关键词:金融预测;金融评估;市场
中图分类号:E52 文献标识码:A 文章编号:1001-828X(2014)09-0350-01
引言
虽然金融市场的价格都是随机,不确定的,但仍然与金融市场中的部分因素存在一定的关联性,所以人们还是会事先采用金融风险预测和评估的方式,来降低企业破产和违约,投资决策失误的可能性,降低风险,保障有效收益。
一、金融风险的分类
对于金融市场而言,其风险的种类比较多,本文将主要阐述几种常见的形式,一是市场风险,其涵盖了利率和汇率,主要是银行利率和汇率的上调和下降所引起的风险,但由于我国的汇率并没有实现全面的开放,因此对于市场而言,主要来源还是利率风险。二是信用风险,这也是现阶段出现频率较高的风险之一,主要是由于个人或是企业到期偿还不了所贷款的金额,给金融机构所带来的风险。三是流动性风险,包括银行和非银行金融机构,其风险的存在意味着资金的不足,从而影响了营运能力。四是管理风险,无论是哪种企业类型,如果在管理上或是对风险的事先控制上存在操作失误等问题都会带来金融风险,危及企业的生存和发展。
二、关于金融风险的预测与金融风险评估分析
1.金融风险预测分析
(1)对金融风险识别的认识。对于金融风险的预测最基本的是对风险有所识别,即能收集到造成风险损失的原因,影响因素的类别以及对于哪些具体风险应该事先有所考虑等方面的认识,而相对于类似的市场、信用或是流动等风险,则有具体的预测指标和内容。比如信用风险,可以通过过往的信用状况,盈利能力,资本,担保物以及行业环境等因素来进行事先的预测,而流动风险则可以通过流动性比例,其中企业一般需要超过百分之百的比例,银行是不小于百分之二十五的比例,另外还有贷款比例,超额备付金以及定资金比率等指标来对风险进行预测。
(2)关于金融风险预测方法分析。对于金融风险预测一般方式可以通过一是风险因素识别,比如一项工业投资活动,包括对生产的工艺、原材料,操作条件做大致的了解,掌握风险源。二是关于金融投资项目事件的前后关联性进行预测和分析。三是金融风险调查分析,涉及到财务报表和其他经济数据的分析,但由于任何一种风险预测方式都不能全面的指出风险的类别和程度,而且也不能通过一两次的调查和分析,得出所存在的具体风险,因此要结合风险单位的性质、规模和结合多种方式,对复杂和深层次的风险进行认识和预测。
除此之外应用较多的还有马尔科夫的预测方法,主要作用于对贷款的回收率和商品市场的占有率预测,由此看出它既适用于金融机构,也适用于非金融机构,这种方式主要是通过运用统计学中的概率原理,发现投资者应按照合理的比例来进行不同的投资,分散风险。另外对贷款回收率的预测一是假定预测对象可能存在的状况是不变的,二是假定贷款的条款不变,三是仅仅与前一期的回款情况相关,在这些条件的基础上,起到了帮助投资者有效的规避风险的作用。根据这种分析方式可以发现,对金融风险的预测需要科学的分析工具,并加大对金融信息的收集和研究,才能得到较为准确的预测结果。
2.金融风险评估分析
(1)明确风险评估的指标。对于金融机构而言一是确认资产的质量,是否具有一定的资金流动性和能保证生存以及发展的能力,是否存在不良贷款的情况,另外资金有充足的金融机构也并不表达其流动性的水平很高,如果流动性剩余较多反而也会影响到资金的盈利能力,所以要有度的评估。二是收益的合理性,对于金融机构而言,收益是否真实合理是判断其盈利能力和抵御风险的标准,同时其经营是否符合国家法律规范,是否存在违规操作和具有潜在的支付风险等因素也是衡量风险的指标。三是管理的健全性,在治理结构、审计以及内部控制的管理上是否有严格的制度和政策,这也是规避金融风险的有效指标。
除此之外,对于非金融机构的风险评估指标则需要结合宏观和微观两个层面进行,其中宏观方面主要考虑与宏观经济运行相关的金融指标,包括经济增长率、物价水平等内容,而微观体现在金融市场中供求关系的利率、汇率等方面,以及包含前文所述关于金融机构的财政状况方面的内容。
(2]关于金融风险评估的方法分析。主要针对金融机构的评估一是的加权评估方法,对可能影响或是引起金融风险的因素进行加权,通过计算对金融机构所存在的风险程度进行判断。比如对于得分低于50分的则为有问题的金融机构,其存在的风险程度较高,低于20分则被判断成有危险的金融机构,风险程度极高。二是通过特征值来进行评估,一般而言如果盈利能力、不良贷款率或是资产的流动性比例超过了同行业的平均水平或是监管局所定下的标准线,都属于存在一定风险的金融机构。同理非金融机构也可以采用类似的方法,设立金融风险等级,包括安全,基本安全,警惕以及危险,比如财政风险指标评估就是通过财政债务依存率,国债负担率以及财政收入占国民生产总值的比重,如果财政债务依存率大于五十则风险较大,国债负担率超过二十五代表危险,财政收入占国民生产总值的比重小于十五危险系数较大。
【关键词】:抵押房地产评估;形成机制;风险评价;风险管理;风险防范
一、房地产抵押存在风险的表现形式
1.1评估目的风险
评估的直接决定和制约着资产评估价值类型和方法选定,
以抵押为目的的评估价值类型是抵押价值。《规范》要求:房地产抵押价值的评估,可参照设定抵押权时的类此房地产的正常市长价格进行,但应在估价报告中说明未来市场变化风险和短期强制处分等因素对抵押价值的影响。以抵押为目的的房地产评估要注意以下风险:
1、1、1预测风险。因为房地产抵押评估价值是当时某一时点的价值,而抵押期间一般会在一年以上,一旦发生处分清偿,处置价值是在未来某一时点价值。因此,在评估时,对预期会降低评估价值的因素要充分考虑,而对预期不确定的收益或升值因素较少或不予考虑。
1、1、2市场变现能力风险。抵押权人实现抵押房地产回收时大多数是将抵押房地产变卖,而不是回收实物;并且由于宏观经济形势、产业政策、市场变化等因素影响,抵押价值也相应变动。尤其对有价无市的房地产要进行分析,降低因不能及时变现的市场风险。
1、2抵押评估方法选择带来的风险
抵押房地产评估方法根据房地产具体情况一般采取成本法、市场比较法、收益法或假设开发评估法进行评估。采取不同评估方法所评估的结果从本质上讲是一致的,均能反映房地产公开市场的公允价值,但由于各种评估方法在评估过程中所选定的参数和考虑的因素均不相同,也会造成抵押评估价值的高低风险。如:以收益法评估商业用途的房地产价值时,在测定收益率时,会因确定的收益率微小变化造成房地产评估价值结果很大的差异;以假设开发评估在建工程的价值时,建成的房地产价值、后续工程成本、销售税费等参数均需要进行科学的预测,预测结果的真实来自于要有一个完善透明的房地产市场才能实现,但由于房地产市场很不完善及行业内相关信息资料相互共享不够透明和有效,存在着采用不同评估结果高低风险。
1、3评估人员执业风险
在我国,房地产估价是一项新兴服务行业,也是对专业技术要求较高的行业。它要求评估师不仅要熟悉掌握评估专业知识,而且要求评估师要具备广泛的经济、法律、金融、建筑、财务及管理等方面知识。由于行业的规范和管理正在探寻阶段和估价人员执业水平的参差不齐,对评估原则、评估方法、技术参数及相关因素的选择、评估信息资料真实性的甄别、评估人员的执业能力和经验不足及价值含意的把握等都将影响评估结果的科学性和真实性,也都增加了执业风险。
1、4职业道德风险
房地产评估公司是公正性的中介服务机构,对所出具的评估报告承担法律责任。在房地产抵押评估过程中,评估机构和评估人员应恪守职业道德、遵循独立、公平、公正、公开的原则。但当前,个别房地产评估公司和评估人员出于自身私利目的或委托方需求,故意提高抵押房地产价值,提供虚假评估报告,导致评估结果失真,职业道德意识淡薄造成了抵押人员利益的潜在损失风险。
2、房地产抵押的风险
2、1认识误区。房地产抵押贷款是在借款人的偿还能力即第一还款来源之外,以房地产抵押物代偿为条件设置了第二还款来源。这种贷款方式从理论上讲比第一种多了一道风险屏障,当第一还款来源出现问题,借款人无法用正常经营活动所产生的现金流来归还贷款时,银行可通过处置抵押物获得补偿。因此,从这一意义出发,房地产抵押物在降低贷款风险、减少贷款损失方面发挥着重要作用。而不少信贷人员正是从这一认识出发,把借款人能否提供抵押物作为能否贷款的主要依据,而不注重对借款人的偿付能力进行分析。
