基于抽样流的网络流量异常检测技术研究
发布时间:2021-09-02 05:38
网络技术的发展和网络应用的多样化使得网络流量规模呈爆炸式增长,网络安全问题也日益突出,一些恶意攻击产生的异常流量影响了网络服务的正常运行,严重者甚至可以造成大规模的网络瘫痪,每年因网络安全问题引发的经济损失更是以亿为计。流量异常检测技术也随着网络测量和人工智能等学科的发展而进步。本文针对大规模流量的异常检测问题,对流量抽样技术以及流量异常检测技术进行研究,改进算法,设计并实现了基于四层模块的流量异常检测系统,判断网络流量是否异常。首先,针对流量的规模问题,介绍了基于大小流的公平抽样算法,在此基础上,对算法进行改进,提出基于超时策略的方法,解决了原算法不能区分新流和旧流,导致流量在抽样前后分布相差较大的问题;同时,对抽样概率函数进行优化,消除布鲁姆过滤器结构固有误判率对流量抽样的影响。其次,对于流量异常检测方法,采用信息熵描述流量的特征变化,在分析了基于密度比例的密度峰值算法缺陷的基础上,提出基于样本增长比的模糊C均值聚类算法,通过样本增长比选取初始聚类中心,并增加约束条件,消弱邻域半径比值在选取初始聚类中心时的影响,解决了模糊C均值聚类对初始聚类中心敏感,易陷入局部最优的问题。最后,设...
【文章来源】:北京交通大学北京市 211工程院校 教育部直属院校
【文章页数】:72 页
【学位级别】:硕士
【部分图文】:
系统抽样Figure2-ISystematicsampling
2.1.2流抽样??流不同于分组,流是指符合特定的流规范和超时约束的一系列数据包的集合??[26】。分组抽样认为分组之间相互独立,没有关联,而流抽样则是将相关联的分组??组成一条流。因此,在进行流抽样时,可以先对分组进行抽样,再进行归并形成??一条流,或者先将分组归并成一条流,再按一定概率对每一条流进行抽样。可以??看出,抽样后的分组己经处在不同的流之中。一般情况下,基于分组的流抽样较??多,因为先对分组进行抽样再进行流归并,可以保证每一条流都可能存在分组被??抽取到,丢失的流fe息较少。??对于早期的静态抽样和流抽样,其抽样概率或保持不变,或遵照数学函数,??不能跟随网络环境或者系统自身性能的变化而变化。因此,自适应抽样被提出。??自适应抽样利用网络环境的变化,实时对抽样函数或抽样概率进行调整。在网络??传输中,流的长度一般为流所包含的分组数量,流的长度有大有小,对大流和小??流的区分没有规定的界限。在不同的网络应用中,对大流和小流的需求不同,长??
2.1.2流抽样??流不同于分组,流是指符合特定的流规范和超时约束的一系列数据包的集合??[26】。分组抽样认为分组之间相互独立,没有关联,而流抽样则是将相关联的分组??组成一条流。因此,在进行流抽样时,可以先对分组进行抽样,再进行归并形成??一条流,或者先将分组归并成一条流,再按一定概率对每一条流进行抽样。可以??看出,抽样后的分组己经处在不同的流之中。一般情况下,基于分组的流抽样较??多,因为先对分组进行抽样再进行流归并,可以保证每一条流都可能存在分组被??抽取到,丢失的流fe息较少。??对于早期的静态抽样和流抽样,其抽样概率或保持不变,或遵照数学函数,??不能跟随网络环境或者系统自身性能的变化而变化。因此,自适应抽样被提出。??自适应抽样利用网络环境的变化,实时对抽样函数或抽样概率进行调整。在网络??传输中,流的长度一般为流所包含的分组数量,流的长度有大有小,对大流和小??流的区分没有规定的界限。在不同的网络应用中,对大流和小流的需求不同,长??
