網絡流量模型的異常檢測方法及原理

http://m.yibo1263.com　2009-1-7 7:59:24 　來源:東北IT網　編輯:葉子

　　網絡流量基本特征數據集是整個網絡流量異常算法的基礎。為了保證該算法的可靠性和比較強的可擴展性，就要求基本特征能夠比較完備地描述網絡流量的特征。但同時由于網絡的異常檢測有實時性的要求，以及考慮到現有計算機的計算能力等問題，基本特征的選取不能對所有流量信息進行提取，而必須對之進行選擇。

　　除此以外在基本特征集中還預留了大約100個保留項，以便將來的擴展之需。由這些保留項以及上述各個提取的內容共同組成了一個有256項的基本特征集。該基本特征集有以下幾方面的特點：

　　(1)比較詳細地涵蓋了現有網絡中主要流量的各種統(tǒng)計信息。

　　(2)不含敏感信息，比如IP地址，包內容信息等。

　　(3)其存儲空間完全有限，如果每隔30秒統(tǒng)計一次，一個月大約有30×24×60×2=86400條記錄，每條記錄由256個數字組成，如按照文本格式保存大約是2048個字節(jié)。因而按照這種方式保存一年的數據所需空間大約是2048×8×86400×12=16986,931200bits，這大約是17GB的空間。

　　實驗過程

　　本試驗采用的試驗數據為1999 DARPA提供的試驗數據。其中第一周由于不含攻擊，因而可以作為訓練數據進行訓練，第二周的數據作為檢測數據。

　　我們選取其中的MailBomb和Neptune作為試驗檢測的項目。將試驗數據按五分鐘分割成各個數據點，我們可以得到1280個數據點。

　　其中L1～L5表示的是包長分布在32～63、64～127、128～255、256～511和512～1023各個段落中的包的個數。

　　在整個基于網絡流量模型的異常檢測框架下，能比較方便地通過組合不同的基礎特征實現對不同種類的異常攻擊的檢測，并能取得比較好的檢測效果。同時我們還可以看到，針對某種攻擊如果選取不同的特征組合，其檢測的結果之間還是有區(qū)別的，選取過程中如果缺少必要的基礎特征將導致漏報率的變大，而選取過多的無關基礎特征則會降低檢測誤報率的性能。這就要求我們在選取標示某種攻擊的特征組合時必須在必要基礎特征的基礎上根據檢測的網絡的實際流量模型，對特征組合進行具體的優(yōu)化。

　　方法評測

　　基于網絡流量的異常檢測方法通過組合不同的基礎特征能比較靈活地檢測不同的網絡攻擊，同時每種組合特征又標示著某種攻擊，所以能使網絡流量異常的報警更具實際意義。

　　基于網絡流量的異常檢測方法提供了一個壓縮比較高且能比較全面反映實際網絡流量的基礎特征，這為將來的異常檢測提供了一個較好的數據平臺，具有比較好的可擴展性，同時該數據集還能為不同域之間異常檢測信息的交互提供一種可能。

本新聞共2頁,當前在第2頁 1 2

【收藏】【打印】【進入論壇】

·幾種常見的網絡流量

·網管技巧：幾種常見的網絡流量

·教你如何降低網絡流量節(jié)約費用

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费