面向网络数据流的多层面异常行为分析检测技术研究

发布时间：2020-10-24 04:49

　　 网络异常检测是保障网络安全的支撑技术之一,传统的异常检测技术不能满足日益复杂的通信网络中对异常行为检测的需求,基于网络行为分析的异常检测技术能够充分挖掘、利用网络内在信息及其相互关系,具有较好的灵活性、适应性,已成为目前异常检测领域的研究热点。近年来,该领域的研究工作成果显著,却仍然存在一些问题。例如,目前研究大多从单一行为层面出发,较难完整揭示异常发生的原因和本质,不能全面地为异常的阻断和处理提供支撑。为此,本文从流量行为层、协议行为层和用户行为层三个层面分别研究基于网络数据流的异常行为检测技术,并取得了如下成果：1.提出了一种基于聚类模式评估的异常流量行为检测方法。在流量行为层面,针对现有无监督式流量异常检测技术特征提取困难,对规模性异常检测能力不高的问题,本文采用无监督式聚类技术,设计了一种面向聚类的加权特征选择算法,将信息熵和邻域分析技术相结合用于特征评估和选择,提高了特征约简效率和聚类效果,然后定义聚类规则和聚类模式的概念,并对K-means算法进行改进,在此基础上根据网络流聚类结果与聚类模式的偏离度大小判断规模性异常的发生。实验分析表明,该方法在保证检测效率的同时,误报率和漏报率均有所降低,提高了对规模性异常的检测能力。2.提出了一种基于条件随机场的异常协议行为检测方法。在协议行为层面,针对现有基于隐马尔可夫模型的异常协议检测方法独立假设过于严格、上下文特征考虑不足的问题,本文通过提取协议关键字、时间间隔及其频率特征作为协议交互序列的报文特征,基于条件随机场模型对协议报文序列建模,并根据协议报文观测序列的联合概率判断异常协议行为的发生。该方法融合协议报文的状态特征和频率特征,同时利用条件随机场无独立性假设的优点,更能完整准确描述协议行为。实验分析表明,该方法相对传统方法提高了异常协议行为的检测能力。3.提出了一种基于会话关联分析的异常用户行为检测方法以及一种基于关系熵和J量值的用户会话序列模式漂移检测方法。在用户行为层面,针对目前基于网络的异常用户检测中较难完整描述用户行为、行为模式建立困难的问题,首先引入会话发生频度,改进和定义模糊时序关联模式,在此基础上对用户会话序列建模,然后基于模式匹配检测异常用户的发生。针对用户行为模式漂移会导致异常检测效果下降的问题,通过引入关系熵和J量值两个特征参数用于量化会话关系,提出一种基于特征值分布假设检验的模式漂移检测算法,通过对双滑动窗口内的特征分布是否相同进行假设检验判断用户行为模式漂移的发生。实验分析表明,该方法可准确检测漂移的发生并可为模式库更新提供支持。本文从流量、协议和用户行为三个层面对网络数据流异常行为进行分析和检测,弥补了目前异常检测研究层面较为单一的不足,提高了网络异常检测的效率和效果,为网络异常的准确预警和快速处理提供有力支撑。
【学位单位】：解放军信息工程大学
【学位级别】：硕士
【学位年份】：2015
【中图分类】：TP393.08
【文章目录】：
摘要
Abstract
第一章 绪论
    1.1 研究背景与意义
    1.2 技术框架
    1.3 研究目标与内容
    1.4 论文结构安排
第二章 基于行为分析的异常检测技术研究现状
    2.1 网络行为分析
        2.1.1 网络行为概念
        2.1.2 网络行为的分类
        2.1.3 网络行为分析方法
    2.2 网络异常检测
        2.2.1 网络异常概述
        2.2.2 网络异常检测
    2.3 基于行为分析的异常检测技术
        2.3.1 流量行为层异常检测
        2.3.2 协议行为层异常检测
        2.3.3 用户行为层异常检测
    2.4 存在的主要问题与研究对策
    2.5 本章小结
第三章 基于聚类模式评估的异常流量行为检测
    3.1 问题分析和解决思路
    3.2 相关概念定义
        3.2.1 聚类规则
        3.2.2 聚类模式
    3.3 基于信息熵与邻域分析的加权特征选择
        3.3.1 基于信息熵的候选特征集构建
        3.3.2 基于邻域分析的加权特征选择
        3.3.3 算法描述
        3.3.4 实验验证
    3.4 网络流聚类中K-means算法的改进
        3.4.1 训练网络流加权聚类算法WK-means
        3.4.2 实时网络流加权聚类算法rtWK-means
    3.5 基于滑动窗口的异常流量行为检测过程
        3.5.1 滑动窗口设计
        3.5.2 聚类模式匹配与异常输出
    3.6 实验验证
        3.6.1 测试环境
        3.6.2 实验过程
        3.6.3 实验结果分析与比较
    3.7 本章小结
第四章 基于条件随机场的异常协议行为检测
    4.1 问题分析与解决思路
    4.2 基于条件随机场的应用协议建模
        4.2.1 相关概念
        4.2.2 基于协议关键字的数据包特征选取
        4.2.3 模型建立
    4.3 模型训练
    4.4 基于联合概率的异常协议检测
    4.5 实验结果与讨论
        4.5.1 数据准备
        4.5.2 检测结果与分析
        4.5.3 结论
    4.6 本章小结
第五章 基于会话关联分析的异常用户行为检测与模式漂移检测
    5.1 问题分析与解决思路
    5.2 基于模糊时序关联模式的用户会话序列建模
        5.2.1 相关概念
        5.2.2 会话模糊时序关联模式定义
        5.2.3 模式训练方法
    5.3 基于模式匹配的实时异常用户行为检测
    5.4 实例：局域网用户异常行为检测
        5.4.1 测试环境
        5.4.2 数据准备
        5.4.3 检测结果与分析
    5.5 基于关系熵和J量值的用户会话序列模式漂移检测
        5.5.1 问题描述
        5.5.2 基于会话关系的特征抽取
        5.5.3 基于特征值分布假设检验的模式漂移检测
        5.5.4 实验分析与讨论
    5.6 本章小结
第六章 总结与展望
    6.1 主要工作总结
    6.2 有待进一步研究的问题
致谢
参考文献
作者简历

