学位论文 > 优秀研究生学位论文题录展示

基于概要数据结构的异常流量检测方法研究与实现

作 者: 罗娜
导 师: 吴泉源;李爱平
学 校: 国防科学技术大学
专 业: 计算机科学与技术
关键词: 异常检测 概要数据结构 指数权重移动平均模型 溯源性
分类号: TP393.08
类 型: 硕士论文
年 份: 2008年
下 载: 110次
引 用: 0次
阅 读: 论文下载
 

内容摘要


近年来,随着Internet的飞速发展,面向互联网安全的监测和管理已经成为影响互联网正常应用的重大问题。不同的运营商和管理部门,也相应的建立了不同的互联网安全事件监测系统。但是,由于互联网安全事件的规模性、复杂性和不断更新的特性,导致诸如DDoS攻击、大规模扫描、僵尸网络和蠕虫传播等安全事件层出不穷。网络流量异常指网络中流量不规则地显著变化,如何针对网络上海量数据流进行监测,并对其中的异常进行标定和报警,以及对其进行可视化展现,是对互联网上安全监测的重要手段之一。本文针对国家骨干网络NetFlow数据到达速度快、流量大等特点,引入数据流模型,通过对不同种类攻击原理及造成异常的流量特征分析,提出了一种基于概要数据结构的可溯源的异常流量检测方法,该方法主要是通过概要数据结构记录与某类异常相关的流量特征值,进而应用EWMA时间序列预测模型,计算此特征值的预测量,将其与实际观测值进行比较,最后在二者之间的差异上建立均值方差的统计模型,从而判定异常。论文基于国家骨干网流量数据实现了一个异常流量检测原型系统,完成了对于拒绝服务攻击、网络扫描和短时网络拥塞三种异常流量的检测,以及对于网络流量变化的动态跟踪、安全事件的多维度的可视化展示功能。通过实验验证和原型系统的结果分析表明,本文给出的异常流量检测方法以及实现的原型系统,能够在150MB/S的链路上达到实时处理的要求,且内存开销小,运算简便。其次,算法能够针对多种异常流量同时进行检测,算法具备可扩展性,并且,在实现检测的同时,可以定位IP主机,从而实现可溯源性。这些对于增强全网的安全响应能力、提高安全防护水平具有重要意义。此外,由于该算法是基于网络的异常流量检测,因而能够在攻击发生初期对其进行有效检测,较之基于主机的检测而言,具有更重要的研究和实用价值。

全文目录


摘要  9-10
ABSTRACT  10-11
第一章 绪论  11-18
  1.1 课题背景与意义  11-12
  1.2 异常流量检测相关技术  12-16
    1.2.1 数据采集  13-14
    1.2.2 数据处理  14-15
    1.2.3 检测难点  15
    1.2.4 发展趋势  15-16
  1.3 论文主要工作  16
  1.4 论文结构  16-18
第二章 常用异常流量检测方法分析  18-29
  2.1 异常流量定义与分类  18-19
    2.1.1 异常流量定义  18
    2.1.2 异常分类  18-19
  2.2 攻击分类  19-23
    2.2.1 拒绝服务攻击  19-21
    2.2.2 扫描  21-22
    2.2.3 蠕虫病毒  22-23
    2.2.4 攻击分类分析  23
  2.3 具体几种异常检测算法分析  23-27
    2.3.1 广义似然比(Generalized likelihood Ratio)  23-24
    2.3.2 主成分分析法(principle component analysis)  24-26
    2.3.3 非高斯方法  26-27
    2.3.4 时间序列  27
  2.4 本章小结  27-29
第三章 基于概要数据结构的可溯源异常流量检测方法  29-46
  3.1 算法设计  29-32
    3.1.1 数据流模型  29-30
    3.1.2 sketch 概要数据结构以及通用散列函数簇  30-31
    3.1.3 时间序列预测模型  31-32
  3.2 检测原理  32-34
  3.3 检测流程  34-37
    3.3.1 数据记录  34-35
    3.3.2 异常检测  35-37
  3.4 算法分析  37-39
    3.4.1 实时性  37
    3.4.2 可溯源性  37-38
    3.4.3 可扩展性  38-39
  3.5 实验结果  39-45
    3.5.1 实验数据  39
    3.5.2 测试环境  39-40
    3.5.3 参数分析  40-43
    3.5.4 算法改进  43-45
  3.6 本章小结  45-46
第四章 异常流量检测原形系统设计与实现  46-58
  4.1 系统总体框架  46-47
  4.2 数据采集模块  47-49
  4.3 数据处理模块  49-50
  4.4 异常检测模块  50-54
  4.5 可视化展示模块  54-57
  4.6 本章小结  57-58
第五章 总结与展望  58-60
  5.1 结论  58
  5.2 下一步工作  58-60
致谢  60-61
参考文献  61-64
作者在学期间取得的学术成果  64

相似论文

  1. 基于核方法的高光谱图像异常检测算法研究,TP751
  2. 人工免疫分类和异常识别算法的改进,R392.1
  3. 交通视频中车辆异常行为检测及应用研究,TP391.41
  4. 一种多数据流聚类异常检测算法,TP311.13
  5. 基于投影寻踪回归的网络异常检测机制研究,TP393.08
  6. 无线传感器网络定位及目标跟踪的研究,TN929.5
  7. 高光谱图像异常目标检测,TP391.41
  8. 基于非参数统计高斯核函数特征量的网络流量异常检测方法,TP393.07
  9. EPC网络的RFID供应链数据异常检测研究,TP391.44
  10. 基于气味分析的设备异常检测方法研究,TB17
  11. 基于多核混合支持向量机的城市短时交通预测,U491.14
  12. 基于关联规则的数据库安全审计系统,TP311.13
  13. 基于C/S的气田巡井考勤睑测子系统的设计与实现,TP274
  14. NetFlow数据处理与异常检测研究,TP393.08
  15. 基于网络异常流量的突发毁击事件检测技术研究与应用,TP393.06
  16. 基于滑窗小波二叉树的网络异常检测与分析,TP393.08
  17. 支持异常行为检测的物理访问控制系统的设计与实现,TP393.08
  18. 高速IP网络中流量测量的关键技术研究,TN915.06
  19. 基于卡尔曼滤波器的自适应网络异常检测方法,TN915.08
  20. 基于数据源优化的高光谱图像异常检测算法研究,TP751.1
  21. 基于SNMP的网络安全态势可视化技术,TP393.08

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com