2、2操作风险。银行操作上的缺陷也是引发房地产抵押贷款风险的重要原因。
2、2、1抵押物产权存在瑕疵造成的风险。抵押物虽然通过特殊方式取得了所有权证,但没有相应完善的程序和手续;抵押物存在产权纠纷或债权债务纠纷;占有形式不合规。如办理房产或地产抵押时,房产与地产分离,没有同时进行抵押登记,一旦所占用的土地用途发生变动时,抵押房产的价值将灭失;抵押权被悬空。如开发商以无定着物的土地使用权作抵押取得贷款,用于该地块上的房产开发,随着商品房的完工出售,开发商可以轻而易举地将售房款转移,最终使抵押权悬空;抵押权灭失。如《城市房地产管理法》对以出让方式取得土地使用权进行房地产开发的土地有动工期限限制,超过出让合同约定的时间可以加征土地闲置费甚至无偿收回土地使用权。依此规定,土地长期闲置不用超过一年的,无疑会增加处置成本,削弱还贷能力,更为严重的是,一旦闲置期届满两年,土地使用权被国家无偿收回,抵押物就不复存在;抵押权难以实现。根据《城市房地产管理法》规定,以出让方式取得土地使用权的,必须按照出让合同的约定进行投资开发,达不到法定转让条件的均不得转让。显然,面对这样的土地使用权,银行即使维权成功,也只能够以折价形式受偿,但问题还在于受偿以后抵债土地使用权如何处理。
2、2、3抵押物的价值风险。
(1)抵押物市场价值减值风险。抵押物市场价值减值主要分四种情况:一是远离城区的企业以土地、厂房设备抵押,抵押物重置价值与市场变现价值相差大;另一种是外部环境变化引起的抵押物减值。如用城区土地抵押,由于城市规划的调整或抵押物所处地区的功能环境的改变,也会使抵押物市场价值减值;第三是部分用专用性很强的抵押物如厂房、职工宿舍楼,交易市场狭窄,变现能力很差;第四种是功能性减值,如用机器设备抵押的,由于技术进步和设备的加速损耗,造成抵押物市场价值减值。
(2)现行抵押率计算方法已不能有效控制风险。一是当前的抵押物评估价值经常被高估,即使不被高估,反映的也是市场价值,而不是变现价值,变现价值往往与市场价值存在较大差距;二是确定抵押率时,未从评估价值中扣除实现抵押权所需发生的费用,如诉讼费、评估费、资产保全费、产权过户费、处置费等,而这些费用所占抵押物价值的比例甚大。
2、2、4社会经济环境不规范形成的风险。一是现有的法律、法规对咨询评估机构的评估失真责任追究不严,为虚假评估报告提供了生存空间;二是政府职能管理部门存在管理上的漏洞,不具备产权办理条件的,通过特殊关系可以办理产权C明。不符合抵押登记条件的,办理了抵押登记手续;三是地方保护主义的影响,银行在实现抵押权时,法院裁定用于抵偿债务的抵押物价值往往偏高,且未考虑偿债物处置变现的相关费用。
3、房地产抵押风险的防范及对策
3、1进一步完善抵押贷款管理办法。对抵押物件进行细分,明确规范不宜作抵押物的统一标准。房地产抵押物的选择,应牢牢把握"坚固耐用,不易毁损;通用性强,容易变现;价值稳定,不易贬值"二十四字原则。
3、2加强银行内部管理,规范业务操作程序。信贷人员要到现场核实抵押物真实状况,到有关职能部门核实产权档案情况;法规部门要严格审核抵押物权证的合规合法性;咨询部门要重新评估确认抵押物价值。
3、4建立与规划、城建、房管、国土、工商等职能部门的联系机制,及时了解抵押物是否存在缺陷,是否存在变动,是否存在重复抵押等情况。
3、5严格审查抵押人资格及抵押房地产的有效性。要审查抵押人是否是《担保法》、《房地产管理法》等规定的不得作为抵押人的几种情形,是否有法人资格或是否具有完全民事行为能力的自然人、是否是体制改革后可以作为抵押人的事业法人。
3、6严格完善房地产抵押登记手续。房地产抵押合同自登记之日起生效。在房地产抵押过程中,应严格核实抵押房地产的情况,在进行抵押房地产评估后,在县以上地方人民政府规定的房地产产权管理部门办理登记手续。抵押登记期限一般以评估报告的效期为限,但往往借款期限长于抵押登记期限,这就要求债权人在登记到期日前重新办理评估和登记手续,才能完善房地产抵押合同的法律延续性和有效性,保证债权人的合法利益和风险可控。
3、7加强法律、法规、政策的信息收集,及时了解各种有关抵押担保上的新的司法解释、抵押管理办法和政策。
3、8认真进行实地勘察、收集、整理和分析相关资料。实地勘察是依据抵押房地产产权证明和相关资料到实地验证和勘察,从而确定影响房地产价值的主要因素,主要包括:房地产所出位置和交通条件、周围环境质量及配套设施等区域因素;房地产的建筑结构类型、内外装修、设施设备、朝向楼层及完损程度等个别因素;了解当地房地产市场行情,掌握市场交易信息;实地拍照、收集资料等。
3、9 综合分析评估过程,慎重确定评估结果。明确了评估对象之后,应选定拟采用的评估方法。由于采用的评估方法不同,计算出的评估额不同是很自然的。无论采取何种评估方法都要对整个评估过程在基础数据是否准确、参数选择是否合理、公式选用是否恰当、影响因素是否齐全及是否符合评估原则等方面进行检查,在确定所选用的评估方法估算出的结果无误后,对市场行情和潜力进行综合分析,最终决定评估价格。
4.结语
综上所述,本文针对在房地产抵押评估过程中面临的一些风险进行了罗列,并提出了相应的防范措施,根据实际的房地产抵押评估的操作来从对于抵押人主体资格的审核等多个方面进行分析,以期能引起相关部门的思考。
参考文献:
[1]刘卓群 建设银行佳木斯分行中间业务部
论文关健词:应用流分析;风险评估;流量分组
论文摘要:针对网络中的各种应用服务的识别检测,采用应用层协议签名的流量识别技术和流量分组技术,实现网络应用流的分析和风险评估系统——RAS,提出基于流量分组技术的应用流风险评估模型。该系统为网络资源分配和网络安全的预测提供有价值的依据。实验结果表明,TARAS系统具有良好的流量分析效率和风险评估准确性。
1概述
基于互联网的新技术、新应用模式及需求,为网络的管理带来了挑战:(1)关键应用得不到保障,OA, ERP等关键业务与BT,QQ等争夺有限的广域网资源;(2)网络中存在大量不安全因素,据CNCERT/CC获得的数据表明,2006年上半年约有14万台中国大陆主机感染过Beagle和Slammer蠕虫;(3)传统流量分析方法已无法有效地应对新的网络技术、动态端口和多会话等应用,使得传统的基于端口的流量监控方法失去了作用。
如何有效地掌握网络运行状态、合理分配网络资源,成为网络管理者们的当务之急。针对以上需求,作者设计并实现了一套网络应用流分析与风险评估系统(Traffic Analysis and Risk Assessment System, TARAS)。
当前,网络流量异常监测主要基于TCP/IP协议。文献[5]提出使用基于协议签名的方法识别应用层协议。本系统采用了应用层协议签名的流量分析技术,这是目前应用流分析最新技术。然而,简单的流量分析并不能确定网络运行状态是否安全。因此,在流量分析的基础上,本文提出了应用流风险评估模型。该模型使用流量分组技术从定量和定性两方面对应用流进行风险评估,使网络运行状态安全与杏这个不确定性问题得到定性评估,这是当前网络管理领域需要的。
2流量分析模型
目前应用流识别技术有很多,本文提出的流量识别方法是对Subhabrata Sen提出的应用协议特征方法的改进。针对种类繁多的应用层协议采用了两级匹配结构,提高效率。
应用识别模块在Linux环境下使用Libpcap开发库,通过旁路监听的方式实现。在设计的时候考虑到数据报文处理的效率,采用了类似于Linux下的NetFilter框架的设计方法,结构见图1。
采取上述流量识别框架的优点:(1)在对TCP报文头的查找中使用了哈希散列算法,提高了效率;(2)借鉴状态防火墙的技术,使用面向流(flow)的识别技术,对每个TCP连接的只分析识别前10个报文,对于该连接后续的数据报文则直接查找哈希表进行分类,这样避免了分析每个报文带来的效率瓶颈;(3)模式匹配模块的设计使得可扩展性较好。
在匹配模块设计过程中,笔者发现如果所有的协议都按照基于协议特征的方式匹配,那么随着协议数量的增大,效率又会成为一个需要解决的问题。
