基于netflow流量行為分析的網(wǎng)絡(luò)異常檢測(cè)

基于netflow流量行為分析的網(wǎng)絡(luò)異常檢測(cè)

ID:24061176

大小:51.00 KB

頁(yè)數(shù):4頁(yè)

時(shí)間:2018-11-12

基于netflow流量行為分析的網(wǎng)絡(luò)異常檢測(cè)_第1頁(yè)
基于netflow流量行為分析的網(wǎng)絡(luò)異常檢測(cè)_第2頁(yè)
基于netflow流量行為分析的網(wǎng)絡(luò)異常檢測(cè)_第3頁(yè)
基于netflow流量行為分析的網(wǎng)絡(luò)異常檢測(cè)_第4頁(yè)
資源描述:

《基于netflow流量行為分析的網(wǎng)絡(luò)異常檢測(cè)》由會(huì)員上傳分享,免費(fèi)在線(xiàn)閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。

1、基于NetFlow流量行為分析的網(wǎng)絡(luò)異常檢測(cè)摘要:本文提出了一種新的基于流量行為分析的X絡(luò)異常檢測(cè)方法,該方法在X絡(luò)攻擊與流量分析的基礎(chǔ)上,結(jié)合NetFlop的流密度,F(xiàn)CD(,,,,6,<50)表示協(xié)議類(lèi)型為tcp且字節(jié)數(shù)量小于50的流密度(SYN掃描數(shù)據(jù)包特征)。  定義2:有可列個(gè)流密度,每個(gè)流密度的類(lèi)型都不同,且都屬于相同間隔時(shí)間t,我們把間隔時(shí)間t上的X絡(luò)行為表示為,簡(jiǎn)寫(xiě)為,顯然為多維向量,我們定義為向量第維上的值。  定義3:X絡(luò)行為間的距離。兩個(gè)長(zhǎng)度都為n的X絡(luò)行為和的距離是指和作為n維向量之間的

2、歐氏距離,即  。  定義4:正常X絡(luò)行為模式。X絡(luò)流量在正常運(yùn)行的情況下是具有一定的周期性、穩(wěn)定性的,也就是說(shuō)正常的X絡(luò)流量數(shù)據(jù)能在歷史數(shù)據(jù)中找到與其相近的模式,我們把能描述正常X絡(luò)流量的X絡(luò)行為模式稱(chēng)為正常X絡(luò)行為模式,記為。以下是我們計(jì)算的算法:  (1)對(duì)近2周采集到的X絡(luò)行為進(jìn)行聚類(lèi),聚類(lèi)算法采用X絡(luò)行為間的距離,得到個(gè)X絡(luò)行為簇?! ?2)分別計(jì)算X絡(luò)行為簇的質(zhì)心,設(shè),則,  (3)設(shè)待檢測(cè)的X絡(luò)行為,分別計(jì)算,,如果  則,顯然正常X絡(luò)行為模式是最近2周中與待檢測(cè)X絡(luò)行為距離最近的X絡(luò)行為模式,會(huì)

3、隨著時(shí)間和X絡(luò)流量變化進(jìn)行調(diào)整,具有自適應(yīng)性。若為異常X絡(luò)行為,則在歷史X絡(luò)行為模式簇質(zhì)心集合中找不到與相近的模式,即相對(duì)較大?!   ?、異常檢測(cè)算法  X絡(luò)流量中不同協(xié)議的流密度分布可以描述X絡(luò)行為,X絡(luò)行為間的距離可以描述不同X絡(luò)行為之間的區(qū)別,本文用關(guān)聯(lián)度來(lái)描述不同X絡(luò)行為之間的區(qū)別,算法如下:  設(shè)有兩個(gè)X絡(luò)行為和,則其間的關(guān)聯(lián)度定義為  (1)  式中,——關(guān)聯(lián)系數(shù)  ——和的長(zhǎng)度  ——分辨系數(shù),一般取  設(shè)待檢測(cè)的X絡(luò)行為和根據(jù)定義4計(jì)算得到的正常X絡(luò)行為模式,根據(jù)(1)式可得與的關(guān)聯(lián)度。根據(jù)實(shí)

4、驗(yàn)統(tǒng)計(jì),在正常情況下一個(gè)X絡(luò)中的正常X絡(luò)行為與的關(guān)聯(lián)度在較小的范圍內(nèi)波動(dòng),如果待檢測(cè)的X絡(luò)行為與的關(guān)聯(lián)度超出了一定范圍,就有可能存在突發(fā)流量的現(xiàn)象?!   ?、實(shí)驗(yàn)結(jié)果及分析  在實(shí)際X絡(luò)環(huán)境中,我們用三層交換機(jī)CISCO6509產(chǎn)生NetFlop、smtp等協(xié)議類(lèi)型的流密度組成。經(jīng)過(guò)統(tǒng)計(jì),在我們的X絡(luò)中正常情況下X絡(luò)行為與的關(guān)聯(lián)度在0.6到0.75之間波動(dòng),如果與的關(guān)聯(lián)度超出了這個(gè)范圍,就可能存在突發(fā)的X絡(luò)流?! ∮袃蓚€(gè)我們采集到的待檢測(cè)的X絡(luò)行為:  本文提出了一種基于NetFloalydetectionf

5、ordiagnosis[C].Proceedingsofthe20thInternationalSymposiumFault-Tolerantputing.1990:20-27.  [2]鄒柏賢.一種X絡(luò)異常實(shí)時(shí)監(jiān)測(cè)方法[J].計(jì)算機(jī)學(xué)報(bào),200326(8):940-947.  [3]CristianEstan,StefanSavage,GeorgeVarghese.AutomaticallyInferringPattensofResourceConsumptioninNet2003.2003.    基金項(xiàng)目

6、:本文獲寧波市自然科學(xué)基金項(xiàng)目“基于面向服務(wù)體系的X絡(luò)服務(wù)管理的研究“資助(項(xiàng)目編號(hào):2006A610012)。

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動(dòng)畫(huà)的文件,查看預(yù)覽時(shí)可能會(huì)顯示錯(cuò)亂或異常,文件下載后無(wú)此問(wèn)題,請(qǐng)放心下載。
2. 本文檔由用戶(hù)上傳,版權(quán)歸屬用戶(hù),天天文庫(kù)負(fù)責(zé)整理代發(fā)布。如果您對(duì)本文檔版權(quán)有爭(zhēng)議請(qǐng)及時(shí)聯(lián)系客服。
3. 下載前請(qǐng)仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動(dòng)等原因無(wú)法下載或下載錯(cuò)誤,付費(fèi)完成后未能成功下載的用戶(hù)請(qǐng)聯(lián)系客服處理。