式的流量分類方法……安全事件關(guān)聯(lián)分析安全報(bào)警事件關(guān)聯(lián)(用戶網(wǎng)絡(luò)中)安全事件關(guān)聯(lián)(骨干網(wǎng)絡(luò)中)安全報(bào)警事件關(guān)聯(lián)簡介(1)為了保障網(wǎng)絡(luò)的可用性和網(wǎng)絡(luò)上信息的機(jī)密性、完整性、防止來自外部或內(nèi)部的攻擊行為，網(wǎng)絡(luò)管理者購買大量網(wǎng)絡(luò)安全設(shè)備，力圖保障網(wǎng)絡(luò)的安全。網(wǎng)絡(luò)安全設(shè)備如防火墻，入侵檢測系統(tǒng)（IDS），虛擬專用網(wǎng)（VPN）網(wǎng)關(guān)和防病毒軟件等會(huì)發(fā)出不同層次、不同內(nèi)容的報(bào)警信息。這些信息即安全報(bào)警事件，是網(wǎng)絡(luò)安全工作中防御、檢測和響應(yīng)的重要基礎(chǔ)依據(jù)。安全報(bào)警事件關(guān)聯(lián)簡介(2)現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境中，這些安全報(bào)警事件是海量和零星雜亂的，存在較高的漏報(bào)和誤報(bào)率，使其并不等于真實(shí)有效的安全信息，也不能單獨(dú)構(gòu)成有用的安全事件，繼而不能形成有指導(dǎo)意義的安全響應(yīng)知識(shí)。網(wǎng)絡(luò)安全報(bào)警事件現(xiàn)存的主要問題有：①海量報(bào)警事件的處理②嚴(yán)重的漏報(bào)和誤報(bào)③報(bào)警事件的冗余性與重復(fù)性安全報(bào)警事件關(guān)聯(lián)簡介(3)安全報(bào)警事件關(guān)聯(lián)分析：通過對大量報(bào)警信息進(jìn)行聚合處理得到粗粒度的報(bào)警事件，再使用關(guān)聯(lián)方法將屬于同一攻擊的每一步攻擊動(dòng)作所產(chǎn)生的報(bào)警聯(lián)系在一起，重建攻擊過程。安全報(bào)警事件關(guān)聯(lián)分析分為三步：①事件收集（收集報(bào)警信息并整理語義）②事件聚合（利用聚類技術(shù)等方法消除重復(fù)報(bào)警生成粗粒度報(bào)警事件）③事件關(guān)聯(lián)（判斷報(bào)警事件是否源于同一攻擊）安全報(bào)警事件關(guān)聯(lián)目的(1)消除或減少重復(fù)報(bào)警：網(wǎng)絡(luò)上不同安全設(shè)備針對同一個(gè)安全事件都可能報(bào)警，這些重復(fù)報(bào)警少則幾個(gè)，多則上萬，通過對報(bào)警事件進(jìn)行聚合和關(guān)聯(lián)可以大大減少重復(fù)報(bào)警率。降低誤報(bào)率：通過將一個(gè)攻擊過程相關(guān)報(bào)警信息關(guān)聯(lián)在一起，可以消除某些孤立和隨機(jī)事件產(chǎn)生的誤報(bào)警。另外，報(bào)警信息同被保護(hù)網(wǎng)絡(luò)系統(tǒng)本身的信息相互比對可以更好地濾除無關(guān)報(bào)警，降低誤報(bào)率。安全報(bào)警事件關(guān)聯(lián)目的(2)擴(kuò)大防御范圍：在較大型的交換式網(wǎng)絡(luò)系統(tǒng)中，單個(gè)安全設(shè)備其檢測范圍和處理能力是有限的，要想掌握整個(gè)網(wǎng)絡(luò)的安全情況，就要將多個(gè)安全設(shè)備布置在網(wǎng)絡(luò)上的不同位置，然后將來自于這些安全設(shè)備的報(bào)警進(jìn)行關(guān)聯(lián)分析處理，從而實(shí)現(xiàn)全網(wǎng)范圍內(nèi)的安全防御。安全報(bào)警事件關(guān)聯(lián)目的(3)發(fā)現(xiàn)高層攻擊策略：將一系列攻擊活動(dòng)關(guān)聯(lián)在一起，重建攻擊過程，這樣就可以對攻擊的整體情況進(jìn)行描述，有利于對攻擊的理解，發(fā)現(xiàn)高層攻擊策略，克服了分析結(jié)果過于細(xì)化和底層的缺點(diǎn)，避免了“只見樹木，不見森林”負(fù)面效果，為攻擊的意圖識(shí)別、攻擊行動(dòng)預(yù)測和攻擊的快速響應(yīng)打下了基礎(chǔ)。