因此,在设计应用流识别模块时,笔者首先考虑到传输层端口与网络应用流之间的联系,虽然两者之间没有绝对固定的对应关系,但是它们之间存在着制约,比如:QQ协议的服务器端口基本不会出现在80, 8000, 4000以外的端口;HTTP协议基本不会出现在80, 443, 8080以外的端口等,因此,本文在流量分析过程中首先将一部分固定端口的协议使用端口散列判断进行预分类,提高匹配效率。
对于端口不固定的应用流识别,采用两级的结构。将最近经常检测到的业务流量放在常用流量识别子模块里面,这样可以提高查找的速度。另外,不同的网络环境所常用的网络应用流也不同,因此,也没有必要在协议特征库中大范围查找。两级查询匹配保证了模型对网络环境的自适应性,它能够随着网络环境的改变以及网络应用的变化而改变自己的查询策略,但不降低匹配效率。应用流识别子模块的设计具体结构见图2。
3风险评估模型
本文采用基于流量分组技术的风险评估方法。流量分组的目的是为流量的安全评估提供数据。
3.1应用流的分组
网络应用种类多、变化频度高,这给应用流的评估带来了麻烦,如果要综合考虑每一种应用流对网络带来的影响,显然工作量是难以完成的。因此,本文引入应用流分组的概念。应用流分组的目的是从网络环境和安全角度的考虑,将识别后的流量进行归类分组。笔者在长期实验过程中,根据应用的重要性、对网络的占用率、对网络的威胁性等因素得到一个较为合理的分组规则,即将网络流量分为:关键业务,传统流量,P2P及流媒体,攻击流,其他5类。应用流分组确定了流量评估的维度,这样有利于提高评估的效率。表1列举了部分应用流的分组。
应用流分组模块有2个功能。首先是将检测到的各种应用流量按照表1中的分组归类,并计算各分组应用流量的大小、连接数目、通信主机数目3个方面的信息,并以一定的时间周期向流量安全评估模块传送数据。另外一个是在安全事件出现时,向安全响应模块提供异常应用流名称和其他相关信息。应用流分组模块的输入是各应用流的流量大小,而输出有2个:
(1)整个网络的流量分布矩阵。
(2)异常主机流量分组中的成份。
笔者引入流量矩阵的概念。流量矩阵A的数学定义为
其中,aij表示第i台主机的第j组流量的大小,aij的单位为实际流量的单位大小。流量矩阵反映了网络中信息流动的整体情况。
由于TCP/IP协议的广泛应用,网络流量中的绝大部分使用基于TCP的传输层协议,因此传输层的网络连接数也在一定程度上反映了网络流量的情况。定义网络连接数矩阵为
其中,Lij表示第i台主机第J组应用流的网络连接数。
在网络通信过程中,每个流量分组的通信主机数量具有参考价值,在此引入通信主机数量矩阵,数学描述为
其中,hij为表示某一分组流量的通信主机数目。
另外,流量分组模块在接收到安全响应模块的请求时,会向其发送该异常网络节点的应用流类别信息。
信息内容为:主机IP地址,主机应用流分组名,应用流名称列表。
3.2应用流的风险评估
网络流量的特征是网络安全性的重要表现。本节主要描述网络用户流量的安全评估过程和机制。流量的安全评估实际上是网络风险评估过程的一部分。风险评估的方法有定量评估、定性评估和定性与定量结合的评估方法。在此本文借鉴风险评估定性与定量结合的方法设计流量的安全评估子模型。
本节首先确定该模型的评估的对象、指标和目标,评估的具体方法如下:
(1)流量安全评估的对象是每个网络节点的应用流分组。
(2)评估对象的定量指标分别是网络流量大小、网络连接数和网络通信主机数。
(3)评价的目标是确定各应用流的安全性。
(4)评估方法是以先定量后定性的方法为原则,具体方法如下:
1)制定各分组流量的安全评估规则,为量化评估提供依据。
2)参照安全评估规则,根据3个量化指标评价网络用户流量的安全性,并得到安全评分。
3)根据安全性评价集,将量化后的安全评分指标定性化。另外,对于攻击流进行特别评估,并且当出现攻击流时,攻击流安全等级代表主机安全等级。
安全评估子模型的结构如图3所示。
3.2.1各分组流量的安全定量评价
对于不同分组的通信行为和流量特点,本模块采用分指标量化评估的方法进行安全评估。表2中各指标的安全性划分是根据实验得出的结论。
对于各流量安全评估节点,A各节点应用分组流量的集合;L为网络连接的集合;H是各节点通信主机数集合;Sij是各节点量化评估的结果集合。定义安全评估函数F(A,L,H)=Sij(1≤ i ≤ n, 1≤ j ≤ 5),用于表示目标节点流量安全评估的量化结果,从而实现对目标安全状况的定量分析。
将该评价方法设为F则该过程可用数学描述如下:
其中,Sij为各网络节点中应用流分组的安全评分。
3.2.2流量安全定性评价
量化后的安全评分对与安全程度的描述仍然有很大的不确定性,因此,需要将安全评分定性化以确定其所在的安全级别。每个安全级别确定安全分数以及对于攻击流的安全等级划分如表3—表5所示。
以上5个安全等级对于流量的安全性的区分如下:
(1)安全状态表明该分组流量属于正常情况;
(2)可疑状态表明该分组流量中有可疑成分或流量大小超过正常情况;
(3)威胁状态表明该类流量威胁到网络的正常运行和使用;
(4)危险状态主要指该分组流量危害网络的正常运行;
(5)高危状态表明该类分组的流量成分已严重危害网络正常运行。
量化安全评分经过定性划分后可以得到一个定性的流量安全评估矩阵Th,将该过程用运算h表示为
其中,Tij为第i台主机第j组应用流的安全等级。
4实验结果
4.1应用流的识别率
由于TARAS系统能够识别多种应用流量,因此识别算法的准确性是一个重要的指标。网络环境重的各种因素以及网络应用协议特征不断变化等原因,TARAS系统对应用流的识别存在漏报和误报的间题。应用流的识别率见表6。由表6的统计数据可以看到,TARAS对各种协议的识别存在漏报和误报的情况。具体来看,eMule应用由于大量使用UDP传输数据,因此识别率不高。另外,http协议通常使用传输层80端口,但这个端口也被QQ和MSN 2个聊天软件使用,除此之外一些木马后门程序为了防止防火墙的封杀也往往使用该端口,因此,在识别过程中http协议会产生误报,即将非http协议数据也当作http协议计算。
4.2应用流的风险评估
为了测试TARAS系统风险评估的准确性,笔者在拥有8台主机的局域网中做相关测试,并以其中3台(主机17、主机77和主机177)进行实验。局域网内8台主机各应用分组流量状况如表7所示。关键业务和其他应用的分组流量为0。
主机17使用传统应用FTP执行下载任务,其他流量分组中无或只有极少流量,从表7可以看出,该主机的传统应用分组流量达到2 Mb/s,此时传统应用流量分组应该达到威胁级别,而其他分组应该都是安全级别,主机的总体评价为安全。主机77不断受到Nimda蠕虫病毒的攻击,从表7可以发现,该主机高危分组的流量为2 048 kb/s,此时该分组应该达到高危级别,而其他分组由于流量为0因此为安全,主机的总体评价为高危。主机177使用BT进行下载,并使其流量达到1 536 kb/s,根据风险评估策略,该主机的P2P及流媒体分组应该达到威胁级别,其他分组应该都是安全级别,主机的总体评价为安全。表8为TETRAS系统对表7所示流量状况进行评估所得的风险评估结果。
对比表7和表8可以发现,TARAS系统能够正确地对网络中各主机流量状况进行风险评估。同时该实验结果也证实:虽然TARAS系统对于应用流的识别存在一定误差,但是该误差没有严重影响网络运行状况和风险级别安全,误差在可接受范围内。
5结束语
本文针对当前网络管理面临的问题,将应用流成份分析和风险评估引入到网络流量分析和评估领域中,设计并实现了应用流分析和评估系统——TARAS。该系统主要解决网络流量管理中的2个问题:
论文关健词:应用流分析;风险评估;流量分组
论文摘要:针对网络中的各种应用服务的识别检测,采用应用层协议签名的流量识别技术和流量分组技术,实现网络应用流的分析和风险评估系统——ras,提出基于流量分组技术的应用流风险评估模型。该系统为网络资源分配和网络安全的预测提供有价值的依据。实验结果表明,taras系统具有良好的流量分析效率和风险评估准确性。
1概述
