网络流量异常感知与检测分析方法

摘要

互联网的高速发展，给我们的生活方式带来了翻天覆地的变化，人类越来越依赖互联网带来的便利，然而，网络安全问题也日益严峻。在当今万物互联的网络世界中，任何一次异常攻击都会造成不必要的麻烦，轻则造成数据的丢失，重则造成巨大的经济损失。因此，检测出网络中的异常就是本文讨论的主题。 众所周知，异常可以在不同尺度的网络流量数据的特征中表征，而传统的异常检测方法通常独立地在每个尺度上工作，主要集中在时间相关的流量上。本文通过对多尺度内时空相关性的全面探索，利用集合经验模态分解（Ensemble Empirical Mode Decomposition,EEMD）提供多尺度的信号数据，并将具有时空相关性的多通道广义似然比检验（Generalized Likelihood Ratio Test,GLRT）算法作为多尺度信号检测器，结合主成分分析（Principal Component Analysis,PCA）方法，提出了全新的异常检测算法。 具体本文主要做了以下工作： （1）根据原始数据处理得到具有时间序列的多列特征流量，通过PCA得到处理后的流量信号。 （2）利用EEMD算法将信号分解为多个具有不同周期的本征模态分量，各分量包含不同时间尺度的信号信息，从而得到该信号的多尺度表征形式。 （3）对不同尺度上的分量进行多通道选取，确定多个GLRT检测通道后，通过对正常流量数据经PCA，EEMD分解处理后的信号进行GLRT检验并根据Neyman-Pearson准则和蒙特卡洛原理，通过虚警概率计算出相应门限值，然后结合门限值对待检测信号进行门限判断，检测出异常。 （4）将本文提出的算法与其它的网络流量异常检测方法分别在四个数据集上进行了对比实验，实验表明该方法比其它方法具有更好的性能，从而为流量数据的异常检测提供了新的视角。

目录

声明

第一章绪 论

1.1研究背景与意义

1.2网络异常的基本概念和分类

1.3网络流量异常检测现状及面临的挑战

1.4本文研究内容及组织架构

第二章传统异常检测技术介绍

2.1 PCA用于降维

2.2 PCA子空间方法异常检测方法

2.3改进的PCA子空间异常检测方法

2.4基于小波的检测方法

2.5本章小结

第三章相关理论介绍

3.1经验模态分解

3.2 EEMD基本理论

3.3广义似然比检验相关

3.3.1假设检验的基本理论

3.3.2 N-P准则

3.3.3广义似然比检验

3.4本章小结

第四章多通道异常检测算法

4.1多通道异常检测算法一

4.1.2多尺度流量数据分解

4.1.3多通道异常检测

4.2多通道异常检测算法二

4.2.2流量数据降维

4.2.3信号分解及异常检测

4.3本章小结

第五章实验及结果分析

5.1 ISCX数据集一实验

5.1.1数据集介绍

5.1.2各异常检测方法实现

5.1.3实验与结果分析

5.2 ISCX数据集二实验

5.2.1数据集介绍

5.2.2各异常检测方法实现

5.2.3实验与结果分析

5.3重庆大学城数据集实验

5.3.1数据集介绍

5.3.2各异常检测方法实现

5.3.3实验与结果分析

5.4 ISP数据集实验

5.4.1数据集介绍

5.4.2各异常检测方法实现

5.4.3实验与结果分析

5.5本章小结

第六章总结与展望

6.1全文总结

6.2后续工作展望

致谢

参考文献

攻读硕士学位期间取得的成果