基于时间序列探析网络流量异常检测.doc

基于时间序列探析网络流量异常检测 　　摘 要： 为了准确检测出网络流量的异常现象，保证网络的正常工作，提出基于时间序列分析的网络流量异常检测模型。根据网络流量数据间的相似性，采用小波分析对网络流量进行分解，划分为更小尺度的分量，然后采用时间序列分析法――灰色模型和马尔可夫模型分别对高频分量和低频分量进行网络流量异常检测，并采用小波分析对它们的检测结果进行融合，最后采用网络流量异常仿真实验进行分析。结果表明，时间序列分析模型的工作过程简单，提高了网络流量异常检测率，误检率要低于其他网络流量异常检测模型，获得更优的网络流量异常检测实时性 关键词： 网络系统； 流量异常检测； 灰色模型； 小波分析 中图分类号： TN915.07?34； TP391 文献标识码： A 文章编号： 1004?373X（2017）07?0085?03 Network traffic anomaly detection based on time series analysis LI Yan （School of Information and Engineering， Jingdezhen Ceramic Institute， Jingdezhen 333403， China） Abstract： A network traffic anomaly detection model based on time series analysis is proposed to detect the network traffic anomaly accurately and ensure the network normal operation. The wavelet analysis is used to decompose the network traffic according to the similarity of the network traffic data， so as to divide it into the components with smaller scale. And then the gray model and Markov model of the time series analysis method are used to perform the network traffic anomaly detection for the high?frequency component and low frequency component respectively， their results are fused with the wavelet analysis， and analyzed with the simulation experiment of the network traffic anomaly. The results show that the time series analysis model has simple working process， increased the detection rate of the network traffic anomaly， its false alarm rate is lower than that of other network traffic anomaly detection models， and can obtain better real?time performance of the network traffic anomaly detection. Keywords： network system； traffic anomaly detection； gray model； wavelet analysis 0 引 言 随着计算机技术的不断发展和成熟，网络上的业务种类越来越多，如视频，图像等，网络成为了一种主要的通信载体[1]。由于数据的庞大性，对网络带宽和通信质量要求更高，网络受到木马、蠕虫、病毒等影响，网络安全问题越来越严重。当网络中出现不安全因素时，网络流量会发生相应的变化，出现异常现象，因此如何对网络流量异常进行准确检测，并做出相应的应对措施，对保证网络正常运行具有重要意义[2?3] 最原始的网络流量异常检测是通过对网络数据进行分析，将网络流量特征分为基本特征和组合特征，基本特征主要指网络流量大小，数据包长度等；组合特征主要指平均包长、SYN包的个数，通常情况下，对网络流量基本特征进行训练，建立网络流量异常检测模型，将数据划分为正常或者异常，以应对网络上的各种攻击行