網(wǎng)絡異常檢測是保障網(wǎng)絡安全的支撐技術之一,傳統(tǒng)的異常檢測技術不能滿足日益復雜的通信網(wǎng)絡中對異常行為檢測的需求,基于網(wǎng)絡行為分析的異常檢測技術能夠充分挖掘、利用網(wǎng)絡內(nèi)在信息及其相互關系,具有較好的靈活性、適應性,已成為目前異常檢測領域的研究熱點。近年來,該領域的研究工作成果顯著,卻仍然存在一些問題。例如,目前研究大多從單一行為層面出發(fā),較難完整揭示異常發(fā)生的原因和本質,不能全面地為異常的阻斷和處理提供支撐。為此,本文從流量行為層、協(xié)議行為層和用戶行為層三個層面分別研究基于網(wǎng)絡數(shù)據(jù)流的異常行為檢測技術,并取得了如下成果：1.提出了一種基于聚類模式評估的異常流量行為檢測方法。在流量行為層面,針對現(xiàn)有無監(jiān)督式流量異常檢測技術特征提取困難,對規(guī)模性異常檢測能力不高的問題,本文采用無監(jiān)督式聚類技術,設計了一種面向聚類的加權特征選擇算法,將信息熵和鄰域分析技術相結合用于特征評估和選擇,提高了特征約簡效率和聚類效果,然后定義聚類規(guī)則和聚類模式的概念,并對K-means算法進行改進,在此基礎上根據(jù)網(wǎng)絡流聚類結果與聚類模式的偏離度大小判斷規(guī)模性異常的發(fā)生。實驗分析表明,該方法在保證檢測效率的同時,誤報率和漏報率均有所降低,提高了對規(guī)模性異常的檢測能力。2.提出了一種基于條件隨機場的異常協(xié)議行為檢測方法。在協(xié)議行為層面,針對現(xiàn)有基于隱馬爾可夫模型的異常協(xié)議檢測方法獨立假設過于嚴格、上下文特征考慮不足的問題,本文通過提取協(xié)議關鍵字、時間間隔及其頻率特征作為協(xié)議交互序列的報文特征,基于條件隨機場模型對協(xié)議報文序列建模,并根據(jù)協(xié)議報文觀測序列的聯(lián)合概率判斷異常協(xié)議行為的發(fā)生。該方法融合協(xié)議報文的狀態(tài)特征和頻率特征,同時利用條件隨機場無獨立性假設的優(yōu)點,更能完整準確描述協(xié)議行為。實驗分析表明,該方法相對傳統(tǒng)方法提高了異常協(xié)議行為的檢測能力。3.提出了一種基于會話關聯(lián)分析的異常用戶行為檢測方法以及一種基于關系熵和J量值的用戶會話序列模式漂移檢測方法。在用戶行為層面,針對目前基于網(wǎng)絡的異常用戶檢測中較難完整描述用戶行為、行為模式建立困難的問題,首先引入會話發(fā)生頻度,改進和定義模糊時序關聯(lián)模式,在此基礎上對用戶會話序列建模,然后基于模式匹配檢測異常用戶的發(fā)生。針對用戶行為模式漂移會導致異常檢測效果下降的問題,通過引入關系熵和J量值兩個特征參數(shù)用于量化會話關系,提出一種基于特征值分布假設檢驗的模式漂移檢測算法,通過對雙滑動窗口內(nèi)的特征分布是否相同進行假設檢驗判斷用戶行為模式漂移的發(fā)生。實驗分析表明,該方法可準確檢測漂移的發(fā)生并可為模式庫更新提供支持。本文從流量、協(xié)議和用戶行為三個層面對網(wǎng)絡數(shù)據(jù)流異常行為進行分析和檢測,彌補了目前異常檢測研究層面較為單一的不足,提高了網(wǎng)絡異常檢測的效率和效果,為網(wǎng)絡異常的準確預警和快速處理提供有力支撐。
【學位單位】：解放軍信息工程大學
【學位級別】：碩士
【學位年份】：2015
【中圖分類】：TP393.08
【文章目錄】：
摘要
Abstract
第一章 緒論
    1.1 研究背景與意義
    1.2 技術框架
    1.3 研究目標與內(nèi)容
    1.4 論文結構安排
第二章 基于行為分析的異常檢測技術研究現(xiàn)狀
    2.1 網(wǎng)絡行為分析
        2.1.1 網(wǎng)絡行為概念
        2.1.2 網(wǎng)絡行為的分類
        2.1.3 網(wǎng)絡行為分析方法
    2.2 網(wǎng)絡異常檢測
        2.2.1 網(wǎng)絡異常概述
        2.2.2 網(wǎng)絡異常檢測
    2.3 基于行為分析的異常檢測技術
        2.3.1 流量行為層異常檢測
        2.3.2 協(xié)議行為層異常檢測
        2.3.3 用戶行為層異常檢測
    2.4 存在的主要問題與研究對策
    2.5 本章小結
第三章 基于聚類模式評估的異常流量行為檢測
    3.1 問題分析和解決思路
    3.2 相關概念定義
        3.2.1 聚類規(guī)則
        3.2.2 聚類模式
    3.3 基于信息熵與鄰域分析的加權特征選擇
        3.3.1 基于信息熵的候選特征集構建
        3.3.2 基于鄰域分析的加權特征選擇
        3.3.3 算法描述
        3.3.4 實驗驗證
    3.4 網(wǎng)絡流聚類中K-means算法的改進
        3.4.1 訓練網(wǎng)絡流加權聚類算法WK-means
        3.4.2 實時網(wǎng)絡流加權聚類算法rtWK-means
    3.5 基于滑動窗口的異常流量行為檢測過程
        3.5.1 滑動窗口設計
        3.5.2 聚類模式匹配與異常輸出
    3.6 實驗驗證
        3.6.1 測試環(huán)境
        3.6.2 實驗過程
        3.6.3 實驗結果分析與比較
    3.7 本章小結
第四章 基于條件隨機場的異常協(xié)議行為檢測
    4.1 問題分析與解決思路
    4.2 基于條件隨機場的應用協(xié)議建模
        4.2.1 相關概念
        4.2.2 基于協(xié)議關鍵字的數(shù)據(jù)包特征選取
        4.2.3 模型建立
    4.3 模型訓練
    4.4 基于聯(lián)合概率的異常協(xié)議檢測
    4.5 實驗結果與討論
        4.5.1 數(shù)據(jù)準備
        4.5.2 檢測結果與分析
        4.5.3 結論
    4.6 本章小結
第五章 基于會話關聯(lián)分析的異常用戶行為檢測與模式漂移檢測
    5.1 問題分析與解決思路
    5.2 基于模糊時序關聯(lián)模式的用戶會話序列建模
        5.2.1 相關概念
        5.2.2 會話模糊時序關聯(lián)模式定義
        5.2.3 模式訓練方法
    5.3 基于模式匹配的實時異常用戶行為檢測
    5.4 實例：局域網(wǎng)用戶異常行為檢測
        5.4.1 測試環(huán)境
        5.4.2 數(shù)據(jù)準備
        5.4.3 檢測結果與分析
    5.5 基于關系熵和J量值的用戶會話序列模式漂移檢測
        5.5.1 問題描述
        5.5.2 基于會話關系的特征抽取
        5.5.3 基于特征值分布假設檢驗的模式漂移檢測
        5.5.4 實驗分析與討論
    5.6 本章小結
第六章 總結與展望
    6.1 主要工作總結
    6.2 有待進一步研究的問題
致謝
參考文獻
作者簡歷

