基于NetFlow和sFlow网络流融合的异常检测方法研究
发布时间:2021-06-25 20:46
随着网络技术的不断提高,现有网络部署结构和网络应用程序的复杂化导致信息处理的规模和难度增大,而传统的异常检测方法已经不再适合现有大规模的网络中出现的不同形式的异常。由于网络流包含丰富的网络信息,因此基于网络流的异常检测技术逐渐成为网络安全态势感知内的一项主流技术。本文依据NetFlow和sFlow在网络异常检测方面的应用特点,切入协议字段融合方法来完善检测的数据源,然后提出了基于NetFlow和sFlow网络流融合的异常检测方法。本文首先分析了网络安全的当前形势,从中结合网络流的发展和基于网络流的异常检测现状分析,提出了基于NetFlow和sFlow网络流融合的异常检测方法的基本思路;其次,研究分析了NetFlow和sFlow数据格式及功能分析,结合二者的特点提出一种基于NetFlow和sFlow协议字段融合方法,并通过与基于单一协议的方法实验对比验证融合方法的优势;再次,根据网络异常的特征分析及基于网络流异常检测方法的研究,并结合融合网络流数据的特征,提出了基于NetFlow和sFlow网络流融合的异常检测方法。该方法结合网络流异常检测方法的特点,设置网络正常状态的监测,并将异常进行...
【文章来源】:哈尔滨工程大学黑龙江省 211工程院校
【文章页数】:69 页
【学位级别】:硕士
【部分图文】:
中国网民数量与网络普及率示意图
为了能够给后续的基于NetFlow和sFlow网络流融合的异常检测方法研究提供理论基础,首先需要对网络流协议的功能进行详细分析。针对两种网络流协议所包含信息的内容和应用特点,选择并设计相应的字段融合方法使其能保证融合后数据的全面性和准确性。下面分别介绍本文所采用的 NetFlow 和 sFlow 协议的功能分析。2.1.1 NetFlow 协议功能分析目前为止 Ciso 公司共发布了六个版本的 NetFlow 协议,但是使用最广泛的是NetFlow V5 版本,另外由于 V5 版本之前的各版 NetFlow 数据格式相类似,都是针对 IPv进行数据提取的。而 NetFlow V9 版本在数据格式上与其它版本存在较大差异,NetFloV9 采用模板的形式在继承已有版本 IPv4 数据获取的同时还兼容了 IPv6 的数据获取。故本文将以目前应用广泛,且具代表性的 NetFlow V5 为研究对象,并对其信息格式作分析说明。NetFlow V5 中数据包是由一个包头和若干条 NetFlow 记录组成的,但是记录的条数最多不超过 30 条,如图 2.1 所示。
10图 2.1 中 NetFlow V5 首部字段描述如图 2.2 所示。图 2.2 NetFlow V5 首部字段描述图图 2.1 中 NetFlow V5 记录字段描述如图 2.3 所示。图 2.3 NetFlow V5 记录字段描述图2.1.2 sFlow 协议功能分析现今 sFlow 已经发展到最新 V5 版本。相对于 NetFlow 协议,sFlow 协议包含了更
【参考文献】:
期刊论文
[1]一种基于Netflow的蠕虫攻击检测方法研究[J]. 赵礼,李朝阳. 信息安全与通信保密. 2012(06)
[2]基于网络流的攻击图分析方法[J]. 吴金宇,金舒原,杨智. 计算机研究与发展. 2011(08)
[3]sFlow网络流量采集器设计与性能控制研究[J]. 吴烁,林南晖. 汕头大学学报(自然科学版). 2010(02)
[4]基于攻击特征的ARMA预测模型的DDoS攻击检测方法[J]. 程杰仁,殷建平,刘运,刘湘辉,蔡志平. 计算机工程与科学. 2010(04)
[5]采用Netflow数据的典型异常流量检测方法[J]. 田杨,王宏,陈晓梅. 电子科技大学学报. 2009(S1)
[6]DDoS攻击的全局异常相关检测方法[J]. 李宗林,胡光岷,杨丹,姚兴苗. 计算机应用. 2009(11)
[7]基于sflow抽样数据流的网络行为分析研究[J]. 刘本仓. 信息与电脑(理论版). 2009(08)
[8]网络流行为模式和分类方法[J]. 秦华,张书杰. 北京工业大学学报. 2007(11)
[9]一种基于流特征的P2P流量实时识别方法[J]. 柳斌,李之棠,李佳. 厦门大学学报(自然科学版). 2007(S2)
[10]校园网上sFlow网络流量监控设计[J]. 黄伟强,林南晖,孟克勋. 华南师范大学学报(自然科学版). 2007(03)
硕士论文
[1]基于NetFlow和SNMP的网络流态势融合分析方法研究[D]. 赵勇.哈尔滨工程大学 2012
