網(wǎng)絡(luò)異常檢測(cè)是保障網(wǎng)絡(luò)安全的支撐技術(shù)之一,傳統(tǒng)的異常檢測(cè)技術(shù)不能滿足日益復(fù)雜的通信網(wǎng)絡(luò)中對(duì)異常行為檢測(cè)的需求,基于網(wǎng)絡(luò)行為分析的異常檢測(cè)技術(shù)能夠充分挖掘、利用網(wǎng)絡(luò)內(nèi)在信息及其相互關(guān)系,具有較好的靈活性、適應(yīng)性,已成為目前異常檢測(cè)領(lǐng)域的研究熱點(diǎn)。近年來,該領(lǐng)域的研究工作成果顯著,卻仍然存在一些問題。例如,目前研究大多從單一行為層面出發(fā),較難完整揭示異常發(fā)生的原因和本質(zhì),不能全面地為異常的阻斷和處理提供支撐。為此,本文從流量行為層、協(xié)議行為層和用戶行為層三個(gè)層面分別研究基于網(wǎng)絡(luò)數(shù)據(jù)流的異常行為檢測(cè)技術(shù),并取得了如下成果：1.提出了一種基于聚類模式評(píng)估的異常流量行為檢測(cè)方法。在流量行為層面,針對(duì)現(xiàn)有無監(jiān)督式流量異常檢測(cè)技術(shù)特征提取困難,對(duì)規(guī)模性異常檢測(cè)能力不高的問題,本文采用無監(jiān)督式聚類技術(shù),設(shè)計(jì)了一種面向聚類的加權(quán)特征選擇算法,將信息熵和鄰域分析技術(shù)相結(jié)合用于特征評(píng)估和選擇,提高了特征約簡效率和聚類效果,然后定義聚類規(guī)則和聚類模式的概念,并對(duì)K-means算法進(jìn)行改進(jìn),在此基礎(chǔ)上根據(jù)網(wǎng)絡(luò)流聚類結(jié)果與聚類模式的偏離度大小判斷規(guī)模性異常的發(fā)生。實(shí)驗(yàn)分析表明,該方法在保證檢測(cè)效率的同時(shí),誤報(bào)率和漏報(bào)率均有所降低,提高了對(duì)規(guī)模性異常的檢測(cè)能力。2.提出了一種基于條件隨機(jī)場(chǎng)的異常協(xié)議行為檢測(cè)方法。在協(xié)議行為層面,針對(duì)現(xiàn)有基于隱馬爾可夫模型的異常協(xié)議檢測(cè)方法獨(dú)立假設(shè)過于嚴(yán)格、上下文特征考慮不足的問題,本文通過提取協(xié)議關(guān)鍵字、時(shí)間間隔及其頻率特征作為協(xié)議交互序列的報(bào)文特征,基于條件隨機(jī)場(chǎng)模型對(duì)協(xié)議報(bào)文序列建模,并根據(jù)協(xié)議報(bào)文觀測(cè)序列的聯(lián)合概率判斷異常協(xié)議行為的發(fā)生。該方法融合協(xié)議報(bào)文的狀態(tài)特征和頻率特征,同時(shí)利用條件隨機(jī)場(chǎng)無獨(dú)立性假設(shè)的優(yōu)點(diǎn),更能完整準(zhǔn)確描述協(xié)議行為。實(shí)驗(yàn)分析表明,該方法相對(duì)傳統(tǒng)方法提高了異常協(xié)議行為的檢測(cè)能力。3.提出了一種基于會(huì)話關(guān)聯(lián)分析的異常用戶行為檢測(cè)方法以及一種基于關(guān)系熵和J量值的用戶會(huì)話序列模式漂移檢測(cè)方法。在用戶行為層面,針對(duì)目前基于網(wǎng)絡(luò)的異常用戶檢測(cè)中較難完整描述用戶行為、行為模式建立困難的問題,首先引入會(huì)話發(fā)生頻度,改進(jìn)和定義模糊時(shí)序關(guān)聯(lián)模式,在此基礎(chǔ)上對(duì)用戶會(huì)話序列建模,然后基于模式匹配檢測(cè)異常用戶的發(fā)生。針對(duì)用戶行為模式漂移會(huì)導(dǎo)致異常檢測(cè)效果下降的問題,通過引入關(guān)系熵和J量值兩個(gè)特征參數(shù)用于量化會(huì)話關(guān)系,提出一種基于特征值分布假設(shè)檢驗(yàn)的模式漂移檢測(cè)算法,通過對(duì)雙滑動(dòng)窗口內(nèi)的特征分布是否相同進(jìn)行假設(shè)檢驗(yàn)判斷用戶行為模式漂移的發(fā)生。實(shí)驗(yàn)分析表明,該方法可準(zhǔn)確檢測(cè)漂移的發(fā)生并可為模式庫更新提供支持。本文從流量、協(xié)議和用戶行為三個(gè)層面對(duì)網(wǎng)絡(luò)數(shù)據(jù)流異常行為進(jìn)行分析和檢測(cè),彌補(bǔ)了目前異常檢測(cè)研究層面較為單一的不足,提高了網(wǎng)絡(luò)異常檢測(cè)的效率和效果,為網(wǎng)絡(luò)異常的準(zhǔn)確預(yù)警和快速處理提供有力支撐。
【學(xué)位單位】：解放軍信息工程大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位年份】：2015
【中圖分類】：TP393.08
【文章目錄】：
摘要
Abstract
第一章 緒論
