基于迭代的快速网络流量异常检测研究

摘要

在互联网蓬勃发展，信息飞速传播的今天，网络已成为人们生活和工作中必不可少的部分，然而，与之伴随着的各种异常攻击、病毒入侵等也给人们的互联网生活造成了极大影响，网络安全作为一个与人们工作生活息息相关的课题，愈来愈显示出其重要性。网络流量异常检测是网络安全方面的一个重要课题，它是指网络流量行为偏离其正常行为的情形。当前网络环境日趋复杂，规模不断扩充，突发流量异常时有发生，这对网络异常检测系统的快速性和实时性方面提出更高要求，如何能快速准确地对流量异常进行感知，是当前网络异常检测方面新的需求。
　　 传统的网络流量异常检测大多基于特征匹配，该类方法必须事先建立特征库并进行训练和学习。方法大致可分为离线模式和在线模式两种。离线模式意味着数据收集，特征库生成均在检测之前形成，其缺点是显而易见的，灵活性差，网络状况甚至系统的变化都会引起所有状态的重置。在线模式克服了离线模式的不足，采用在线学习的方式不断地更新特征库，灵活性和准确性都得到提高。但这两种方式下均需要事先了解网络分布，建立特征库，其自适应性和应对突发状况的能力较差。且这种特征库是主观建立的，无法反映网络本身特性，故仍很难保证其精确性。上述方法的侧重点均在于异常检测的准确性，然而，随着因特网的发展，网络环境日趋复杂，各种突发的快速异常和攻击常常令异常检测系统猝不及防，我们需要更加快速准确的检测方法来应对不断出现的新问题。
　　 针对传统检测方法在检测速度方面的不足，本文提出了一种快速的网络流量异常检测方案。该方案基于对网络流量自相似性的研究，通过对Hurst指数的迭代估算，然后根据估算出的Hurst值判断异常是否发生。首先，我们对迭代算法进行研究，并针对其算法的准确性提出了对算法的改进方法，并使用分形高斯噪声对改进后的方法的准确性进行验证和分析，证明其有效性，并针对其在网络流量异常检测中的适用性做出了一些改进；然后，我们使用真实网络流量数据在MATLAB中对方案进行仿真，分别作了正常流量和异常流量两种情况的仿真研究，结果表明，该方案与同类的基于流量自相似性的方案比较，有快速准确的特点，可以作为快速网络流量异常检测的一种新的思路和选择。

目录

文摘

英文文摘

第一章 绪论

1.1 研究背景及意义

1.2 网络流量异常概述

1.3 网络流量异常检测算法

1.4 本文主要工作及章节安排

第二章 自相似理论与Hurst指数

2.1 自相似理论的提出

2.2 自相似理论相关概念

2.3 自相似流量模型

2.4 分形高斯噪声

2.5 自相似指数及其估算方法

2.6 本章小结

第三章 Hurst指数的迭代算法及其改进

3.1 算法介绍

3.2 算法的实现思路

3.3 分形高斯噪声的产生

3.3.1 随机中点置位法

3.3.2 自相关函数系统合成法

3.3.3 分形高斯噪声的产生

3.4 算法改进思路及实验分析

3.5 改进后算法的实现思路

3.6 本章小结

第四章 基于迭代的快速网络流量异常检测方案

4.1 方案基本思路和架构

4.2 方案实现步骤及思想

4.2.1 获取网络流量数据

4.2.2 处理网络流量数据包

4.2.3 迭代求解Hurst指数

4.2.4 网络流量异常判断

4.3 仿真实验及结果分析

4.3.1 实验环境

4.3.2 仿真实验数据来源

4.3.3 仿真实验结果和分析

4.4 本章小结

第五章 总结与展望

5.1 总结

5.2 展望

致谢

参考文献

硕士期间论文发表情况及科研工作