资源描述:
《多时间尺度同步的网络异常检测方法》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、第12期王风宇等:多时间尺度同步的网络异常检测方法·65·多时间尺度同步的网络异常检测方法王风宇1,2,3,云晓春1,曹震中4(1.中国科学院计算技术研究所,北京100080;2.山东大学计算机科学与技术学院,山东济南250101;3.中国科学院研究生院,北京100039;4.曲阜师范大学计算机科学学院,山东曲阜273165)摘要:为了改善高速网络环境下异常检测的准确性和及时性,提出了一种多时间尺度同步的异常检测算法DA-MTS。该算法通过无抽取Haar小波变换对网络流量时间序列进行预处理,获得的细节信号逼近高斯白噪声,根据正态分布
2、的“3σ”法则可以判断细节信号中存在的异常变化。分析和实验表明,该算法能够同时在多个时间尺度上以递推方式进行无延迟的异常检测,不但提高了异常检测的准确性,而且保证了异常发现的及时性。关键词:网络流量;异常检测;时间序列;àtrous小波变换中图分类号:TP393文献标识码:A文章编号:1000-436X(2007)12-0060-06Methodofdetectingnetworkanomalyonmulti-time-scaleWANGFeng-yu1,2,3,YUNXiao-chun1,CAOZhen-zhong4(1.Inst
3、ituteofComputingTechnology,ChineseAcademyofSciences,Beijing100080,China;2.SchoolofComputerScienceandTechnology,ShandongUniversity,Jinan250101,China;3.GraduateSchoolofChineseAcademyofSciences,Beijing100039,China;4.ComputerScienceCollege,QufuNormalUniversity,Qufu273165,C
4、hina)Abstract:Todetectanomalytimelyandpreciselyinhigh-speednetwork,analgorithm,namedDA-MTS(detectinganomalyonmulti-time-scalesynchronously),wasproposed.Firstly,pre-processthetimeseriesoftrafficwithnon-decimatedHaarwavelettransformtoproducedetailsignals,whichapproximate
5、lyfollowGaussianwhitenoise.Thendetectanomalybasedon“3σ”principalofnormaldistribution.Analysisandexperimentsrevealthatthisalgorithmcandetectanomalyonseveraltime-scalesrecursivelywithoutdelay,soitcandetectanomalypreciselyandtimely.Keywords:networktraffic;anomalydetection
6、;timeseries;àtrouswavelettransform第12期王风宇等:多时间尺度同步的网络异常检测方法·65·1引言收稿日期:2007-09-23;修回日期:2007-12-03基金项目:国家自然科学基金资助项目(60573134);新世纪优秀人才支持计划FoundationItems:TheNationalNaturalScienceFoundationofChina(60573134);TheProgramforNewCenturyExcellentTalentsinUniversity随着Internet规模的
7、不断扩大,网络异常事件的发生也越来越频繁。一方面,蠕虫爆发、DDoS攻击等大规模网络安全事件占用大量的网络和计算资源;另一方面突发访问(flashcrowd)及网络故障等非恶意行为也会使流量发生突变,影响正常网络服务。网络的异常通常表现为网络流量的异常,因此实时监测网络流量是保证网络运行的重要手段。网络流量异常检测是指建立网络流量的正常行为模式轮廓,若实时获得的网络流量信息的轮廓值与正常值的差异超出指定的范围,就进行入侵报警[1]。针对网络流量异常检测已经进行了大量研究,但准确性一直难以令人满意。尽管如此,异常检测在发第12期王风宇
8、等:多时间尺度同步的网络异常检测方法·65·现未知网络入侵及网络故障检测等方面有着不可替代的作用。随着网络带宽的不断提高,网络流量异常检测面临新的问题:一方面,网络传输速率大幅度提高,相同的网络攻击,在局域网表现非常明显,而在高速线路