基于分形的网络流量分析及异常检测技术研究

摘要

网络流量分析作为计算机网络基础理论研究的前沿性热点问题之一,对于了解网络的行为,提高网络性能,以及保障网络安全具有重大的科学意义及应用价值。计算机网络是一类典型的巨复杂系统,网络系统中存在大规模非线性动力学行为(包括混沌和分形现象),社会性的交互行为(包括竞争、合作、欺骗、对抗等)以及广义的新陈代谢行为(包括软件、硬件、应用等),这些海量存在的通信实体和彼此之间的短距非线性相互作用使得网络流量越来越复杂,因此迄今为止,尚未能够建立一个有效描述网络流量特征的数学模型。其次,传统的基于微观的异常检测方法,其线性叠加往往不能和网络的复杂行为相一致。根据Gilder定律,网络带宽急剧膨胀,基于大规模网络实时性无状态保留的需求势必使目前检测方法的虚警率和漏警率居高不下。因此,准确、客观、实时地分析网络流量特性并引入全新的异常检测研究方法来保持网络安全运行是十分必要的。随着分形理论的发展,研究者对网络流量的研究不断地深入。大量的流量监测结果表明:在任何时间、任何地点、任何网络环境下,流量自相似特性在计算机网络中普遍存在,与网络类型、网络规模、网络拓扑结构、数据传输协议和网络服务几乎无关。因此,通过对网络流量分形特性的研究,并进行异常检测将具有较高的检测率,较低的虚警率和最广泛的适用性。
　　 本文针对上述问题,对流量分形特性和异常检测技术进行深入研究,并且提出了有效的解决方案,取得了一定的科研成果。本文的主要研究成果如下:
　　 1、通过分析网络流量的非平稳特性及自相似特性,提出了一种非平稳网络流量自相似模型。已有的研究在对网络流量建模时都假设流量是平稳的,而实际采集的网络流量并非全部平稳。在这种情况下,本文提出的模型首先对非平稳网络流量在自相似变化点进行实时分割,其次估计出分割后的子流量局部自相似参数,并根据该参数的大小从候选的自相似模型中自适应地选择一种对子流量进行建模。本文提出的模型能够克服流量非平稳特性对自相似建模精度的影响。
　　 2、提出了一种基于Hurst指数变化的DDoS攻击检测方法。当流量的自相似参数与模型估计值差值超过给定阈值时,判定DDoS攻击发生。对于检测阈值的设定,本文提出了基于顺序统计阈值设定法及基于最大似然估计阈值设定法,并从统计数学角度给出了检测率和虚警率。本文提出的检测方法使用Hurst参数作为检测元,不需要深入分析采集的流量数据包,只需统计分析流量数据长度,具有快速实时的优点,并且该方法不针对具体的协议、具体的检测平台,具有很强的移植性。
　　 3、在深入分析GC模型的特点后,通过考察GC模型的分形维D与自相似参数H在DDoS攻击前后的变化规律,提出了一种DDoS攻击检测方法,并给出了该检测方法的检测原理。此外,本文还提出一种基于Dempster-Shafer证据理论的D检测子与H检测子检测结果融合方法,增强了单个检测子的检测性能。由于使用了二元参数检测,提出的检测方法能够更加有效的检测网络中的DDoS攻击,尤其是轻度DDoS攻击及短时DDoS攻击。
　　 4、利用模糊逻辑在决策推理方面的优点,提出了一种基于模糊逻辑的DDoS攻击检测及强度判断方法。该方法通过估计流量在攻击前后自相似参数H以及自相似变化程度HC后,依据模糊推理规则做出攻击是否存在以及推断攻击的强度。该方法不仅可以实时地检测网络中是否存在攻击,并能够实现攻击时刻的检测及攻击强度的智能判别。

目录

声明

摘要

符号说明

缩略语列表

第一章 绪论

1．1 网络流量研究的意义

1．2 研究现状及发展趋势

1．2．1 网络流量分形研究现状及发展趋势

1．2．2 异常检测技术研究现状及发展趋势

1．3 主要研究工作和内容安排

1．4 本文的创新

第二章 网络流量自相似分析

2．1 自相似概述

2．2 自相似定义

2．2．1 自相似连续时间定义

2．2．2 自相似离散时间定义

2．2．3 严格自相似与渐近自相似

2．3 自相似性质

2．3．1 长相关性

2．3．2 慢衰减方差

2．3．3 重尾分布

2．3．4 1／f噪声

2．4 自相似指数估计

2．4．1 时域估计法

2．4．2 频域估计法

2．4．3 小波分析估计法

2．4．4 自相似指数估计方法比较

2．5 本章小结

第三章 非平稳网络流量自相似建模

3．1 网络流量模型概述

3．2 非平稳网络流量分割

3．2．1 Schwarz信息准则

3．2．2 基于小波的非平稳流量分割

3．2．3 流量自相似变化点实时检测

3．3 自相似网络流量模型

3．3．1 分形高斯噪声模型

3．3．2 ON／OFF模型

3．3．3 基于小波的模型

3．3．4 自相似模型评价

3．4 非平稳网络流量自相似模型

3．5 实验及性能分析

3．5．1 实验数据

3．5．2 实验结果

3．5．3 实验分析

3．6 本章小结

第四章 基于Hurst指数的DDoS攻击检测

4．1 DDoS攻击概述

4．2 DDoS攻击检测技术

4．2．1 异常检测技术

4．2．2 误用检测技术

4．2．3 混合型检测技术

4．3 基于Hurst指数的DDoS攻击检测

4．3．1 检测原理

4．3．2 检测方法

4．3．3 检测阈值

4．3．4 检测流程

4．4 实验及性能分析

4．4．1 实验数据

4．4．2 实验结果

4．4．3 实验分析

4．5 本章小结

第五章 基于GC模型的DDoS攻击检测

5．1 GC模型

5．1．1 GC模型概述

5．1．2 GC模型特点

5．2 基于GC模型的DDoS攻击检测技术

5．2．1 检测原理

5．2．2 检测方法

5．2．3 检测阈值

5．3 基于Dempster-Shafer证据理论的检测结果融合

5．3．1 Dempster-Shafer证据理论

5．3．2 D检测子与H检测子检测结果融合

5．4 基于GC模型的DDoS攻击检测流程

5．5 实验及性能分析

5．5．1 实验数据

5．5．2 实验结果

5．5．3 实验分析

5．6 本章小结

第六章 基于模糊逻辑的DDoS攻击检测及强度判断

6．1 模糊逻辑

6．1．1 模糊逻辑系统

6．1．2 模糊量化处理单元

6．1．3 模糊推理规则

6．1．4 模糊推理机制

6．2 基于模糊逻辑的DDoS攻击检测及强度判断

6．2．1 攻击检测及强度判断的实现机制

6．2．2 攻击检测及强度判断的实现流程

6．3 实验及性能分析

6．3．1 实验数据

6．3．2 实验结果

6．3．3 实验分析

6．4 本章小结

第七章 总结与展望

7．1 研究工作总结

7．2 展望

参考文献

致谢

攻读博士学位期间完成的学术论文和科研工作