基于信息熵的异常流量分布式检测方法的研究

摘要

随着互联网技术的快速发展以及网络规模的日益扩大,计算机网络的开放性、共享性以及相互性,在很大程度上给人们提供了方便,但与此同时我们也要面临着各种各样的网络安全问题。异常检测作为网络的安全防护体系已经逐渐成为网络安全领域的研究重点。网络流量异常分析是异常检测中的关键部分,准确、及时地检测出异常对提高网络的可用性和可靠性具有非常重要的意义。
　　 本文首先对现有的网络异常流量检测方法进行分析与研究,可知每种方法都有其各自的特点与适用范围。结合各种异常攻击的特点,针对网络中维数多,速度快的大量数据流量,现有的基于时间序列的统计分析和基于信号的小波分析对这类数据的处理能力有限,需要一种简单高效的异常流量检测方法,快速并精确地检测出异常。
　　 本文提出了一种基于信息熵的异常流量分布式检测方法。以OD流链路级别流量为检测对象,引入信息熵理论,根据流量特征属性提取流量数据,形象地通过信息熵反映出流量特征值的变化情况；然后结合统计学中的主成分分析方法和子空间方法对流量数据进行预处理,并分离出异常点；最后根据对网络攻击特点与性质的分析,使用K-means动态聚类方法将异常流量分类,从而实现对网络流量异常的分布式检测。
　　 本文通过模拟实验,对比集中式异常检测方法,应用基于信息熵的异常流量分布式检测方法,操作简单,处理时间短,可以有效地发现异常流量,并且能很好的将发生的异常进行分类,漏报率和误报率也较低,在一定程度上提高了对网络流量异常的检测和分类的能力,为实际的分布式异常检测系统设计提供了有价值的参考。

目录

文摘

英文文摘

第1章 绪论

1.1 网络安全概述

1.2 课题背景和意义

1.3 作者工作和论文组织结构

第2章 网络流量异常检测技术

2.1 网络流量异常分类

2.1.1 网络故障引起的异常

2.1.2 瞬间大量访问异常

2.1.3 网络攻击异常

2.2 网络流量异常检测分类

2.2.1 时间域分析方法

2.2.2 频域分析方法

2.2.3 时频域分析方法

2.3 网络流量异常检测的主要方法

2.3.1 异常检测模型

2.3.2 几种典型异常检测方法

2.4 网络流量异常检测方法的总结与分析

2.5 本文方法

第3章 信息熵理论和标准子空间方法的研究

3.1 信息熵

3.1.1 信息熵的定义

3.1.2 信息熵在异常检测中的应用

3.2 主成分分析法-PCA

3.2.1 主成分分析法的基本思想

3.2.2 主成分分析法的主要目的

3.2.3 主成分分析法的基本原理

3.2.4 主成分分析法的计算步骤

3.3 标准予空间法

3.4 小结

第4章 基于信息熵的异常流量分布式检测模型建立

4.1 分布式方法的特点

4.2 分布式方法的基本思想

4.2.1 OD流的相关性

4.2.2 动态聚类算法

4.2.3 K-means分类方法

4.3 分布式方法的操作步骤

4.3.1 信息熵指标的选取

4.3.2 熵值计算方法

4.3.3 数据预处理

4.3.4 异常检测与分类

4.4 基于信息熵的异常流量分布式检测模型

4.5 小结

第5章 实验与分析

5.1 网络流量采集技术-NetFlow

5.1.1 NetFlow简介

5.1.2 NetFlow框架结构

5.1.3 NetFlow流信息格式

5.2 网络流量数据的提取

5.3 实验环境的搭建

5.4 模拟攻击

5.5 实验分析

5.5.1 检测率与误报率分析

5.5.2 异常分类分析

5.5.3 时间复杂度的分析

5.6 实验小结

第6章 总结与展望

6.1 总结

6.2 展望

参考文献

致谢