返回
基于抽样测量的高速网络实时异常检测模型

基于抽样测量的高速网络实时异常检测模型

ID:33326869

大小:145.74 KB

页数:6页

时间:2019-02-24

基于抽样测量的高速网络实时异常检测模型_第1页
基于抽样测量的高速网络实时异常检测模型_第2页
基于抽样测量的高速网络实时异常检测模型_第3页
基于抽样测量的高速网络实时异常检测模型_第4页
基于抽样测量的高速网络实时异常检测模型_第5页
资源描述:

《基于抽样测量的高速网络实时异常检测模型》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、1000-9825/2002/13(04)0000-00©2002JournalofSoftware软件学报Vol.13,No.4Ã基于抽样测量的高速网络实时异常检测模型程光,龚俭丁伟(东南大学计算机科学与工程系,江苏南京210096)E-mail:gcheng@njnet.edu.cnhttp://www.njnet.edu.cn摘要:实时异常检测是目前网络安全的研究热点文章基于大规模网络流量的统计特征寻找能够评价网络行为的稳定测度并建立抽样测量模型基于中心极限理论和假设检验理论建立网络流量异常行为实

2、时检测模型最后定义ICMP请求报文和应答报文之间比率的网络行为测度并实现对CERNET网络ICMP扫描攻击的实时检测文章提出的方法和思路对其它网络安全检测研究具有一定的指导意义关键词:抽样测量;测度;异常检测;滑动窗口;高速网络中图法分类号:TP393文献标识码:A随着Internet的普及联网计算机的数量迅速增加网络入侵问题也随之突出因此专门面向网络入侵检测的网络安全监测系统越来越受到关注异常检测关键是通过对网络流量正常行为的描述来分析和发现网络或系统中可能出现的异常行为并向管理员提出警告或主动做出反

3、应网络的异常行为通常表现为通过流量的异常例如由特定的攻击程序或蠕虫爆发所引起的突发流量行为这种流量异常行为的特点是发作突然先兆特征未知或比较隐蔽因此实时监测与响应是防范这类攻击的重要手段异常检测的核心问题是如何实现流量正常行为的描述检测的实时性获得信息的全面性和反应的灵敏性因而使系统设计和实现难度较大所以面向网络的实时安全监测系统是目前研究的一个热点实时异常检测的前提是能够实时测量对大规模高速网络流量进行异常检测首先要面临高速流量荷载问题由于测量分析和存储等计算机资源的限制无法实现全网络流量的实时检测因

4、此抽样测量技术成为高速网络流量测量的研究重点文章首先提出从大规模网络流量数据统计分析中寻找能够描述其正常行为的稳定测度标准研究IP报头不同字段统计的随机性提出并建立基于报文标识的抽样掩码实时测量模型由于网络用户行为随时间变化而变化流量正常行为也具有时间性系统维护一个历史窗口描述正常行为实现网络行为的实时更新同时维护一个描述网络当前网络行为的窗口通过中心极限理论和正态分布假设检验实现对当前流量行为的异常检验文章最后定义ICMP请求报文和应答报文之间比率的网络行为测度实现对CERNET网络流量ICMP扫描攻

5、击的实时检测1异常检测测度异常检测方法主要有统计异常检测法[1]基于机器学习的异常检测方法[2]基于数据挖掘的异常检测法[3]和基于神经网络的异常检测法[4]等在异常检测中统计模型中常用的测量测度包括审计事件的数量间隔时间资源消耗等Denning[1]提出了用于异常检测的5种统计模型(1)操作模型该模型假设异常可通Ã收稿日期:2002-02-25;修改日期:2002-04-26基金项目:国家自然科学基金资助项目(90104031);国家863高科技发展计划资助项目(2001AA112060)作者简介:程

6、光(1973),男,安徽黄山人,博士生,主要研究领域为网络行为学;龚俭(1957),男,上海人,博士,教授,博士生导师,主要研究领域为网络安全.丁伟(1962),女,江苏南京人,博士,教授,主要研究领域为计算机网络应用2JournalofSoftware软件学报2002,13(4)过测量结果和指标相比较得到指标可以根据经验或一段时间的统计平均得到(2)方差计算参数的方差设定其置信区间当测量值超出了置信区间的范围时表明可能存在异常(3)多元模型操作模型的扩展通过同时分析多个参数实现检测(4)马尔可夫过程模

7、型将每种类型事件定义为系统状态用状态转移矩阵来表示状态的变化若对应于发生事件的状态转移矩阵概率较小则该事件可能是异常事件(5)时间序列模型将测度按时间排序如一新事件在该时间发生的概率较低则该事件可能是异常事件假设正常流量行为特征是st异常流量特征是nt故实际测量到的流量行为特征是yt=stnt文章使用基于统计的方法来实现异常检测确定网络流量历史行为测度框架检测当前的入侵活动历史行为测度框架是由一组测度统计值构成在系统运行时异常检测系统统计测量当前流量行为测度框架并同历史行为测度框架相比较同时更新历史行为

8、测度框架当两种测度框架出现明显的偏离即认为出现了异常行为并可进一步引发入侵检测分析因此为了实现统计异常检验需要先给出下面假设假设1.异常流量行为nt是一种偶然行为nt和st具有明显差异根据假设1nt可以通过统计数学工具分离并加以识别例如扫描作为白噪声的扫描现象总是存在但当扫描数量出现异常时可能预示着蠕虫或DDOS的爆发假设1也可能会存在一些不适应的情况1如果异常流量行为nt不是一种偶然行为那么统计分析过程中异常行为将会作为正常行为2如果nt

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。