基于熵估计的网络流量异常检测研究

摘要

随着网络的开放性、共享性及互联程度的扩大，特别是Internet网的出现，网络的重要性以及对社会的影响也越来越大。目前，各式各样的网络威胁给正常的因特网使用造成了极大的风险。由于TCP/IP协议缺乏有效的内置保护机制，计算机很容易受到各种网络攻击。据统计，近年来各种网络攻击带来了巨大的经济损失。入侵检测作为一种重要的信息安全保障手段，已经成为保护网络资源不被滥用的措施。一个使用少量的资源，能够快速而精确地检测出未知攻击的入侵检测系统具有很好的市场前景。
　　 通过对目前主要的流量攻击的攻击特征的分析，根据信息熵的定义，可以得出网络信息熵能应用于网络流量异常检测。通过对数据流得熵估计算法AMS算法的原理以及优缺点的分析，提出了一种新的混合数据流熵估计算法。该算法对网络流中高频项和低频项的信息熵分别加以计算，可以获得比AMS算法更加精确的网络信息熵的估算。
　　 在所设计的实验中，采用麻省理工学院林肯实验室的关于评估入侵检测系统的DARPA数据集。将此权威数据集真实的还原到实验网络中。然后对源IP地址和源端口进行统计，分别采用均匀随机采样、AMS算法以及本文提出的算法分别估算网络信息熵。最后通过将其结果分别和真实数据计算出的网络信息熵进行比较，进一步验证了论文所提出的算法的优越性。