隨著網(wǎng)絡(luò)技術(shù)的不斷提高，現(xiàn)有網(wǎng)絡(luò)部署結(jié)構(gòu)和網(wǎng)絡(luò)應(yīng)用程序的復(fù)雜化導(dǎo)致信息處理的規(guī)模和難度增大，而傳統(tǒng)的異常檢測(cè)方法已經(jīng)不再適合現(xiàn)有大規(guī)模的網(wǎng)絡(luò)中出現(xiàn)的不同形式的異常。由于網(wǎng)絡(luò)流包含豐富的網(wǎng)絡(luò)信息，因此基于網(wǎng)絡(luò)流的異常檢測(cè)技術(shù)逐漸成為網(wǎng)絡(luò)安全態(tài)勢(shì)感知內(nèi)的一項(xiàng)主流技術(shù)。本文依據(jù)NetFlow和sFlow在網(wǎng)絡(luò)異常檢測(cè)方面的應(yīng)用特點(diǎn)，切入?yún)f(xié)議字段融合方法來(lái)完善檢測(cè)的數(shù)據(jù)源，然后提出了基于NetFlow和sFlow網(wǎng)絡(luò)流融合的異常檢測(cè)方法。本文首先分析了網(wǎng)絡(luò)安全的當(dāng)前形勢(shì)，從中結(jié)合網(wǎng)絡(luò)流的發(fā)展和基于網(wǎng)絡(luò)流的異常檢測(cè)現(xiàn)狀分析，提出了基于NetFlow和sFlow網(wǎng)絡(luò)流融合的異常檢測(cè)方法的基本思路；其次，研究分析了NetFlow和sFlow數(shù)據(jù)格式及功能分析，結(jié)合二者的特點(diǎn)提出一種基于NetFlow和sFlow協(xié)議字段融合方法，并通過(guò)與基于單一協(xié)議的方法實(shí)驗(yàn)對(duì)比驗(yàn)證融合方法的優(yōu)勢(shì)；再次，根據(jù)網(wǎng)絡(luò)異常的特征分析及基于網(wǎng)絡(luò)流異常檢測(cè)方法的研究，并結(jié)合融合網(wǎng)絡(luò)流數(shù)據(jù)的特征，提出了基于NetFlow和sFlow網(wǎng)絡(luò)流融合的異常檢測(cè)方法。該方法結(jié)合網(wǎng)絡(luò)流異常檢測(cè)方法的特點(diǎn)，設(shè)置網(wǎng)絡(luò)正常狀態(tài)的監(jiān)測(cè)，并將異常進(jìn)行... 

【文章來(lái)源】：哈爾濱工程大學(xué)黑龍江省 211工程院校

【文章頁(yè)數(shù)】：69 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

中國(guó)網(wǎng)民數(shù)量與網(wǎng)絡(luò)普及率示意圖

為了能夠給后續(xù)的基于NetFlow和sFlow網(wǎng)絡(luò)流融合的異常檢測(cè)方法研究提供理論基礎(chǔ)，首先需要對(duì)網(wǎng)絡(luò)流協(xié)議的功能進(jìn)行詳細(xì)分析。針對(duì)兩種網(wǎng)絡(luò)流協(xié)議所包含信息的內(nèi)容和應(yīng)用特點(diǎn)，選擇并設(shè)計(jì)相應(yīng)的字段融合方法使其能保證融合后數(shù)據(jù)的全面性和準(zhǔn)確性。下面分別介紹本文所采用的 NetFlow 和 sFlow 協(xié)議的功能分析。2.1.1 NetFlow 協(xié)議功能分析目前為止 Ciso 公司共發(fā)布了六個(gè)版本的 NetFlow 協(xié)議，但是使用最廣泛的是NetFlow V5 版本，另外由于 V5 版本之前的各版 NetFlow 數(shù)據(jù)格式相類似，都是針對(duì) IPv進(jìn)行數(shù)據(jù)提取的。而 NetFlow V9 版本在數(shù)據(jù)格式上與其它版本存在較大差異，NetFloV9 采用模板的形式在繼承已有版本 IPv4 數(shù)據(jù)獲取的同時(shí)還兼容了 IPv6 的數(shù)據(jù)獲取。故本文將以目前應(yīng)用廣泛，且具代表性的 NetFlow V5 為研究對(duì)象，并對(duì)其信息格式作分析說(shuō)明。NetFlow V5 中數(shù)據(jù)包是由一個(gè)包頭和若干條 NetFlow 記錄組成的，但是記錄的條數(shù)最多不超過(guò) 30 條，如圖 2.1 所示。

