返回
基于NetFlow时间序列的网络异常检测

基于NetFlow时间序列的网络异常检测

ID:36804765

大小:570.50 KB

页数:8页

时间:2019-05-15

基于NetFlow时间序列的网络异常检测_第1页
基于NetFlow时间序列的网络异常检测_第2页
基于NetFlow时间序列的网络异常检测_第3页
基于NetFlow时间序列的网络异常检测_第4页
基于NetFlow时间序列的网络异常检测_第5页
资源描述:

《基于NetFlow时间序列的网络异常检测》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、1282008,44(24)ComputerEngineeringandApplications计算机工程与应用基于NetFlow时间序列的网络异常检测贾冠昕,,杨波2,陈贞翔z,彭立志2JIAGuan-xinl,YANGB02,CHENZhen-xian92,PENGLi-zhi21.济南大学图书馆,济南2500222.济南大学信息科学与工程学院网络中心,济南2500221.Library,UniversityofJinan,Jinan250022,China2.SchoolofInformationScienceandEngineering

2、,UniversityofJinan,Jinan250022,ChinaE-mail:hiejiagx@ujn.edu.cnJIAGuan-xin。YANGBo。CHENZhen-xiang.eta1.DetectingnetworkanomaliesbasedonNetFiowtimeseries.ComputerEngineeringandApplications。2008,44(24):128-131.Abstract:Networktrafficshowsperiodicityandstabilitywhennetworkworksno

3、rmally,butnetworkanomalywouldbreakthisrule.ThispaperpresentsanovelmethodwhichcanfindoutnetworkanomaliesbasedOHNetFlowtimeseriesslidingwindow.Us-ingthetime-series—basedanomalyfindingtheory,themethodrealizesreal-timefindingnetworkanomaliesandmakingannounce-mentofanomalies.Topr

4、eventallanomalyfrompersistentannouncementanddisturbingfollowingdetection,thispaperalsopre—sentstwowaystOignoreannouncedanomalies.Theresultsshowthatthemethoddifferentiatesanomaliesefficiently.Keywords:NetFlow;timeseries;networkanomaly摘要:网络流量在正常运行的情况下是具有一定的周期性、稳定性的,异常流量会打破这种规律

5、使流量产生异常波动。提出了一种基于NetF]ow时间序列滑动窗口检测网络异常的方法,利用时间序列异常发现算法发现网络流量的异常波动从而实现了实时高效的异常流量发现及预警。已经被检测到的网络异常会持续产生预警信息并影响后续的异常检测,为此还提出了两种平抑异常的方法。实验结果表明该方法能够有效地发现网络异常。关键词:NetFlOW;时间序列;网络异常DOI:10.3778/j.issn.1002—8331.2008.24.038文章编号:1002—833l(2008)24-0128—04文献标识码:A中图分类号:TP393l引言随着计算机网络规模不

6、断扩大,计算机网络用户的多样化,使得嘲络出现各种异常的可能性增大,DoS攻击、蠕虫病毒等异常流量对网络性能影响越来越大,网络安全问题日益突出。现在异常流量的生成手段繁多,造成的嘲络故障多种多样,但大部分还是基于大量消耗网络资源导致网络故障,如何实时监测网络流量,及时地发现网络流量的异常对于解决这些问题有非常重大的意义。要研究上述问题首先要采集网络流量数据,本文利用NetFlow技术采集网络流量的原始数据,NetFlow是Cisco公司的专有技术,广泛应用于Cisco的路由器和交换机中。由于Cisco路由器和交换机的市场主流地位,NetFlow技

7、术成为网络流量检测的主要技术标准之一。每条NetFlow流记录数据包含了源IP(0~3)、目的IP(4。7)、下一条路由器IP(8-11)、⋯⋯、数据包数量(16~19)、字节数(20—23)、源端口(32~33)、目的端口(34~35)、协议类型(37)⋯⋯等流数据信息。利用这些信息可以汇总生成总字节数、数据包数量、连接响应比、{ip,port}对数量等各类网络流量特征。目前对于网络流量的研究主要有如下几个方面:(1)阈值法。根据历史数据建立一个正常的参数基线以及一个容忍范围,一旦网络流量超出基线的容忍范围则认为是异常流量【I-21。(2)预

8、测法。根据历史数据建立一个网络流量的模型,根据这种模型预测下—个采样点的数据。如果下—个采样点的实际数据与模型预测数据有较大的误差就认为有异常流量存在

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。