算法及分析在整個(gè)安全報(bào)警事件關(guān)聯(lián)分析的步驟中，報(bào)警信息收集所涉及算法較少，這里重點(diǎn)對報(bào)警事件的聚合與關(guān)聯(lián)的算法進(jìn)行分析。需要注意的是，報(bào)警事件的聚合算法主要處理的是原始報(bào)警信息，而報(bào)警事件的關(guān)聯(lián)算法的主要處理對象是經(jīng)過聚合后的粗粒度報(bào)警事件。算法及分析聚合算法可分為兩種：①根據(jù)報(bào)警屬性聚合②根據(jù)被保護(hù)系統(tǒng)本身特點(diǎn)聚合關(guān)聯(lián)算法可分為三種：①根據(jù)事先定義好的攻擊過程進(jìn)行關(guān)聯(lián)②根據(jù)前因后果進(jìn)行關(guān)聯(lián)③根據(jù)統(tǒng)計(jì)因果分析進(jìn)行關(guān)聯(lián)聚合算法根據(jù)報(bào)警屬性的相似性來進(jìn)行聚合。屬于同一攻擊的報(bào)警通常都具有相似的屬性，直接的聚合方法就是通過檢查報(bào)警屬性發(fā)現(xiàn)它們之間的相似性。此方法要解決的問題是確定需要比較哪些屬性，怎樣知道這些屬性是相似的，在比較中對不同的屬性怎樣分配權(quán)重此類算法通過精心選定相似度標(biāo)準(zhǔn)、權(quán)重?cái)?shù)等參數(shù)，可以較好地捕捉到許多已知攻擊類型的實(shí)質(zhì)，且算法的實(shí)時(shí)性較好。但系統(tǒng)本身對攻擊并不理解，其屬性相似度計(jì)算和權(quán)重分配很大程度上依賴于領(lǐng)域知識(shí)，所以說它是一個(gè)由專家經(jīng)驗(yàn)維護(hù)的系統(tǒng)聚合算法基于被保護(hù)系統(tǒng)本身特點(diǎn)的聚合方法。除了利用報(bào)警本身所攜帶的信息，我們還可以從被保護(hù)網(wǎng)絡(luò)系統(tǒng)的角度來聚合報(bào)警信息。此算法主要用于特定目的(如報(bào)警驗(yàn)證alertverification或事件排序incidentrank)的報(bào)警聚合此類算法將“知彼”(報(bào)警信息)與“知己”(被保護(hù)的系統(tǒng)情況）綜合在一起，來驗(yàn)證攻擊所利用的操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)和相關(guān)漏洞與被攻擊的主機(jī)實(shí)際情況是否相匹配，從而可以有效地濾除無關(guān)報(bào)警(不匹配的報(bào)警)關(guān)聯(lián)算法關(guān)聯(lián)規(guī)則：表明兩個(gè)報(bào)警進(jìn)行關(guān)聯(lián)所需滿足的條件，一個(gè)攻擊過程可以由這樣的多條關(guān)聯(lián)規(guī)則組成根據(jù)事先定義好的攻擊過程進(jìn)行關(guān)聯(lián)。通過機(jī)器學(xué)習(xí)等方法得到各種攻擊過程，將其作為模板輸入到系統(tǒng)中，然后系統(tǒng)就可以將報(bào)警同這些攻擊過程模板相比較，進(jìn)行實(shí)時(shí)關(guān)聯(lián)，這種方法的關(guān)鍵問題是如何挖掘出這些關(guān)聯(lián)規(guī)則這類算法的缺點(diǎn)是：①由于各方面的不確定性很難獲得合適的訓(xùn)練集②不能處理在訓(xùn)練集中未出現(xiàn)的攻擊過程③抗噪能力較差關(guān)聯(lián)算法根據(jù)前因后果進(jìn)行關(guān)聯(lián)。任何一個(gè)攻擊都具有前因和后果。所謂前因就是攻擊要實(shí)施所必須具有的前提條件，后果就是攻擊成功后所造成的結(jié)果。在一個(gè)有多個(gè)攻擊動(dòng)作組成的攻擊過程中，一個(gè)攻擊的后果就是下一個(gè)攻擊前因。基于這一思想，首先定義每一個(gè)單獨(dú)攻擊的前因、后果，然后就可以將具有因果關(guān)系的攻擊關(guān)聯(lián)在一起，重現(xiàn)整個(gè)攻擊過程這類算法的缺點(diǎn)是：①不能處理新攻擊(不知道其前因、后果)，且只適用于攻擊步驟的關(guān)聯(lián)。