基于经验模态分解的网络流量检测与分析方法

发布时间：2021-11-06 01:38

　　网络的快速发展导致网络攻击行为日益增多,网络安全问题愈发严峻。网络流量异常检测作为一种重要的网络监管手段,是解决网络安全问题的有力措施。在实际工作中,我们观察到异常的发生可能会导致不同尺度上流量数据特征的变化,而多尺度检测往往能够提高异常检测效果。本文主要基于数字信号处理理论,结合多尺度多通道检测思想提出了一种新的异常检测方法。该方法主要分为流量数据处理和异常检测两个模块。流量数据处理模块主要通过经验模态分解方法（Empirical Mode Decomposition,EMD）得到流量数据的多尺度表示形式,异常检测模块则利用多通道信号检测方法进行相关检测值的计算和异常判断。具体来说,本文完成的主要工作包括:（1）利用改进的EMD方法—集合经验模态分解（Ensemble Empirical Mode Decomposition,EEMD）将网络流量自适应地分解为多个分量,各分量包含不同的物理意义,使得流量波动情况在多个尺度上表征出来,从而得到流量数据的多尺度表示形式。（2）将异常检测问题引申为了一个信号检测问题,对多尺度形式的流量数据利用广义似然比检验（Generalized Like... 

【文章来源】：电子科技大学四川省 211工程院校 985工程院校 教育部直属院校

【文章页数】：83 页

【学位级别】：硕士

【部分图文】：

NIDES实时监测流程

隐藏状态确定状态图2-2 隐马尔可夫过程举例为了估计用于建模正常系统行为的隐马尔可夫模型的参数，将从正常系统操作收集的正常事件序列用作训练数据，使用期望最大化（EM）算法进行参数估计。训练得到相关参数后，利用概率测量作为异常检测的阈值对测试数据进行检测。检测过程需要解决三个关键问题。第一个问题，也称为评估问题，是确定给定的一系列观察结果，观察序列由模型产生的概率大小。第二个是学习问题，它涉及从审计数据构建一个模型或一组模型，以正确描述观察到的行为。给定一个隐马尔可夫模型和相关的观测值后，第三个问题（也称为解码问题）涉及确定导致这些观测值的最可能的隐藏状态集合。Warrender 等人比较了四种方法的性能

函数的划分产生影响，由此也不利于后续分量的划分，最终导致分解得到的信号多尺度表示与原始数据差异较大。图3-2 模态混叠现象3.1.3.2 EEMD 原理集合经验模态分解（Ensemble Empirical Mode Decompositon, EEMD）是一种噪声辅助数据分析方法，能够减轻或避免 EMD 分解过程中产生的模态混叠问题。由于人为或者环境原因，我们采集得到的信号总是含有一定量的噪声。EEMD 分解基于一个假设：当噪声对 EMD 分解过程仅有振幅上的影响时，即只出现了量值上的改变而对性质没有影响时，我们认为该 EMD 分解过程仍是稳定的。换言之，我们认为随机噪声对 EMD 分解得到的 IMF 分量无影响。由此，EEMD 分解的主要过程为：在每次独立测试中，向信号随机加入白噪声。随机加入的白噪声会均匀分布在整个时频空间内


本文编号：3478906