网络行为的分析与获取

摘 要：当前网络是一个复杂的大系统还不完善，但其最终必然向可信网络发展，而网络行为的分析可以为下一代互联网规划设计、建设及管理提供科学依据，同时在获取大量的网络行为数据之后对网络行为的检测也有着重大作用并为预防网络犯罪打下坚实基础。

关键词：网络安全；网络行为；可信网络；网络行为分析

1 网络行为分析与获取的必要性

网络已经发展成为建设和谐社会的一项重要基础设施，它在通信、交通、金融、应急服务、能源调度、电力调度等方面发挥着重要作用。网络安全技术不断演进，网络安全的内涵不断延伸，从最初的信息保密性发展到信息的完整性、可用性、可管理性和不可否认性，进而又发展到系统服务的安全（如身份识别和访问控制等），随后又出现了多种不同的安全防范机制，包括防火墙、入侵检测系统、病毒防范等来提高网络的安全性能。

然而，随着维护与管理复杂度的提高，使得整个信息系统变得更加复杂和难以实施。一些分散的、独立的、单一的防御和外在附加的网络安全系统已经无法应对具有多样性、随机性、隐蔽性和传播性等特点的攻击和破坏行为。为此基于行为分析的可信网络成为目前研究的热点，网络的可信表现在三个方面：一是网络行为的可信，包括身份可信和行为可信，主要看网络行为是否可以预测，对网络设备和数据是否会造成破坏和毁灭；二是网络服务行为的可信，主要看网络服务器或服务程序向访问者提供的服务是否真实可靠，不带有欺诈，对终端是否会带来病毒等；三是网络信息传输行为的可信性，主要看网络各节点在传输信息过程中是否忠实。所以要实现可信网络的前提是对网络行为的获取，然后再在此基础上对网络行为进行分析、评估和预测，及时的找出异常行为，并及时的处理这些异常行为，使整个网络更加安全、可靠。因此，对于当前网络要向可信网络发展，网络行为的分析与获取是必须要完成的。

2 国内外研究现状及发展趋势

国际上的研究现状表明，当前可信网络的工作都是就某个局部目标展开，没有形成完整的体系，十分缺乏原创性的基础理论和应用技术，网络行为的检测、推理、行为规则抽取、行为预测的相关资料比较有限，这就给我们提供了一个巨大的创新空间，为我们在行为信任的检测、评估、预测等领域都提供了良好的机遇。

1999年，由康柏、惠普、IBM、Intel和微软牵头组织了可信计算平盟（TCPA：Trusted Computing Platform Alliance），致力于计算平台体系结构上增强器安全性，2001年1月，TCPA了标准规范；2003年改组为可信计算集团（TCG）成员扩展到200家。2003年10月了TPM规范。2002年底IBM了带有嵌入式安全子系统ESS的笔记本电脑，2003年，INTEL推出了LaGrande技术。作为可信计算最积极的倡导者，微软公司宣称将其操作系统建立在“高可信计算”的基础上。国内目前也有八家企业加入了可信计算组。TCG进一步划分为更详细的研究组，包括体系组、无线移动组、PC客户机组、服务器组、软件堆栈组、存储组、可信网络连接组、可信平台模块组。

对于国内来说已经有些公司开始在可信计算终端和网络安全方面开展工作，但较多的都是处于跟踪国外研究动态阶段。清华大学国家信息实验室的可信网络研究先后在可管理，可信，可扩展的新一代互联网体系，可信网络，网络安全的随机模型方法与评价等相关方面进行了大量的前瞻性的研究。可信计算被列入“十一五”规划，国家信息中心正在进行可信终端研究。这些研究主要从宏观的、整体不爽进行研究，在具体的网络行为信任的检测、评估和预测方面的研究还比较少，因此需要进一步实质性研究和实验证实。

3 网络行为的定义

网络行为是指人们依托互联网所做出的一种全新的形态的现实行为活动，分为狭义的网络行为和广义的网络行为。狭义的网络行为专指人们在电子网络空间里展开的行为活动。广义的网络行为是指不局限于狭义的方面，同时也包括那些与互联网密切相关，在很大程度上要借助和依赖于互联网才能顺利展开的行为活动。简而言之，网络行为就是人们借助互联网进行相应的操作的一种行为方式。

