络异常流量检测模型设计与实现.pdfVIP

网络异常流量检测模型设计与实现 张瑞 北京邮电大学，北京 (100876) E-mail：zhangrui1008@ 摘 要： 企业信息化的建设，离不开IT 系统及其基础设施的支持。网络的普及和发展给 企业信息化带来更加便利的条件，也给IT 系统管理带来了很多麻烦。随着网络技术的发展 和规模的日益扩大，网络流量异常检测在IT 系统管理中扮演越来越重要的角色。本文根据 一般网络异常流量检测算法提出在IT 管理系统中建立一个流量检测的模型，综合几种检测 方法提升检测准确度。将异常流量监控融入IT 系统会较大提升IT 管理的作用，使得IT 管 理变得更加有效。 关键词：网络异常，异常检测，网络管理 1. 引言 针对一个 IT 系统建立一套有效的网络管理系统，网络流量管理是其中很重要的组成部 分。对于一个内部组建的网络来说，流量管理重要性体现在保证和提高网络可靠性和可用性 方面的意义。有效的流量管理一般分为两个步骤，第一步是系统对网络性能问题或故障的告 警，第二步是提出性能问题和故障的解决办法。目前，在网络流量管理中对流量异常的告警 多是采用基于阈值的方法，即由有经验的网络管理员认为的设定某条链路的流量阈值，当系 统发现当前流量超过阈值时产生告警。这样的系统有一个缺点：网络流量存在突发性和随机 性的特点，在实际网络运行中难以设定这个阈值，如果设定的阈值太少，则系统可能出现告 警风暴，其中误报的可能性很大；如果设定的阈值太大，则不易发现网络中存在的细微流量 突变，这个时候可能就是某种攻击或病毒的出现，不能及时进行有效的网络管理。 在本文中我们提出一种结合阈值和流量变化检测，当前流量和历史流量比较相结合的方 法进行流量异常检测，尽量将系统的误报率和漏报率降到最低。通过获取内部网络中重要链 路的 SNMP MIB 流量累积值，通过系统的分析和计算得到一个当前网络运行状态。本文描 述的检测方法对于管理一个内部网络有着重要的现实意义。 2. 相关工作 网络流量异常检测的工作一直在不断的往前发展，Roy 和 Frank[1]定义了网络正常和异 常行为的概念，流量异常检测方法则可以分为两个大类静态检测方法和动态检测方法。静态 检测方法包括恒定阈值检测方法和自适应阈值检测方法。A Maxion ，Feather 和Lawrence Ho[2] 都提出根据历史数据建立一个正常的参数基线，通过系统在网络运行的过程中自适应的学习 能力改变告警阈值。动态检测方法包括基于统计的检测方法，基于小波的检测方法。统计检 测方法在实际中最常见的是 GLR （Generalized Likelihood Ratio ）测试，这种方法由 M.Thottan 和 C.Ji[3]用来检测校园网络的计算机系子网。GLR 考虑两个相邻的时间窗 R(t)和 S(t)以及这 两个合并组成的窗口 C(t)，每个窗口运用自回归模型(AR)拟合，应用似然比检验方法，检测 两个窗口之间发生的异常变化。当两个窗口的似然度超过某个设定的阈值时则认为两个窗口 边界产生异常。Amy Ward[4]等人提出了另外一种统计检测方法，该方法在网络正常运行下 建立一套网络参数，当参数出现偏差不符合正常运行情况时产生告警。V.Alarcon-Aquino 和 J.A.Barria[5]提出运用小波变换的方法检测网络异常。小波变换可得到低频系数和高频系数， 其中低频系数反映原始信号的轮廓，而高频系数则是反映信号的细节。流量的奇异性可以通 - 1 - 过分析细节系数检测出来。流量异常检测还有 Paul 和 David[6]对 IP 流量流(IP taffic flow)异 常进行统计分析。 3. 网络流量异常检测算法 [9] 内部的 IT 系统网络呈现出一个周期性和突发性很明显的特征 ，例如在工作日的流量