论文部分内容阅读
随着网络规模日益扩大,用户信息需求不断增加,以及网络应用多样化发展,互联网已成为人们生活和工作不可或缺的重要组成部分,极大地丰富和便利了人们的生活。然而,网络中存在的各种安全隐患也给广大用户带来困扰,由网络攻击、网络操作异常、设备故障等因素导致的网络流量异常会使网络性能下降,干扰网络正常运行。如何及时而准确地检测网络流量异常,提高网络的可用性和可靠性,为用户提供一个良好的网络环境成为学术界和工业界共同关注的前沿课题之一。通过分析现有网络流量数据采集技术和各类网络异常特征,本文提出了一种基于概要数据结构和特征量组合的网络流量异常检测方法。该方法以IPFIX的流记录作为输入,分别以源IP、目的IP、源端口、目的端口为关键字建立并行的概要数据结构,并通过Holt-Winters指数平滑算法得到各自的预测值。同时在算法中引入了熵和概率空间的概念,通过计算实际采集的网络特征信息分布和预测值分布之间的Kullback-Leibler距离实现网络异常检测。本方法充分利用了概要数据结构的高效特性并深入挖掘了异常带来的网络特征量变化关系,不仅可以实时发现异常,并且可以给出异常的种类,同时还可以定位异常流,结合了基于特征和基于统计两种异常检测方法的优点。论文的最后给出了网络异常检测原型系统的实现,并对算法的有效性进行了仿真测试。