【相似文獻】

相關期刊論文 前10條

1 陳運海;;網(wǎng)絡數(shù)據(jù)流轉發(fā)優(yōu)化與流量控制研究[J];電腦知識與技術;2009年06期

2 吳廣君;云曉春;余翔湛;王樹鵬;;網(wǎng)絡數(shù)據(jù)流分段存儲模型的研究與實現(xiàn)[J];通信學報;2007年12期

3 王志勇;;網(wǎng)絡數(shù)據(jù)流存儲算法分析與實現(xiàn)[J];計算機應用與軟件;2009年11期

4 劉保衛(wèi);;網(wǎng)絡數(shù)據(jù)流價格變動的收益管理研究[J];陰山學刊(自然科學版);2009年01期

5 聶方彥;;基于網(wǎng)絡數(shù)據(jù)流協(xié)議特性的統(tǒng)計入侵檢測[J];計算機與數(shù)字工程;2007年02期

6 李芳馨;劉嘉勇;;網(wǎng)絡數(shù)據(jù)流還原重組技術研究[J];通信技術;2011年07期

7 張華玲;陳小軍;;網(wǎng)絡數(shù)據(jù)流內(nèi)容安全檢測算法優(yōu)化與實現(xiàn)[J];信息網(wǎng)絡安全;2013年10期

8 ;讓“小偷”無處可藏——火眼金睛eTrust Intrusion Detection[J];電腦采購周刊;2002年24期

9 劉保衛(wèi);;網(wǎng)絡數(shù)據(jù)流性能指標的仿真研究與分析[J];微計算機信息;2011年07期

10 王德超;;網(wǎng)絡數(shù)據(jù)流故障及處理[J];成功(教育);2012年05期

相關博士學位論文 前2條

1 郭秀巖;面向多核的多層次實時網(wǎng)絡數(shù)據(jù)流調(diào)度技術研究[D];中國科學技術大學;2011年

2 譚建龍;串匹配算法及其在網(wǎng)絡內(nèi)容分析中的應用[D];中國科學院研究生院（計算技術研究所）;2003年

相關碩士學位論文 前10條

1 呂江鴻;網(wǎng)絡涉槍犯罪的法律規(guī)制研究[D];西北大學;2015年

2 王軍;宏電路網(wǎng)絡數(shù)據(jù)流認證技術研究[D];解放軍信息工程大學;2014年

3 劉帥;面向網(wǎng)絡數(shù)據(jù)流的多層面異常行為分析檢測技術研究[D];解放軍信息工程大學;2015年

4 蘇朋程;基于Multi-Agent Windows內(nèi)核級網(wǎng)絡數(shù)據(jù)流的研究與應用[D];貴州大學;2007年

5 邱仕坦;基于網(wǎng)絡數(shù)據(jù)流的持續(xù)查詢模型的研究[D];福州大學;2005年

6 趙世平;網(wǎng)絡數(shù)據(jù)流監(jiān)控管理平臺的設計與實現(xiàn)[D];電子科技大學;2012年

7 田玥;大規(guī)模網(wǎng)絡數(shù)據(jù)流異常檢測系統(tǒng)的研究與實現(xiàn)[D];東北大學;2005年

8 生若谷;一種網(wǎng)絡異常數(shù)據(jù)流的檢測和控制技術[D];哈爾濱工業(yè)大學;2007年

9 顧宗林;IPv6網(wǎng)絡數(shù)據(jù)流監(jiān)測技術的分析與測試[D];北京交通大學;2008年

10 程燚;三網(wǎng)合一的網(wǎng)絡數(shù)據(jù)流監(jiān)控管理平臺的設計與實現(xiàn)[D];南京郵電大學;2015年

本文編號：2854039