图文：中科院网络安全重点实验室副主任荆继武

图为：中国科学院网络安全重点实验室副主任荆继武演讲 (骆磊 摄)
点击此处查看全部科技图片

　　新浪科技讯 12月21日2005年中国电信业网络与信息安全研讨会在北京举行。本次研讨会由信息产业部电信管理局、国家计算机网络应急技术处理协调中心、中国互联网协会主办，通信产业报社承办。

　　图为：中国科学院网络安全重点实验室副主任荆继武演讲 (骆磊 摄)

　　以下为荆继武的发言实录：

    在现在一些信息安全里面，主要有这样的问题。一个网络的架构，比如说哪个运营商的网络，怎么样搭建以后，会不会影响到蠕虫。另外一个蠕虫的大小，现在也没有人回答。他为什么做不到？一个是我们怎么做实验。我只能做仿真，仿真的话，现在所有的仿真软件，都不能仿这么大的网络。第二个问题，是近期出现的问题，如何检测Botnet非常困难。

　　第三个技术问题，可以考虑数字版权的保护，这也是一个非常困难的问题，目前微软提供各种研究机构和单位都提供这样的问题，实际上它的问题是你允许我听，但是不允许我拷贝这歌曲，我至少可以拿录音机录下来这问做起来非常困难的。

　　第四个非常困难的问题，就是Ad网络，我的密钥管理怎么小怎么快怎么安全，我做大做好太慢，做快了可能不安全。

　　第五个问题认为是一个新技术，现在网络没有办法识别哪个是攻击哪个不是攻击。比如趋势科技有自动

　　拒绝服务本来是小题目，所以叫小题大做，另外还有一种做法就是大题小做，把很大的问题抽象弄成很简单的问题。首先介绍一个小题大做的事情，做一个网关来拒绝Botnet，你什么都防不行，比如我互联网堵住了，你再防也没有用，所以得有一些假设，假设带宽很大的，是后面服务器承受不了，后面带宽不行，前面带宽没问题的，这情况下拒绝服务的信息才能做下去，我自己网关性能要高于后台的性能，另外要有一个很好的识别办法，现在拒绝识别攻击，绿萌做了很好的演讲，拒绝服务攻击不只是这些还有新的怎么防止，还有一个自身难题，你怎么把自己安全做得更好，把自己做得不怕任何攻击，这是我们做小题目三个问题，为了解决三个问题，为了网关运行能力把网关功能减少，把后面加一个监控机，不想把以太网包组装IP包，IP包跟踪放在连接器上做，这样性能就得到了改善。

　　如何检测，因为也不知道什么就是，如果知道它的特征太容易检测了，现在很多人访问HTTP，打开那个网页，知道新浪网页有一个图片，所有人拿键盘猛敲，这都是拒绝服务，这都是一个正常包，就需要一个机器学习知识的系统，为了做这样的系统需要做一个模型要把以前的知识学习一下，本来做一个简单的网关最后变成这么大的网页，这里面包括数据库，把很多的知识存下来，还要做一个模型产生，这个模型是自动做出来的，刚才有讲到新的攻击永远是没法识别的，这可以改一下，有些新的东西没法改变的，我们做这个是需要识别新的攻击，另外需要做自身的安全，把网关的东西搞好，另外把自身学习和数据库的网络和运行的网络分开。

　　如果做这样一个工作，就把这个网关做在这个地方，这是一个硬件的平台，这有一个监控器，后面有网关和服务器，保护的网关可能是服务器，但是这个网络一定是比较小的不会太大，这里面有一个例子，把网关数据采集下来做特征提取，过去网络数据都采下来然后提取一下特征，特征可能按照某种方式提取，提取以后要产生一个模型，产生几个模型，看新的数据是不是符合这个模型，如果符合就放进去，不符合就把攻击特征发现出来，这就是新的攻击具有什么特点，发现完了放在过滤的设备里面去。比如特征提取现在没有基于内容就基于IP包的东西，可以提取这样九个特征，包括原地址，原端口特征提取出来，同时流量特征也找出来，在一个时间段多少个连接，或者多少个进入的总个数，相同类型的连接有多少个。当把所有网上事件拿来以后做矢量化，每一个网络上针对的是量化的东西，原端口、目的端口，或者多少个包，多少的链接，这都是一个数字，这些数字划起来是一个矢量，每一个矢量之间有一个距离，这些所有网络的表征就是多维空间里面很多的点，把这些点拿来，这些多点采用一个点点的距离算出来，就发现这些点是抱团的，大概七、八团，这就成为我们的模型，这是最后采集实验室数据做的结果，这个结果说明数据抱成五个团，而且这团一个中心点一个半径一个团，而且这半径一般大，这数据里面包括整个数据的86%，这种模型已经很好了，这五个团的数据已经全部包括进来了，这得到一个点一个半径就可以看看别的是不是符合这个特征。这里面可以做很多别的工作，比如在门线上做优化，半径是不是要动态做调整，现在的正常数据只有20%就把半径扩大一些，把正常数据包进去，现在做攻击检测还是一样的，把特征提取出来和点和半径对比，如果在圈里面是正常，在外面是异常，如果异常的点太多就报警这个点有问题，就把这个点拿出来最后可以分解很多数据包，后面就采用DATE的关联，找它的共同点，因为现在目前做实验，数据包拿来之后发现有相同之处，相同之处都是攻击这个IP地址，而且都是往哪个地方发的，都是哪个文件的。那好就把这些东西过滤掉交给这些网关就可以了，这样就完成了一个实验系统。

　　把这个拿来之后做实验发现我们模型一算发现七个团，它的数据跟我们数据不一样，这是自学习的，学习完了是几个就是几个，这个流量模型跟整个有一些关系，当你希望异常数据定义什么范围的时候，比如正常的团应该大于2%的数据，这时候PLC＝2，这时候产生一个结果，我们实验东西可以15秒检测出拒绝服务攻击，我们在真实网络做了一个实验，而且就访问了一个80端口，实验发现这个东西可以在15秒内做出正常的反映，可以把异常去掉，合法访问可以访问，我们可以根据合法特征把攻击去掉。

　　另外要考虑自身的安全，如果采用分层结构会有别的问题，可能在将来应该考虑的问题，能不能把拒绝服务的攻击集合起来，或者分布式做模型的学习，或者试着有一些新的算法，别的例子不多举了，如果有问题可以发电子邮件给我，谢谢，以上就是我讲的内容！