通过对网络行为的定义，网络行为的分析（Network Behavior Analysis-NBA）的作用就很明确，主要就是对网络的使用、连接和访问情况进行全局分析，而在当前网络下为维护网络的安全可信，NBA的重点就在于发现网络中的异常行为，因此通常情况下的NBA指的都是网络异常行为分析。

3.1 网络异常行为

网络异常行为就是利用计算机和网络对信息系统的功能、数据和应用程序进行删除、更改或者破坏网络中计算机信息、诈骗、教唆、犯罪、网络等对网络和终端用户构成危害的一种网络活动。在网络中，人们的网络行为都是通过软件行为来实现的，而绝大多数的网络异常行为都有其特征，如果我们能够收集、整理这些行为特征并加以分析将会大大提高我们对网络犯罪的侦破率；如果我们能够对这些网络异常行为的特征加以评估和预测，并将基于行为的不安全因数进行合理的控制无疑将会使整个网络的安全性大大提高，促进整个网络朝可信网络发展。

4 网络行为数据获取方法

数据在网络上以帧为单位进行传输，数据帧由几个部分组成，不同的部分执行的功能不同。数据通过TCP/IP体系结构中不同层，每层添加不同的信息，形成数据帧后，通过网络驱动程序进行成型，再通过网络适配器（网卡）发送到线路上进行传输，到达目的主机后再以TCP/IP体系结构相反的方向进行操作，从而得到数据。

由于每台计算机网卡的MAC地址是唯一的，一般情况下，一个网络接口只响应两种数据帧，一种是数据帧中的目标地址与自己的MAC地址相匹配，另一种是发向所有机器的广播数据帧。但是如果将计算机网卡设置成混杂模式，那么它就可以捕获网络上所有的报文和数据帧，分析诊断网络或者实施攻击行为。

4.1 利用嗅探器来完成网络数据的获取

嗅探器原本主要用于黑客对网络管理的软件进行非法数据截获，在这里我们也可以利用它来完成网络数据的获取，例如windows系统下常用的嗅探器WHCAPTURE，它可以将网络中传送的数据包的“头”完全截获下来提供分析并支持针对网络层、协议、主机、网络或端口的过滤。

WHCAPTURE的工作原理如下图所示：

4.2 创建并设置原始套字

从图中我们可以看出，在程序中首先需要创建原始套接字并对其进行设置。将原始套接字绑定到一个明确的本地地址，然后设置SIO_RCVALL控制代码，最后进入无限循环，不断的调用函数recv（）接受经过本地网卡的IP封包。

套接字程序只能响应与自己MAC地址相匹配或者广播来的数据帧，所以需要修改网卡的工作模式，将其设定在混杂模式下，才能接受所有的数据包，这是实现抓包的第一步。在设计程序时，对网卡混杂模式的设置是通过原始套接字来实现的，在创建完套接字后，将其绑定在一个明确的本地地址上，然后向套接字发送SIO_RCVALL控制命令，让其接受所有的IP包。

在创建并设置原始套接字中，使用到的函数清单如下：

⑴创建原始套接字：Sock=socket（AF_INET，SOCK_RAW， IPPROTO_RAW）；

⑵设置IP头选项，对IP头进行处理：

setsockopt（sock， IPPROTO_IP， IP_HDRINCL， （char*）&flag， sizeof（flag）；

⑶将原始套接sock绑定到本地网卡地址上：

Bind（sock， （PSOCKADDR）&ADDR_in， sizeof（addr_in）；

⑷设置SOCK_RAW为SIO_RCVALL，以便接收所有IP包：

Ioctlsocket（sock， SIO_RCVALL， &dwValue）；

4.3 数据包的获取

在设置完原始套接字后，就进入到获取数据包的部分，对数据包的获取仍是通过套接字函数来实现的，只是此时获取的数据包并不是单纯的数据信息，而是包含了IP头或者TCP头信息的数据，这些信息都是数据在网络传输时最原始的形态。通过反复调用热诚recv（）函数从网卡上接收数据，其过程如下：