[2]基于xFlow的网络安全态势融合分析技术[D]. 葛宝玉.哈尔滨工程大学 2012
[3]基于NetFlow的校园网异常流量检测方法的实现与分析[D]. 张国祥.内蒙古农业大学 2011
[4]基于NetFlow的网络安全事件获取技术[D]. 张喆.哈尔滨工程大学 2010
[5]基于sFlow的网络链路流量采集与分析[D]. 范亚国.武汉理工大学 2008
[6]基于NetFlow的实时安全事件检测技术研究[D]. 金爽.哈尔滨工程大学 2007
本文编号:3249923
【文章来源】:哈尔滨工程大学黑龙江省 211工程院校
【文章页数】:69 页
【学位级别】:硕士
【部分图文】:
中国网民数量与网络普及率示意图
为了能够给后续的基于NetFlow和sFlow网络流融合的异常检测方法研究提供理论基础,首先需要对网络流协议的功能进行详细分析。针对两种网络流协议所包含信息的内容和应用特点,选择并设计相应的字段融合方法使其能保证融合后数据的全面性和准确性。下面分别介绍本文所采用的 NetFlow 和 sFlow 协议的功能分析。2.1.1 NetFlow 协议功能分析目前为止 Ciso 公司共发布了六个版本的 NetFlow 协议,但是使用最广泛的是NetFlow V5 版本,另外由于 V5 版本之前的各版 NetFlow 数据格式相类似,都是针对 IPv进行数据提取的。而 NetFlow V9 版本在数据格式上与其它版本存在较大差异,NetFloV9 采用模板的形式在继承已有版本 IPv4 数据获取的同时还兼容了 IPv6 的数据获取。故本文将以目前应用广泛,且具代表性的 NetFlow V5 为研究对象,并对其信息格式作分析说明。NetFlow V5 中数据包是由一个包头和若干条 NetFlow 记录组成的,但是记录的条数最多不超过 30 条,如图 2.1 所示。
10图 2.1 中 NetFlow V5 首部字段描述如图 2.2 所示。图 2.2 NetFlow V5 首部字段描述图图 2.1 中 NetFlow V5 记录字段描述如图 2.3 所示。图 2.3 NetFlow V5 记录字段描述图2.1.2 sFlow 协议功能分析现今 sFlow 已经发展到最新 V5 版本。相对于 NetFlow 协议,sFlow 协议包含了更
【参考文献】:
期刊论文
[1]一种基于Netflow的蠕虫攻击检测方法研究[J]. 赵礼,李朝阳. 信息安全与通信保密. 2012(06)
[2]基于网络流的攻击图分析方法[J]. 吴金宇,金舒原,杨智. 计算机研究与发展. 2011(08)
[3]sFlow网络流量采集器设计与性能控制研究[J]. 吴烁,林南晖. 汕头大学学报(自然科学版). 2010(02)
[4]基于攻击特征的ARMA预测模型的DDoS攻击检测方法[J]. 程杰仁,殷建平,刘运,刘湘辉,蔡志平. 计算机工程与科学. 2010(04)
[5]采用Netflow数据的典型异常流量检测方法[J]. 田杨,王宏,陈晓梅. 电子科技大学学报. 2009(S1)
[6]DDoS攻击的全局异常相关检测方法[J]. 李宗林,胡光岷,杨丹,姚兴苗. 计算机应用. 2009(11)
[7]基于sflow抽样数据流的网络行为分析研究[J]. 刘本仓. 信息与电脑(理论版). 2009(08)
[8]网络流行为模式和分类方法[J]. 秦华,张书杰. 北京工业大学学报. 2007(11)
[9]一种基于流特征的P2P流量实时识别方法[J]. 柳斌,李之棠,李佳. 厦门大学学报(自然科学版). 2007(S2)
[10]校园网上sFlow网络流量监控设计[J]. 黄伟强,林南晖,孟克勋. 华南师范大学学报(自然科学版). 2007(03)
硕士论文
[1]基于NetFlow和SNMP的网络流态势融合分析方法研究[D]. 赵勇.哈尔滨工程大学 2012
[2]基于xFlow的网络安全态势融合分析技术[D]. 葛宝玉.哈尔滨工程大学 2012
[3]基于NetFlow的校园网异常流量检测方法的实现与分析[D]. 张国祥.内蒙古农业大学 2011
[4]基于NetFlow的网络安全事件获取技术[D]. 张喆.哈尔滨工程大学 2010
[5]基于sFlow的网络链路流量采集与分析[D]. 范亚国.武汉理工大学 2008
[6]基于NetFlow的实时安全事件检测技术研究[D]. 金爽.哈尔滨工程大学 2007
本文编号:3249923
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3249923.html
