超点行为特征及检测算法研究

发布时间：2017-06-03 00:02

  本文关键词：超点行为特征及检测算法研究，由笔耕文化传播整理发布。

【摘要】：超点是一个主机,它在测量周期内链接了至少给定数目的不同目的主机或源主机。随着网络的发展,网络入侵现象越来越严重,如端口扫描、分布式拒绝服务攻击、蠕虫病毒等。这些事件严重地影响了网络安全,甚至导致了网络瘫痪。这些攻击的特征是在短时间内源主机(宿主机)发送或接收来自大量不同宿主机(源主机)的数据包,检测超点可以识别出这些攻击。因此,识别超点对网络安全有重要作用。本文从超点的行为特征和检测算法两个方面进行研究。超点行为特征包括流量特征和端口特征两个方面。流量特征符合重尾分布规律,短流的数量远大于长流的数量；超点中连接使用的端口包括服务端口和攻击端口,并且使用服务端口的数量比较多,短流的端口的数量多于长流的端口的数量。为了提高超点检测算法的准确性,提出了基于计数器共享的超点检测算法(Detecting Superpoints based on Counter Sharing,简称DSCS算法),将计数器共享的思想应用到算法中,减少了内存消耗。该算法包括在线数据处理模块和离线数据处理模块两部分。在线数据处理模块负责存储相关的流信息。当报文到达时,首先判断该报文是否属于新流,如果属于新流,就将该报文分别存储到三个计数器数组中；如果不属于新流,则丢弃该报文。离线数据处理模块主要负责统计源主机的主机基数。如果估计的主机基数大于预设的阈值,则判定该源主机是超点。本文利用采集于不同网络的数据并选定不同的阈值进行实验。实验结果表明,本文提出的DSCS算法能够有效准确地识别出超点。
【关键词】：超点 行为特征 计数器共享
【学位授予单位】：大连海事大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08
【目录】：

• 摘要5-6
• Abstract6-10
• 第1章 绪论10-16
• 1.1 研究背景10-12
• 1.2 研究意义12
• 1.3 国内外研究现状12-14
• 1.4 研究内容和组织结构14-16
• 第2章 超点检测算法的相关研究16-29
• 2.1 基于Bitmap的超点检测算法16-23
• 2.1.1 基于门限Bitmap的超点检测算法16-20
• 2.1.2 基于共享位的超点检测算法20-23
• 2.2 基于Bloom Filter的超点检测算法23-26
• 2.2.1 基于Bloom Filter的流抽样的超点识别算法23-24
• 2.2.2 基于VBF的超点检测算法24-26
• 2.3 基于虚向量的超点检测算法26-28
• 2.3.1 虚向量存储流信息26-27
• 2.3.2 主机基数估计27-28
• 2.4 本章小结28-29
• 第3章 超点行为特征研究29-40
• 3.1 超点的流量特征29-34
• 3.2 超点的端口特征34-39
• 3.3 本章小结39-40
• 第4章 基于计数器共享的超点检测算法40-58
• 4.1 算法介绍40-47
• 4.1.1 算法的总体设计40-41
• 4.1.2 在线数据存储模块41-44
• 4.1.3 离线数据处理模块44-47
• 4.2 算法分析47-49
• 4.2.1 空间复杂度分析47-48
• 4.2.2 时间复杂度分析48
• 4.2.3 算法的误差分析48-49
• 4.3 实验分析49-57
• 4.3.1 实验数据49-50
• 4.3.2 评价测度50-51
• 4.3.3 比较算法51
• 4.3.4 实验结果51-57
• 4.4 本章总结57-58
• 第5章 总结与展望58-59
• 5.1 论文完成的主要工作58
• 5.2 工作展望58-59
• 参考文献59-63
• 攻读学位期间公开发表论文63-64
• 致谢64

【参考文献】

中国期刊全文数据库 前3条

1 ;Modeling and analyzing of the interaction between worms and antiworms during network worm propagation[J];Science in China(Series F:Information Sciences);2005年01期

2 吴桦;龚俭;杨望;;一种基于双重Counter Bloom Filter的长流识别算法[J];软件学报;2010年05期

3 周爱平;程光;郭晓军;;高速网络流量测量方法[J];软件学报;2014年01期

  本文关键词：超点行为特征及检测算法研究，，由笔耕文化传播整理发布。

本文编号：416795