②由于關(guān)聯(lián)時(shí)搜索空間較大，對計(jì)算資源消耗大，處理時(shí)間長，不適合實(shí)時(shí)在線處理關(guān)聯(lián)算法根據(jù)統(tǒng)計(jì)分析進(jìn)行關(guān)聯(lián)。基于統(tǒng)計(jì)分析的關(guān)聯(lián)方法是目前提出的最新的關(guān)聯(lián)方法之一。其主要通過已經(jīng)收到的歷史報(bào)警信息建立關(guān)于報(bào)警事件的預(yù)測模型，然后通過訓(xùn)練出的預(yù)警模型去計(jì)算其與正處于關(guān)聯(lián)過程中的攻擊序列的接近程度，以完成關(guān)聯(lián)。安全事件關(guān)聯(lián)簡介(1)由于網(wǎng)絡(luò)環(huán)境的不同，骨干網(wǎng)絡(luò)中的網(wǎng)絡(luò)安全管理與用戶網(wǎng)絡(luò)中有明顯的區(qū)別。骨干網(wǎng)絡(luò)中的網(wǎng)絡(luò)安全管理不再依賴網(wǎng)絡(luò)安全設(shè)備，而是通過在骨干路由器上采集流量信號(hào)，得到流量特征信號(hào)，從流量特征信號(hào)上提取異常情況即安全事件，以進(jìn)行進(jìn)一步的分析和處理。骨干通信網(wǎng)絡(luò)中的安全事件關(guān)聯(lián)與用戶網(wǎng)絡(luò)中的告警關(guān)聯(lián)有明顯的區(qū)別，具體體現(xiàn)在以下三個(gè)方面：安全事件關(guān)聯(lián)簡介(2)①關(guān)聯(lián)的對象不同：在用戶網(wǎng)絡(luò)中，將由網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的告警作為關(guān)聯(lián)的對象。而在骨干網(wǎng)絡(luò)中，傳統(tǒng)的基于精細(xì)包檢測的網(wǎng)絡(luò)安全設(shè)備在面對海量、高速的骨干網(wǎng)絡(luò)數(shù)據(jù)時(shí)顯得無能為力，因此，我們采用在骨干路由器上采集流量信號(hào)，從流量特征信號(hào)上提取出安全事件用作關(guān)聯(lián)對象。安全事件關(guān)聯(lián)簡介(3)②關(guān)聯(lián)的目的不同：用戶網(wǎng)絡(luò)中告警關(guān)聯(lián)的目的就是在海量告警數(shù)據(jù)中得到精簡的超報(bào)警呈現(xiàn)給網(wǎng)絡(luò)管理人員。而在骨干網(wǎng)絡(luò)中安全事件關(guān)聯(lián)的目的則是挖掘安全事件與網(wǎng)絡(luò)攻擊之間的關(guān)聯(lián)關(guān)系，即某種網(wǎng)絡(luò)攻擊會(huì)引發(fā)哪些安全事件。形成安全事件與網(wǎng)絡(luò)攻擊之間的關(guān)聯(lián)規(guī)則后，在網(wǎng)絡(luò)攻擊的檢測中，我們可以用骨干網(wǎng)中的流量特征信號(hào)分析代替用戶網(wǎng)絡(luò)中的精細(xì)包分析，進(jìn)行骨干網(wǎng)中的網(wǎng)絡(luò)安全管理。安全事件關(guān)聯(lián)簡介(4)③流量異常事件與告警的屬性不同在用戶網(wǎng)絡(luò)中，各種安全設(shè)備產(chǎn)生的告警都有自己的告警數(shù)據(jù)格式，且告警蘊(yùn)含了大量的信息，告警的屬性豐富，如大部分入侵檢測系統(tǒng)（IDS）采用IntrusionDetectionMessageExchangeFormat（IDMEF）的數(shù)據(jù)格式。而骨干通信網(wǎng)中的安全事件是由流量特征信號(hào)的的行為特征表現(xiàn)出來的異常情況而產(chǎn)生，其屬性較少。為此，傳統(tǒng)的告警關(guān)聯(lián)技術(shù)中基于屬性相似性的方法不適用于安全事件的關(guān)聯(lián)分析。安全事件關(guān)聯(lián)基本思想是否有網(wǎng)絡(luò)攻擊？

DOS,DDOS,portscan,worm,et是否患病?

