论文摘要
网络流量异常检测及分析在网络管理及网络安全领域具有重要意义。近年来,国内外网络流量异常检测与分析的研究方法主要是采用基于特征/行为的研究、基于流挖掘的研究和基于统计的研究。主元分析是基于统计研究的主要方法,但传统的主元分析方法没有考虑如何降低检测的误警率,异常原因的分析也非常复杂、代价很高。本文针对在城域网流量异常检测和分析所面临的问题,从应用层协议角度出发,提出了一种基于小波去噪和贡献图的主元分析方法:在构建合理的流量数据矩阵的基础上,采用平方预测误差(Squared Prediction Error,SPE)统计量和Hotelling T2统计量对异常进行检测与分析。最后本文根据两个统计量的不同统计意义,对检测结果进行了四种不同类型的划分,使管理员更容易精确地定位网络异常的原因。本文主要完成以下几个方面的工作:(1)针对流量异常检测误警率高的问题,对传统主元分析方法进行了改进,提出了基于小波去噪的主元分析方法。该方法采用小波分析对原始流量数据进行去噪预处理,然后采用主元分析方法进行流量建模,在此基础上,采用SPE统计量的控制图检测流量异常。实验数据结果表明:本文方法最多能降低55.6%的异常检测误警率。(2)针对已有流量异常分析方法存在过程复杂、代价大的问题,本文基于应用层流量分类的二维流量数据矩阵,提出以SPE统计量的贡献图来分析流量异常原因的新方法。实验结果表明:该方法能较简捷地将异常原因定位到具体的应用层协议和程序。(3)针对城域网流量存在出入境流量不对称、不同应用协议对应不同大小的数据包特征,重新构建二维流量数据矩阵,采用主元分析方法对流量异常进行检测和分析。这种构建流量数据矩阵的新方法能进一步挖掘出异常的出处及异常数据包的大小。(4)提出将Hotelling T2统计量用于流量异常进行检测,并且根据SPE统计量和Hotelling T2统计量的不同统计意义,将网络流量异常检测结果分成四类情况,分析了每类情况对应的原因,从而对不同原因的异常进行了精确地区分。
论文目录
摘要Abstract插图索引附表索引第1章 绪论1.1 研究背景和意义1.2 研究内容1.2.1 网络流量数据1.2.2 网络流量异常分类1.3 研究现状1.4 本文的主要研究工作和组织结构第2章 主元分析方法基础2.1 主元分析方法2.1.1 主元分析的数学表示2.1.2 主元分析的几何意义2.1.3 主元分析的算法2.1.4 选取主元个数2.2 主元分析方法在各领域的应用2.3 主元分析方法在网络流量监测中的应用2.3.1 网络流量的自相似性2.3.2 主元分析在网络流量应用的可行性2.3.3 传统主元分析方法在网络流量应用的不足2.4 小结第3章 基于SPE的城域网流量异常检测与分析方法3.1 实验环境和数据来源3.1.1 Matlab实验平台简介3.1.2 NetTurbo系统简介3.1.3 应用层大流量数据的实时采集3.2 基于SPE统计量的流量异常检测3.2.1 主元模型和SPE统计量3.2.2 基于SPE控制图的异常检测3.2.3 异常检测流程3.2.4 实验与结果分析3.3 基于小波去噪和SPE贡献图的主元分析3.3.1 传统主元分析方法的不足3.3.2 小波分析去噪的原理3.3.3 基于SPE贡献图的异常定位分析方法3.3.4 改进后异常检测与分析流程3.3.5 实验与结果分析3.3.6 效率分析3.4 小结第4章 基于流量数据矩阵改进的异常检测与分析方法4.1 流量的特征分析4.1.1 基于字节、数据包大小的流量分析4.1.2 基于应用协议的流量分析4.2 采用流量字节计数指标检测4.3 采用流量包计数指标检测4.4 采用其他方法建立流量矩阵4.5 小结2的异常检测与分析方法'>第5章 基于Hotelling T2的异常检测与分析方法2统计量的原理'>5.1 Hotelling T2统计量的原理2的流量异常检测'>5.2 基于Hotelling T2的流量异常检测5.2.1 异常检测流程5.2.2 实验与结果分析2统计量的异常检测比较'>5.3 基于SPE和基于Hotelling T2统计量的异常检测比较2统计量的几何意义'>5.3.1 SPE统计量和Hotelling T2统计量的几何意义5.3.2 对局部流量异常敏感性分析5.3.3 对整体流量异常敏感性分析5.3.4 对综合流量异常敏感性分析2统计量在分析不同原因流量异常的意义'>5.3.5 SPE统计量和T2统计量在分析不同原因流量异常的意义5.4 小结结论参考文献致谢附录A (攻读硕士学位期间所发表的学术论文目录)附录B (攻读硕士学位期间所参与的科研活动)
相关论文文献
标签:网络监测论文; 异常检测论文; 异常分析论文; 主元分析论文; 小波分析论文;