欢迎来到天天文库
浏览记录
ID:24061176
大小:51.00 KB
页数:4页
时间:2018-11-12
《基于netflow流量行为分析的网络异常检测》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、基于NetFlow流量行为分析的网络异常检测摘要:本文提出了一种新的基于流量行为分析的X络异常检测方法,该方法在X络攻击与流量分析的基础上,结合NetFlop的流密度,FCD(,,,,6,<50)表示协议类型为tcp且字节数量小于50的流密度(SYN扫描数据包特征)。 定义2:有可列个流密度,每个流密度的类型都不同,且都属于相同间隔时间t,我们把间隔时间t上的X络行为表示为,简写为,显然为多维向量,我们定义为向量第维上的值。 定义3:X络行为间的距离。两个长度都为n的X络行为和的距离是指和作为n维向量之间的
2、欧氏距离,即 。 定义4:正常X络行为模式。X络流量在正常运行的情况下是具有一定的周期性、稳定性的,也就是说正常的X络流量数据能在历史数据中找到与其相近的模式,我们把能描述正常X络流量的X络行为模式称为正常X络行为模式,记为。以下是我们计算的算法: (1)对近2周采集到的X络行为进行聚类,聚类算法采用X络行为间的距离,得到个X络行为簇。 (2)分别计算X络行为簇的质心,设,则, (3)设待检测的X络行为,分别计算,,如果 则,显然正常X络行为模式是最近2周中与待检测X络行为距离最近的X络行为模式,会
3、随着时间和X络流量变化进行调整,具有自适应性。若为异常X络行为,则在历史X络行为模式簇质心集合中找不到与相近的模式,即相对较大。 3、异常检测算法 X络流量中不同协议的流密度分布可以描述X络行为,X络行为间的距离可以描述不同X络行为之间的区别,本文用关联度来描述不同X络行为之间的区别,算法如下: 设有两个X络行为和,则其间的关联度定义为 (1) 式中,——关联系数 ——和的长度 ——分辨系数,一般取 设待检测的X络行为和根据定义4计算得到的正常X络行为模式,根据(1)式可得与的关联度。根据实
4、验统计,在正常情况下一个X络中的正常X络行为与的关联度在较小的范围内波动,如果待检测的X络行为与的关联度超出了一定范围,就有可能存在突发流量的现象。 4、实验结果及分析 在实际X络环境中,我们用三层交换机CISCO6509产生NetFlop、smtp等协议类型的流密度组成。经过统计,在我们的X络中正常情况下X络行为与的关联度在0.6到0.75之间波动,如果与的关联度超出了这个范围,就可能存在突发的X络流。 有两个我们采集到的待检测的X络行为: 本文提出了一种基于NetFloalydetectionf
5、ordiagnosis[C].Proceedingsofthe20thInternationalSymposiumFault-Tolerantputing.1990:20-27. [2]邹柏贤.一种X络异常实时监测方法[J].计算机学报,200326(8):940-947. [3]CristianEstan,StefanSavage,GeorgeVarghese.AutomaticallyInferringPattensofResourceConsumptioninNet2003.2003. 基金项目
6、:本文获宁波市自然科学基金项目“基于面向服务体系的X络服务管理的研究“资助(项目编号:2006A610012)。
此文档下载收益归作者所有