网络流量的异常检测与业务类型识别方法的研究

摘要

网络流量是记录和反映网络及其用户行为活动的重要载体，基于网络流量的分析是认识网络的一面镜子，网络流量异常检测和流量的业务类型识别是网络流量分析技术的两个基础而重要的部分。通过调研现有的方法，发现当前流量异常检测算法的执行效率较低，需要耗费大量CPU时间，不适于处理维数较高的网络流量类型，无法用之于大规模网络检测；有的算法复杂性较高，检测或识别算法通常滞后，不能满足在线运行要求，即算法实时性较差，对于大流量高带宽的网络流量更是如此；多数网络异常检测方法的检测率较低、网络流量识别的精确程度不高，误报率和漏报率较高，检测率和误报率很难平衡。
　　本文将信息熵引入流量分析，提出了一种基于相对熵统计学习的网络流量异常检测方法，该方法主要是对网络流量数据集进行多维分层处理，利用信息论中的熵值公式来对网络流量的数据包的分布进行计算，然后根据网络流量的自相似特性，采用相对熵在网络流量的各个分析视图上对网络流量异常进行检测。该方法所设计的检测方法整体规模小，算法复杂度低，与以往算法相比，对Dos、Ddos攻击和端口扫描类型的网络流量异常尤其具有更优的检测效果。
　　本文引入“距离”和“密度”概念，提出了一种采用流量引力聚类的网络流量业务类型识别方法，解决了原聚类算法的局部性解问题，并分别从网络流量特征属性的选取、对孤立网络流的处理、初始聚类质心的设定环节对这种流量引力聚类方法进行了适应性的处理，从实验与结果分析可知，基于本章的流量识别方法较之以前的方法聚类效果更好，识别率也更高，算法收敛得较快。

目录

封面

声明

中文摘要

英文摘要

目录

专用术语注释表

第一章 绪 论

1.1研究背景与意义

1.2主要研究内容与创新点

1.3论文结构

第二章 网络流量分析技术

2.1网络流量分析技术

2.2现有的检测与识别方法概述

2.3本章小结

第三章 基于相对熵的网络流量异常检测方法

3.1相关研究

3.2网络流量的多维分层

3.3基于相对熵的流量异常检测方法

3.4实验与结果分析

3.5本章小结

第四章 基于引力聚类的网络流量业务类型识别方法

4.1相关工作

4.2引力聚类

4.3基于引力聚类的流量识别方法

4.4实验与结果分析

4.5本章小结

第五章 总结与展望

5.1本文工作总结

5.2进一步工作展望

参考文献

附录1 攻读硕士学位期间撰写的论文

致谢