城域网应用层流量异常检测与分析的研究

城域网应用层流量异常检测与分析的研究

论文摘要

网络流量异常检测及分析在网络管理及网络安全领域具有重要意义。近年来,国内外网络流量异常检测与分析的研究方法主要是采用基于特征/行为的研究、基于流挖掘的研究和基于统计的研究。主元分析是基于统计研究的主要方法,但传统的主元分析方法没有考虑如何降低检测的误警率,异常原因的分析也非常复杂、代价很高。本文针对在城域网流量异常检测和分析所面临的问题,从应用层协议角度出发,提出了一种基于小波去噪和贡献图的主元分析方法:在构建合理的流量数据矩阵的基础上,采用平方预测误差(Squared Prediction Error,SPE)统计量和Hotelling T2统计量对异常进行检测与分析。最后本文根据两个统计量的不同统计意义,对检测结果进行了四种不同类型的划分,使管理员更容易精确地定位网络异常的原因。本文主要完成以下几个方面的工作:(1)针对流量异常检测误警率高的问题,对传统主元分析方法进行了改进,提出了基于小波去噪的主元分析方法。该方法采用小波分析对原始流量数据进行去噪预处理,然后采用主元分析方法进行流量建模,在此基础上,采用SPE统计量的控制图检测流量异常。实验数据结果表明:本文方法最多能降低55.6%的异常检测误警率。(2)针对已有流量异常分析方法存在过程复杂、代价大的问题,本文基于应用层流量分类的二维流量数据矩阵,提出以SPE统计量的贡献图来分析流量异常原因的新方法。实验结果表明:该方法能较简捷地将异常原因定位到具体的应用层协议和程序。(3)针对城域网流量存在出入境流量不对称、不同应用协议对应不同大小的数据包特征,重新构建二维流量数据矩阵,采用主元分析方法对流量异常进行检测和分析。这种构建流量数据矩阵的新方法能进一步挖掘出异常的出处及异常数据包的大小。(4)提出将Hotelling T2统计量用于流量异常进行检测,并且根据SPE统计量和Hotelling T2统计量的不同统计意义,将网络流量异常检测结果分成四类情况,分析了每类情况对应的原因,从而对不同原因的异常进行了精确地区分。

论文目录

  • 摘要
  • Abstract
  • 插图索引
  • 附表索引
  • 第1章 绪论
  • 1.1 研究背景和意义
  • 1.2 研究内容
  • 1.2.1 网络流量数据
  • 1.2.2 网络流量异常分类
  • 1.3 研究现状
  • 1.4 本文的主要研究工作和组织结构
  • 第2章 主元分析方法基础
  • 2.1 主元分析方法
  • 2.1.1 主元分析的数学表示
  • 2.1.2 主元分析的几何意义
  • 2.1.3 主元分析的算法
  • 2.1.4 选取主元个数
  • 2.2 主元分析方法在各领域的应用
  • 2.3 主元分析方法在网络流量监测中的应用
  • 2.3.1 网络流量的自相似性
  • 2.3.2 主元分析在网络流量应用的可行性
  • 2.3.3 传统主元分析方法在网络流量应用的不足
  • 2.4 小结
  • 第3章 基于SPE的城域网流量异常检测与分析方法
  • 3.1 实验环境和数据来源
  • 3.1.1 Matlab实验平台简介
  • 3.1.2 NetTurbo系统简介
  • 3.1.3 应用层大流量数据的实时采集
  • 3.2 基于SPE统计量的流量异常检测
  • 3.2.1 主元模型和SPE统计量
  • 3.2.2 基于SPE控制图的异常检测
  • 3.2.3 异常检测流程
  • 3.2.4 实验与结果分析
  • 3.3 基于小波去噪和SPE贡献图的主元分析
  • 3.3.1 传统主元分析方法的不足
  • 3.3.2 小波分析去噪的原理
  • 3.3.3 基于SPE贡献图的异常定位分析方法
  • 3.3.4 改进后异常检测与分析流程
  • 3.3.5 实验与结果分析
  • 3.3.6 效率分析
  • 3.4 小结
  • 第4章 基于流量数据矩阵改进的异常检测与分析方法
  • 4.1 流量的特征分析
  • 4.1.1 基于字节、数据包大小的流量分析
  • 4.1.2 基于应用协议的流量分析
  • 4.2 采用流量字节计数指标检测
  • 4.3 采用流量包计数指标检测
  • 4.4 采用其他方法建立流量矩阵
  • 4.5 小结
  • 2的异常检测与分析方法'>第5章 基于Hotelling T2的异常检测与分析方法
  • 2统计量的原理'>5.1 Hotelling T2统计量的原理
  • 2的流量异常检测'>5.2 基于Hotelling T2的流量异常检测
  • 5.2.1 异常检测流程
  • 5.2.2 实验与结果分析
  • 2统计量的异常检测比较'>5.3 基于SPE和基于Hotelling T2统计量的异常检测比较
  • 2统计量的几何意义'>5.3.1 SPE统计量和Hotelling T2统计量的几何意义
  • 5.3.2 对局部流量异常敏感性分析
  • 5.3.3 对整体流量异常敏感性分析
  • 5.3.4 对综合流量异常敏感性分析
  • 2统计量在分析不同原因流量异常的意义'>5.3.5 SPE统计量和T2统计量在分析不同原因流量异常的意义
  • 5.4 小结
  • 结论
  • 参考文献
  • 致谢
  • 附录A (攻读硕士学位期间所发表的学术论文目录)
  • 附录B (攻读硕士学位期间所参与的科研活动)
  • 相关论文文献

    标签:;  ;  ;  ;  ;  

    城域网应用层流量异常检测与分析的研究
    下载Doc文档

    猜你喜欢