网络流量异常信息分析方法研究
发布时间:2021-08-31 04:46
随着近年来经济与科技的发展以及信息技术的普及,互联网已经在全社会各个领域中扮演着愈发重要的角色,俨然已经成为国家发展的战略关键。作为保障网络安全的重要手段之一,网络流量异常检测技术的相关研究有着重要的现实意义。然而,目前的技术在面对日益复杂的网络环境时,还存在诸多挑战和局限性。为了能适应当今网络条件,高效且准确地检测出网络流量异常,本文提出了一种离线网络流量异常检测方法,主要贡献是提出了一种针对网络流量异常检测的特征预处理和数据增强的方法;以及提出了一个创新的基于多尺度分解和多通道检测的网络流量异常检测算法。本文所提的方法主要由两个模块组成:(1)网络流量数据特征预处理与数据增强模块;(2)多尺度分解多通道异常检测模块。在网络流量数据特征预处理与数据增强模块中,本文提出了并详细叙述了一种网络流量数据的特征选择与数据增强的方法,该方法将最大相关性最小冗余(Maximum Relevance-Minimum Redundancy,MRMR)特征选择技术,PCA特征融合和基于带权动态时间规整平均重心平均(Weighted DTW Barycenter Averaging,W-DBA)的网络流...
【文章来源】:电子科技大学四川省 211工程院校 985工程院校 教育部直属院校
【文章页数】:99 页
【学位级别】:硕士
【部分图文】:
016-2019年平均每个网络安全事件造成的经济损失
电子科技大学硕士学位论文值存在不一致性。根据Blake[26]早期的实验数据研究,如图2-2所示,有五个标记为V,W,X,Y和Z的异常点,可以看出这些异常点与其他观测值存在明显的区分与不一致。基于统计理论的方法一般用给定的正常数据去拟合一个统计模型,那些具有较小概率是从已知的统计模型中生成而来的数据实例,会被判定为异常。有参数和无参数的统计学技术都已广泛用于了异常检测领域,其中有参数的统计学异常检测技术会根据现有知识假设了基础分布模型,然后从给定数据中去估计参数[27],而无参数统计学异常检测技术通常并不预先假设的固定的基础分布[28]。图2-2异常观测值示例Ye等人[29]提出了一种基于卡方分布理论的异常检测技术,该技术会在信息系统中创建正常事件的概况,其异常检测的基本假设是异常事件与正常事件在统计分布上存在较大的偏离。基于卡方检验统计量的距离度量可以被定义为:X2=ni=1(XiEi)2Ei(2-1)其中Xi是第i个随机变量的值,Ei是第i个随机变量的期望,n是随机变量的个数。当观测值接近其期望值时,X2的值会比较小,一般情况下,我们认为区域μ±3σ外的点为异常值,根据该原则,当X2大于ˉX2+3S2X时,我们就认为该点是异常点。Krügel等人[30]提出了一种基于统计理论的网络流量异常检测技术,应用场景主要是相对比较罕见的远端未授权进入(R2L)和本地特权用户进入(U2R)攻击。该技术制定了一种度量标准,使系统可以自动搜索不同服务请求的相同特征,该系统主要根据以下三个特征计算请求的异常分数:(1)请求的类型;(2)请求的长度;(3)有效载荷情况。网络管理员通过定义阈值,来对异常请求发出警报。关于异常的分数定义如10
第二章相关理论基础公式2-2所示,其中关于有效载荷情况的权重最高,分数越高说明该请求为异常请求的可能性越大。AS=0.3×AStype+0.3×ASlength+0.4×ASpayload(2-2)HIDE是由Zhang等人[31]提出的一种网络入侵检测系统,使用统计学模型和神经网络分类器实现异常检测。该系统为分布式的系统,结构如图2-3所示,由多个层(tier)组成,每层包含几个入侵检测代理(IntrusionDetectionAgents,IDAs),用于监控整个网络情况或主机行为。该系统的探测层可以收集网络或主机的流量数据,提取流量数据中的能反应出网络情况的统计信息,最后为事件预处理器层定期生成并发送统计报告。事件预处理器层可以同时接到探测层和IDAs的报告,并将这些报告中的信息根据统计模型的要求做数据标准化处理。统计处理器的作用是维护一个典型的网络活动参考模型,通过将事件预处理器发来的报告与该模型进行比较,并结合神经网络分类器即可判断该网络流量是否含有异常。HIDE在网络入侵检测中有广泛的应用,即使攻击强度仅为后台流量的10%,也能检测出其中的异常。图2-3HIDE系统结构[32]近年来很多学者还提出了许多不同类型的基于统计的网络异常检测技术,如Manikopoulos等人[33]提出的一个层次化的多层多窗口统计异常检测系统,可以自适应和主动地检测网络异常。Wang等人[34]提出了一种基于有效载荷的入侵检测异常检测器PAYL,该异常检测技术可以在探测出网络攻击在网关或内部网络中初次出现时就阻止攻击或病毒的传播。Song等人[35]提出了一种条件异常检测方法,通过计算不同网络指标之间的差异,结合三种不同的期望最大化算法来学习模型,从而实现网络异常检测。除了这些统计学网络异常检测方法自身的优点以外,基于统计学的网络异常11
【参考文献】:
期刊论文
