基于暗网的早期检测技术在专用网络中的应用

为了早期检测网络蠕虫，设计实现了一个基于暗网的可视化蠕虫早期检测系统，并在某专用网络中进行了对比实验。结果显示，该系统在专用网络中比传统入侵检测系统能更早发现蠕虫等网络攻击，且时间提前量十分可观，说明基于暗网的早期检测技术在专用网络中有良好的应用前景。

暗网检测技术通过分析流向网络中未用IP地址段的数据来检测蠕虫、黑客扫描、DoS攻击等网络攻击行为，具有很高的准确性。银行、铁路、军队等同国际互联网隔离的专用网络中存在大量未用IP地址段，应用暗网检测技术具有先天优势。本文实现了一个基于暗网的可视化蠕虫检测系统，并应用于专用网络。

1 暗网的概念和相关研究

网络中的未用IP地址段被称作暗网(darknet)、黑洞网络(black hole)等，其中不应该有合法流量，而蠕虫、黑客、DoS攻击和错误配置等会产生流向暗网的流量，因此从中可以发现攻击。在暗网研究方面，主要有Network Telescope项目组和Internet．Motion Sensor项目组等。文献介绍了不同的暗网检测系统并进行分析，但这些研究都是在因特网中进行的且大部分采用仿真方法。

2 可视化检测系统

2．1 主要思想
系统采用了一种可视化检测方法。首先提取IP数据包中的三个首部字段：源IP地址(用Is表示)，目的IP地址(用Id来表示)，目的端口号(用Pd来表示)。建立分别以这三个值为特征维度的三维直角坐标系，然后将每一个IP数据包按照三个首部字段在该三维坐标系中描绘一个点，如图1所示。从图中可以发现一些明显、有规律的图形。这些特征图形表示端口扫描(portscan)、主机扫描(hostscan)和拒绝服务(DoS)等各种攻击。根据这个特点将网络攻击从全部数据流中区分出来，进而在三维坐标系中将其表现出来，达到直观的可视化效果。

[page]

2．2 系统简介

系统主界面由4个界面组成，如图2所示。攻击坐标图在三维坐标系和3个二维截面坐标系中实时显示当前攻击。攻击记录查询界面根据用户输入的查询条件以表格形式显示历史记录信息。攻击记录统计界面则根据用户输入的查询条件和设置用柱图、饼图、折线图三种形式显示历史记录报表。记录坐标图则根据用户输入的查询条件在三维坐标系和3个二维截面坐标系中显示历史攻击记录图形。系统还具有根据包内容过滤的规则设置、阈值设置和数据包离线分析功能，方便用户操作。

3 实际网络实验

3．1 实验环境
该专用网络技术架构同因特网一样，但整个网络与因特网完全隔离。网管中心能够将全部核心路由器的网络流量通过镜像方式汇聚导入该网管中心配置的入侵检测系统。实验时将暗网流量导入可视化检测系统。实验在不同时间进行了三次，之后对网管中心的入侵检测系统和本系统的检测结果进行了比对。

3．2 实验结果

实验结果如表1所示(出于隐私需要，隐藏IP地址的部分字段)。可以看出，除了1条记录外，其他记录都表明本系统能够比中心现用的入侵检测系统更早地检测出攻击。最早的早了58个多小时，大约3天。对于大规模传播的蠕虫来说，这么早的检测具有重要意义。

4结语

设计实现了一个基于暗网的早期检测系统，实验表明该系统能够对蠕虫实施早期检测，说明基于暗网的检测技术在专用网络中有良好的应用前景，可以在银行、铁路、军队等系统的专用网络中发挥巨大作用。