基于互联网的新技术、新应用模式及需求,为网络的管理带来了挑战:(1)关键应用得不到保障,oa, erp等关键业务与bt,qq等争夺有限的广域网资源;(2)网络中存在大量不安全因素,据cncert/cc获得的数据表明,2006年上半年约有14万台中国大陆主机感染过beagle和slammer蠕虫;(3)传统流量分析方法已无法有效地应对新的网络技术、动态端口和多会话等应用,使得传统的基于端口的流量监控方法失去了作用。
如何有效地掌握网络运行状态、合理分配网络资源,成为网络管理者们的当务之急。针对以上需求,作者设计并实现了一套网络应用流分析与风险评估系统(traffic analysis and risk assessment system, taras)。
当前,网络流量异常监测主要基于tcp/ip协议。文献[5]提出使用基于协议签名的方法识别应用层协议。本系统采用了应用层协议签名的流量分析技术,这是目前应用流分析最新技术。然而,简单的流量分析并不能确定网络运行状态是否安全。因此,在流量分析的基础上,本文提出了应用流风险评估模型。该模型使用流量分组技术从定量和定性两方面对应用流进行风险评估,使网络运行状态安全与杏这个不确定性问题得到定性评估,这是当前网络管理领域需要的。
2流量分析模型
目前应用流识别技术有很多,本文提出的流量识别方法是对subhabrata sen提出的应用协议特征方法的改进。针对种类繁多的应用层协议采用了两级匹配结构,提高效率。
应用识别模块在linux环境下使用libpcap开发库,通过旁路监听的方式实现。在设计的时候考虑到数据报文处理的效率,采用了类似于linux下的netfilter框架的设计方法,结构见图1。
采取上述流量识别框架的优点:(1)在对tcp报文头的查找中使用了哈希散列算法,提高了效率;(2)借鉴状态防火墙的技术,使用面向流(flow)的识别技术,对每个tcp连接的只分析识别前10个报文,对于该连接后续的数据报文则直接查找哈希表进行分类,这样避免了分析每个报文带来的效率瓶颈;(3)模式匹配模块的设计使得可扩展性较好。
在匹配模块设计过程中,笔者发现如果所有的协议都按照基于协议特征的方式匹配,那么随着协议数量的增大,效率又会成为一个需要解决的问题。
因此,在设计应用流识别模块时,笔者首先考虑到传输层端口与网络应用流之间的联系,虽然两者之间没有绝对固定的对应关系,但是它们之间存在着制约,比如:qq协议的服务器端口基本不会出现在80, 8000, 4000以外的端口;http协议基本不会出现在80, 443, 8080以外的端口等,因此,本文在流量分析过程中首先将一部分固定端口的协议使用端口散列判断进行预分类,提高匹配效率。
对于端口不固定的应用流识别,采用两级的结构。将最近经常检测到的业务流量放在常用流量识别子模块里面,这样可以提高查找的速度。另外,不同的网络环境所常用的网络应用流也不同,因此,也没有必要在协议特征库中大范围查找。两级查询匹配保证了模型对网络环境的自适应性,它能够随着网络环境的改变以及网络应用的变化而改变自己的查询策略,但不降低匹配效率。应用流识别子模块的设计具体结构见图2。
3风险评估模型
本文采用基于流量分组技术的风险评估方法。流量分组的目的是为流量的安全评估提供数据。
3.1应用流的分组
网络应用种类多、变化频度高,这给应用流的评估带来了麻烦,如果要综合考虑每一种应用流对网络带来的影响,显然工作量是难以完成的。因此,本文引入应用流分组的概念。应用流分组的目的是从网络环境和安全角度的考虑,将识别后的流量进行归类分组。笔者在长期实验过程中,根据应用的重要性、对网络的占用率、对网络的威胁性等因素得到一个较为合理的分组规则,即将网络流量分为:关键业务,传统流量,p2p及流媒体,攻击流,其他5类。应用流分组确定了流量评估的维度,这样有利于提高评估的效率。表1列举了部分应用流的分组。
应用流分组模块有2个功能。首先是将检测到的各种应用流量按照表1中的分组归类,并计算各分组应用流量的大小、连接数目、通信主机数目3个方面的信息,并以一定的时间周期向流量安全评估模块传送数据。另外一个是在安全事件出现时,向安全响应模块提供异常应用流名称和其他相关信息。应用流分组模块的输入是各应用流的流量大小,而输出有2个:
(1)整个网络的流量分布矩阵。
(2)异常主机流量分组中的成份。
笔者引入流量矩阵的概念。流量矩阵a的数学定义为
其中,aij表示第i台主机的第j组流量的大小,aij的单位为实际流量的单位大小。流量矩阵反映了网络中信息流动的整体情况。
由于tcp/ip协议的广泛应用,网络流量中的绝大部分使用基于tcp的传输层协议,因此传输层的网络连接数也在一定程度上反映了网络流量的情况。定义网络连接数矩阵为
其中,lij表示第i台主机第j组应用流的网络连接数。
在网络通信过程中,每个流量分组的通信主机数量具有参考价值,在此引入通信主机数量矩阵,数学描述为
其中,hij为表示某一分组流量的通信主机数目。
另外,流量分组模块在接收到安全响应模块的请求时,会向其发送该异常网络节点的应用流类别信息。
信息内容为:主机ip地址,主机应用流分组名,应用流名称列表。
3.2应用流的风险评估
网络流量的特征是网络安全性的重要表现。本节主要描述网络用户流量的安全评估过程和机制。流量的安全评估实际上是网络风险评估过程的一部分。风险评估的方法有定量评估、定性评估和定性与定量结合的评估方法。在此本文借鉴风险评估定性与定量结合的方法设计流量的安全评估子模型。
本节首先确定该模型的评估的对象、指标和目标,评估的具体方法如下:
(1)流量安全评估的对象是每个网络节点的应用流分组。
(2)评估对象的定量指标分别是网络流量大小、网络连接数和网络通信主机数。
(3)评价的目标是确定各应用流的安全性。
(4)评估方法是以先定量后定性的方法为原则,具体方法如下:
1)制定各分组流量的安全评估规则,为量化评估提供依据。
2)参照安全评估规则,根据3个量化指标评价网络用户流量的安全性,并得到安全评分。
3)根据安全性评价集,将量化后的安全评分指标定性化。另外,对于攻击流进行特别评估,并且当出现攻击流时,攻击流安全等级代表主机安全等级。
安全评估子模型的结构如图3所示。
3.2.1各分组流量的安全定量评价
对于不同分组的通信行为和流量特点,本模块采用分指标量化评估的方法进行安全评估。表2中各指标的安全性划分是根据实验得出的结论。
对于各流量安全评估节点,a各节点应用分组流量的集合;l为网络连接的集合;h是各节点通信主机数集合;sij是各节点量化评估的结果集合。定义安全评估函数f(a,l,h)=sij(1≤ i ≤ n, 1≤ j ≤ 5),用于表示目标节点流量安全评估的量化结果,从而实现对目标安全状况的定量分析。
将该评价方法设为f则该过程可用数学描述如下:
其中,sij为各网络节点中应用流分组的安全评分。
3.2.2流量安全定性评价
量化后的安全评分对与安全程度的描述仍然有很大的不确定性,因此,需要将安全评分定性化以确定其所在的安全级别。每个安全级别确定安全分数以及对于攻击流的安全等级划分如表3—表5所示。
以上5个安全等级对于流量的安全性的区分如下:
(1)安全状态表明该分组流量属于正常情况;
(2)可疑状态表明该分组流量中有可疑成分或流量大小超过正常情况;
(3)威胁状态表明该类流量威胁到网络的正常运行和使用;
(4)危险状态主要指该分组流量危害网络的正常运行;
(5)高危状态表明该类分组的流量成分已严重危害网络正常运行。
量化安全评分经过定性划分后可以得到一个定性的流量安全评估矩阵th,将该过程用运算h表示为
其中,tij为第i台主机第j组应用流的安全等级。
4实验结果
4.1应用流的识别率
由于taras系统能够识别多种应用流量,因此识别算法的准确性是一个重要的指标。网络环境重的各种因素以及网络应用协议特征不断变化等原因,taras系统对应用流的识别存在漏报和误报的间题。应用流的识别率见表6。由表6的统计数据可以看到,taras对各种协议的识别存在漏报和误报的情况。具体来看,emule应用由于大量使用udp传输数据,因此识别率不高。另外,http协议通常使用传输层80端口,但这个端口也被qq和msn 2个聊天软件使用,除此之外一些木马后门程序为了防止防火墙的封杀也往往使用该端口,因此,在识别过程中http协议会产生误报,即将非http协议数据也当作http协议计算。