While（true）

{

调用Libpcap库函数，获取网络上的数据包，并将其保存；

if （数据包>0）

{ 对数据包进行分析； }

}

从上面的伪代码可以看出，这部分同时实现了数据包的获取、数据包的存放和数据包的分析功能。

由于网络上的数据包不计其数，如果不将捕获的数据包进行过滤，将会捕获很多无用的数据包，增加设备压力和分析难度。在过滤过程中，需要有一个过滤准则表，这张表就是我们的网络行为库中记载的网络行为，它决定那些包可以通过，那些包不能通过，数据包过滤的伪代码如下：

if（数据包不在准则表中）

{ 丢弃这个包；

return； }

else

{ 读取第一个准则；

do

{ if（拒绝这个数据包）

{ 丢弃这个包；

renturn； }

else if（接受这个包）

{ 保存数据包；

通知分析程序，有数据包可以分析；

return； }

Else 读取下一条准则；

While（没有读取到最后一条准则）

放弃这个包；

}

return；

4.4 数据分析与网络行为提取

这个部分是在缓存中抽取数据进行分析，分析的内容是我们上面介绍的网络行为数据的一些属性和数据包的内容。通过这些分析，提取出更为人们熟知的网络行为，在这里虽然是通过程序来分析的，但是有时候对于某些数据包还是需要人工进行分析，比如非法攻击者试探用户的银行账户密码这个行为，每一个数据包可能不存在可疑行为，但是如果这个行为连续三次，我们就可以将其定义为一个异常的行为。

到这里，我们就可以通过嗅探器工具WHCAPTURE对网络上的行为数据进行抓取，过滤掉一些不相关的数据包，获得想要抓取的数据包，提高抓包效率，并对抓取的数据包进行分析，提取出网络行为，为进一步分析提供基础。

随着科技的发展，人们对计算机的了解也越来越广泛，计算机技术也越来越成熟，计算机对于社会来说，再也不是某部分人所独享的了，计算机的普及带动了人们整体技能的提高，但是与此同时带来的问题也越来越多，越来越复杂，网络上的异常行为也更加难以发现和处理，当今的网络正处在一个很不安全的状态，必须有专门技术来应对这个问题，因此对于网络行为的获取与分析有助于对网络的监测，提高网络的安全性，虽然日益扩大的网络规模使得数据的获取不可避免的出现很多的问题，但是我们有理由相信随着技术的不断提高，网络行为分析将对整个网络的发展起到不可估量的巨大作用。

[参考文献]

[1]Richard P.Lippmann，David J.Fried， et al.“Evaluating Intrusion Detection Systems：The 1998 DARPA Off-line Intrusion Detection Evaluation”[J].IEEE，1999.

[2]K.Kendall，“A Database of Computer Attacks for the Evaluation of Intrusion Detection Systems”，S.M.Thesis，MIT Department of Electrical Engineeringand Computer Science， June1999.

[3]S.SODERLAN. Learning Information Extraetion Rules for Semi-Struetured and Free Text.Machine Learning 34，1-3（1999），233-272.

[4]Deerwester S，Dumai ST，Furnas，Landauer TK，Harshman R. Indexing by latent semantic analysis.ACM Transactions on Information Systems，2000，18（1）：79-112.

[5]李一.网络行为一个网络社会学概念的简要分析[J].兰州大学学报.2006-9：48～53.

[6]林闯，彭雪海.可信网络研究[J].计算机学报.2005，Vol.28 No.5：751-758.

[7]冯登国，张阳，张玉清.信息安全风险评估综述[J].通信学报.2004， Vol.25 No.7：10-18

[8]王廷博，徐世超.基于层次分析法的网络安全态势评估方法研究[J].电脑知识与技术.2008，Vol.4，No.5：1079-1081.

[9]高鹏.可信网络的关键问题研究[J].电信工程技术与标准化.2009-7：1-5.

[10]林闯，彭雪海.可信网络研究[J].计算机学报.2005，Vol.28 No. 5：751-758.

[11]林闯，任丰原.可控可信可扩展的新一代互联网[J].软件学报.2004， Vol.15，No.12：1815-1821.

[12]何蓓，吴敏.一种基于Bayesian信念网络的客户行为预测方法[J].控制与决策.2007，Vol.22 No.6：626-631.

[13]田立勤，林闯.可信网络中一种基于行为信任预测的博弈控制机制[J].计算机学报.2007，Vol.30 No.11：1930-1938.