骨干通信网中的分布式隐蔽流量异常检测方法研究

摘要

随着网络通信技术的迅速发展，骨干通信网的带宽不断增加，承载的信息日趋多元化，异常流量带来的通信网络管理问题也越来越复杂。分布式流量异常是由同种原因引起，同时存在于多条链路的异常流量，如分布式拒绝服务攻击、蠕虫传播、突发访问、网络操作异常等。在单条链路上这些异常流量隐蔽在骨干通信网巨大的背景流量下，不易检测，而多条链路上的异常汇聚总量惊人，可能导致网络性能急剧下降，严重影响网络的正常运行。对分布式隐蔽流量异常的检测是确保通信网络安全的基础工作，对提高通信网络系统的应急响应能力具有十分重要的意义，也是全球网络安全领域学术界和工业界共同关注的前沿科学问题。本文在系统地分析现有多种流量异常检测方法的基础上，充分考虑了分布式隐蔽流量异常时间空间模式上的不同特征，结合多种统计分析、信号处理等技术，从不同角度提出了多种检测方法，所取得的主要研究成果如下：
　　 ⑴运用小波变换对模型的参数进行估计，设计了一种定量策略，衡量异常流量对模型估计的影响。能够有效检测出弱异常流以及未明显影响自相似Hurst系数变化的异常流，对异常发生初期检测效果明显。与基于自相似模型的流量异常检测方法相比，能检测出幅值更低的弱异常。
　　 ⑵通过提出一种基于滑动时窗的瞬时参数快速计算方法，迅速获得流量信号的瞬时频率和瞬时振幅；采用时间序列模型预测获得瞬时参数估计值，将瞬时参数观测值与估计值间的差异定义为异常空间；最终根据异常空间相关性检测分布在不同链路的隐蔽流量异常。本方法具有比现有方法更高的统计检测性能，对低幅值的分布式流量异常具有更高的敏感性，可避免现有全局主成分分析方法无法检测相关异常的缺陷。
　　 ⑶对单个节点的不同链路，利用多尺度分析自适应地检测流量信号中可能存在异常的频带，将可能存在异常的频带重构，生成单条链路的异常特征信号；然后将多条链路上同一个时刻下的异常特征信号值看做高维空间中的点，通过核密度估计评估异常程度。仿真数据的检测结果表明本文方法能检测出单条链路上很小的异常流量，优于现有方法。
　　 ⑷改变传统基于OD流检测方法需要由链路流量推断OD流，再由OD流计算网络级别特征参数的两步模式，提出一种通过多层递归感知神经网络，直接由链路流量计算取得OD流级别特征参数的分布式隐蔽流量异常检测方法。优点是避免了传统检测方法中链路流量反演OD流引入的误差，与现有文献中分别基于直接和间接测量数据的检测方法结果相对比，本文方法有更好的检测效果。