感冒,發(fā)燒,

胃病,氣管炎,等流量特征異常：時(shí)間域,頻率域,地址統(tǒng)計(jì)屬性,等身體癥狀異常：體溫高,咳嗽,頭暈,嘔吐,等網(wǎng)絡(luò)人醫(yī)生進(jìn)行病情診斷建立身體異常癥狀與病情的規(guī)則（醫(yī)書）建立網(wǎng)絡(luò)攻擊與流量特征異常之間的規(guī)則（關(guān)聯(lián)規(guī)則庫）攻擊檢測關(guān)聯(lián)規(guī)則S={s1,s2,s3,…,sn}為網(wǎng)絡(luò)狀態(tài)的時(shí)間序列，Si∈{E0,E1,E2,…Eu}表示網(wǎng)絡(luò)的在i時(shí)刻狀態(tài)，E0表示當(dāng)前網(wǎng)絡(luò)為正常狀態(tài)，Ej表示當(dāng)前網(wǎng)絡(luò)上正在發(fā)生第j種網(wǎng)絡(luò)攻擊，如：DDOS，端口掃描，洪范攻擊等。u為已知的網(wǎng)絡(luò)攻擊的種類。Fm×n稱為網(wǎng)絡(luò)流量特征矩陣。其中n表示時(shí)間上n個(gè)采樣點(diǎn)，m表示流量特征信號(hào)的數(shù)量。其中fij是一個(gè)連續(xù)數(shù)值，表示第i個(gè)流量特征信號(hào)在第j時(shí)刻的數(shù)值關(guān)聯(lián)規(guī)則連續(xù)數(shù)值不便于進(jìn)行關(guān)聯(lián)分析，通過離群點(diǎn)挖掘，在流量特征信號(hào)中挖掘得到離群點(diǎn)，形成流量異常事件。一般情況下，流量特征信號(hào)有三種離散的狀態(tài)，一種為“normal”狀態(tài)，表示無異常事件，用數(shù)字“0”表示；一種為“up”狀態(tài)，表示流量特征信號(hào)在該點(diǎn)有一個(gè)大于正常行為的值，用數(shù)字“1”表示；一種為“down”，表示流量特征信號(hào)在該點(diǎn)有一個(gè)小于正常行為的值，用數(shù)字“2”表示。于是，fji就離散化為“0”、“1”、“2”三種符，通過離散符號(hào)表示，我們就得到離散數(shù)值的矩陣FAEm×n。同樣，我們也將Si∈{E0,E1,E2,…Eu}也用數(shù)字簡化表示。關(guān)聯(lián)規(guī)則這樣，一段時(shí)間內(nèi)的網(wǎng)絡(luò)流量特征與網(wǎng)絡(luò)狀況就用下面的網(wǎng)絡(luò)特征時(shí)序圖來表示。橫坐標(biāo)為時(shí)間軸，縱坐標(biāo)為流量特征，F(xiàn)1、F2等為各種流量特征信號(hào)。將時(shí)間軸上的流量異常事件矩陣與時(shí)間軸下的網(wǎng)絡(luò)狀態(tài)序列合并，便可以得到一個(gè)增廣矩陣，于是，我們通過在這個(gè)增廣矩陣的所有列向量中挖掘滿足一定條件的頻繁子向量集以得到關(guān)聯(lián)規(guī)則。關(guān)聯(lián)規(guī)則挖掘算法安全事件關(guān)聯(lián)分析的重點(diǎn)在于關(guān)聯(lián)規(guī)則的挖掘。為了準(zhǔn)確描述關(guān)聯(lián)規(guī)則挖掘算法，下面給出關(guān)聯(lián)規(guī)則的相關(guān)定義：

設(shè)I={I1,I2,I3,…,Im}是m個(gè)元素的集合，其中的每個(gè)元素稱為項(xiàng)(item)。項(xiàng)的集合稱項(xiàng)集(itemset)。記事務(wù)數(shù)據(jù)庫D為事務(wù)(transaction)T的集合，其中每個(gè)事物T是項(xiàng)的集合，使得T?I。每個(gè)事務(wù)有一個(gè)標(biāo)識(shí)符，記作TID。設(shè)A是一個(gè)項(xiàng)集且A?I，如果A?T，那么稱事務(wù)T包含A。關(guān)聯(lián)規(guī)則是形如A=>B的蘊(yùn)含式，其中A?I，B?I，并且A∩B=?。關(guān)聯(lián)規(guī)則挖掘算法一條關(guān)聯(lián)規(guī)則的成立必須要滿足一定的條件，關(guān)聯(lián)規(guī)則的描述一般有兩個(gè)參數(shù)：支持度和置信度。