论文部分内容阅读
随着信息技术的飞速发展,互联网在人们的工作和生活中有着不可或缺的地位。然而在人们享受网络带来便利的同时,也面临着各式各样的威胁。异常检测作为网络安全领域一种重要的技术手段,受到了越来越多的重视。国内外学者对异常检测技术展开了一系列卓有成效的研究,但还存在着检测范围不够全面、误报率较高和检测效率不能满足高速网络实时检测需求等问题。
针对这种情况,本文对常见网络攻击实例进行分析,明确了网络攻击通常会引起流量特征分布的变化,因此采用了两种轻量级的网络流量异常检测方法,主要的工作如下:
(1)针对香农熵在描述网络流量特征分布上的不足,采用了一种基于Tsallis熵的网络流量异常检测方法。该方法首先通过调整非广延参数q的值获得多个不同的Tsallis熵,利用这一组Tsallis熵描述各个特征在不同事件域中的分布情况,为异常检测提供了更多有用的信息;然后利用Renyi交叉熵衡量各特征在相邻时间窗口中的分布变化;最后结合动态阈值采用简单选举法判断是否发生了异常。将该方法应用于人工合成数据,实验结果表明,Tsallis熵的检测性能优于香农熵,并且时间复杂度较低。
(2)采用了基于K-means聚类的网络流量异常检测方法。该方法采用了能从多个角度反映网络流量状态的测度;然后计算各维测度在滑动窗口中的局部均值偏差,使其能够反映当前的异常程度,以提高在实时动态变化的网络流量中检测的准确性;最后利用K-means聚类算法融合多维测度进行综合评判,以降低漏报率和误报率。在网络流量数据集上对其进行了验证并和已有方法进行了对比,所采用的方法在精度和效率方面取得了较好的实验效果。
通过对网络流量在特征分布上的变化进行分析,采用不同的测度实现了两种不同的异常检测方法。文中所采用的两种网络异常检测方法和相关算法相比具有更高的检测率和较低的误报率,并且时间复杂度都比较低,在现有的机器上能够快速地实现异常检测。