【参考文献】:
期刊论文
[1]基于Counting Bloom Filter的流抽样算法研究[J]. 翟金凤,孙立博,鲁凯,林学勇,秦文虎. 计算机工程. 2018(08)
[2]基于密度峰值优化的模糊C均值聚类算法[J]. 刘沧生,许青林. 计算机工程与应用. 2018(14)
[3]基于密度比例的密度峰值聚类算法[J]. 高诗莹,周晓锋,李帅. 计算机工程与应用. 2017(16)
[4]基于流抽样和LRU的高速网络大流检测算法[J]. 白磊,田立勤,陈超. 计算机应用与软件. 2016(04)
[5]基于改进聚类分析的网络流量异常检测方法[J]. 李洪成,吴晓平,姜洪海. 网络与信息安全学报. 2015(01)
[6]流量异常检测中的直觉模糊推理方法[J]. 范晓诗,雷英杰,王亚男,郭新鹏. 电子与信息学报. 2015(09)
[7]基于DCBF的流抽样测量算法[J]. 孟金凤,高仲合. 计算机工程与应用. 2015(17)
[8]一种基于流数约减的非线性公平采样算法[J]. 李海莉,史梦琳,张震,宫阳阳,郭威,王雨. 计算机应用研究. 2015(06)
[9]基于动态计数型过滤器的网络流公平抽样机制[J]. 王宜青,陈庶樵,张震. 计算机应用与软件. 2014(11)
[10]一种基于大小流区分计数的公平抽样算法[J]. 王晶,汪斌强,张震. 电子与信息学报. 2014(10)
硕士论文
[1]基于流的大规模网络安全态势感知关键技术研究[D]. 姚东.解放军信息工程大学 2013
本文编号:3378421
【文章来源】:北京交通大学北京市 211工程院校 教育部直属院校
【文章页数】:72 页
【学位级别】:硕士
【部分图文】:
系统抽样Figure2-ISystematicsampling
2.1.2流抽样??流不同于分组,流是指符合特定的流规范和超时约束的一系列数据包的集合??[26】。分组抽样认为分组之间相互独立,没有关联,而流抽样则是将相关联的分组??组成一条流。因此,在进行流抽样时,可以先对分组进行抽样,再进行归并形成??一条流,或者先将分组归并成一条流,再按一定概率对每一条流进行抽样。可以??看出,抽样后的分组己经处在不同的流之中。一般情况下,基于分组的流抽样较??多,因为先对分组进行抽样再进行流归并,可以保证每一条流都可能存在分组被??抽取到,丢失的流fe息较少。??对于早期的静态抽样和流抽样,其抽样概率或保持不变,或遵照数学函数,??不能跟随网络环境或者系统自身性能的变化而变化。因此,自适应抽样被提出。??自适应抽样利用网络环境的变化,实时对抽样函数或抽样概率进行调整。在网络??传输中,流的长度一般为流所包含的分组数量,流的长度有大有小,对大流和小??流的区分没有规定的界限。在不同的网络应用中,对大流和小流的需求不同,长??
2.1.2流抽样??流不同于分组,流是指符合特定的流规范和超时约束的一系列数据包的集合??[26】。分组抽样认为分组之间相互独立,没有关联,而流抽样则是将相关联的分组??组成一条流。因此,在进行流抽样时,可以先对分组进行抽样,再进行归并形成??一条流,或者先将分组归并成一条流,再按一定概率对每一条流进行抽样。可以??看出,抽样后的分组己经处在不同的流之中。一般情况下,基于分组的流抽样较??多,因为先对分组进行抽样再进行流归并,可以保证每一条流都可能存在分组被??抽取到,丢失的流fe息较少。??对于早期的静态抽样和流抽样,其抽样概率或保持不变,或遵照数学函数,??不能跟随网络环境或者系统自身性能的变化而变化。因此,自适应抽样被提出。??自适应抽样利用网络环境的变化,实时对抽样函数或抽样概率进行调整。在网络??传输中,流的长度一般为流所包含的分组数量,流的长度有大有小,对大流和小??流的区分没有规定的界限。在不同的网络应用中,对大流和小流的需求不同,长??
【参考文献】:
期刊论文
[1]基于Counting Bloom Filter的流抽样算法研究[J]. 翟金凤,孙立博,鲁凯,林学勇,秦文虎. 计算机工程. 2018(08)
[2]基于密度峰值优化的模糊C均值聚类算法[J]. 刘沧生,许青林. 计算机工程与应用. 2018(14)
[3]基于密度比例的密度峰值聚类算法[J]. 高诗莹,周晓锋,李帅. 计算机工程与应用. 2017(16)
[4]基于流抽样和LRU的高速网络大流检测算法[J]. 白磊,田立勤,陈超. 计算机应用与软件. 2016(04)
[5]基于改进聚类分析的网络流量异常检测方法[J]. 李洪成,吴晓平,姜洪海. 网络与信息安全学报. 2015(01)
[6]流量异常检测中的直觉模糊推理方法[J]. 范晓诗,雷英杰,王亚男,郭新鹏. 电子与信息学报. 2015(09)
[7]基于DCBF的流抽样测量算法[J]. 孟金凤,高仲合. 计算机工程与应用. 2015(17)
[8]一种基于流数约减的非线性公平采样算法[J]. 李海莉,史梦琳,张震,宫阳阳,郭威,王雨. 计算机应用研究. 2015(06)
[9]基于动态计数型过滤器的网络流公平抽样机制[J]. 王宜青,陈庶樵,张震. 计算机应用与软件. 2014(11)
[10]一种基于大小流区分计数的公平抽样算法[J]. 王晶,汪斌强,张震. 电子与信息学报. 2014(10)
硕士论文
[1]基于流的大规模网络安全态势感知关键技术研究[D]. 姚东.解放军信息工程大学 2013
本文编号:3378421
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3378421.html
