网络核心节点异常流量检测和控制技术研究.pdf

中文提要 网络核心节点异常流量检测与控制技术研究 行超大频度流的检测，利用基于hash函数的计数器矩阵，并结合指数直方图设计了 一个复式的数据摘要结构，这是一种滑动窗口模型，窗口内的数据随着每个数据的到 达而变化，直方图内的每个桶各自计算自己的偏倚度来表明其中出现大频度流的程 度，指数直方图中大小不同的等级桶设计体现了数据的时间衰减性，指数直方图的偏 倚度可以及时、准确地反应数据流数据分布的突变。 3． 在数据压缩存储上对传统的计数型BloomFilters进行了两个方面的改进，使 其更加适应针对大频度流量计数的场合，首先改进了计数型BloomFilters的计数器， 提出了逻辑计数器的概念，可以在计数器满溢时侵入其它的计数器增加对数值的存储 上限，由于使用计数器最小值估计，带来的误判率增加很小。另外针对计数型Bloom Filters使用固定数目的hash函数，不能事先确定最佳函数数目的不足，提出根据空 置的计数器来估计Bloom Filters的使用情况，确定最佳hash函数数目，从而减少计 算量。 4． 针对资源消耗型攻击变异种类繁多，基于特征匹配难以实现的特点，提出一 种两阶段聚类算法，在可视化分析恶意攻击的基础上，利用同一攻击样本点相似度高， 分布相似的基本特性，在第一阶段基于样本距离实现密度微聚集，在第二阶段基于微 聚类的分布相似度实现密度连接，能够识别不规则形状、区分不同密度，实现对不同 攻击样本的准确聚类。 5． 在资源控制层面，提出了一种多层聚集的限速策略，首先按照不同的协议和 各个协议的使用方式把数据流划分成不同层次的多个聚集，根据各个聚集的恶意程度 决定其对资源的占用情况，对恶意聚集进行限速，具体实现上利用中间层两阶段聚类 的结果来生成过滤规则，使其具有更好的准确度，协议的划分保证了不同协议之间的 相互隔离，同时也考虑了限速控制的效果反馈。 关键词：核心节点；异常流量；数据流；指数直方图；BloomFilters；数据聚类 作者：张伟 导师：王绍棣 ResearchonDetectionandControl TrafficinNetworkCoreNodes Abstract ofAnomaly ResearchDetectionand in on Control Traffic ofAnomaly NetworkCoreNodes Abstract The ofinformationthe andnetworkhas rapiddevelopment impulsessociety’Sprogress becomeoneofmost infrastructures．Thenetwork andits have important securityoperation a effectonthesocialnormal the ofnetworkandits great activity．With development asnetwork applications，maliciousbehaviors，suchintrusion，services