基于相关系数矩阵的网络异常行为分析方法研究

摘要

当前网络中存在着许多诸如网络扫描、拒绝服务攻击等以网络入侵或网络破坏为目的的网络异常行为，严重影响了网络的正常运行。虽然目前已经有了基于阀值过滤、特征匹配、统计检测等网络异常检测方法，但这些方法主要专注于网络异常的发现以及如何实现防护，忽略了对所发现的异常进行必要的深入分析。因此，提出一种网络异常分析方法具有重要的理论意义和实用价值。
　　 论述了分析网络异常成因所涉及的技术与相关概念。从TCP（TransmissionControl Protocol）连接建立和连接拆除报文的完整性入手，选取了五类TCP 报文作为分析网络异常产生原因的观测报文，给出了理想状况下五类TCP 报文间数量上的关系，着重分析了现有网络中常见的网络异常行为，如网络扫描、拒绝服务攻击等。
　　 说明了如何借助相关系数矩阵来表示TCP 流中多类报文间的相关关系密切程度，并建立了正常状况下五类TCP 报文的相关关系判定准则。
　　 给出了基于相关系数矩阵的网络异常行为分析方法的基本思路，说明了统计时间粒度、采样个数对相关系数计算结果的影响，分析了常见的TCP 流异常行为对相关系数矩阵计算结果的影响。
　　 实验结果表明，基于相关系数矩阵的网络异常行为分析方法能够较为准确地区分TCP Maimon 扫描、DDoS（Distributed Denial of Service）攻击等网络异常行为，具有一定的实用价值。