摘要:网络流量是记录和反映网络及其用户行为活动的重要载体,基于网络流量的分析是认识网络的一面镜子,网络流...网络流量是记录和反映网络及其用户行为活动的重要载体,基于网络流量的分析是认识网络的一面镜子,网络流量异常检测和流量的业务类型识别是网络流量分析技术的两个基础而重要的部分。通过调研现有的方法,发现当前流量异常检测算法的执行效率较低,需要耗费大量 CPU 时间,不适于处理维数较高的网络流量类型,无法用之于大规模网络检测;有的算法复杂性较高,检测或识别算法通常滞后,不能满足在线运行要求,即算法实时性较差,对于大流量高带宽的网络流量更是如此;多数网络异常检测方法的检测率较低、网络流量识别的精确程度不高,误报率和漏报率较高,检测率和误报率很难平衡。 本文将信息熵引入流量分析,提出了一种基于相对熵统计学习的网络流量异常检测方法,该方法主要是对网络流量数据集进行多维分层处理,利用信息论中的熵值公式来对网络流量的数据包的分布进行计算,然后根据网络流量的自相似特性,采用相对熵在网络流量的各个分析视图上对网络流量异常进行检测。该方法所设计的检测方法整体规模小,算法复杂度低,与以往算法相比,对DOS、DDOS攻击和端口扫描类型的网络流量异常尤其具有更优的检测效果。 本文引入“距离”和“密度”概念,提出了一种采用流量引力聚类的网络流量业务类型识别方法,解决了原聚类算法的局部性解问题,并分别从网络流量特征属性的选取、对孤立网络流的处理、初始聚类质心的设定环节对这种流量引力聚类方法进行了适应性的处理,从实验与结果分析可知,基于本章的流量识别方法较之以前的方法聚类效果更好,识别率也更高,算法收敛得较快。显示全部
