论文部分内容阅读
网络流量异常检测及分析在网络管理及网络安全领域具有重要意义。近年来,国内外网络流量异常检测与分析的研究方法主要是采用基于特征/行为的研究、基于流挖掘的研究和基于统计的研究。主元分析是基于统计研究的主要方法,但传统的主元分析方法没有考虑如何降低检测的误警率,异常原因的分析也非常复杂、代价很高。本文针对在城域网流量异常检测和分析所面临的问题,从应用层协议角度出发,提出了一种基于小波去噪和贡献图的主元分析方法:在构建合理的流量数据矩阵的基础上,采用平方预测误差(Squared Prediction Error,SPE)统计量和Hotelling T2统计量对异常进行检测与分析。最后本文根据两个统计量的不同统计意义,对检测结果进行了四种不同类型的划分,使管理员更容易精确地定位网络异常的原因。本文主要完成以下几个方面的工作:(1)针对流量异常检测误警率高的问题,对传统主元分析方法进行了改进,提出了基于小波去噪的主元分析方法。该方法采用小波分析对原始流量数据进行去噪预处理,然后采用主元分析方法进行流量建模,在此基础上,采用SPE统计量的控制图检测流量异常。实验数据结果表明:本文方法最多能降低55.6%的异常检测误警率。(2)针对已有流量异常分析方法存在过程复杂、代价大的问题,本文基于应用层流量分类的二维流量数据矩阵,提出以SPE统计量的贡献图来分析流量异常原因的新方法。实验结果表明:该方法能较简捷地将异常原因定位到具体的应用层协议和程序。(3)针对城域网流量存在出入境流量不对称、不同应用协议对应不同大小的数据包特征,重新构建二维流量数据矩阵,采用主元分析方法对流量异常进行检测和分析。这种构建流量数据矩阵的新方法能进一步挖掘出异常的出处及异常数据包的大小。(4)提出将Hotelling T2统计量用于流量异常进行检测,并且根据SPE统计量和Hotelling T2统计量的不同统计意义,将网络流量异常检测结果分成四类情况,分析了每类情况对应的原因,从而对不同原因的异常进行了精确地区分。