資源描述:
《基于netflow流量行為分析的網(wǎng)絡(luò)異常檢測(cè)》由會(huì)員上傳分享,免費(fèi)在線(xiàn)閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。
1、基于NetFlow流量行為分析的網(wǎng)絡(luò)異常檢測(cè)摘要:本文提出了一種新的基于流量行為分析的X絡(luò)異常檢測(cè)方法,該方法在X絡(luò)攻擊與流量分析的基礎(chǔ)上,結(jié)合NetFlop的流密度,F(xiàn)CD(,,,,6,<50)表示協(xié)議類(lèi)型為tcp且字節(jié)數(shù)量小于50的流密度(SYN掃描數(shù)據(jù)包特征)。 定義2:有可列個(gè)流密度,每個(gè)流密度的類(lèi)型都不同,且都屬于相同間隔時(shí)間t,我們把間隔時(shí)間t上的X絡(luò)行為表示為,簡(jiǎn)寫(xiě)為,顯然為多維向量,我們定義為向量第維上的值。 定義3:X絡(luò)行為間的距離。兩個(gè)長(zhǎng)度都為n的X絡(luò)行為和的距離是指和作為n維向量之間的
2、歐氏距離,即 。 定義4:正常X絡(luò)行為模式。X絡(luò)流量在正常運(yùn)行的情況下是具有一定的周期性、穩(wěn)定性的,也就是說(shuō)正常的X絡(luò)流量數(shù)據(jù)能在歷史數(shù)據(jù)中找到與其相近的模式,我們把能描述正常X絡(luò)流量的X絡(luò)行為模式稱(chēng)為正常X絡(luò)行為模式,記為。以下是我們計(jì)算的算法: (1)對(duì)近2周采集到的X絡(luò)行為進(jìn)行聚類(lèi),聚類(lèi)算法采用X絡(luò)行為間的距離,得到個(gè)X絡(luò)行為簇?! ?2)分別計(jì)算X絡(luò)行為簇的質(zhì)心,設(shè),則, (3)設(shè)待檢測(cè)的X絡(luò)行為,分別計(jì)算,,如果 則,顯然正常X絡(luò)行為模式是最近2周中與待檢測(cè)X絡(luò)行為距離最近的X絡(luò)行為模式,會(huì)
3、隨著時(shí)間和X絡(luò)流量變化進(jìn)行調(diào)整,具有自適應(yīng)性。若為異常X絡(luò)行為,則在歷史X絡(luò)行為模式簇質(zhì)心集合中找不到與相近的模式,即相對(duì)較大?! ?、異常檢測(cè)算法 X絡(luò)流量中不同協(xié)議的流密度分布可以描述X絡(luò)行為,X絡(luò)行為間的距離可以描述不同X絡(luò)行為之間的區(qū)別,本文用關(guān)聯(lián)度來(lái)描述不同X絡(luò)行為之間的區(qū)別,算法如下: 設(shè)有兩個(gè)X絡(luò)行為和,則其間的關(guān)聯(lián)度定義為 (1) 式中,——關(guān)聯(lián)系數(shù) ——和的長(zhǎng)度 ——分辨系數(shù),一般取 設(shè)待檢測(cè)的X絡(luò)行為和根據(jù)定義4計(jì)算得到的正常X絡(luò)行為模式,根據(jù)(1)式可得與的關(guān)聯(lián)度。根據(jù)實(shí)
4、驗(yàn)統(tǒng)計(jì),在正常情況下一個(gè)X絡(luò)中的正常X絡(luò)行為與的關(guān)聯(lián)度在較小的范圍內(nèi)波動(dòng),如果待檢測(cè)的X絡(luò)行為與的關(guān)聯(lián)度超出了一定范圍,就有可能存在突發(fā)流量的現(xiàn)象?! ?、實(shí)驗(yàn)結(jié)果及分析 在實(shí)際X絡(luò)環(huán)境中,我們用三層交換機(jī)CISCO6509產(chǎn)生NetFlop、smtp等協(xié)議類(lèi)型的流密度組成。經(jīng)過(guò)統(tǒng)計(jì),在我們的X絡(luò)中正常情況下X絡(luò)行為與的關(guān)聯(lián)度在0.6到0.75之間波動(dòng),如果與的關(guān)聯(lián)度超出了這個(gè)范圍,就可能存在突發(fā)的X絡(luò)流?! ∮袃蓚€(gè)我們采集到的待檢測(cè)的X絡(luò)行為: 本文提出了一種基于NetFloalydetectionf
5、ordiagnosis[C].Proceedingsofthe20thInternationalSymposiumFault-Tolerantputing.1990:20-27. [2]鄒柏賢.一種X絡(luò)異常實(shí)時(shí)監(jiān)測(cè)方法[J].計(jì)算機(jī)學(xué)報(bào),200326(8):940-947. [3]CristianEstan,StefanSavage,GeorgeVarghese.AutomaticallyInferringPattensofResourceConsumptioninNet2003.2003. 基金項(xiàng)目
6、:本文獲寧波市自然科學(xué)基金項(xiàng)目“基于面向服務(wù)體系的X絡(luò)服務(wù)管理的研究“資助(項(xiàng)目編號(hào):2006A610012)。