網(wǎng)絡的快速發(fā)展導致網(wǎng)絡攻擊行為日益增多,網(wǎng)絡安全問題愈發(fā)嚴峻。網(wǎng)絡流量異常檢測作為一種重要的網(wǎng)絡監(jiān)管手段,是解決網(wǎng)絡安全問題的有力措施。在實際工作中,我們觀察到異常的發(fā)生可能會導致不同尺度上流量數(shù)據(jù)特征的變化,而多尺度檢測往往能夠提高異常檢測效果。本文主要基于數(shù)字信號處理理論,結合多尺度多通道檢測思想提出了一種新的異常檢測方法。該方法主要分為流量數(shù)據(jù)處理和異常檢測兩個模塊。流量數(shù)據(jù)處理模塊主要通過經(jīng)驗模態(tài)分解方法（Empirical Mode Decomposition,EMD）得到流量數(shù)據(jù)的多尺度表示形式,異常檢測模塊則利用多通道信號檢測方法進行相關檢測值的計算和異常判斷。具體來說,本文完成的主要工作包括:（1）利用改進的EMD方法—集合經(jīng)驗模態(tài)分解（Ensemble Empirical Mode Decomposition,EEMD）將網(wǎng)絡流量自適應地分解為多個分量,各分量包含不同的物理意義,使得流量波動情況在多個尺度上表征出來,從而得到流量數(shù)據(jù)的多尺度表示形式。（2）將異常檢測問題引申為了一個信號檢測問題,對多尺度形式的流量數(shù)據(jù)利用廣義似然比檢驗（Generalized Like... 

【文章來源】：電子科技大學四川省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：83 頁

【學位級別】：碩士

【部分圖文】：

NIDES實時監(jiān)測流程

隱藏狀態(tài)確定狀態(tài)圖2-2 隱馬爾可夫過程舉例為了估計用于建模正常系統(tǒng)行為的隱馬爾可夫模型的參數(shù)，將從正常系統(tǒng)操作收集的正常事件序列用作訓練數(shù)據(jù)，使用期望最大化（EM）算法進行參數(shù)估計。訓練得到相關參數(shù)后，利用概率測量作為異常檢測的閾值對測試數(shù)據(jù)進行檢測。檢測過程需要解決三個關鍵問題。第一個問題，也稱為評估問題，是確定給定的一系列觀察結果，觀察序列由模型產(chǎn)生的概率大小。第二個是學習問題，它涉及從審計數(shù)據(jù)構建一個模型或一組模型，以正確描述觀察到的行為。給定一個隱馬爾可夫模型和相關的觀測值后，第三個問題（也稱為解碼問題）涉及確定導致這些觀測值的最可能的隱藏狀態(tài)集合。Warrender 等人比較了四種方法的性能

函數(shù)的劃分產(chǎn)生影響，由此也不利于后續(xù)分量的劃分，最終導致分解得到的信號多尺度表示與原始數(shù)據(jù)差異較大。圖3-2 模態(tài)混疊現(xiàn)象3.1.3.2 EEMD 原理集合經(jīng)驗模態(tài)分解（Ensemble Empirical Mode Decompositon, EEMD）是一種噪聲輔助數(shù)據(jù)分析方法，能夠減輕或避免 EMD 分解過程中產(chǎn)生的模態(tài)混疊問題。由于人為或者環(huán)境原因，我們采集得到的信號總是含有一定量的噪聲。EEMD 分解基于一個假設：當噪聲對 EMD 分解過程僅有振幅上的影響時，即只出現(xiàn)了量值上的改變而對性質沒有影響時，我們認為該 EMD 分解過程仍是穩(wěn)定的。換言之，我們認為隨機噪聲對 EMD 分解得到的 IMF 分量無影響。由此，EEMD 分解的主要過程為：在每次獨立測試中，向信號隨機加入白噪聲。隨機加入的白噪聲會均勻分布在整個時頻空間內


本文編號：3478906