基于小波分解的群落流量异常检测

摘要

针对大规模高速网络海量数据处理和异常检测率较低的问题,将群落概念引入流量异常检测领域,用小波三层分解和偏离值结合的检测方法,实验性地证明了基于群落的检测比基于网络的检测能提供更加准确和高效的检测结果。因为以群落为观察范围,可以避免对群落的攻击被其他群落的无关网络活动所掩盖,并且可以分流数据。文中对群落检测所使用的特征集进行了研究,在总结已有基于Netflow记录的特征的基础上,用基于相关性的方法剔出了强相关的特征,优选出适合群落检测的特征集,避免了当前基于Netflow的异常检测中随意选取特征所造成的信息冗余。