基于NetFlow和sFlow网络流融合的异常检测方法研究

摘要

随着网络技术的不断提高,现有网络部署结构和网络应用程序的复杂化导致信息处理的规模和难度增大,而传统的异常检测方法已经不再适合现有大规模的网络中出现的不同形式的异常。由于网络流包含丰富的网络信息,因此基于网络流的异常检测技术逐渐成为网络安全态势感知内的一项主流技术。本文依据NetFlow和sFlow在网络异常检测方面的应用特点,切入协议字段融合方法来完善检测的数据源,然后提出了基于NetFlow和sFlow网络流融合的异常检测方法。
　　本文首先分析了网络安全的当前形势,从中结合网络流的发展和基于网络流的异常检测现状分析,提出了基于NetFlow和sFlow网络流融合的异常检测方法的基本思路;其次,研究分析了NetFlow和sFlow数据格式及功能分析,结合二者的特点提出一种基于NetFlow和sFlow协议字段融合方法,并通过与基于单一协议的方法实验对比验证融合方法的优势;再次,根据网络异常的特征分析及基于网络流异常检测方法的研究,并结合融合网络流数据的特征,提出了基于NetFlow和sFlow网络流融合的异常检测方法。该方法结合网络流异常检测方法的特点,设置网络正常状态的监测,并将异常进行分类检测,达到自动有效地监测当前网络。
　　最后,本文对基于NetFlow和sFlow异常检测系统进行功能分析,且研究了其结构,对各个模块进行了设计与实现。并结合实验网络对系统进行部署,验证该系统的各模块的作用和优势。为了适应网络安全的更多需求,论文提出了下一步的研究工作,最终完成了硕士论文的预期研究目标。

目录

封面

声明

中文摘要

英文摘要

目录

第1章 绪论

1.1 研究背景及意义

1.2 国内外研究现状

1.3 研究目标及研究内容

1.4 论文组织结构

第2章 基于NetFlow和sFlow网络流的融合方法

2.1 NetFlow与sFlow的协议功能详细分析

2.2 基于NetFlow和sFlow网络流的融合方法

2.3 本章小结

第3章 基于NetFlow和sFlow网络流融合的异常检测方法

3.1 网络异常特征分析

3.2 网络流异常检测方法概述

3.3 基于NetFlow和sFlow网络流融合的异常检测方法

3.4 本章小结

第4章 基于NetFlow和sFlow异常检测系统的设计与实现

4.1 基于NetFlow和sFlow异常检测系统的功能分析

4.2 基于NetFlow和sFlow异常检测系统总体设计

4.3 基于NetFlow和sFlow异常检测系统的各模块设计与实现

4.4 系统运行结果分析

4.5 系统对比实验结果与分析

4.6 本章小结

结论

参考文献

攻读硕士学位期间发表的论文和取得的科研成果

致谢