資源描述:
《網(wǎng)絡(luò)流量異常檢測(cè)方法研究及仿真平臺(tái)研制》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)���。
1���、電子科技大學(xué)碩士學(xué)位論文網(wǎng)絡(luò)流量異常檢測(cè)方法研究及仿真平臺(tái)研制姓名:楊丹申請(qǐng)學(xué)位級(jí)別:碩士專業(yè):通信與信息系統(tǒng)指導(dǎo)教師:胡光岷20080501摘要在計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模和應(yīng)用領(lǐng)域不斷擴(kuò)大的今天,網(wǎng)絡(luò)已經(jīng)成為人們?nèi)粘9ぷ骱蜕畹闹匾M成部分����。而隨著網(wǎng)絡(luò)應(yīng)用范圍的擴(kuò)大���,由網(wǎng)絡(luò)攻擊、蠕蟲病毒����、惡意下載、設(shè)備異常等因素導(dǎo)致的網(wǎng)絡(luò)流量異?��?赡車?yán)重影響網(wǎng)絡(luò)性能��、干擾網(wǎng)絡(luò)正常運(yùn)行�����。如何及時(shí)而準(zhǔn)確的檢測(cè)網(wǎng)絡(luò)流量異常��,保證網(wǎng)絡(luò)的正常運(yùn)行�,為用戶提供一個(gè)良好的網(wǎng)絡(luò)環(huán)境成為備受國(guó)內(nèi)外學(xué)術(shù)界和工業(yè)界關(guān)注的研究課題����。網(wǎng)絡(luò)流量異常檢測(cè)方法按照其檢測(cè)范圍分類�,可以分為局部異常檢測(cè)和全
2、局異常檢測(cè)。局部流量異常檢測(cè)方法認(rèn)為異常流量會(huì)在網(wǎng)絡(luò)中的某一個(gè)節(jié)點(diǎn)或者某一條鏈路上較為明顯地表現(xiàn)出來(lái)��,因此可以將流量視為一個(gè)一維時(shí)間信號(hào)��,利用一維時(shí)間信號(hào)的分析方法進(jìn)行分析�����,得出異常檢測(cè)結(jié)論�����。全局異常檢測(cè)認(rèn)為某些異常無(wú)法在單條鏈路的流量上明顯的表現(xiàn)出來(lái)��,如DDoS(分布式拒絕服務(wù))攻擊���、蠕蟲傳播等����,要檢測(cè)這類異常就必須以整個(gè)網(wǎng)絡(luò)的多個(gè)流量信號(hào)作為基礎(chǔ)進(jìn)行檢測(cè)���。本文在局部異常檢測(cè)和全局異常檢測(cè)兩方面都進(jìn)行了研究��。在局部異常檢測(cè)方面����,本文提出了一種尺度可調(diào)的多分辨網(wǎng)絡(luò)流量異常檢測(cè)方法,可以提高檢測(cè)的針對(duì)性和檢測(cè)精度��。通過(guò)引入S變換��,使得我們可以根據(jù)流量
3����、信號(hào)的頻譜特征自動(dòng)調(diào)整分頻信號(hào)的頻譜寬度,符合異常特征���;通過(guò)信號(hào)自適應(yīng)重構(gòu)后的再次檢測(cè)��,進(jìn)一步確認(rèn)異常特征���,提高了檢測(cè)的可靠性。在全局異常檢測(cè)方面�����,本文提出了一種全局的多流量多參數(shù)相關(guān)異常檢測(cè)方法�����。該方法利用同一異常在不同鏈路或OD(Origin.Destination)流所產(chǎn)生的多個(gè)異常流量信號(hào)在頻率、幅值變化特征等方面具有相似性這一特點(diǎn)��,將這種相似性作為檢測(cè)的依據(jù)來(lái)檢測(cè)異常����。首先得到多個(gè)OD流或鏈路流量的多個(gè)參數(shù)�,然后對(duì)每條流量的這些參數(shù)進(jìn)行ICA(IndependentComponentAnalysis)分析,估計(jì)出該流量的異常行為特征變量序
4�����、列�����,最后利用K.L變換進(jìn)行多個(gè)OD流或鏈路之間的全局相關(guān)分析�����,判斷是否出現(xiàn)異常�����。在實(shí)際應(yīng)用中����,全局異常檢測(cè)系統(tǒng)應(yīng)該是一個(gè)分布式的檢測(cè)系統(tǒng)����,為了減輕中心檢測(cè)節(jié)點(diǎn)的計(jì)算負(fù)擔(dān)�,提高檢測(cè)效率,本文提出了一種分布式網(wǎng)絡(luò)流量異常檢測(cè)機(jī)制����,并利用該機(jī)制研制了分布式網(wǎng)絡(luò)流量異常檢測(cè)仿真平臺(tái)。該仿真平臺(tái)通過(guò)兩級(jí)檢測(cè)機(jī)制�����,可以減輕中心節(jié)點(diǎn)的計(jì)算負(fù)擔(dān)����;通過(guò)將網(wǎng)絡(luò)參數(shù)統(tǒng)計(jì)部分和摘要異常檢測(cè)部分相分離,實(shí)現(xiàn)了平臺(tái)的通用性和可擴(kuò)展性�。文中提出的算法在Windows平臺(tái)下利用Matlab、NS2進(jìn)行了仿真���,從仿真結(jié)果可以看出�,所提出的局部和全局流量異常檢測(cè)方法����,都取得了令人滿意
5��、的檢測(cè)結(jié)果���,從而驗(yàn)證了算法的有效性�����。這些檢測(cè)算法及機(jī)制���,可以作為網(wǎng)絡(luò)安全整體解決方案的一個(gè)組成部分���,與其他安全設(shè)備之間進(jìn)行緊密的聯(lián)系,共同解決網(wǎng)絡(luò)安全問(wèn)題����。關(guān)鍵詞:流量異常,尺度可調(diào)節(jié)�����,全局檢測(cè)��,獨(dú)立成分分析,仿真平臺(tái)AbstractWiththescaleincreasingofnetwork���,ithasbecomemoreandmoreimportantinthedailylife.Andwiththeextensiveapplicationofthenetwork�����,networktrafficanomaliesimpactthenetwork
6����、performancemoreoften.Todetectanomalyrapidlyandaccuratelyandtorespondtoanomalycorrectlyisoneofthepreconditionofensuringtheeffluentnetworkoperation.SodetectionofanomaloustrafficisbecomingatopicofconCenl.WeCanclassifythenetworktrafficanomalydetectioninlocalandnetwork—wideanomalyd
7���、etection.Thelocalanomalydetectionisbasedonthehypothesisthatanomaliesmaybehaveobviouslyononenodeorlinkofthenetwork.So��,wecandealwiththetrafficasaonedimensionsignal����,andusethesignalprocessingmethodstodetecttheanomaly.However,someanomaliesmaynotbehaveobviouslyononenodeorlink����,suchas
8、theDDoS����,wormvirus.So����,wemustdetectthiskindofanomalybasedonthed