10圖 2.1 中 NetFlow V5 首部字段描述如圖 2.2 所示。圖 2.2 NetFlow V5 首部字段描述圖圖 2.1 中 NetFlow V5 記錄字段描述如圖 2.3 所示。圖 2.3 NetFlow V5 記錄字段描述圖2.1.2 sFlow 協(xié)議功能分析現(xiàn)今 sFlow 已經(jīng)發(fā)展到最新 V5 版本。相對(duì)于 NetFlow 協(xié)議，sFlow 協(xié)議包含了更

【參考文獻(xiàn)】：
期刊論文
[1]一種基于Netflow的蠕蟲(chóng)攻擊檢測(cè)方法研究[J]. 趙禮,李朝陽(yáng).  信息安全與通信保密. 2012(06)
[2]基于網(wǎng)絡(luò)流的攻擊圖分析方法[J]. 吳金宇,金舒原,楊智.  計(jì)算機(jī)研究與發(fā)展. 2011(08)
[3]sFlow網(wǎng)絡(luò)流量采集器設(shè)計(jì)與性能控制研究[J]. 吳爍,林南暉.  汕頭大學(xué)學(xué)報(bào)(自然科學(xué)版). 2010(02)
[4]基于攻擊特征的ARMA預(yù)測(cè)模型的DDoS攻擊檢測(cè)方法[J]. 程杰仁,殷建平,劉運(yùn),劉湘輝,蔡志平.  計(jì)算機(jī)工程與科學(xué). 2010(04)
[5]采用Netflow數(shù)據(jù)的典型異常流量檢測(cè)方法[J]. 田楊,王宏,陳曉梅.  電子科技大學(xué)學(xué)報(bào). 2009(S1)
[6]DDoS攻擊的全局異常相關(guān)檢測(cè)方法[J]. 李宗林,胡光岷,楊丹,姚興苗.  計(jì)算機(jī)應(yīng)用. 2009(11)
[7]基于sflow抽樣數(shù)據(jù)流的網(wǎng)絡(luò)行為分析研究[J]. 劉本倉(cāng).  信息與電腦(理論版). 2009(08)
[8]網(wǎng)絡(luò)流行為模式和分類方法[J]. 秦華,張書杰.  北京工業(yè)大學(xué)學(xué)報(bào). 2007(11)
[9]一種基于流特征的P2P流量實(shí)時(shí)識(shí)別方法[J]. 柳斌,李之棠,李佳.  廈門大學(xué)學(xué)報(bào)(自然科學(xué)版). 2007(S2)
[10]校園網(wǎng)上sFlow網(wǎng)絡(luò)流量監(jiān)控設(shè)計(jì)[J]. 黃偉強(qiáng),林南暉,孟克勛.  華南師范大學(xué)學(xué)報(bào)(自然科學(xué)版). 2007(03)

碩士論文
[1]基于NetFlow和SNMP的網(wǎng)絡(luò)流態(tài)勢(shì)融合分析方法研究[D]. 趙勇.哈爾濱工程大學(xué) 2012
[2]基于xFlow的網(wǎng)絡(luò)安全態(tài)勢(shì)融合分析技術(shù)[D]. 葛寶玉.哈爾濱工程大學(xué) 2012
[3]基于NetFlow的校園網(wǎng)異常流量檢測(cè)方法的實(shí)現(xiàn)與分析[D]. 張國(guó)祥.內(nèi)蒙古農(nóng)業(yè)大學(xué) 2011
[4]基于NetFlow的網(wǎng)絡(luò)安全事件獲取技術(shù)[D]. 張喆.哈爾濱工程大學(xué) 2010
[5]基于sFlow的網(wǎng)絡(luò)鏈路流量采集與分析[D]. 范亞國(guó).武漢理工大學(xué) 2008
[6]基于NetFlow的實(shí)時(shí)安全事件檢測(cè)技術(shù)研究[D]. 金爽.哈爾濱工程大學(xué) 2007



本文編號(hào)：3249923