利用链路相关性进行网络流量异常检测.PDFVIP

第２８卷第６期　　　 计算机应用与软件 Ｖｏｌ２８Ｎｏ．６ ２０１１年６月　　 ＣｏｍｐｕｔｅｒＡｐｐｌｉｃａｔｉｏｎｓａｎｄＳｏｆｔｗａｒｅ Ｊｕｎ．２０１１ 利用链路相关性进行网络流量异常检测 朱　剑　李　辉 （中国移动通信集团上海有限公司　上海２００１３５） 摘　要　　传统的网络异常检测方法应用于具有较大链路数量的网络上时，往往存在着误报率高、检测范围不够全面、检测效率不 能满足高速网络实时监测需求等问题。由于多链路之间往往存在有较强的相关性，这种相关性反映了链路流量的整体趋势，可以被 用来进行网络流量异常分析。采用基于ＰＣＡ的相关性分析方法对网络流量异常检测进行研究，利用链路之间相关性评估网络流量 的异常。实验证明，这种方法应用于大规模流量异常检测是简单有效的。 关键词　　主成份分析　相关性分析　大规模网络流量　异常检测 ＥＸＰＬＯＩＴＩＮＧＬＩＮＫＲＥＬＥＶＡＮＣＥＩＮＮＥＴＷＯＲＫＴＲＡＦＦＩＣＡＮＯＭＡＬＹＤＥＴＥＣＴＩＯＮ ＺｈｕＪｉａｎ　ＬｉＨｕｉ （ＣｈｉｎａＭｏｂｉｌｅＧｒｏｕｐＳｈａｎｇｈａｉＣｏ．，Ｌｔｄ．（ＣＭＳＨ），Ｓｈａｎｇｈａｉ２００１３５，Ｃｈｉｎａ） Ａｂｓｔｒａｃｔ　　Ｗｈｅｎａｐｐｌｉｅｄｔｏｎｅｔｗｏｒｋｓｗｉｔｈａｂｉｇｎｕｍｂｅｒｏｆｌｉｎｋｓ，ｃｏｎｖｅｎｔｉｏｎａｌｎｅｔｗｏｒｋａｎｏｍａｌｙｄｅｔｅｃｔｉｏｎｍｅｔｈｏｄｓｏｆｔｅｎｒａｉｓｅｓｕｃｈ ｐｒｏｂｌｅｍｓａｓｈｉｇｈｆａｌｓｅａｌａｒｍｒａｔｅ，ｉｎｃｏｍｐｌｅｔｅｄｅｔｅｃｔｉｏｎｓｃｏｐｅａｎｄｆａｉｌｕｒｅｔｏｍｅｅｔｒｅａｌｔｉｍｅｄｅｔｅｃｔｉｏｎｄｅｍａｎｄｓｗｉｔｈｉｎｈｉｇｈｓｐｅｅｄｎｅｔｗｏｒｋｓ．Ｉｎ ｆａｃｔｔｈｅｒｅｉｓｕｓｕａｌｌｙｓｔｒｏｎｇｒｅｌｅｖａｎｃｅａｍｏｎｇｍｕｌｔｉｐｌｅｌｉｎｋｓ．Ｓｕｃｈｒｅｌｅｖａｎｃｅｒｅｆｌｅｃｔｓｔｈｅｏｖｅｒａｌｌｔｒｅｎｄｏｆｌｉｎｋｔｒａｆｆｉｃｓ．Ｔｈｅｒｅｆｏｒｅｔｈｅｙｃａｎｂｅ ｕｓｅｄｉｎｎｅｔｗｏｒｋｔｒａｆｆｉｃａｎｏｍａｌｙａｎａｌｙｓｉｓ．ＩｎｔｈｉｓｐａｐｅｒＰＣＡｂａｓｅｄｒｅｌｅｖａｎｃｅａｎａｌｙｓｉｓｍｅｔｈｏｄｉｓａｄｏｐｔｅｄｗｉｔｈｔｈｅｓｔｕｄｙｏｆｎｅｔｗｏｒｋｔｒａｆｆｉｃ ａｎｏｍａｌｙｄｅｔｅｃｔｉｏｎｔｏｅｖａｌｕａｔｅｔｈｅｎｅｔｗｏｒｋｔｒａｆｆｉｃａｎｏｍａｌｙｆｒｏｍｒｅｌｅｖａｎｃｅａｍｏｎｇｌｉｎｋｓ．Ｅｘｐｅｒｉｍｅｎｔｐｒｏｖｅｓｉｔｓｓｉｍｐｌｉｃｉｔｙａｎｄｅｆｆｅｃｔｉｖｅｎｅｓｓｉｎ ｌａｒｇｅｓｃａｌｅｔｒａｆｆｉｃａｎｏｍａｌｙｄｅｔｅｃｔｉｏｎ． Ｋｅｙｗｏｒｄｓ　　Ｐｒｉｎｃｉｐａｌｃｏｍｐｏｎｅｎｔａｎａｌｙｓｉｓ　Ｒｅｌｅｖａｎｃｅａｎａｌｙｓｉｓ　Ｌａｒｇｅｓｃａｌｅｎｅｔｗｏｒｋｔｒａｆｆｉｃ　Ａｎｏｍａｌｙｄｅｔｅｃｔｉｏｎ 析方法、数据挖掘方法、神经网络方法等）主要是针对字节、包、 ０　引　言 ＩＰ流以及链路，诊断效果较好，而且已经在软件中得以实现，并 且应用于在线检测。然而将他们应用于大规模网络流量的异常 随着计算机网络规模迅速扩大，网络拥挤和网络滥用等情 检测上效果欠佳，原因主要是：１）原有的分析方法（例如小波分 况导致的网络异常时有发生［１］。这些突发事件引起的网络流 析、统计分析等）不适用于处理维数较高的数据，无法达到大规 量的剧烈变化，给网络安全和网络性能带来了巨大的影响。因 模网络的检测范围要求；２）原有方法需要收集大量网络流量的 此对于网络流量异常的检测和研究工作已经引起了广泛的重 样本，对正常的网络流量进行建模假设；３）原有方法的算法复 视，并且取得了一定的研究成果。