基于netflow流量行为分析的网络异常检测

《基于netflow流量行为分析的网络异常检测》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、基于NetFlow流量行为分析的网络异常检测摘要：本文提出了一种新的基于流量行为分析的X络异常检测方法，该方法在X络攻击与流量分析的基础上，结合NetFlop的流密度，FCD(，，，，6，<50)表示协议类型为tcp且字节数量小于50的流密度(SYN扫描数据包特征)。　　定义2：有可列个流密度，每个流密度的类型都不同，且都属于相同间隔时间t，我们把间隔时间t上的X络行为表示为，简写为，显然为多维向量，我们定义为向量第维上的值。　　定义3：X络行为间的距离。两个长度都为n的X络行为和的距离是指和作为n维向量之间的

2、欧氏距离，即　　。　　定义4：正常X络行为模式。X络流量在正常运行的情况下是具有一定的周期性、稳定性的，也就是说正常的X络流量数据能在历史数据中找到与其相近的模式，我们把能描述正常X络流量的X络行为模式称为正常X络行为模式，记为。以下是我们计算的算法：　　(1)对近2周采集到的X络行为进行聚类，聚类算法采用X络行为间的距离，得到个X络行为簇。　　(2)分别计算X络行为簇的质心，设，则，　　(3)设待检测的X络行为，分别计算，，如果　　则，显然正常X络行为模式是最近2周中与待检测X络行为距离最近的X络行为模式，会

3、随着时间和X络流量变化进行调整，具有自适应性。若为异常X络行为，则在历史X络行为模式簇质心集合中找不到与相近的模式，即相对较大。　　　　3、异常检测算法　　X络流量中不同协议的流密度分布可以描述X络行为，X络行为间的距离可以描述不同X络行为之间的区别，本文用关联度来描述不同X络行为之间的区别，算法如下：　　设有两个X络行为和，则其间的关联度定义为　　(1)　　式中，——关联系数　　——和的长度　　——分辨系数，一般取　　设待检测的X络行为和根据定义4计算得到的正常X络行为模式，根据(1)式可得与的关联度。根据实

4、验统计，在正常情况下一个X络中的正常X络行为与的关联度在较小的范围内波动，如果待检测的X络行为与的关联度超出了一定范围，就有可能存在突发流量的现象。　　　　4、实验结果及分析　　在实际X络环境中，我们用三层交换机CISCO6509产生NetFlop、smtp等协议类型的流密度组成。经过统计，在我们的X络中正常情况下X络行为与的关联度在0.6到0.75之间波动，如果与的关联度超出了这个范围，就可能存在突发的X络流。　　有两个我们采集到的待检测的X络行为：　　本文提出了一种基于NetFloalydetectionf

5、ordiagnosis[C].Proceedingsofthe20thInternationalSymposiumFault-Tolerantputing.1990：20-27.　　[2]邹柏贤.一种X络异常实时监测方法[J].计算机学报，200326(8)：940-947.　　[3]CristianEstan，StefanSavage，GeorgeVarghese.AutomaticallyInferringPattensofResourceConsumptioninNet2003.2003.　　　　基金项目

6、：本文获宁波市自然科学基金项目“基于面向服务体系的X络服务管理的研究“资助(项目编号：2006A610012)。