4.2应用流的风险评估
为了测试taras系统风险评估的准确性,笔者在拥有8台主机的局域网中做相关测试,并以其中3台(主机17、主机77和主机177)进行实验。局域网内8台主机各应用分组流量状况如表7所示。关键业务和其他应用的分组流量为0。
主机17使用传统应用ftp执行下载任务,其他流量分组中无或只有极少流量,从表7可以看出,该主机的传统应用分组流量达到2 mb/s,此时传统应用流量分组应该达到威胁级别,而其他分组应该都是安全级别,主机的总体评价为安全。主机77不断受到nimda蠕虫病毒的攻击,从表7可以发现,该主机高危分组的流量为2 048 kb/s,此时该分组应该达到高危级别,而其他分组由于流量为0因此为安全,主机的总体评价为高危。主机177使用bt进行下载,并使其流量达到1 536 kb/s,根据风险评估策略,该主机的p2p及流媒体分组应该达到威胁级别,其他分组应该都是安全级别,主机的总体评价为安全。表8为tetras系统对表7所示流量状况进行评估所得的风险评估结果。
对比表7和表8可以发现,taras系统能够正确地对网络中各主机流量状况进行风险评估。同时该实验结果也证实:虽然taras系统对于应用流的识别存在一定误差,但是该误差没有严重影响网络运行状况和风险级别安全,误差在可接受范围内。
5结束语
本文针对当前网络管理面临的问题,将应用流成份分析和风险评估引入到网络流量分析和评估领域中,设计并实现了应用流分析和评估系统——taras。该系统主要解决网络流量管理中的2个问题:
论文关健词:应用流分析;风险评估;流量分组
论文摘要:针对网络中的各种应用服务的识别检测,采用应用层协议签名的流量识别技术和流量分组技术,实现网络应用流的分析和风险评估系统——ras,提出基于流量分组技术的应用流风险评估模型。该系统为网络资源分配和网络安全的预测提供有价值的依据。实验结果表明,taras系统具有良好的流量分析效率和风险评估准确性。
1概述
基于互联网的新技术、新应用模式及需求,为网络的管理带来了挑战:(1)关键应用得不到保障,oa,erp等关键业务与bt,qq等争夺有限的广域网资源;(2)网络中存在大量不安全因素,据cncert/cc获得的数据表明,2006年上半年约有14万台中国大陆主机感染过beagle和slammer蠕虫;(3)传统流量分析方法已无法有效地应对新的网络技术、动态端口和多会话等应用,使得传统的基于端口的流量监控方法失去了作用。WWw.133229.COm
如何有效地掌握网络运行状态、合理分配网络资源,成为网络管理者们的当务之急。针对以上需求,作者设计并实现了一套网络应用流分析与风险评估系统(trafficanalysisandriskassessmentsystem,taras)。
当前,网络流量异常监测主要基于tcp/ip协议。文献[5]提出使用基于协议签名的方法识别应用层协议。本系统采用了应用层协议签名的流量分析技术,这是目前应用流分析最新技术。然而,简单的流量分析并不能确定网络运行状态是否安全。因此,在流量分析的基础上,本文提出了应用流风险评估模型。该模型使用流量分组技术从定量和定性两方面对应用流进行风险评估,使网络运行状态安全与杏这个不确定性问题得到定性评估,这是当前网络管理领域需要的。
2流量分析模型
目前应用流识别技术有很多,本文提出的流量识别方法是对subhabratasen提出的应用协议特征方法的改进。针对种类繁多的应用层协议采用了两级匹配结构,提高效率。
应用识别模块在linux环境下使用libpcap开发库,通过旁路监听的方式实现。在设计的时候考虑到数据报文处理的效率,采用了类似于linux下的netfilter框架的设计方法,结构见图1。
采取上述流量识别框架的优点:(1)在对tcp报文头的查找中使用了哈希散列算法,提高了效率;(2)借鉴状态防火墙的技术,使用面向流(flow)的识别技术,对每个tcp连接的只分析识别前10个报文,对于该连接后续的数据报文则直接查找哈希表进行分类,这样避免了分析每个报文带来的效率瓶颈;(3)模式匹配模块的设计使得可扩展性较好。
在匹配模块设计过程中,笔者发现如果所有的协议都按照基于协议特征的方式匹配,那么随着协议数量的增大,效率又会成为一个需要解决的问题。
因此,在设计应用流识别模块时,笔者首先考虑到传输层端口与网络应用流之间的联系,虽然两者之间没有绝对固定的对应关系,但是它们之间存在着制约,比如:qq协议的服务器端口基本不会出现在80,8000,4000以外的端口;http协议基本不会出现在80,443,8080以外的端口等,因此,本文在流量分析过程中首先将一部分固定端口的协议使用端口散列判断进行预分类,提高匹配效率。
对于端口不固定的应用流识别,采用两级的结构。将最近经常检测到的业务流量放在常用流量识别子模块里面,这样可以提高查找的速度。另外,不同的网络环境所常用的网络应用流也不同,因此,也没有必要在协议特征库中大范围查找。两级查询匹配保证了模型对网络环境的自适应性,它能够随着网络环境的改变以及网络应用的变化而改变自己的查询策略,但不降低匹配效率。应用流识别子模块的设计具体结构见图2。
3风险评估模型
本文采用基于流量分组技术的风险评估方法。流量分组的目的是为流量的安全评估提供数据。
3.1应用流的分组
网络应用种类多、变化频度高,这给应用流的评估带来了麻烦,如果要综合考虑每一种应用流对网络带来的影响,显然工作量是难以完成的。因此,本文引入应用流分组的概念。应用流分组的目的是从网络环境和安全角度的考虑,将识别后的流量进行归类分组。笔者在长期实验过程中,根据应用的重要性、对网络的占用率、对网络的威胁性等因素得到一个较为合理的分组规则,即将网络流量分为:关键业务,传统流量,p2p及流媒体,攻击流,其他5类。应用流分组确定了流量评估的维度,这样有利于提高评估的效率。表1列举了部分应用流的分组。
应用流分组模块有2个功能。首先是将检测到的各种应用流量按照表1中的分组归类,并计算各分组应用流量的大小、连接数目、通信主机数目3个方面的信息,并以一定的时间周期向流量安全评估模块传送数据。另外一个是在安全事件出现时,向安全响应模块提供异常应用流名称和其他相关信息。应用流分组模块的输入是各应用流的流量大小,而输出有2个:
(1)整个网络的流量分布矩阵。
(2)异常主机流量分组中的成份。
笔者引入流量矩阵的概念。流量矩阵a的数学定义为
其中,aij表示第i台主机的第j组流量的大小,aij的单位为实际流量的单位大小。流量矩阵反映了网络中信息流动的整体情况。
由于tcp/ip协议的广泛应用,网络流量中的绝大部分使用基于tcp的传输层协议,因此传输层的网络连接数也在一定程度上反映了网络流量的情况。定义网络连接数矩阵为
其中,lij表示第i台主机第j组应用流的网络连接数。
在网络通信过程中,每个流量分组的通信主机数量具有参考价值,在此引入通信主机数量矩阵,数学描述为
其中,hij为表示某一分组流量的通信主机数目。
另外,流量分组模块在接收到安全响应模块的请求时,会向其发送该异常网络节点的应用流类别信息。
信息内容为:主机ip地址,主机应用流分组名,应用流名称列表。
3.2应用流的风险评估
网络流量的特征是网络安全性的重要表现。本节主要描述网络用户流量的安全评估过程和机制。流量的安全评估实际上是网络风险评估过程的一部分。风险评估的方法有定量评估、定性评估和定性与定量结合的评估方法。在此本文借鉴风险评估定性与定量结合的方法设计流量的安全评估子模型。
本节首先确定该模型的评估的对象、指标和目标,评估的具体方法如下:
(1)流量安全评估的对象是每个网络节点的应用流分组。
(2)评估对象的定量指标分别是网络流量大小、网络连接数和网络通信主机数。
(3)评价的目标是确定各应用流的安全性。
(4)评估方法是以先定量后定性的方法为原则,具体方法如下:
1)制定各分组流量的安全评估规则,为量化评估提供依据。
2)参照安全评估规则,根据3个量化指标评价网络用户流量的安全性,并得到安全评分。
3)根据安全性评价集,将量化后的安全评分指标定性化。另外,对于攻击流进行特别评估,并且当出现攻击流时,攻击流安全等级代表主机安全等级。
安全评估子模型的结构如图3所示。
3.2.1各分组流量的安全定量评价
对于不同分组的通信行为和流量特点,本模块采用分指标量化评估的方法进行安全评估。表2中各指标的安全性划分是根据实验得出的结论。
对于各流量安全评估节点,a各节点应用分组流量的集合;l为网络连接的集合;h是各节点通信主机数集合;sij是各节点量化评估的结果集合。定义安全评估函数f(a,l,h)=sij(1≤i≤n,1≤j≤5),用于表示目标节点流量安全评估的量化结果,从而实现对目标安全状况的定量分析。
将该评价方法设为f则该过程可用数学描述如下:
其中,sij为各网络节点中应用流分组的安全评分。
3.2.2流量安全定性评价
量化后的安全评分对与安全程度的描述仍然有很大的不确定性,因此,需要将安全评分定性化以确定其所在的安全级别。每个安全级别确定安全分数以及对于攻击流的安全等级划分如表3—表5所示。
以上5个安全等级对于流量的安全性的区分如下:
(1)安全状态表明该分组流量属于正常情况;
(2)可疑状态表明该分组流量中有可疑成分或流量大小超过正常情况;
(3)威胁状态表明该类流量威胁到网络的正常运行和使用;
(4)危险状态主要指该分组流量危害网络的正常运行;
(5)高危状态表明该类分组的流量成分已严重危害网络正常运行。
量化安全评分经过定性划分后可以得到一个定性的流量安全评估矩阵th,将该过程用运算h表示为
其中,tij为第i台主机第j组应用流的安全等级。
4实验结果
4.1应用流的识别率
由于taras系统能够识别多种应用流量,因此识别算法的准确性是一个重要的指标。网络环境重的各种因素以及网络应用协议特征不断变化等原因,taras系统对应用流的识别存在漏报和误报的间题。应用流的识别率见表6。由表6的统计数据可以看到,taras对各种协议的识别存在漏报和误报的情况。具体来看,emule应用由于大量使用udp传输数据,因此识别率不高。另外,http协议通常使用传输层80端口,但这个端口也被qq和msn2个聊天软件使用,除此之外一些木马后门程序为了防止防火墙的封杀也往往使用该端口,因此,在识别过程中http协议会产生误报,即将非http协议数据也当作http协议计算。
4.2应用流的风险评估
为了测试taras系统风险评估的准确性,笔者在拥有8台主机的局域网中做相关测试,并以其中3台(主机17、主机77和主机177)进行实验。局域网内8台主机各应用分组流量状况如表7所示。关键业务和其他应用的分组流量为0。
主机17使用传统应用ftp执行下载任务,其他流量分组中无或只有极少流量,从表7可以看出,该主机的传统应用分组流量达到2mb/s,此时传统应用流量分组应该达到威胁级别,而其他分组应该都是安全级别,主机的总体评价为安全。主机77不断受到nimda蠕虫病毒的攻击,从表7可以发现,该主机高危分组的流量为2048kb/s,此时该分组应该达到高危级别,而其他分组由于流量为0因此为安全,主机的总体评价为高危。主机177使用bt进行下载,并使其流量达到1536kb/s,根据风险评估策略,该主机的p2p及流媒体分组应该达到威胁级别,其他分组应该都是安全级别,主机的总体评价为安全。表8为tetras系统对表7所示流量状况进行评估所得的风险评估结果。
对比表7和表8可以发现,taras系统能够正确地对网络中各主机流量状况进行风险评估。同时该实验结果也证实:虽然taras系统对于应用流的识别存在一定误差,但是该误差没有严重影响网络运行状况和风险级别安全,误差在可接受范围内。
5结束语
本文针对当前网络管理面临的问题,将应用流成份分析和风险评估引入到网络流量分析和评估领域中,设计并实现了应用流分析和评估系统——taras。该系统主要解决网络流量管理中的2个问题:
论文关健词:应用流分析;风险评估;流量分组
1概述
基于互联网的新技术、新应用模式及需求,为网络的管理带来了挑战:(1)关键应用得不到保障,OA,ERP等关键业务与BT,QQ等争夺有限的广域网资源;(2)网络中存在大量不安全因素,据CNCERT/CC获得的数据表明,2006年上半年约有14万台中国大陆主机感染过Beagle和Slammer蠕虫;(3)传统流量分析方法已无法有效地应对新的网络技术、动态端口和多会话等应用,使得传统的基于端口的流量监控方法失去了作用。
如何有效地掌握网络运行状态、合理分配网络资源,成为网络管理者们的当务之急。针对以上需求,作者设计并实现了一套网络应用流分析与风险评估系统(TrafficAnalysisandRiskAssessmentSystem,TARAS)。
当前,网络流量异常监测主要基于TCP/IP协议。文献[5]提出使用基于协议签名的方法识别应用层协议。本系统采用了应用层协议签名的流量分析技术,这是目前应用流分析最新技术。然而,简单的流量分析并不能确定网络运行状态是否安全。因此,在流量分析的基础上,本文提出了应用流风险评估模型。该模型使用流量分组技术从定量和定性两方面对应用流进行风险评估,使网络运行状态安全与杏这个不确定性问题得到定性评估,这是当前网络管理领域需要的。
2流量分析模型
目前应用流识别技术有很多,本文提出的流量识别方法是对SubhabrataSen提出的应用协议特征方法的改进。针对种类繁多的应用层协议采用了两级匹配结构,提高效率。
应用识别模块在Linux环境下使用Libpcap开发库,通过旁路监听的方式实现。在设计的时候考虑到数据报文处理的效率,采用了类似于Linux下的NetFilter框架的设计方法,结构见图1。
采取上述流量识别框架的优点:(1)在对TCP报文头的查找中使用了哈希散列算法,提高了效率;(2)借鉴状态防火墙的技术,使用面向流(flow)的识别技术,对每个TCP连接的只分析识别前10个报文,对于该连接后续的数据报文则直接查找哈希表进行分类,这样避免了分析每个报文带来的效率瓶颈;(3)模式匹配模块的设计使得可扩展性较好。
在匹配模块设计过程中,笔者发现如果所有的协议都按照基于协议特征的方式匹配,那么随着协议数量的增大,效率又会成为一个需要解决的问题。
因此,在设计应用流识别模块时,笔者首先考虑到传输层端口与网络应用流之间的联系,虽然两者之间没有绝对固定的对应关系,但是它们之间存在着制约,比如:QQ协议的服务器端口基本不会出现在80,8000,4000以外的端口;HTTP协议基本不会出现在80,443,8080以外的端口等,因此,本文在流量分析过程中首先将一部分固定端口的协议使用端口散列判断进行预分类,提高匹配效率。
对于端口不固定的应用流识别,采用两级的结构。将最近经常检测到的业务流量放在常用流量识别子模块里面,这样可以提高查找的速度。另外,不同的网络环境所常用的网络应用流也不同,因此,也没有必要在协议特征库中大范围查找。两级查询匹配保证了模型对网络环境的自适应性,它能够随着网络环境的改变以及网络应用的变化而改变自己的查询策略,但不降低匹配效率。应用流识别子模块的设计具体结构见图2。
3风险评估模型
本文采用基于流量分组技术的风险评估方法。流量分组的目的是为流量的安全评估提供数据。
3.1应用流的分组
网络应用种类多、变化频度高,这给应用流的评估带来了麻烦,如果要综合考虑每一种应用流对网络带来的影响,显然工作量是难以完成的。因此,本文引入应用流分组的概念。应用流分组的目的是从网络环境和安全角度的考虑,将识别后的流量进行归类分组。笔者在长期实验过程中,根据应用的重要性、对网络的占用率、对网络的威胁性等因素得到一个较为合理的分组规则,即将网络流量分为:关键业务,传统流量,P2P及流媒体,攻击流,其他5类。应用流分组确定了流量评估的维度,这样有利于提高评估的效率。表1列举了部分应用流的分组。
