為了早期檢測(cè)網(wǎng)絡(luò)蠕蟲(chóng),，設(shè)計(jì)實(shí)現(xiàn)了一個(gè)基于暗網(wǎng)的可視化蠕蟲(chóng)早期檢測(cè)系統(tǒng),，并在某專用網(wǎng)絡(luò)中進(jìn)行了對(duì)比實(shí)驗(yàn),。結(jié)果顯示，該系統(tǒng)在專用網(wǎng)絡(luò)中比傳統(tǒng)入侵檢測(cè)系統(tǒng)能更早發(fā)現(xiàn)蠕蟲(chóng)等網(wǎng)絡(luò)攻擊,，且時(shí)間提前量十分可觀,，說(shuō)明基于暗網(wǎng)的早期檢測(cè)技術(shù)在專用網(wǎng)絡(luò)中有良好的應(yīng)用前景。

暗網(wǎng)檢測(cè)技術(shù)通過(guò)分析流向網(wǎng)絡(luò)中未用IP地址段的數(shù)據(jù)來(lái)檢測(cè)蠕蟲(chóng),、黑客掃描,、DoS攻擊等網(wǎng)絡(luò)攻擊行為，具有很高的準(zhǔn)確性,。銀行,、鐵路、軍隊(duì)等同國(guó)際互聯(lián)網(wǎng)隔離的專用網(wǎng)絡(luò)中存在大量未用IP地址段,，應(yīng)用暗網(wǎng)檢測(cè)技術(shù)具有先天優(yōu)勢(shì),。本文實(shí)現(xiàn)了一個(gè)基于暗網(wǎng)的可視化蠕蟲(chóng)檢測(cè)系統(tǒng)，并應(yīng)用于專用網(wǎng)絡(luò),。

1 暗網(wǎng)的概念和相關(guān)研究

網(wǎng)絡(luò)中的未用IP地址段被稱作暗網(wǎng)(darknet),、黑洞網(wǎng)絡(luò)(black hole)等，其中不應(yīng)該有合法流量,，而蠕蟲(chóng),、黑客、DoS攻擊和錯(cuò)誤配置等會(huì)產(chǎn)生流向暗網(wǎng)的流量,，因此從中可以發(fā)現(xiàn)攻擊,。在暗網(wǎng)研究方面，主要有Network Telescope項(xiàng)目組和Internet．Motion Sensor項(xiàng)目組等,。文獻(xiàn)介紹了不同的暗網(wǎng)檢測(cè)系統(tǒng)并進(jìn)行分析,，但這些研究都是在因特網(wǎng)中進(jìn)行的且大部分采用仿真方法。

2 可視化檢測(cè)系統(tǒng)

2．1 主要思想
系統(tǒng)采用了一種可視化檢測(cè)方法。首先提取IP數(shù)據(jù)包中的三個(gè)首部字段：源IP地址(用Is表示),，目的IP地址(用Id來(lái)表示),，目的端口號(hào)(用Pd來(lái)表示)。建立分別以這三個(gè)值為特征維度的三維直角坐標(biāo)系,，然后將每一個(gè)IP數(shù)據(jù)包按照三個(gè)首部字段在該三維坐標(biāo)系中描繪一個(gè)點(diǎn),，如圖1所示。從圖中可以發(fā)現(xiàn)一些明顯,、有規(guī)律的圖形,。這些特征圖形表示端口掃描(portscan)、主機(jī)掃描(hostscan)和拒絕服務(wù)(DoS)等各種攻擊,。根據(jù)這個(gè)特點(diǎn)將網(wǎng)絡(luò)攻擊從全部數(shù)據(jù)流中區(qū)分出來(lái),，進(jìn)而在三維坐標(biāo)系中將其表現(xiàn)出來(lái)，達(dá)到直觀的可視化效果,。

2．2 系統(tǒng)簡(jiǎn)介

系統(tǒng)主界面由4個(gè)界面組成,，如圖2所示。攻擊坐標(biāo)圖在三維坐標(biāo)系和3個(gè)二維截面坐標(biāo)系中實(shí)時(shí)顯示當(dāng)前攻擊,。攻擊記錄查詢界面根據(jù)用戶輸入的查詢條件以表格形式顯示歷史記錄信息,。攻擊記錄統(tǒng)計(jì)界面則根據(jù)用戶輸入的查詢條件和設(shè)置用柱圖、餅圖,、折線圖三種形式顯示歷史記錄報(bào)表,。記錄坐標(biāo)圖則根據(jù)用戶輸入的查詢條件在三維坐標(biāo)系和3個(gè)二維截面坐標(biāo)系中顯示歷史攻擊記錄圖形。系統(tǒng)還具有根據(jù)包內(nèi)容過(guò)濾的規(guī)則設(shè)置,、閾值設(shè)置和數(shù)據(jù)包離線分析功能,，方便用戶操作。

3 實(shí)際網(wǎng)絡(luò)實(shí)驗(yàn)

3．1 實(shí)驗(yàn)環(huán)境
該專用網(wǎng)絡(luò)技術(shù)架構(gòu)同因特網(wǎng)一樣,，但整個(gè)網(wǎng)絡(luò)與因特網(wǎng)完全隔離,。網(wǎng)管中心能夠?qū)⑷亢诵穆酚善鞯木W(wǎng)絡(luò)流量通過(guò)鏡像方式匯聚導(dǎo)入該網(wǎng)管中心配置的入侵檢測(cè)系統(tǒng)。實(shí)驗(yàn)時(shí)將暗網(wǎng)流量導(dǎo)入可視化檢測(cè)系統(tǒng),。實(shí)驗(yàn)在不同時(shí)間進(jìn)行了三次,，之后對(duì)網(wǎng)管中心的入侵檢測(cè)系統(tǒng)和本系統(tǒng)的檢測(cè)結(jié)果進(jìn)行了比對(duì)。

3．2 實(shí)驗(yàn)結(jié)果

實(shí)驗(yàn)結(jié)果如表1所示(出于隱私需要,，隱藏IP地址的部分字段),。可以看出,，除了1條記錄外,，其他記錄都表明本系統(tǒng)能夠比中心現(xiàn)用的入侵檢測(cè)系統(tǒng)更早地檢測(cè)出攻擊。最早的早了58個(gè)多小時(shí),，大約3天。對(duì)于大規(guī)模傳播的蠕蟲(chóng)來(lái)說(shuō)，這么早的檢測(cè)具有重要意義,。

4結(jié)語(yǔ)

設(shè)計(jì)實(shí)現(xiàn)了一個(gè)基于暗網(wǎng)的早期檢測(cè)系統(tǒng),，實(shí)驗(yàn)表明該系統(tǒng)能夠?qū)θ湎x(chóng)實(shí)施早期檢測(cè)，說(shuō)明基于暗網(wǎng)的檢測(cè)技術(shù)在專用網(wǎng)絡(luò)中有良好的應(yīng)用前景,，可以在銀行,、鐵路、軍隊(duì)等系統(tǒng)的專用網(wǎng)絡(luò)中發(fā)揮巨大作用,。