论文部分内容阅读
网络流量分析与异常检测是互联测量的重要应用之一。网络流量进行深入的分析对网络性能评估、网络安全以及保证网络有效的运行有着重要的意义。 目前,IPv6协议作为下一代互联网发展的方向,具有地址空间大及结构体系完善等优势,正逐步发展成为下一代互联网的核心标准。然而随着IPv6的快速发展,各种新型应用和新型攻击也随着出现,这对下一代互联网的安全有着严重的影响。由于IPv4和IPv6协议是相互独立的,IPv6在IPv4协议上做了大量的改进,使得IPv6网络下的流量行为发生改变,新型攻击的特征也发生变化。现有的异常流量检测算法无法解析IPv6协议,对新的攻击形式也就无法有效地进行检测。因此面对不断增长的IPv6流量规模和新型应用,研究一种能在高流量及流量复杂的IPv6网络下整体性能较高流量异常检测算法,并能在真实环境中部署针对IPv6环境的流量分析与异常流量检测系统,具有十分重要的实际应用价值和理论研究意义,并已成为国内外一个急需解决的挑战性课题。 针对以上分析,本文主要从以下几个方面进行研究: 本文首先详细介绍了IPv6的编址技术、报文格式及ICMPv6协议等基础知识,并分析了IPv6相对于IPv4的变化,包括协议改进及安全优势,在关注变化的同时也重点介绍了IPv6面临的新问题。 本文接着分析了目前比较流行的异常流量检测技术,对每种技术的优缺点做了详细的介绍,并详细分析了IPv6网络上的异常流量检测所面临的问题。随后,在分析IPv6与IPv4异常流量的特征区别的基础上,根据IPv6网络的特点分析了IPv6网络中异常检测与IPv4网络检测技术的不同之处。 结合CERNET2重庆节点网络流量的真实情况,通过实验介绍了基于网络流特征进行异常检测的过程:主要包括对真实流量进行捕获,提取特征并且利用主成分分析与独立主成分分析进行特征向量的缩减,并在前人研究的基础上,针对IPv6网络中的异常流量检测问题,提出了基于混合结构的异常检测方法,突破了单分类器检测的局限性,利用多分类器融合得到异常流量检测模型,实验结果表明所提出的检测算法在提高准确率、降低误报率上都有了很好的效果,具有创新性。 最后,本文在CERNET2重庆节点实验平台上,针对CERNET2没有合适的网络流量检测环境的问题,借助开源软件的帮助设计并开发了CERNET2网络流量检测系统。通过用真实的数据对系统功能检验,系统能够有效地对IPv6流量进行分析,并对异常流量进行特征检测,该系统对于网络环境中的IPv6异常流量检测具有实用价值。在重庆节点部署测试后,为以后的IPv6网络流量研究工作提供了良好的实验平台。