(1)支持度(Support)：關(guān)聯(lián)規(guī)則A=>B的支持度表示項(xiàng)集出現(xiàn)的頻率，為事務(wù)集中同時(shí)包含A和B的事務(wù)的數(shù)量與所有事務(wù)數(shù)量的比值，記作support(A=>B)，即 support(A=>B)=(2)置信度(Confidence)：關(guān)聯(lián)規(guī)則A=>B的置信度是事務(wù)集D中包含項(xiàng)集A的事務(wù)同時(shí)也包含項(xiàng)集B的事務(wù)的百分比，這是條件概率P(A|B)，記作confidence(A=>B)，即 confidence(A=>B)=關(guān)聯(lián)規(guī)則挖掘算法支持度是對關(guān)聯(lián)規(guī)則在事務(wù)集中的普遍性的衡量，而置信度是對關(guān)聯(lián)規(guī)則準(zhǔn)確度的衡量。一條關(guān)聯(lián)規(guī)則應(yīng)該是既普遍又準(zhǔn)確，因此要求有較高的支持度與置信度。于是，關(guān)聯(lián)規(guī)則的挖掘問題可描述為：在給定的事務(wù)數(shù)據(jù)庫D中找出滿足用戶設(shè)定的最小支持度和最小置信度的關(guān)聯(lián)規(guī)則。挖掘過程可以被分解為兩個(gè)步驟：(1)找出所有的頻繁項(xiàng)集。根據(jù)定義，這些項(xiàng)集的每一個(gè)出現(xiàn)的頻繁性不小于預(yù)設(shè)的最小支持度。(2)由頻繁項(xiàng)集生成關(guān)聯(lián)規(guī)則：這些規(guī)則必須滿足最小支持度和最小置信度。應(yīng)用與分析在網(wǎng)絡(luò)流量異常事件關(guān)聯(lián)分析中，我們希望從歷史流量集中挖掘出網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)流量特征信號(hào)之間的關(guān)系。

這表明，當(dāng)網(wǎng)絡(luò)攻擊A發(fā)生時(shí)，流量特征子空間中的流量特征信號(hào)也有很高的概率會(huì)發(fā)生異常事件。在今后的攻擊檢測中，我們就可以通過關(guān)聯(lián)的流量特征子空間出現(xiàn)的異常事件來識(shí)別出網(wǎng)絡(luò)攻擊。

在流量特征空間F={f1,f2,f3…,ft}中挖掘出與網(wǎng)絡(luò)攻擊A關(guān)聯(lián)的流量特征子空間Fsub(A)={fa1,fa2,fa3…faw}得到關(guān)聯(lián)規(guī)則A=>{fa1,fa2,fa3…faw}關(guān)聯(lián)規(guī)則挖掘算法在離線數(shù)據(jù)中進(jìn)行關(guān)聯(lián)規(guī)則挖掘，得到了網(wǎng)絡(luò)攻擊的關(guān)聯(lián)規(guī)則庫后，我們就可以通過流量特征信號(hào)的異常情況，根據(jù)規(guī)則庫的每條關(guān)聯(lián)規(guī)則，進(jìn)行網(wǎng)絡(luò)攻擊的檢測，如下圖：網(wǎng)絡(luò)安全態(tài)勢評(píng)估研究背景隨著攻擊技術(shù)的變異提升，僅僅對已發(fā)生的攻擊進(jìn)行報(bào)警和攔截已不能滿足需要人們需要對惡意代碼、網(wǎng)絡(luò)攻擊等網(wǎng)絡(luò)威脅進(jìn)行分析、對網(wǎng)絡(luò)的安全狀況進(jìn)行評(píng)估、對網(wǎng)絡(luò)安全的態(tài)勢進(jìn)行分析，以期能對大規(guī)模的網(wǎng)絡(luò)攻擊進(jìn)行預(yù)報(bào)，在其產(chǎn)生或者說是準(zhǔn)備階段就進(jìn)行預(yù)警防范基于此種形勢，網(wǎng)絡(luò)安全態(tài)勢評(píng)估已經(jīng)逐漸成為當(dāng)前網(wǎng)絡(luò)安全評(píng)估中的一個(gè)研究熱點(diǎn)。