當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

網(wǎng)絡(luò)流量模型的異常檢測(cè)方法及原理

http://m.yibo1263.com　2009-1-7 7:59:24 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　網(wǎng)絡(luò)流量基本特征數(shù)據(jù)集是整個(gè)網(wǎng)絡(luò)流量異常算法的基礎(chǔ)。為了保證該算法的可靠性和比較強(qiáng)的可擴(kuò)展性，就要求基本特征能夠比較完備地描述網(wǎng)絡(luò)流量的特征。但同時(shí)由于網(wǎng)絡(luò)的異常檢測(cè)有實(shí)時(shí)性的要求，以及考慮到現(xiàn)有計(jì)算機(jī)的計(jì)算能力等問(wèn)題，基本特征的選取不能對(duì)所有流量信息進(jìn)行提取，而必須對(duì)之進(jìn)行選擇。

　　除此以外在基本特征集中還預(yù)留了大約100個(gè)保留項(xiàng)，以便將來(lái)的擴(kuò)展之需。由這些保留項(xiàng)以及上述各個(gè)提取的內(nèi)容共同組成了一個(gè)有256項(xiàng)的基本特征集。該基本特征集有以下幾方面的特點(diǎn)：

　　(1)比較詳細(xì)地涵蓋了現(xiàn)有網(wǎng)絡(luò)中主要流量的各種統(tǒng)計(jì)信息。

　　(2)不含敏感信息，比如IP地址，包內(nèi)容信息等。

　　(3)其存儲(chǔ)空間完全有限，如果每隔30秒統(tǒng)計(jì)一次，一個(gè)月大約有30×24×60×2=86400條記錄，每條記錄由256個(gè)數(shù)字組成，如按照文本格式保存大約是2048個(gè)字節(jié)。因而按照這種方式保存一年的數(shù)據(jù)所需空間大約是2048×8×86400×12=16986,931200bits，這大約是17GB的空間。

　　實(shí)驗(yàn)過(guò)程

　　本試驗(yàn)采用的試驗(yàn)數(shù)據(jù)為1999 DARPA提供的試驗(yàn)數(shù)據(jù)。其中第一周由于不含攻擊，因而可以作為訓(xùn)練數(shù)據(jù)進(jìn)行訓(xùn)練，第二周的數(shù)據(jù)作為檢測(cè)數(shù)據(jù)。

　　我們選取其中的MailBomb和Neptune作為試驗(yàn)檢測(cè)的項(xiàng)目。將試驗(yàn)數(shù)據(jù)按五分鐘分割成各個(gè)數(shù)據(jù)點(diǎn)，我們可以得到1280個(gè)數(shù)據(jù)點(diǎn)。

　　其中L1～L5表示的是包長(zhǎng)分布在32～63、64～127、128～255、256～511和512～1023各個(gè)段落中的包的個(gè)數(shù)。

　　在整個(gè)基于網(wǎng)絡(luò)流量模型的異常檢測(cè)框架下，能比較方便地通過(guò)組合不同的基礎(chǔ)特征實(shí)現(xiàn)對(duì)不同種類(lèi)的異常攻擊的檢測(cè)，并能取得比較好的檢測(cè)效果。同時(shí)我們還可以看到，針對(duì)某種攻擊如果選取不同的特征組合，其檢測(cè)的結(jié)果之間還是有區(qū)別的，選取過(guò)程中如果缺少必要的基礎(chǔ)特征將導(dǎo)致漏報(bào)率的變大，而選取過(guò)多的無(wú)關(guān)基礎(chǔ)特征則會(huì)降低檢測(cè)誤報(bào)率的性能。這就要求我們?cè)谶x取標(biāo)示某種攻擊的特征組合時(shí)必須在必要基礎(chǔ)特征的基礎(chǔ)上根據(jù)檢測(cè)的網(wǎng)絡(luò)的實(shí)際流量模型，對(duì)特征組合進(jìn)行具體的優(yōu)化。

　　方法評(píng)測(cè)

　　基于網(wǎng)絡(luò)流量的異常檢測(cè)方法通過(guò)組合不同的基礎(chǔ)特征能比較靈活地檢測(cè)不同的網(wǎng)絡(luò)攻擊，同時(shí)每種組合特征又標(biāo)示著某種攻擊，所以能使網(wǎng)絡(luò)流量異常的報(bào)警更具實(shí)際意義。

　　基于網(wǎng)絡(luò)流量的異常檢測(cè)方法提供了一個(gè)壓縮比較高且能比較全面反映實(shí)際網(wǎng)絡(luò)流量的基礎(chǔ)特征，這為將來(lái)的異常檢測(cè)提供了一個(gè)較好的數(shù)據(jù)平臺(tái)，具有比較好的可擴(kuò)展性，同時(shí)該數(shù)據(jù)集還能為不同域之間異常檢測(cè)信息的交互提供一種可能。

本新聞共2頁(yè),當(dāng)前在第2頁(yè) 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·幾種常見(jiàn)的網(wǎng)絡(luò)流量

·網(wǎng)管技巧：幾種常見(jiàn)的網(wǎng)絡(luò)流量

·教你如何降低網(wǎng)絡(luò)流量節(jié)約費(fèi)用

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费