網(wǎng)絡(luò)的快速發(fā)展導(dǎo)致網(wǎng)絡(luò)攻擊行為日益增多,網(wǎng)絡(luò)安全問(wèn)題愈發(fā)嚴(yán)峻。網(wǎng)絡(luò)流量異常檢測(cè)作為一種重要的網(wǎng)絡(luò)監(jiān)管手段,是解決網(wǎng)絡(luò)安全問(wèn)題的有力措施。在實(shí)際工作中,我們觀察到異常的發(fā)生可能會(huì)導(dǎo)致不同尺度上流量數(shù)據(jù)特征的變化,而多尺度檢測(cè)往往能夠提高異常檢測(cè)效果。本文主要基于數(shù)字信號(hào)處理理論,結(jié)合多尺度多通道檢測(cè)思想提出了一種新的異常檢測(cè)方法。該方法主要分為流量數(shù)據(jù)處理和異常檢測(cè)兩個(gè)模塊。流量數(shù)據(jù)處理模塊主要通過(guò)經(jīng)驗(yàn)?zāi)B(tài)分解方法（Empirical Mode Decomposition,EMD）得到流量數(shù)據(jù)的多尺度表示形式,異常檢測(cè)模塊則利用多通道信號(hào)檢測(cè)方法進(jìn)行相關(guān)檢測(cè)值的計(jì)算和異常判斷。具體來(lái)說(shuō),本文完成的主要工作包括:（1）利用改進(jìn)的EMD方法—集合經(jīng)驗(yàn)?zāi)B(tài)分解（Ensemble Empirical Mode Decomposition,EEMD）將網(wǎng)絡(luò)流量自適應(yīng)地分解為多個(gè)分量,各分量包含不同的物理意義,使得流量波動(dòng)情況在多個(gè)尺度上表征出來(lái),從而得到流量數(shù)據(jù)的多尺度表示形式。（2）將異常檢測(cè)問(wèn)題引申為了一個(gè)信號(hào)檢測(cè)問(wèn)題,對(duì)多尺度形式的流量數(shù)據(jù)利用廣義似然比檢驗(yàn)（Generalized Like... 

【文章來(lái)源】：電子科技大學(xué)四川省 211工程院校 985工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：83 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

NIDES實(shí)時(shí)監(jiān)測(cè)流程

隱藏狀態(tài)確定狀態(tài)圖2-2 隱馬爾可夫過(guò)程舉例為了估計(jì)用于建模正常系統(tǒng)行為的隱馬爾可夫模型的參數(shù)，將從正常系統(tǒng)操作收集的正常事件序列用作訓(xùn)練數(shù)據(jù)，使用期望最大化（EM）算法進(jìn)行參數(shù)估計(jì)。訓(xùn)練得到相關(guān)參數(shù)后，利用概率測(cè)量作為異常檢測(cè)的閾值對(duì)測(cè)試數(shù)據(jù)進(jìn)行檢測(cè)。檢測(cè)過(guò)程需要解決三個(gè)關(guān)鍵問(wèn)題。第一個(gè)問(wèn)題，也稱為評(píng)估問(wèn)題，是確定給定的一系列觀察結(jié)果，觀察序列由模型產(chǎn)生的概率大小。第二個(gè)是學(xué)習(xí)問(wèn)題，它涉及從審計(jì)數(shù)據(jù)構(gòu)建一個(gè)模型或一組模型，以正確描述觀察到的行為。給定一個(gè)隱馬爾可夫模型和相關(guān)的觀測(cè)值后，第三個(gè)問(wèn)題（也稱為解碼問(wèn)題）涉及確定導(dǎo)致這些觀測(cè)值的最可能的隱藏狀態(tài)集合。Warrender 等人比較了四種方法的性能

函數(shù)的劃分產(chǎn)生影響，由此也不利于后續(xù)分量的劃分，最終導(dǎo)致分解得到的信號(hào)多尺度表示與原始數(shù)據(jù)差異較大。圖3-2 模態(tài)混疊現(xiàn)象3.1.3.2 EEMD 原理集合經(jīng)驗(yàn)?zāi)B(tài)分解（Ensemble Empirical Mode Decompositon, EEMD）是一種噪聲輔助數(shù)據(jù)分析方法，能夠減輕或避免 EMD 分解過(guò)程中產(chǎn)生的模態(tài)混疊問(wèn)題。由于人為或者環(huán)境原因，我們采集得到的信號(hào)總是含有一定量的噪聲。EEMD 分解基于一個(gè)假設(shè)：當(dāng)噪聲對(duì) EMD 分解過(guò)程僅有振幅上的影響時(shí)，即只出現(xiàn)了量值上的改變而對(duì)性質(zhì)沒(méi)有影響時(shí)，我們認(rèn)為該 EMD 分解過(guò)程仍是穩(wěn)定的。換言之，我們認(rèn)為隨機(jī)噪聲對(duì) EMD 分解得到的 IMF 分量無(wú)影響。由此，EEMD 分解的主要過(guò)程為：在每次獨(dú)立測(cè)試中，向信號(hào)隨機(jī)加入白噪聲。隨機(jī)加入的白噪聲會(huì)均勻分布在整個(gè)時(shí)頻空間內(nèi)


本文編號(hào)：3478906