網(wǎng)絡(luò)安全態(tài)勢評(píng)估基本概念網(wǎng)絡(luò)安全態(tài)勢評(píng)估是分析過去一段時(shí)間內(nèi)網(wǎng)絡(luò)系統(tǒng)所處的運(yùn)行狀態(tài)及其未來發(fā)展的趨勢，使管理員對過去的安全狀況有一個(gè)宏觀的把握，并對未來網(wǎng)絡(luò)系統(tǒng)所處的運(yùn)行狀態(tài)有一定的預(yù)測的技術(shù)。通常，網(wǎng)絡(luò)安全態(tài)勢評(píng)估包含了兩層含義：一是實(shí)時(shí)地對網(wǎng)絡(luò)安全設(shè)備的告警信息進(jìn)行關(guān)聯(lián)歸并、數(shù)據(jù)融合，并實(shí)時(shí)地反映網(wǎng)絡(luò)實(shí)際的運(yùn)行狀況；二是根據(jù)歷史數(shù)據(jù)，進(jìn)行一定的離線分析，采用數(shù)據(jù)挖掘等手段對潛在的可能威脅進(jìn)行預(yù)測。網(wǎng)絡(luò)安全態(tài)勢評(píng)估總體目標(biāo)建立大規(guī)模網(wǎng)絡(luò)統(tǒng)一、上下一體的安全態(tài)勢評(píng)估體系，提供統(tǒng)一全網(wǎng)安全策略、進(jìn)行廣域態(tài)勢評(píng)估的技術(shù)手段，為實(shí)施網(wǎng)絡(luò)安全指揮提供態(tài)勢感知和決策支持的工具。建立起一套科學(xué)、全面、合理的評(píng)估指標(biāo)體系。所謂評(píng)估指標(biāo)體系是指由反映一個(gè)復(fù)雜系統(tǒng)安全的一系列指標(biāo)所組成的相互聯(lián)系、相互補(bǔ)充以及相互依存的指標(biāo)群。通常，它們建立在某些原則基礎(chǔ)之上，需根據(jù)網(wǎng)絡(luò)安全要素、安全特性和安全目標(biāo)，確定評(píng)價(jià)指標(biāo)體系，進(jìn)而達(dá)到全面評(píng)價(jià)系統(tǒng)整體安全的目的。網(wǎng)絡(luò)安全態(tài)勢評(píng)估基本模型1988年，M.R.Endsley提出了態(tài)勢估計(jì)功能模型。態(tài)勢覺察：也稱為事件檢測，是態(tài)勢估計(jì)處理過程中的核心和起點(diǎn)。其主要目標(biāo)是提取對態(tài)勢估計(jì)有意義的態(tài)勢要素，并對其進(jìn)行分類。態(tài)勢理解：根據(jù)態(tài)勢覺察階段獲取的態(tài)勢特征向量，并結(jié)合專家系統(tǒng)對當(dāng)前態(tài)勢做出解釋，用于判斷識(shí)別敵方的意圖和計(jì)劃。態(tài)勢預(yù)測：根據(jù)態(tài)勢理解的結(jié)果對網(wǎng)絡(luò)安全態(tài)勢未來可能出現(xiàn)的態(tài)勢情況進(jìn)行預(yù)測。態(tài)勢覺察（一級(jí)）態(tài)勢理解（二級(jí)）態(tài)勢預(yù)測（三級(jí)）網(wǎng)絡(luò)安全態(tài)勢評(píng)估的研究現(xiàn)狀1999年，TimBass等人首次提出了網(wǎng)絡(luò)態(tài)勢感知（CyberspaceSituationAwareness）概念，即網(wǎng)絡(luò)安全態(tài)勢感知，并提出了基于多傳感器數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢感知框架。諸多研究機(jī)構(gòu)紛紛開始研制并完成了自己的網(wǎng)絡(luò)安全態(tài)勢評(píng)估工具。美國國家能源研究科學(xué)計(jì)算中心的勞倫斯伯克利國家實(shí)驗(yàn)室開發(fā)了“SpinningCubeofPotentialDoom”系統(tǒng)。2005年，CMU/SEI領(lǐng)導(dǎo)的CERT/NetSAG開發(fā)了SILK。美國國家高級(jí)安全系統(tǒng)研究中心正在進(jìn)行的SIFT項(xiàng)目。西安交通大學(xué)研制了基于IDS和防火墻的集成化網(wǎng)絡(luò)安全監(jiān)控平臺(tái)。網(wǎng)絡(luò)流連接特征分析基本概念網(wǎng)絡(luò)流行為特征分為應(yīng)用層流行為特征以及傳輸層流行為特征傳輸層特征分為流本身的行為特征以及流連接行為特征，流本身特征包括例如流速率、平均包大小、平均包到達(dá)時(shí)間間隔及包大小方差等，流連接行為特征則描述的是網(wǎng)絡(luò)主機(jī)之間的交互行為模式網(wǎng)絡(luò)流行為特征應(yīng)用層流行為特征傳輸層流行為特征流本身的行為特征流連接行為特征網(wǎng)絡(luò)流連接特征分析網(wǎng)絡(luò)流量傳播圖（TDG，TrafficDispersionGraph）2007年由加州大學(xué)河濱分校的Marios

