网络流量异常检方法研究及仿真平台研制.pdfVIP

摘要 摘要 在计算机网络规模和应用领域不断扩大的今天，网络已经成为人们日常工作 和生活的重要组成部分。而随着网络应用范围的扩大，由网络攻击、蠕虫病毒、 恶意下载、设备异常等因素导致的网络流量异常可能严重影响网络性能、干扰网 络正常运行。如何及时而准确的检测网络流量异常，保证网络的正常运行，为用 户提供一个良好的网络环境成为备受国内外学术界和工业界关注的研究课题。 网络流量异常检测方法按照其检测范围分类，可以分为局部异常检测和全局 异常检测。局部流量异常检测方法认为异常流量会在网络中的某一个节点或者某 一条链路上较为明显地表现出来，因此可以将流量视为一个一维时间信号，利用 一维时间信号的分析方法进行分析，得出异常检测结论。全局异常检测认为某些 异常无法在单条链路的流量上明显的表现出来，如DDoS(分布式拒绝服务)攻击、 蠕虫传播等，要检测这类异常就必须以整个网络的多个流量信号作为基础进行检 测。本文在局部异常检测和全局异常检测两方面都进行了研究。 在局部异常检测方面，本文提出了一种尺度可调的多分辨网络流量异常检测 方法，可以提高检测的针对性和检测精度。通过引入S变换，使得我们可以根据 流量信号的频谱特征自动调整分频信号的频谱宽度，符合异常特征；通过信号自 适应重构后的再次检测，进一步确认异常特征，提高了检测的可靠性。 在全局异常检测方面，本文提出了一种全局的多流量多参数相关异常检测方 异常流量信号在频率、幅值变化特征等方面具有相似性这一特点，将这种相似性 作为检测的依据来检测异常。首先得到多个OD流或链路流量的多个参数，然后 对每条流量的这些参数进行ICA(IndependentComponentAnalysis)分析，估计出 该流量的异常行为特征变量序列，最后利用K．L变换进行多个OD流或链路之间 的全局相关分析，判断是否出现异常。 在实际应用中，全局异常检测系统应该是一个分布式的检测系统，为了减轻 中心检测节点的计算负担，提高检测效率，本文提出了一种分布式网络流量异常 检测机制，并利用该机制研制了分布式网络流量异常检测仿真平台。该仿真平台 通过两级检测机制，可以减轻中心节点的计算负担；通过将网络参数统计部分和 摘要 异常检测部分相分离，实现了平台的通用性和可扩展性。 果可以看出，所提出的局部和全局流量异常检测方法，都取得了令人满意的检测 结果，从而验证了算法的有效性。这些检测算法及机制，可以作为网络安全整体 解决方案的一个组成部分，与其他安全设备之间进行紧密的联系，共同解决网络 安全问题。 关键词：流量异常，尺度可调节，全局检测，独立成分分析，仿真平台 Abstract Abstract Withthescale of hasbecomemoreandmore in increasingnetwork，it important the life．Andwiththeextensive ofthe traffic daily applicationnetwork，network anomaliesthenetwork moreoften．Todetect and impact performance anomalyrapidly andto to isoneof of accuratelyrespondanomalycorrectly the ensuring precondition theeffluentnetwork detectionofanomaloustraffic a