网络异常流检测术研究.pdfVIP

摘要 摘 要 拒绝服务攻击是近年来互联网的重大威胁，这种攻击使得计算机系统或者网 络无法正常运转，从而使得合法用户获得的服务质量降低甚至无法获得服务。经 过十年的发展，拒绝服务攻击呈现新的特点，例如使用更多主机发功攻击，降低 单台主机的攻击强度以逃避检测；采用新型的攻击方式，如脉冲式拒绝服务攻击 等。而目前对拒绝服务攻击的检测方法往往着重于总体流量的检测，无法辨别正 常用户和攻击主机。本文提出一种基于隐马尔可夫模型的异常流量检测方法：在 训练阶段，通过采用大量正常用户的流量对模型进行训练，得到正常用户流量的 评价模型和或然概率正常区间；在检测阶段，计算待检流量相对评价模型的或然 概率，根据其是否落在正常区间判断待检流量来自正常用户还是攻击主机。鉴于 Web流量本身具有多样性的特点，我们进一步使用基于隐马尔可夫模型的聚类算 法，对Web用户流量进行聚类，对每个聚类的用户流量再分别建立评价模型， 以提高检测效果。针对新出现的脉冲式拒绝服务攻击，我们提出一种基于流量摘 Bloom