    1.1 研究背景與意義
    1.2 技術(shù)框架
    1.3 研究目標(biāo)與內(nèi)容
    1.4 論文結(jié)構(gòu)安排
第二章 基于行為分析的異常檢測(cè)技術(shù)研究現(xiàn)狀
    2.1 網(wǎng)絡(luò)行為分析
        2.1.1 網(wǎng)絡(luò)行為概念
        2.1.2 網(wǎng)絡(luò)行為的分類
        2.1.3 網(wǎng)絡(luò)行為分析方法
    2.2 網(wǎng)絡(luò)異常檢測(cè)
        2.2.1 網(wǎng)絡(luò)異常概述
        2.2.2 網(wǎng)絡(luò)異常檢測(cè)
    2.3 基于行為分析的異常檢測(cè)技術(shù)
        2.3.1 流量行為層異常檢測(cè)
        2.3.2 協(xié)議行為層異常檢測(cè)
        2.3.3 用戶行為層異常檢測(cè)
    2.4 存在的主要問題與研究對(duì)策
    2.5 本章小結(jié)
第三章 基于聚類模式評(píng)估的異常流量行為檢測(cè)
    3.1 問題分析和解決思路
    3.2 相關(guān)概念定義
        3.2.1 聚類規(guī)則
        3.2.2 聚類模式
    3.3 基于信息熵與鄰域分析的加權(quán)特征選擇
        3.3.1 基于信息熵的候選特征集構(gòu)建
        3.3.2 基于鄰域分析的加權(quán)特征選擇
        3.3.3 算法描述
        3.3.4 實(shí)驗(yàn)驗(yàn)證
    3.4 網(wǎng)絡(luò)流聚類中K-means算法的改進(jìn)
        3.4.1 訓(xùn)練網(wǎng)絡(luò)流加權(quán)聚類算法WK-means
        3.4.2 實(shí)時(shí)網(wǎng)絡(luò)流加權(quán)聚類算法rtWK-means
    3.5 基于滑動(dòng)窗口的異常流量行為檢測(cè)過程
        3.5.1 滑動(dòng)窗口設(shè)計(jì)
        3.5.2 聚類模式匹配與異常輸出
    3.6 實(shí)驗(yàn)驗(yàn)證
        3.6.1 測(cè)試環(huán)境
        3.6.2 實(shí)驗(yàn)過程
        3.6.3 實(shí)驗(yàn)結(jié)果分析與比較
    3.7 本章小結(jié)
第四章 基于條件隨機(jī)場(chǎng)的異常協(xié)議行為檢測(cè)
    4.1 問題分析與解決思路
    4.2 基于條件隨機(jī)場(chǎng)的應(yīng)用協(xié)議建模
        4.2.1 相關(guān)概念
        4.2.2 基于協(xié)議關(guān)鍵字的數(shù)據(jù)包特征選取
        4.2.3 模型建立
    4.3 模型訓(xùn)練
    4.4 基于聯(lián)合概率的異常協(xié)議檢測(cè)
    4.5 實(shí)驗(yàn)結(jié)果與討論
        4.5.1 數(shù)據(jù)準(zhǔn)備
        4.5.2 檢測(cè)結(jié)果與分析
        4.5.3 結(jié)論
    4.6 本章小結(jié)
第五章 基于會(huì)話關(guān)聯(lián)分析的異常用戶行為檢測(cè)與模式漂移檢測(cè)
    5.1 問題分析與解決思路
    5.2 基于模糊時(shí)序關(guān)聯(lián)模式的用戶會(huì)話序列建模
        5.2.1 相關(guān)概念
        5.2.2 會(huì)話模糊時(shí)序關(guān)聯(lián)模式定義
        5.2.3 模式訓(xùn)練方法
    5.3 基于模式匹配的實(shí)時(shí)異常用戶行為檢測(cè)
    5.4 實(shí)例：局域網(wǎng)用戶異常行為檢測(cè)
        5.4.1 測(cè)試環(huán)境
        5.4.2 數(shù)據(jù)準(zhǔn)備
        5.4.3 檢測(cè)結(jié)果與分析
    5.5 基于關(guān)系熵和J量值的用戶會(huì)話序列模式漂移檢測(cè)
        5.5.1 問題描述
        5.5.2 基于會(huì)話關(guān)系的特征抽取
        5.5.3 基于特征值分布假設(shè)檢驗(yàn)的模式漂移檢測(cè)
        5.5.4 實(shí)驗(yàn)分析與討論
    5.6 本章小結(jié)
第六章 總結(jié)與展望
    6.1 主要工作總結(jié)
    6.2 有待進(jìn)一步研究的問題
致謝
參考文獻(xiàn)
作者簡歷