Iliofotou和Michalis

Faloutsos等提出。其中網(wǎng)絡(luò)主機(jī)映射為圖形的節(jié)點(diǎn)，主機(jī)之間的交互行為映射為圖形的邊不同應(yīng)用行為的TDG具有不同的特點(diǎn)，根據(jù)不同的圖結(jié)構(gòu)特征對網(wǎng)絡(luò)應(yīng)用流行為進(jìn)行正確分類，并能夠檢測網(wǎng)絡(luò)異常事件的發(fā)生不同應(yīng)用行為的網(wǎng)絡(luò)流量活動(dòng)圖網(wǎng)絡(luò)流連接特征分析網(wǎng)絡(luò)流量活動(dòng)圖（TAG，TrafficActivityGraph）在2009年由YuJin,EsamSharafuddin,Zhi-LiZhang等提出。TAG和TDG中的節(jié)點(diǎn)與邊的定義相似，但TAG是一個(gè)無向邊構(gòu)成的有向圖，方向性通過內(nèi)外網(wǎng)節(jié)點(diǎn)體現(xiàn)。TAG將校園網(wǎng)的節(jié)點(diǎn)屬于TAG的內(nèi)部節(jié)點(diǎn)，外網(wǎng)的節(jié)點(diǎn)屬于TAG的外部節(jié)點(diǎn)，將內(nèi)部節(jié)點(diǎn)視為應(yīng)用服務(wù)的請求者，外部節(jié)點(diǎn)是服務(wù)的提供者。1000條流下不同應(yīng)用行為的網(wǎng)絡(luò)流量活動(dòng)圖網(wǎng)絡(luò)流連接關(guān)系圖網(wǎng)絡(luò)流連接關(guān)系圖（NFCG，NetworkFlowConnectionGraph）網(wǎng)絡(luò)主機(jī)作為圖中的節(jié)點(diǎn)，主機(jī)之間的交互行為映射為邊，從而用于刻畫網(wǎng)絡(luò)中主機(jī)之間流交互關(guān)系網(wǎng)絡(luò)流連接圖重點(diǎn)研究節(jié)點(diǎn)在整個(gè)網(wǎng)絡(luò)等級(jí)制度以及邊的權(quán)值屬性，通過設(shè)定相應(yīng)閾值從而實(shí)現(xiàn)對網(wǎng)絡(luò)流行為核心結(jié)構(gòu)的提取與挖掘節(jié)點(diǎn)確定規(guī)則：節(jié)點(diǎn)在網(wǎng)絡(luò)流連接關(guān)系圖中的物理含義節(jié)點(diǎn)過濾規(guī)則：根據(jù)不同的條件篩選目標(biāo)核心節(jié)點(diǎn)邊生成規(guī)則：邊在網(wǎng)絡(luò)流連接關(guān)系圖中的生成方式，例如在通信網(wǎng)絡(luò)中當(dāng)兩臺(tái)主機(jī)產(chǎn)生TCP三次握手時(shí)生成一條邊,主機(jī)之間的有UDP流連接就直接生成一條邊；在社交網(wǎng)絡(luò)中用戶之間有通信交互就能夠生成一條邊邊過濾規(guī)則：根據(jù)不同的條件篩選目標(biāo)邊，如利用流的目的節(jié)點(diǎn)端口號(hào)篩選滿足特定端口號(hào)的邊，生成不同應(yīng)用種類的網(wǎng)絡(luò)流連接關(guān)系圖網(wǎng)絡(luò)流連接關(guān)系圖基于端口種類數(shù)以及基于流連接數(shù)量的網(wǎng)絡(luò)流連接關(guān)系圖網(wǎng)絡(luò)流連接關(guān)系圖經(jīng)過端口種類及連接數(shù)量閾值篩選后的網(wǎng)絡(luò)流連接關(guān)系圖網(wǎng)絡(luò)流連接關(guān)系圖重點(diǎn)關(guān)注