技術領域

本發明涉及是一種應用于對網絡代理行為的檢測，尤其涉及基于SVM的網絡代理行為檢測系統及檢測方法。

背景技術

隨著科學技術和Internet的發展，網絡代理技術作為目前廣泛使用的一種有效地緩解IPv4地址資源匱乏、提高網絡接入性能的網絡接入技術已經得到越來越多的應用。但網絡代理的應用，應建立在規范化的網絡管理的基礎之上，否則網絡代理的行為也會對網絡安全構成了威脅。從網絡管理上來講，網絡代理的使用，屏蔽了上網用戶的真實信息，給網絡管理增加了很大難度和負擔，不僅嚴重妨礙網絡故障的追蹤、定位，干擾對網絡安全問題的分析、處理，同時使得計費系統也受到很大的挑戰。因此，必須在網絡代理服務器處設立必要的網管系統，授權進行網絡代理服務，否則難以保障網絡安全，在某種程度上講還難以保證網絡資源的合理分配和使用。

同時，從網絡安全管理的角度講，網絡代理是必須經授權后按規范進行工作的，但實際上網絡中存在著大量的未經授權或者不按規范進行工作的網絡代理，這些非法的網絡代理行為不僅大大消耗了網絡資源，而且影響了網絡安全，因此必須對網絡中的代理服務行為進行有效的監控。

目前檢測網絡代理行為主要有兩種手段：一是通過端口掃描、流量分析、SESSION分析，二是通過改進的802.1x客戶端程序檢測。但每種方法各有弊端，都不是一個全局的解決方案。例如，通過端口掃描僅僅對于查找使用了標準服務端口的代理服務器較為有效。如果把代理服務的端口設置為一個特殊的數值(端口取值范圍可設在1～65536之間)，通過端口掃描將是一個漫長且無效的過程，同時這種方法以嚴重影響網絡正常運行為代價。而802.1x客戶端方式需要解決對舊設備的支持、對不同廠家網絡設備混用的統一支持、對新興的代理服務程序的監控等技術問題。

發明內容

針對上述技術缺陷，本發明提出基于SVM的網絡代理行為檢測系統及檢測方法。

為了解決上述技術問題，本發明的技術方案如下；

基于SVM的網絡代理行為檢測系統，包括網絡數據采集模塊、數據預處理模塊、SVM學習機、網絡行為決策系統；

所述網絡數據采集模塊從所監控的目標網絡段中收集原始的網絡數據，并獲取少量可以準確標記的樣本，該少量可以準確標記的樣本在網絡代理行為檢測前期，進行行為分析實驗得到；

所述數據預處理模塊從所述網絡數據采集模塊采集的網絡數據進行標記、提取特征信息并將特征信息進行聚類處理，并把特征信息轉化為SVM分類器能夠處理的維數相同的數字向量，所述特征信息包括網絡訪問的方式、類型、訪問的對象標識、獲取結果的類型、數據包附加的特征字；

所述網絡行為決策系統包含SVM分類器，所述SVM分類器將所述數據預處理模塊處理后的樣本進行檢測，并將所述少量可以準確標記的樣本和未標記樣本組成訓練樣本集，傳輸給所述SVM學習機進行訓練；根據SVM分類器分類的結果作出是否屬于網絡代理行為的判斷；

所述SVM學習機接受所述SVM分類器傳輸的訓練樣本集，將訓練后的數據再次傳輸至所述SVM分類器進行檢測，反復檢測、訓練，直到達到未標記樣本的最小分類誤差。

基于SVM的網絡代理行為檢測方法，包括如下步驟：

21)在網絡代理行為檢測前期進行行為分析實驗，得到少量可以準確標記的網絡數據樣本，所述網絡數據采集模塊從所監控的目標網絡段中收集原始的網絡數據及少量可以準確標記的網絡數據樣本；

22)所述數據預處理模塊在給定的一個時間段內，按照網絡代理行為的特征，從原始采集的網絡訪問數據中針對數據包，分別提取特征信息，該特征信息包括網絡訪問的方式、類型、訪問的對象標識、獲取結果的類型、數據包附加的特征字；將該特征信息進行聚類處理，并把特征信息轉化為SVM分類器能夠處理的維數相同的數字向量；

23)對行為分析實驗采集到的網絡數據樣本處理時，將網絡代理行為的網絡數據樣本規定為負樣本，標記為“-1”，正常的網絡數據樣本規定為正樣本，標記為“+1”；而對非行為分析實驗采集到的網絡數據樣本，規定為未標記樣本，標記為“0”；經過數據預處理模塊處理后的樣本就送往SVM分類器進行檢測，將少量正樣本和負樣本，以及一些未標記樣本組成訓練樣本集，對SVM學習機進行訓練；