应用流分组模块有2个功能。首先是将检测到的各种应用流量按照表1中的分组归类,并计算各分组应用流量的大小、连接数目、通信主机数目3个方面的信息,并以一定的时间周期向流量安全评估模块传送数据。另外一个是在安全事件出现时,向安全响应模块提供异常应用流名称和其他相关信息。应用流分组模块的输入是各应用流的流量大小,而输出有2个:
(1)整个网络的流量分布矩阵。
(2)异常主机流量分组中的成份。
笔者引入流量矩阵的概念。流量矩阵A的数学定义为
其中,aij表示第i台主机的第j组流量的大小,aij的单位为实际流量的单位大小。流量矩阵反映了网络中信息流动的整体情况。
由于TCP/IP协议的广泛应用,网络流量中的绝大部分使用基于TCP的传输层协议,因此传输层的网络连接数也在一定程度上反映了网络流量的情况。定义网络连接数矩阵为
其中,Lij表示第i台主机第J组应用流的网络连接数。
在网络通信过程中,每个流量分组的通信主机数量具有参考价值,在此引入通信主机数量矩阵,数学描述为
其中,hij为表示某一分组流量的通信主机数目。
另外,流量分组模块在接收到安全响应模块的请求时,会向其发送该异常网络节点的应用流类别信息。
信息内容为:主机IP地址,主机应用流分组名,应用流名称列表。
3.2应用流的风险评估
网络流量的特征是网络安全性的重要表现。本节主要描述网络用户流量的安全评估过程和机制。流量的安全评估实际上是网络风险评估过程的一部分。风险评估的方法有定量评估、定性评估和定性与定量结合的评估方法。在此本文借鉴风险评估定性与定量结合的方法设计流量的安全评估子模型。
本节首先确定该模型的评估的对象、指标和目标,评估的具体方法如下:
(1)流量安全评估的对象是每个网络节点的应用流分组。
(2)评估对象的定量指标分别是网络流量大小、网络连接数和网络通信主机数。
(3)评价的目标是确定各应用流的安全性。
(4)评估方法是以先定量后定性的方法为原则,具体方法如下:
1)制定各分组流量的安全评估规则,为量化评估提供依据。
2)参照安全评估规则,根据3个量化指标评价网络用户流量的安全性,并得到安全评分。
3)根据安全性评价集,将量化后的安全评分指标定性化。另外,对于攻击流进行特别评估,并且当出现攻击流时,攻击流安全等级代表主机安全等级。
安全评估子模型的结构如图3所示。
3.2.1各分组流量的安全定量评价
对于不同分组的通信行为和流量特点,本模块采用分指标量化评估的方法进行安全评估。表2中各指标的安全性划分是根据实验得出的结论。
对于各流量安全评估节点,A各节点应用分组流量的集合;L为网络连接的集合;H是各节点通信主机数集合;Sij是各节点量化评估的结果集合。定义安全评估函数F(A,L,H)=Sij(1≤i≤n,1≤j≤5),用于表示目标节点流量安全评估的量化结果,从而实现对目标安全状况的定量分析。
将该评价方法设为F则该过程可用数学描述如下:
其中,Sij为各网络节点中应用流分组的安全评分。
3.2.2流量安全定性评价
量化后的安全评分对与安全程度的描述仍然有很大的不确定性,因此,需要将安全评分定性化以确定其所在的安全级别。每个安全级别确定安全分数以及对于攻击流的安全等级划分如表3—表5所示。
以上5个安全等级对于流量的安全性的区分如下:
(1)安全状态表明该分组流量属于正常情况;
(2)可疑状态表明该分组流量中有可疑成分或流量大小超过正常情况;
(3)威胁状态表明该类流量威胁到网络的正常运行和使用;
(4)危险状态主要指该分组流量危害网络的正常运行;
(5)高危状态表明该类分组的流量成分已严重危害网络正常运行。
量化安全评分经过定性划分后可以得到一个定性的流量安全评估矩阵Th,将该过程用运算h表示为
其中,Tij为第i台主机第j组应用流的安全等级。
4实验结果
4.1应用流的识别率
由于TARAS系统能够识别多种应用流量,因此识别算法的准确性是一个重要的指标。网络环境重的各种因素以及网络应用协议特征不断变化等原因,TARAS系统对应用流的识别存在漏报和误报的间题。应用流的识别率见表6。由表6的统计数据可以看到,TARAS对各种协议的识别存在漏报和误报的情况。具体来看,eMule应用由于大量使用UDP传输数据,因此识别率不高。另外,http协议通常使用传输层80端口,但这个端口也被QQ和MSN2个聊天软件使用,除此之外一些木马后门程序为了防止防火墙的封杀也往往使用该端口,因此,在识别过程中http协议会产生误报,即将非http协议数据也当作http协议计算。
4.2应用流的风险评估
为了测试TARAS系统风险评估的准确性,笔者在拥有8台主机的局域网中做相关测试,并以其中3台(主机17、主机77和主机177)进行实验。局域网内8台主机各应用分组流量状况如表7所示。关键业务和其他应用的分组流量为0。
主机17使用传统应用FTP执行下载任务,其他流量分组中无或只有极少流量,从表7可以看出,该主机的传统应用分组流量达到2Mb/s,此时传统应用流量分组应该达到威胁级别,而其他分组应该都是安全级别,主机的总体评价为安全。主机77不断受到Nimda蠕虫病毒的攻击,从表7可以发现,该主机高危分组的流量为2048kb/s,此时该分组应该达到高危级别,而其他分组由于流量为0因此为安全,主机的总体评价为高危。主机177使用BT进行下载,并使其流量达到1536kb/s,根据风险评估策略,该主机的P2P及流媒体分组应该达到威胁级别,其他分组应该都是安全级别,主机的总体评价为安全。表8为TETRAS系统对表7所示流量状况进行评估所得的风险评估结果。
对比表7和表8可以发现,TARAS系统能够正确地对网络中各主机流量状况进行风险评估。同时该实验结果也证实:虽然TARAS系统对于应用流的识别存在一定误差,但是该误差没有严重影响网络运行状况和风险级别安全,误差在可接受范围内。
5结束语
本文针对当前网络管理面临的问题,将应用流成份分析和风险评估引入到网络流量分析和评估领域中,设计并实现了应用流分析和评估系统——TARAS。该系统主要解决网络流量管理中的2个问题:
论文关健词:应用流分析;风险评估;流量分组
论文摘要:针对网络中的各种应用服务的识别检测,采用应用层协议签名的流量识别技术和流量分组技术,实现网络应用流的分析和风险评估系统——ras,提出基于流量分组技术的应用流风险评估模型。该系统为网络资源分配和网络安全的预测提供有价值的依据。实验结果表明,taras系统具有良好的流量分析效率和风险评估准确性。
1概述
基于互联网的新技术、新应用模式及需求,为网络的管理带来了挑战:(1)关键应用得不到保障,oa, erp等关键业务与bt,qq等争夺有限的广域网资源;(2)网络中存在大量不安全因素,据cncert/cc获得的数据表明,2006年上半年约有14万台中国大陆主机感染过beagle和slammer蠕虫;(3)传统流量分析方法已无法有效地应对新的网络技术、动态端口和多会话等应用,使得传统的基于端口的流量监控方法失去了作用。
如何有效地掌握网络运行状态、合理分配网络资源,成为网络管理者们的当务之急。针对以上需求,作者设计并实现了一套网络应用流分析与风险评估系统(traffic analysis and risk assessment system, taras)。
当前,网络流量异常监测主要基于tcp/ip协议。文献[5]提出使用基于协议签名的方法识别应用层协议。本系统采用了应用层协议签名的流量分析技术,这是目前应用流分析最新技术。然而,简单的流量分析并不能确定网络运行状态是否安全。因此,在流量分析的基础上,本文提出了应用流风险评估模型。该模型使用流量分组技术从定量和定性两方面对应用流进行风险评估,使网络运行状态安全与杏这个不确定性问题得到定性评估,这是当前网络管理领域需要的。
2流量分析模型
目前应用流识别技术有很多,本文提出的流量识别方法是对subhabrata sen提出的应用协议特征方法的改进。针对种类繁多的应用层协议采用了两级匹配结构,提高效率。
应用识别模块在linux环境下使用libpcap开发库,通过旁路监听的方式实现。在设计的时候考虑到数据报文处理的效率,采用了类似于linux下的netfilter框架的设计方法,结构见图1。
