基于流行为异常检测与关联分析的网络故障定位方法研究

摘要

由于信息技术的突飞猛进，计算机网络已经成为当今社会重要的基础设施。而随着网络规模的扩大，网络复杂程度的激增，想要通过传统的、简单的人工诊断、定位的方式去对网络故障进行处理变得越来越无从下手。拥有一个快速、精准的网络故障诊断定位技术是当前网络管理研究方面的迫切需要。本文依托电力综合数据网骨干网网络实际，对网络管理中网络设备故障和网络攻击检测及定位的问题进行了相关的研究。具体工作如下：
　　1.以PCAP文件作为数据来源，提出了基于特征参数异常和关联分析的网络故障定位方法。为了满足电力综合数据网骨干网设计、规划与优化的需求，本文利用NS-3网络模拟器，对网络进行仿真，通过仿真得到数据源PCAP文件。利用LIBPCAP进行流提取，获取流特征参数，并选取包到达时间间隔作为突变点异常检测参数。设置合适的阈值，获得异常流情况并利用异常流与设备故障之间的关联关系对电力综合数据网骨干网故障进行定位。并利用本方法，基于NS-3实现了相应的网络故障定位软件模块。
　　2.以SNMP文件作为数据来源，提出了基于流统计特征以及混沌理论的网络攻击检测方法。本文首先讨论了网络流量的混沌性以及混沌理论用于网络攻击检测的可行性。通过建立AR自回归模型，利用信号处理的方式对网络流量进行预测，获得预测误差值。对预测误差值赋予物理意义，利用混沌系统的基本特征以及Lyapunov指数对网络攻击的异常情况进行检测。最后，基于网络攻击的目的性，结合骨干网拓扑连接关系，实现骨干网网络攻击故障源定位。
　　3.鉴于部分网络攻击对流量体积变化不敏感，提出了基于熵与混沌理论的网络攻击检测方法。首先，讨论了熵与网络攻击之间的关系。通过分析讨论，将Lyapunov指数引入源、目的特征参数熵值分离情况的计算中，利用Lyapunov指数计算得到了其分离程度，从而实现网络异常的检测。最后，结合流量文件内容和骨干网拓扑连接关系，实现网络攻击故障源定位。
　　综上所述，本文立足于电力综合数据网骨干网，实现了基于特征参数异常和关联分析的网络故障定位软件模块。并从混沌理论的角度出发，给出了基于流统计特征的网络攻击检测方法以及基于熵的网络攻击检测方法。通过分析验证，方法具有可行性和有效性。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪 论

1.1研究背景及研究意义

1.2国内外研究现状

1.3本文的研究思路及内容

1.4论文结构

第二章 相关技术概述

2.1网络流量异常检测技术以及关联技术

2.2网络流量数据文件

2.3网络仿真技术

2.4混沌理论

2.5时间序列模型

2.6本章总结

第三章 基于特征参数异常和关联分析的网络故障定位方法

3.1基于NS-3生成PCAP文件

3.2基于PCAP文件提取网络流及流特征参数

3.3流特征关联处理

3.4网络故障定位结果输出

3.5本章总结

第四章 基于流特征与混沌理论的网络攻击检测方法

4.1基于混沌理论的网络攻击检测方法

4.2基于SNMP数据文件的流统计特征参数提取

4.3基于AR模型的时间序列预测

4.4基于流统计特征与混沌理论的异常检测与关联分析

4.5基于熵与混沌理论的网络攻击检测方法研究

4.6本章总结

第五章 系统实现及方法验证

5.1基于特征参数异常和关联分析的网络故障定位方法实现与验证

5.2基于流统计特征与混沌理论的网络攻击检测方法

5.3基于熵与混沌理论的网络攻击检测方法

5.4本章总结

第六章 结 论

6.1工作总结

6.2工作的不足与展望

致谢

参考文献

攻读硕士学位期间参加的科研项目