隨著近年來經(jīng)濟與科技的發(fā)展以及信息技術的普及,互聯(lián)網(wǎng)已經(jīng)在全社會各個領域中扮演著愈發(fā)重要的角色,儼然已經(jīng)成為國家發(fā)展的戰(zhàn)略關鍵。作為保障網(wǎng)絡安全的重要手段之一,網(wǎng)絡流量異常檢測技術的相關研究有著重要的現(xiàn)實意義。然而,目前的技術在面對日益復雜的網(wǎng)絡環(huán)境時,還存在諸多挑戰(zhàn)和局限性。為了能適應當今網(wǎng)絡條件,高效且準確地檢測出網(wǎng)絡流量異常,本文提出了一種離線網(wǎng)絡流量異常檢測方法,主要貢獻是提出了一種針對網(wǎng)絡流量異常檢測的特征預處理和數(shù)據(jù)增強的方法;以及提出了一個創(chuàng)新的基于多尺度分解和多通道檢測的網(wǎng)絡流量異常檢測算法。本文所提的方法主要由兩個模塊組成:（1）網(wǎng)絡流量數(shù)據(jù)特征預處理與數(shù)據(jù)增強模塊;（2）多尺度分解多通道異常檢測模塊。在網(wǎng)絡流量數(shù)據(jù)特征預處理與數(shù)據(jù)增強模塊中,本文提出了并詳細敘述了一種網(wǎng)絡流量數(shù)據(jù)的特征選擇與數(shù)據(jù)增強的方法,該方法將最大相關性最小冗余（Maximum Relevance-Minimum Redundancy,MRMR）特征選擇技術,PCA特征融合和基于帶權(quán)動態(tài)時間規(guī)整平均重心平均（Weighted DTW Barycenter Averaging,W-DBA）的網(wǎng)絡流... 

【文章來源】：電子科技大學四川省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：99 頁

【學位級別】：碩士

【部分圖文】：

016-2019年平均每個網(wǎng)絡安全事件造成的經(jīng)濟損失

電子科技大學碩士學位論文值存在不一致性。根據(jù)Blake[26]早期的實驗數(shù)據(jù)研究，如圖2-2所示，有五個標記為V，W，X，Y和Z的異常點，可以看出這些異常點與其他觀測值存在明顯的區(qū)分與不一致�；诮y(tǒng)計理論的方法一般用給定的正常數(shù)據(jù)去擬合一個統(tǒng)計模型，那些具有較小概率是從已知的統(tǒng)計模型中生成而來的數(shù)據(jù)實例，會被判定為異常。有參數(shù)和無參數(shù)的統(tǒng)計學技術都已廣泛用于了異常檢測領域，其中有參數(shù)的統(tǒng)計學異常檢測技術會根據(jù)現(xiàn)有知識假設了基礎分布模型，然后從給定數(shù)據(jù)中去估計參數(shù)[27]，而無參數(shù)統(tǒng)計學異常檢測技術通常并不預先假設的固定的基礎分布[28]。圖2-2異常觀測值示例Ye等人[29]提出了一種基于卡方分布理論的異常檢測技術，該技術會在信息系統(tǒng)中創(chuàng)建正常事件的概況，其異常檢測的基本假設是異常事件與正常事件在統(tǒng)計分布上存在較大的偏離�；诳ǚ綑z驗統(tǒng)計量的距離度量可以被定義為：X2=ni=1(XiEi)2Ei(2-1)其中Xi是第i個隨機變量的值，Ei是第i個隨機變量的期望，n是隨機變量的個數(shù)。當觀測值接近其期望值時，X2的值會比較小，一般情況下，我們認為區(qū)域μ±3σ外的點為異常值，根據(jù)該原則，當X2大于ˉX2+3S2X時，我們就認為該點是異常點。Krügel等人[30]提出了一種基于統(tǒng)計理論的網(wǎng)絡流量異常檢測技術，應用場景主要是相對比較罕見的遠端未授權(quán)進入（R2L）和本地特權(quán)用戶進入（U2R）攻擊。該技術制定了一種度量標準，使系統(tǒng)可以自動搜索不同服務請求的相同特征，該系統(tǒng)主要根據(jù)以下三個特征計算請求的異常分數(shù)：（1）請求的類型；（2）請求的長度；（3）有效載荷情況。網(wǎng)絡管理員通過定義閾值，來對異常請求發(fā)出警報。關于異常的分數(shù)定義如10

第二章相關理論基礎公式2-2所示，其中關于有效載荷情況的權(quán)重最高，分數(shù)越高說明該請求為異常請求的可能性越大。AS=0.3×AStype+0.3×ASlength+0.4×ASpayload(2-2)HIDE是由Zhang等人[31]提出的一種網(wǎng)絡入侵檢測系統(tǒng)，使用統(tǒng)計學模型和神經(jīng)網(wǎng)絡分類器實現(xiàn)異常檢測。該系統(tǒng)為分布式的系統(tǒng)，結(jié)構(gòu)如圖2-3所示，由多個層（tier）組成，每層包含幾個入侵檢測代理（IntrusionDetectionAgents，IDAs），用于監(jiān)控整個網(wǎng)絡情況或主機行為。該系統(tǒng)的探測層可以收集網(wǎng)絡或主機的流量數(shù)據(jù)，提取流量數(shù)據(jù)中的能反應出網(wǎng)絡情況的統(tǒng)計信息，最后為事件預處理器層定期生成并發(fā)送統(tǒng)計報告。事件預處理器層可以同時接到探測層和IDAs的報告，并將這些報告中的信息根據(jù)統(tǒng)計模型的要求做數(shù)據(jù)標準化處理。統(tǒng)計處理器的作用是維護一個典型的網(wǎng)絡活動參考模型，通過將事件預處理器發(fā)來的報告與該模型進行比較，并結(jié)合神經(jīng)網(wǎng)絡分類器即可判斷該網(wǎng)絡流量是否含有異常。HIDE在網(wǎng)絡入侵檢測中有廣泛的應用，即使攻擊強度僅為后臺流量的10％，也能檢測出其中的異常。圖2-3HIDE系統(tǒng)結(jié)構(gòu)[32]近年來很多學者還提出了許多不同類型的基于統(tǒng)計的網(wǎng)絡異常檢測技術，如Manikopoulos等人[33]提出的一個層次化的多層多窗口統(tǒng)計異常檢測系統(tǒng)，可以自適應和主動地檢測網(wǎng)絡異常。Wang等人[34]提出了一種基于有效載荷的入侵檢測異常檢測器PAYL，該異常檢測技術可以在探測出網(wǎng)絡攻擊在網(wǎng)關或內(nèi)部網(wǎng)絡中初次出現(xiàn)時就阻止攻擊或病毒的傳播。Song等人[35]提出了一種條件異常檢測方法，通過計算不同網(wǎng)絡指標之間的差異，結(jié)合三種不同的期望最大化算法來學習模型，從而實現(xiàn)網(wǎng)絡異常檢測。除了這些統(tǒng)計學網(wǎng)絡異常檢測方法自身的優(yōu)點以外，基于統(tǒng)計學的網(wǎng)絡異常11

【參考文獻】：
期刊論文
[1]Source Separation of Diesel Engine Vibration Based on the Empirical Mode Decomposition and Independent Component Analysis[J]. DU Xianfeng,LI Zhijun,BI Fengrong*,ZHANG Junhong,WANG Xia,and SHAO Kang State Key Laboratory of Engines,Tianjin University,Tianjin 300072,China.  Chinese Journal of Mechanical Engineering. 2012(03)



本文編號：3374222