采取上述流量识别框架的优点:(1)在对tcp报文头的查找中使用了哈希散列算法,提高了效率;(2)借鉴状态防火墙的技术,使用面向流(flow)的识别技术,对每个tcp连接的只分析识别前10个报文,对于该连接后续的数据报文则直接查找哈希表进行分类,这样避免了分析每个报文带来的效率瓶颈;(3)模式匹配模块的设计使得可扩展性较好。
在匹配模块设计过程中,笔者发现如果所有的协议都按照基于协议特征的方式匹配,那么随着协议数量的增大,效率又会成为一个需要解决的问题。
因此,在设计应用流识别模块时,笔者首先考虑到传输层端口与网络应用流之间的联系,虽然两者之间没有绝对固定的对应关系,但是它们之间存在着制约,比如:qq协议的服务器端口基本不会出现在80, 8000, 4000以外的端口;http协议基本不会出现在80, 443, 8080以外的端口等,因此,本文在流量分析过程中首先将一部分固定端口的协议使用端口散列判断进行预分类,提高匹配效率。
对于端口不固定的应用流识别,采用两级的结构。将最近经常检测到的业务流量放在常用流量识别子模块里面,这样可以提高查找的速度。另外,不同的网络环境所常用的网络应用流也不同,因此,也没有必要在协议特征库中大范围查找。两级查询匹配保证了模型对网络环境的自适应性,它能够随着网络环境的改变以及网络应用的变化而改变自己的查询策略,但不降低匹配效率。应用流识别子模块的设计具体结构见图2。
3风险评估模型
本文采用基于流量分组技术的风险评估方法。流量分组的目的是为流量的安全评估提供数据。
3.1应用流的分组
网络应用种类多、变化频度高,这给应用流的评估带来了麻烦,如果要综合考虑每一种应用流对网络带来的影响,显然工作量是难以完成的。因此,本文引入应用流分组的概念。应用流分组的目的是从网络环境和安全角度的考虑,将识别后的流量进行归类分组。笔者在长期实验过程中,根据应用的重要性、对网络的占用率、对网络的威胁性等因素得到一个较为合理的分组规则,即将网络流量分为:关键业务,传统流量,p2p及流媒体,攻击流,其他5类。应用流分组确定了流量评估的维度,这样有利于提高评估的效率。表1列举了部分应用流的分组。
应用流分组模块有2个功能。首先是将检测到的各种应用流量按照表1中的分组归类,并计算各分组应用流量的大小、连接数目、通信主机数目3个方面的信息,并以一定的时间周期向流量安全评估模块传送数据。另外一个是在安全事件出现时,向安全响应模块提供异常应用流名称和其他相关信息。应用流分组模块的输入是各应用流的流量大小,而输出有2个:
(1)整个网络的流量分布矩阵。
(2)异常主机流量分组中的成份。
笔者引入流量矩阵的概念。流量矩阵a的数学定义为
其中,aij表示第i台主机的第j组流量的大小,aij的单位为实际流量的单位大小。流量矩阵反映了网络中信息流动的整体情况。
由于tcp/ip协议的广泛应用,网络流量中的绝大部分使用基于tcp的传输层协议,因此传输层的网络连接数也在一定程度上反映了网络流量的情况。定义网络连接数矩阵为
其中,lij表示第i台主机第j组应用流的网络连接数。
在网络通信过程中,每个流量分组的通信主机数量具有参考价值,在此引入通信主机数量矩阵,数学描述为
其中,hij为表示某一分组流量的通信主机数目。
另外,流量分组模块在接收到安全响应模块的请求时,会向其发送该异常网络节点的应用流类别信息。
信息内容为:主机ip地址,主机应用流分组名,应用流名称列表。
3.2应用流的风险评估
网络流量的特征是网络安全性的重要表现。本节主要描述网络用户流量的安全评估过程和机制。流量的安全评估实际上是网络风险评估过程的一部分。风险评估的方法有定量评估、定性评估和定性与定量结合的评估方法。在此本文借鉴风险评估定性与定量结合的方法设计流量的安全评估子模型。
本节首先确定该模型的评估的对象、指标和目标,评估的具体方法如下:
(1)流量安全评估的对象是每个网络节点的应用流分组。
(2)评估对象的定量指标分别是网络流量大小、网络连接数和网络通信主机数。
(3)评价的目标是确定各应用流的安全性。
(4)评估方法是以先定量后定性的方法为原则,具体方法如下:
1)制定各分组流量的安全评估规则,为量化评估提供依据。
2)参照安全评估规则,根据3个量化指标评价网络用户流量的安全性,并得到安全评分。
3)根据安全性评价集,将量化后的安全评分指标定性化。另外,对于攻击流进行特别评估,并且当出现攻击流时,攻击流安全等级代表主机安全等级。
安全评估子模型的结构如图3所示。
3.2.1各分组流量的安全定量评价
对于不同分组的通信行为和流量特点,本模块采用分指标量化评估的方法进行安全评估。表2中各指标的安全性划分是根据实验得出的结论。
对于各流量安全评估节点,a各节点应用分组流量的集合;l为网络连接的集合;h是各节点通信主机数集合;sij是各节点量化评估的结果集合。定义安全评估函数f(a,l,h)=sij(1≤ i ≤ n, 1≤ j ≤ 5),用于表示目标节点流量安全评估的量化结果,从而实现对目标安全状况的定量分析。
将该评价方法设为f则该过程可用数学描述如下:
其中,sij为各网络节点中应用流分组的安全评分。
3.2.2流量安全定性评价
量化后的安全评分对与安全程度的描述仍然有很大的不确定性,因此,需要将安全评分定性化以确定其所在的安全级别。每个安全级别确定安全分数以及对于攻击流的安全等级划分如表3—表5所示。
以上5个安全等级对于流量的安全性的区分如下:
(1)安全状态表明该分组流量属于正常情况;
(2)可疑状态表明该分组流量中有可疑成分或流量大小超过正常情况;
(3)威胁状态表明该类流量威胁到网络的正常运行和使用;
(4)危险状态主要指该分组流量危害网络的正常运行;
(5)高危状态表明该类分组的流量成分已严重危害网络正常运行。
量化安全评分经过定性划分后可以得到一个定性的流量安全评估矩阵th,将该过程用运算h表示为
其中,tij为第i台主机第j组应用流的安全等级。
4实验结果
4.1应用流的识别率
由于taras系统能够识别多种应用流量,因此识别算法的准确性是一个重要的指标。网络环境重的各种因素以及网络应用协议特征不断变化等原因,taras系统对应用流的识别存在漏报和误报的间题。应用流的识别率见表6。由表6的统计数据可以看到,taras对各种协议的识别存在漏报和误报的情况。具体来看,emule应用由于大量使用udp传输数据,因此识别率不高。另外,http协议通常使用传输层80端口,但这个端口也被qq和msn 2个聊天软件使用,除此之外一些木马后门程序为了防止防火墙的封杀也往往使用该端口,因此,在识别过程中http协议会产生误报,即将非http协议数据也当作http协议计算。
4.2应用流的风险评估
为了测试taras系统风险评估的准确性,笔者在拥有8台主机的局域网中做相关测试,并以其中3台(主机17、主机77和主机177)进行实验。局域网内8台主机各应用分组流量状况如表7所示。关键业务和其他应用的分组流量为0。
主机17使用传统应用ftp执行下载任务,其他流量分组中无或只有极少流量,从表7可以看出,该主机的传统应用分组流量达到2 mb/s,此时传统应用流量分组应该达到威胁级别,而其他分组应该都是安全级别,主机的总体评价为安全。主机77不断受到nimda蠕虫病毒的攻击,从表7可以发现,该主机高危分组的流量为2 048 kb/s,此时该分组应该达到高危级别,而其他分组由于流量为0因此为安全,主机的总体评价为高危。主机177使用bt进行下载,并使其流量达到1 536 kb/s,根据风险评估策略,该主机的p2p及流媒体分组应该达到威胁级别,其他分组应该都是安全级别,主机的总体评价为安全。表8为tetras系统对表7所示流量状况进行评估所得的风险评估结果。
对比表7和表8可以发现,taras系统能够正确地对网络中各主机流量状况进行风险评估。同时该实验结果也证实:虽然taras系统对于应用流的识别存在一定误差,但是该误差没有严重影响网络运行状况和风险级别安全,误差在可接受范围内。
5结束语
本文针对当前网络管理面临的问题,将应用流成份分析和风险评估引入到网络流量分析和评估领域中,设计并实现了应用流分析和评估系统——taras。该系统主要解决网络流量管理中的2个问题:
