資源描述:
《網(wǎng)絡(luò)流量異常檢測方法研究及仿真平臺研制》由會員上傳分享��,免費在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1��、電子科技大學(xué)碩士學(xué)位論文網(wǎng)絡(luò)流量異常檢測方法研究及仿真平臺研制姓名:楊丹申請學(xué)位級別:碩士專業(yè):通信與信息系統(tǒng)指導(dǎo)教師:胡光岷20080501摘要在計算機網(wǎng)絡(luò)規(guī)模和應(yīng)用領(lǐng)域不斷擴大的今天�,網(wǎng)絡(luò)已經(jīng)成為人們?nèi)粘9ぷ骱蜕畹闹匾M成部分。而隨著網(wǎng)絡(luò)應(yīng)用范圍的擴大�����,由網(wǎng)絡(luò)攻擊�����、蠕蟲病毒�����、惡意下載��、設(shè)備異常等因素導(dǎo)致的網(wǎng)絡(luò)流量異??赡車?yán)重影響網(wǎng)絡(luò)性能、干擾網(wǎng)絡(luò)正常運行�。如何及時而準(zhǔn)確的檢測網(wǎng)絡(luò)流量異常,保證網(wǎng)絡(luò)的正常運行�,為用戶提供一個良好的網(wǎng)絡(luò)環(huán)境成為備受國內(nèi)外學(xué)術(shù)界和工業(yè)界關(guān)注的研究課題。網(wǎng)絡(luò)流量異常檢測方法按照其檢測范圍分類�,可以分為局部異常檢測和全
2、局異常檢測�����。局部流量異常檢測方法認(rèn)為異常流量會在網(wǎng)絡(luò)中的某一個節(jié)點或者某一條鏈路上較為明顯地表現(xiàn)出來��,因此可以將流量視為一個一維時間信號�����,利用一維時間信號的分析方法進行分析�,得出異常檢測結(jié)論�����。全局異常檢測認(rèn)為某些異常無法在單條鏈路的流量上明顯的表現(xiàn)出來�,如DDoS(分布式拒絕服務(wù))攻擊��、蠕蟲傳播等���,要檢測這類異常就必須以整個網(wǎng)絡(luò)的多個流量信號作為基礎(chǔ)進行檢測����。本文在局部異常檢測和全局異常檢測兩方面都進行了研究�。在局部異常檢測方面,本文提出了一種尺度可調(diào)的多分辨網(wǎng)絡(luò)流量異常檢測方法�����,可以提高檢測的針對性和檢測精度�����。通過引入S變換�����,使得我們可以根據(jù)流量
3��、信號的頻譜特征自動調(diào)整分頻信號的頻譜寬度�����,符合異常特征�����;通過信號自適應(yīng)重構(gòu)后的再次檢測����,進一步確認(rèn)異常特征,提高了檢測的可靠性��。在全局異常檢測方面��,本文提出了一種全局的多流量多參數(shù)相關(guān)異常檢測方法��。該方法利用同一異常在不同鏈路或OD(Origin.Destination)流所產(chǎn)生的多個異常流量信號在頻率��、幅值變化特征等方面具有相似性這一特點�,將這種相似性作為檢測的依據(jù)來檢測異常�。首先得到多個OD流或鏈路流量的多個參數(shù)�,然后對每條流量的這些參數(shù)進行ICA(IndependentComponentAnalysis)分析,估計出該流量的異常行為特征變量序
4���、列�����,最后利用K.L變換進行多個OD流或鏈路之間的全局相關(guān)分析,判斷是否出現(xiàn)異常��。在實際應(yīng)用中����,全局異常檢測系統(tǒng)應(yīng)該是一個分布式的檢測系統(tǒng)���,為了減輕中心檢測節(jié)點的計算負(fù)擔(dān)�����,提高檢測效率�����,本文提出了一種分布式網(wǎng)絡(luò)流量異常檢測機制,并利用該機制研制了分布式網(wǎng)絡(luò)流量異常檢測仿真平臺���。該仿真平臺通過兩級檢測機制����,可以減輕中心節(jié)點的計算負(fù)擔(dān)����;通過將網(wǎng)絡(luò)參數(shù)統(tǒng)計部分和摘要異常檢測部分相分離,實現(xiàn)了平臺的通用性和可擴展性���。文中提出的算法在Windows平臺下利用Matlab、NS2進行了仿真��,從仿真結(jié)果可以看出�����,所提出的局部和全局流量異常檢測方法,都取得了令人滿意
5��、的檢測結(jié)果��,從而驗證了算法的有效性。這些檢測算法及機制����,可以作為網(wǎng)絡(luò)安全整體解決方案的一個組成部分���,與其他安全設(shè)備之間進行緊密的聯(lián)系,共同解決網(wǎng)絡(luò)安全問題��。關(guān)鍵詞:流量異常��,尺度可調(diào)節(jié),全局檢測�,獨立成分分析����,仿真平臺AbstractWiththescaleincreasingofnetwork�,ithasbecomemoreandmoreimportantinthedailylife.Andwiththeextensiveapplicationofthenetwork,networktrafficanomaliesimpactthenetwork
6、performancemoreoften.Todetectanomalyrapidlyandaccuratelyandtorespondtoanomalycorrectlyisoneofthepreconditionofensuringtheeffluentnetworkoperation.SodetectionofanomaloustrafficisbecomingatopicofconCenl.WeCanclassifythenetworktrafficanomalydetectioninlocalandnetwork—wideanomalyd
7���、etection.Thelocalanomalydetectionisbasedonthehypothesisthatanomaliesmaybehaveobviouslyononenodeorlinkofthenetwork.So,wecandealwiththetrafficasaonedimensionsignal,andusethesignalprocessingmethodstodetecttheanomaly.However,someanomaliesmaynotbehaveobviouslyononenodeorlink��,suchas
8�、theDDoS��,wormvirus.So,wemustdetectthiskindofanomalybasedonthed