網(wǎng)絡(luò)安全事件發(fā)生下圖模式的變化網(wǎng)絡(luò)流連接關(guān)系圖的某些子圖模式與網(wǎng)絡(luò)事件密切相關(guān)挖掘與網(wǎng)絡(luò)事件相關(guān)的閉頻繁子圖和核心頻繁子圖，進(jìn)一步掌握網(wǎng)絡(luò)流的連接行為特征挖掘動(dòng)態(tài)頻繁子圖的特征和子圖狀態(tài)轉(zhuǎn)移模式，刻畫網(wǎng)絡(luò)流連接行為的演化特征網(wǎng)絡(luò)現(xiàn)實(shí)事件關(guān)聯(lián)分析基本概念從網(wǎng)絡(luò)空間出發(fā)，根據(jù)一系列網(wǎng)絡(luò)空間中的實(shí)體（如網(wǎng)絡(luò)流、網(wǎng)絡(luò)拓?fù)涞龋┑臓顟B(tài)及其變化，推斷、檢測、分類或追蹤發(fā)生在現(xiàn)實(shí)社會(huì)中的事件，以達(dá)到現(xiàn)實(shí)社會(huì)事件的信息歸檔、隱藏信息發(fā)現(xiàn)、趨勢預(yù)測等目的。通常來講，網(wǎng)絡(luò)現(xiàn)實(shí)事件關(guān)聯(lián)分析主要有兩層含義：一是站在網(wǎng)絡(luò)空間角度，發(fā)掘隱藏在現(xiàn)實(shí)事件背后的一些被遺漏的，不為人知的細(xì)節(jié)信息；二是通過檢測和發(fā)現(xiàn)一些存在于網(wǎng)絡(luò)空間中的現(xiàn)實(shí)事件將要發(fā)生的預(yù)兆，對現(xiàn)實(shí)社會(huì)中將要發(fā)生的事件進(jìn)行預(yù)知，或者對正在發(fā)生的事件的趨勢進(jìn)行預(yù)測。網(wǎng)絡(luò)現(xiàn)實(shí)事件關(guān)聯(lián)分析基本模型網(wǎng)絡(luò)現(xiàn)實(shí)事件關(guān)聯(lián)分析可以看做是一個(gè)反問題。現(xiàn)實(shí)社會(huì)事件：指發(fā)生在現(xiàn)實(shí)社會(huì)中的實(shí)際事件，如政治軍事事件、自然災(zāi)害事件、新聞娛樂事件等等。網(wǎng)絡(luò)空間實(shí)體：指組成計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)網(wǎng)絡(luò)承載的具體或抽象的對象，如網(wǎng)絡(luò)拓?fù)洹⒕W(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)流量等等。建立從現(xiàn)實(shí)社會(huì)空間事件到網(wǎng)絡(luò)空間實(shí)體狀態(tài)與變化的關(guān)聯(lián)關(guān)系庫，從網(wǎng)絡(luò)空間實(shí)體的變化反推現(xiàn)實(shí)社會(huì)事件?，F(xiàn)實(shí)社會(huì)事件網(wǎng)絡(luò)空間實(shí)體實(shí)體狀態(tài)與變化影響表現(xiàn)出反過程正過程網(wǎng)絡(luò)現(xiàn)實(shí)事件關(guān)聯(lián)分析：UESTC學(xué)生網(wǎng)絡(luò)應(yīng)用使用一周變化圖流分類流：具有相同源IP，目的IP，源端口號(hào)，目的端口號(hào)以及傳輸層協(xié)議的數(shù)據(jù)包的有序集合80Port:

80Endpoint:

(,80)416250Connection:

(,80)、(4,16250)

和傳輸層協(xié)議流分類的意義是眾多網(wǎng)絡(luò)活動(dòng)的基礎(chǔ)實(shí)時(shí)監(jiān)控與管理容量規(guī)劃、網(wǎng)絡(luò)優(yōu)化網(wǎng)絡(luò)安全現(xiàn)有流分類方法現(xiàn)有的流分類技術(shù)基于端口號(hào)的流分類技術(shù)根據(jù)標(biāo)準(zhǔn)端口號(hào)識(shí)別各種流量（如HTTP使用80）優(yōu)點(diǎn)：速度快缺點(diǎn)：新的應(yīng)用使用非標(biāo)準(zhǔn)端口、動(dòng)態(tài)端口