[1]Source Separation of Diesel Engine Vibration Based on the Empirical Mode Decomposition and Independent Component Analysis[J]. DU Xianfeng,LI Zhijun,BI Fengrong*,ZHANG Junhong,WANG Xia,and SHAO Kang State Key Laboratory of Engines,Tianjin University,Tianjin 300072,China. Chinese Journal of Mechanical Engineering. 2012(03)
本文编号:3374222
【文章来源】:电子科技大学四川省 211工程院校 985工程院校 教育部直属院校
【文章页数】:99 页
【学位级别】:硕士
【部分图文】:
016-2019年平均每个网络安全事件造成的经济损失
电子科技大学硕士学位论文值存在不一致性。根据Blake[26]早期的实验数据研究,如图2-2所示,有五个标记为V,W,X,Y和Z的异常点,可以看出这些异常点与其他观测值存在明显的区分与不一致。基于统计理论的方法一般用给定的正常数据去拟合一个统计模型,那些具有较小概率是从已知的统计模型中生成而来的数据实例,会被判定为异常。有参数和无参数的统计学技术都已广泛用于了异常检测领域,其中有参数的统计学异常检测技术会根据现有知识假设了基础分布模型,然后从给定数据中去估计参数[27],而无参数统计学异常检测技术通常并不预先假设的固定的基础分布[28]。图2-2异常观测值示例Ye等人[29]提出了一种基于卡方分布理论的异常检测技术,该技术会在信息系统中创建正常事件的概况,其异常检测的基本假设是异常事件与正常事件在统计分布上存在较大的偏离。基于卡方检验统计量的距离度量可以被定义为:X2=ni=1(XiEi)2Ei(2-1)其中Xi是第i个随机变量的值,Ei是第i个随机变量的期望,n是随机变量的个数。当观测值接近其期望值时,X2的值会比较小,一般情况下,我们认为区域μ±3σ外的点为异常值,根据该原则,当X2大于ˉX2+3S2X时,我们就认为该点是异常点。Krügel等人[30]提出了一种基于统计理论的网络流量异常检测技术,应用场景主要是相对比较罕见的远端未授权进入(R2L)和本地特权用户进入(U2R)攻击。该技术制定了一种度量标准,使系统可以自动搜索不同服务请求的相同特征,该系统主要根据以下三个特征计算请求的异常分数:(1)请求的类型;(2)请求的长度;(3)有效载荷情况。网络管理员通过定义阈值,来对异常请求发出警报。关于异常的分数定义如10
第二章相关理论基础公式2-2所示,其中关于有效载荷情况的权重最高,分数越高说明该请求为异常请求的可能性越大。AS=0.3×AStype+0.3×ASlength+0.4×ASpayload(2-2)HIDE是由Zhang等人[31]提出的一种网络入侵检测系统,使用统计学模型和神经网络分类器实现异常检测。该系统为分布式的系统,结构如图2-3所示,由多个层(tier)组成,每层包含几个入侵检测代理(IntrusionDetectionAgents,IDAs),用于监控整个网络情况或主机行为。该系统的探测层可以收集网络或主机的流量数据,提取流量数据中的能反应出网络情况的统计信息,最后为事件预处理器层定期生成并发送统计报告。事件预处理器层可以同时接到探测层和IDAs的报告,并将这些报告中的信息根据统计模型的要求做数据标准化处理。统计处理器的作用是维护一个典型的网络活动参考模型,通过将事件预处理器发来的报告与该模型进行比较,并结合神经网络分类器即可判断该网络流量是否含有异常。HIDE在网络入侵检测中有广泛的应用,即使攻击强度仅为后台流量的10%,也能检测出其中的异常。图2-3HIDE系统结构[32]近年来很多学者还提出了许多不同类型的基于统计的网络异常检测技术,如Manikopoulos等人[33]提出的一个层次化的多层多窗口统计异常检测系统,可以自适应和主动地检测网络异常。Wang等人[34]提出了一种基于有效载荷的入侵检测异常检测器PAYL,该异常检测技术可以在探测出网络攻击在网关或内部网络中初次出现时就阻止攻击或病毒的传播。Song等人[35]提出了一种条件异常检测方法,通过计算不同网络指标之间的差异,结合三种不同的期望最大化算法来学习模型,从而实现网络异常检测。除了这些统计学网络异常检测方法自身的优点以外,基于统计学的网络异常11
【参考文献】:
期刊论文
[1]Source Separation of Diesel Engine Vibration Based on the Empirical Mode Decomposition and Independent Component Analysis[J]. DU Xianfeng,LI Zhijun,BI Fengrong*,ZHANG Junhong,WANG Xia,and SHAO Kang State Key Laboratory of Engines,Tianjin University,Tianjin 300072,China. Chinese Journal of Mechanical Engineering. 2012(03)
本文编号:3374222
本文链接:https://www.wllwen.com/shoufeilunwen/xixikjs/3374222.html
