返回
基于模糊相对熵的网络异常流量检测方法研究

基于模糊相对熵的网络异常流量检测方法研究

ID:31360096

大小:107.50 KB

页数:6页

时间:2019-01-09

基于模糊相对熵的网络异常流量检测方法研究_第1页
基于模糊相对熵的网络异常流量检测方法研究_第2页
基于模糊相对熵的网络异常流量检测方法研究_第3页
基于模糊相对熵的网络异常流量检测方法研究_第4页
基于模糊相对熵的网络异常流量检测方法研究_第5页
资源描述:

《基于模糊相对熵的网络异常流量检测方法研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、基于模糊相对熵的网络异常流量检测方法研究  【摘要】基于模糊相对熵的网络异常流量检测方法可以在缺乏历史流量数据的情况下,通过对网络流量特征进行假设检验,实现对网络异常行为的检测发现。通过搭建模拟实验环境,设计测试用例对基于模糊相对熵的网络异常流量检测方法进行多测度测试验证,结果表明该方法在设定合理模糊相对熵阈值的情况下检测率可达84.36%,具有良好的检测效率。  【关键词】模糊相对熵;网络异常行为;网络异常流量检测  【中图分类号】TP309.05【文献标识码】A  1引言6  IP网络具有体系架构开放、信息共享灵活等优点,但是因其系统开放也极易遭受各种网络攻击的入侵。网络异常

2、流量检测属于入侵检测方法的一种,它通过统计发现网络流量偏离正常行为的情形,及时检测发现网络中出现的攻击行为,为网络安全防护提供保障。在网络异常流量检测方法中,基于统计分析的检测方法通过分析网络参数生成网络正常行为轮廓,然后度量比较网络当前主体行为与正常行为轮廓的偏离程度,根据决策规则判定网络中是否存在异常流量,具有统计合理全面、检测准确率高等优点。基于相对熵的异常检测方法属于非参数统计分析方法,在检测过程中无须数据源的先验知识,可对样本分布特征进行假设检验,可在缺乏历史流量数据的情况下实现对网络异常行为的检测与发现。本文系统研究了模糊相对熵理论在网络异常流量检测中的应用,并搭建模

3、拟实验环境对基于模糊相对熵的网络异常流量检测方法进行了测试验证。  2基于模糊相对熵的多测度网络异常流量检测方法  2.1模糊相对熵的概念  相对熵(RelativeEntropy)又称为K-L距离(Kullback-Leiblerdivergence),常被用作网络异常流量的检测方法。本文引入模糊相对熵的概念,假定可用来度量两个概率分布P={p1,p2,...,...,pn}和Q={q1,q2,...,...,qn}的差别,其中,P、Q是描述同一随机过程的两个过程分布,P、Q的模糊相对熵定义为:  S(P,Q)=[Piln+(1-pi)ln](1)  上式中qi可以接近0或1,

4、这会造成部分分式分母为零,因此对(1)式重新定义:  S'(P,Q)=[Piln+(1-pi)ln](2)  模糊相对熵为两种模糊概率分布的偏差提供判断依据,值越小说明越一致,反之亦然。  2.2多测度网络异常流量检测方法流程  基于模糊相对熵理论的多测度网络异常检测具体实施分为系统训练和实际检测两个阶段。系统训练阶段通过样本数据或监测网络正常状态流量获取测度的经验分布,实际检测阶段将实测数据获取的测度分布与正常测度分布计算模糊相对熵,并计算多个测度的加权模糊相对熵,根据阈值判定网络异常情况,方法流程如下:  Step1:获取网络特征正常流量的参数分布。通过样本数据或监测网络正常

5、状态流量获取各测度的经验分布。6  Step2:获取网络特征异常常流量的参数分布。对选取网络特征参数异常流量进行检测获取各种测度的概率分布。  Step3:依据公式(2)计算单测度正常流量和异常流量间模糊相对熵Si。  Step4:计算多测度加权模糊相对熵S。  S=α1S1+α2S2+…+αkSk(3)  式中αk表示第k个测度的权重系数,由测评数据集统计分析获得。  最终,根据S建立不同的等级阈值来表征网络异常情况。S越大,表示网络流量特征参数分布偏离正常状态越多,网络中出现异常流量的概率越大;S越小,表示网络流量特征参数分布与正常状态吻合度越好,网络中出现异常流量的概率越小

6、。  3测试验证  为测试方法的有效性,搭建如图1所示的实验环境,模拟接入层网络拓扑结构、流量类型和流量负载情况。测试环境流量按业务域类型分类,主要分为视频、语音、数据三种业务域,按每个业务单路带宽需求计算,总带宽需求约为2368kbps~3200kbps。  (1)检测系统接入交换机镜像端口,系统部署环境。  ①硬件环境:Intel(R)Core(TM)2DuoCPU2.00GHz,2.0G内存;②操作系统环境:WindowsXP,.NETFramework3.5;③数据库系统:MicrosoftSQLServer20059.00.1399.06(Build2600:Servi

7、cePack3)。  测试环境交换机采用华为S3050C,用户主机接入点配置如表1所示。6  测试网络正常流量状态方案配置。  ①1号主机架设视频服务器模拟视频业务域,单路平均带宽需求2.59Mbps;②2、3号主机架设音频服务器模拟语音业务域,单路平均带宽需求128kbps;③4、5、6号主机采用应用层专用协议和传输UDP协议模拟发包程序模拟数据业务域,单路平均带宽需求64kbps。  按上述方案配置网络环境,交换机网络流量负载约为2.996Mbps。  3.1测试用例设计  

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。