论文部分内容阅读
互联网攻击手段层出不穷,严重影响网络的正常运行,异常流量检测技术可以有效检测网络异常,为网络可靠运行提供保障。异常检测技术在高速网络应用存在检测精度和效率不平衡的问题,主要表现在两个方面:(1)基于统计分析的方法具有较高的检测实时性而成为高速网络异常检测的实用检测技术,但其检测精度较低;(2)基于特征分析的异常检测方法具有较高的检测精度,但该方法基于多维特征分析导致计算复杂度高,而无法适用于高速网络实时检测。本文综合考虑高速网络异常流量检测的实时性和精确性,分别提出了基于分数阶傅里叶变换(FRFT)分析的自适应异常检测方法和基于主成分分析和禁忌搜索(PCA-TS)结合决策树的分类检测方法,并基于以上两种方法设计了高速网络异常检测实现和验证方案。具体研究工作如下:1.提出了一种基于FRFT分析的自适应异常检测方法针对传统基于自相似分析的异常检测方法估计精度低和采用固定阈值检测导致检测精度低的问题,提出了基于FRFT的自相似参数估计方法,在验证信号在FRFT“域”保持网络流量自相似特性基础上,通过在FRFT“域”进行自相似参数估计。并在此基础上提出了基于自适应网络阈值的异常检测方法。仿真实验表明:与传统小波分析的检测方法相比,基于FRFT分析的自适应检测方法检测率提高了10%,误检率降低了5%,在满足检测实时性的同时提高了检测精度。2.提出了一种基于PCA-TS和决策树分类的异常检测方法针对当前基于多维特征分析的异常检测算法面临的“维数灾难”问题,在分析网络流量多维特征属性存在的弱属性特征和特征冗余基础上,提出了一种基于PCA-TS的特征选择算法,通过PCA实现高维特征属性的降维,在此基础上通过禁忌搜索算法实现全局最优特征子集的选择。结合基于最短距离划分决策树(MDDT)分类方法实现异常分类识别,并采用了“增量学习”和“类别更新”方法,提高了分类器的完备性和识别的准确性。仿真实验表明:PCA-TS算法能准确选择流量属性特征,特征约减后基于Moore数据集的分类精度为99.38%。PCA-TS应用于MDDT算法中,耗时下降了27%。3.提出了一种高速网异常检测系统和实现方案针对高速网络异常检测的实时性和精确性要求,提出了基于FRFT分析的自适应检测方法结合决策树分类识别方法的异常检测系统。通过设置合理阈值检测区间过滤高速网络绝大部分正常流量实现降速,对过滤后的低速疑似异常流量通过精细化分类识别实现异常检测。检测系统功能划分为三个低耦合度实现模块,提高了系统的可扩展性和灵活性。实验结果表明:千兆网络环境下系统检测耗时在一分钟以内,满足了流量清洗系统对异常检测的实时性要求;异常检测率达76%,相比较现有异常检测系统提高了6%。