计算机网络流量异常检测与预测方法研究

摘要

随着宁夏电力通信公司专网宽带用户数量的不断增加,以及Internet业务的不断发展,目前宽带接入系统的容量和业务模式已经不能满足现有网络和业务的发展需要,随着宽带接入技术不断发展成熟,支持远距离和高带宽的adsl2/adsl2+等技术已经普遍被应用,专线接入方式也越来越多地被众多运营商应用。为了保证宁夏电力通信公司能够给网络内的宽带接入用户提供高速、可靠的宽带连接,针对不同类型用户开通不同的宽带接入方式,有效管理网内的用户,合理使用现有网络资源,顺应互联网的发展和应用,宁夏电力通信公司计划对现有宽带接入网络进行扩容改造的实施,主要是对现有网络中的一些核心设备进行更新改造。保证宁夏电力宽带接入网络安全、稳定、可靠的运行。然而,网络规模不断扩大,复杂性不断增加,网络的异构性越来越高。导致网络出现各种性能问题的可能性增大,而且传播得更为广泛,发现和诊断问题的难度增大。另一方面用户对网络服务性能提出了更高的要求,这些都增加了网络管理的难度。因此如何实时检测和预测这些网络异常成为目前重要的研究课题。网络流量的异常检测是网络异常处理中的一个重要环节。对网络流量进行实时监测和预测,及时地发现网络流量异常,对提高网络的可靠性和可用性具有重要意义。本文的主要工作如下:本文首先介绍了异常检测的发展概况和相关技术,对常用的检测算法进行分析和评价,为网络异常流量实时检测与预测方法的研究提供理论基础。针对实际流量的非平稳特征,提出基于时序分解的流量异常检测算法。通过计算随机部分参数的边缘分布和残差,从高维、非平稳流量中分离出包含异常的随机部分,揭示了流量异常对随机部分参数的影响。实验结果表明,由于不必将整个时间序列进行分片和单独拟合,算法可以直接处理非平稳流量数据,实现了真正意义上的网络流异常检测功能。另外以一种常见的网络异常IP Forwarding异常为个案,提出大规模网络中异常检测框架。通过高性能测量和在线分析网络流和路由信息对初始网络异常产生实时报警,提出基于路由变化、流变化和包延迟建立网络行为模型的网络异常检测算法。最后,以宁夏电力通信公司网络现状及以后发展为依据,展望网络安全发展的前景,以及网络异常流量检测与预测技术的实现问题。

目录

中文摘要

英文摘要

1 绪论

1.1 选题背景和意义

1.2 国内外异常检测技术的发展历程

1.3 异常流量检测与预测技术研究的难点问题

1.4 本文所做的主要工作

1.5 本文的内容组织

2 典型异常检测算法性能分析

2.1 引言

2.2 用于异常检测的网络数据源

2.3 网络异常检测算法设计目标

2.4 现有的网络流量异常检测算法分类

2.5 几种典型异常检测算法分析

2.5.1 广义似然比(GLR)

2.5.2 主要组成分析(PCA)

2.5.3 小波分析

2.5.4 流量特征分布

2.6 对典型算法的比较分析

2.7 本章小结

3 非稳态流量异常检测与预测算法

3.1 引言

3.2 网络流量的非稳定性

3.3 流量时序分解模型的建立及应用

3.3.1 分解检测、预测模型建立

3.3.2 异常流量的分离及异常检测

3.4 实验环境及结果分析

3.4.1 实验数据的收集

3.4.2 时序分解

3.4.3 实验结果分析

3.5 本章小结

4 大规模网络异常检测方法

4.1 引言

4.2 IP forwarding异常及产生原因

4.3 大规模流量异常检测框架

4.3.1 检测框架的功能组成

4.3.2 本地数据分析方法

4.4 用网络行为模型检测IP forwarding异常

4.4.1 基于TTL值分析路由变化

4.4.2 基于流集合分析流量变化

4.4.3 基于延迟分析网络拥塞

4.5 本章小结

5 网络流量异常检测在宁夏电力通信网络中的应用

5.1 技术改造的必要性

5.1.1 宁夏电力宽带接入系统网络现状

5.1.2 网络目前存在的问题

5.1.3 项目实施的必要性

5.2 技术改造方案

5.2.1 技术方案的实施

5.2.2 设备的选型

5.3 流量异常检测的实现

5.3.1 Juniper IDP-200的主要功能

5.3.2 IDP入侵检测和防护系统-响应机制

5.3.3 Juniper IDP-200入侵检测和防护系统-攻击检测

5.3.4 系统运行效果

5.4 下一步网络发展的思路

6 结论及展望

致谢

参考文献

附录: 作者在攻读学位期间发表的论文目录