【相似文献】

相关期刊论文 前10条

1 陈运海;;网络数据流转发优化与流量控制研究[J];电脑知识与技术;2009年06期

2 吴广君;云晓春;余翔湛;王树鹏;;网络数据流分段存储模型的研究与实现[J];通信学报;2007年12期

3 王志勇;;网络数据流存储算法分析与实现[J];计算机应用与软件;2009年11期

4 刘保卫;;网络数据流价格变动的收益管理研究[J];阴山学刊(自然科学版);2009年01期

5 聂方彦;;基于网络数据流协议特性的统计入侵检测[J];计算机与数字工程;2007年02期

6 李芳馨;刘嘉勇;;网络数据流还原重组技术研究[J];通信技术;2011年07期

7 张华玲;陈小军;;网络数据流内容安全检测算法优化与实现[J];信息网络安全;2013年10期

8 ;让“小偷”无处可藏——火眼金睛eTrust Intrusion Detection[J];电脑采购周刊;2002年24期

9 刘保卫;;网络数据流性能指标的仿真研究与分析[J];微计算机信息;2011年07期

10 王德超;;网络数据流故障及处理[J];成功(教育);2012年05期

相关博士学位论文 前2条

1 郭秀岩;面向多核的多层次实时网络数据流调度技术研究[D];中国科学技术大学;2011年

2 谭建龙;串匹配算法及其在网络内容分析中的应用[D];中国科学院研究生院（计算技术研究所）;2003年

相关硕士学位论文 前10条

1 吕江鸿;网络涉枪犯罪的法律规制研究[D];西北大学;2015年

2 王军;宏电路网络数据流认证技术研究[D];解放军信息工程大学;2014年

3 刘帅;面向网络数据流的多层面异常行为分析检测技术研究[D];解放军信息工程大学;2015年

4 苏朋程;基于Multi-Agent Windows内核级网络数据流的研究与应用[D];贵州大学;2007年

5 邱仕坦;基于网络数据流的持续查询模型的研究[D];福州大学;2005年

6 赵世平;网络数据流监控管理平台的设计与实现[D];电子科技大学;2012年

7 田玥;大规模网络数据流异常检测系统的研究与实现[D];东北大学;2005年

8 生若谷;一种网络异常数据流的检测和控制技术[D];哈尔滨工业大学;2007年

9 顾宗林;IPv6网络数据流监测技术的分析与测试[D];北京交通大学;2008年

10 程燚;三网合一的网络数据流监控管理平台的设计与实现[D];南京邮电大学;2015年

本文编号：2854039