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 陳運(yùn)海;;網(wǎng)絡(luò)數(shù)據(jù)流轉(zhuǎn)發(fā)優(yōu)化與流量控制研究[J];電腦知識(shí)與技術(shù);2009年06期

2 吳廣君;云曉春;余翔湛;王樹鵬;;網(wǎng)絡(luò)數(shù)據(jù)流分段存儲(chǔ)模型的研究與實(shí)現(xiàn)[J];通信學(xué)報(bào);2007年12期

3 王志勇;;網(wǎng)絡(luò)數(shù)據(jù)流存儲(chǔ)算法分析與實(shí)現(xiàn)[J];計(jì)算機(jī)應(yīng)用與軟件;2009年11期

4 劉保衛(wèi);;網(wǎng)絡(luò)數(shù)據(jù)流價(jià)格變動(dòng)的收益管理研究[J];陰山學(xué)刊(自然科學(xué)版);2009年01期

5 聶方彥;;基于網(wǎng)絡(luò)數(shù)據(jù)流協(xié)議特性的統(tǒng)計(jì)入侵檢測(cè)[J];計(jì)算機(jī)與數(shù)字工程;2007年02期

6 李芳馨;劉嘉勇;;網(wǎng)絡(luò)數(shù)據(jù)流還原重組技術(shù)研究[J];通信技術(shù);2011年07期

7 張華玲;陳小軍;;網(wǎng)絡(luò)數(shù)據(jù)流內(nèi)容安全檢測(cè)算法優(yōu)化與實(shí)現(xiàn)[J];信息網(wǎng)絡(luò)安全;2013年10期

8 ;讓“小偷”無處可藏——火眼金睛eTrust Intrusion Detection[J];電腦采購周刊;2002年24期

9 劉保衛(wèi);;網(wǎng)絡(luò)數(shù)據(jù)流性能指標(biāo)的仿真研究與分析[J];微計(jì)算機(jī)信息;2011年07期

10 王德超;;網(wǎng)絡(luò)數(shù)據(jù)流故障及處理[J];成功(教育);2012年05期

相關(guān)博士學(xué)位論文 前2條

1 郭秀巖;面向多核的多層次實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)流調(diào)度技術(shù)研究[D];中國科學(xué)技術(shù)大學(xué);2011年

2 譚建龍;串匹配算法及其在網(wǎng)絡(luò)內(nèi)容分析中的應(yīng)用[D];中國科學(xué)院研究生院（計(jì)算技術(shù)研究所）;2003年

相關(guān)碩士學(xué)位論文 前10條

1 呂江鴻;網(wǎng)絡(luò)涉槍犯罪的法律規(guī)制研究[D];西北大學(xué);2015年

2 王軍;宏電路網(wǎng)絡(luò)數(shù)據(jù)流認(rèn)證技術(shù)研究[D];解放軍信息工程大學(xué);2014年

3 劉帥;面向網(wǎng)絡(luò)數(shù)據(jù)流的多層面異常行為分析檢測(cè)技術(shù)研究[D];解放軍信息工程大學(xué);2015年

4 蘇朋程;基于Multi-Agent Windows內(nèi)核級(jí)網(wǎng)絡(luò)數(shù)據(jù)流的研究與應(yīng)用[D];貴州大學(xué);2007年

5 邱仕坦;基于網(wǎng)絡(luò)數(shù)據(jù)流的持續(xù)查詢模型的研究[D];福州大學(xué);2005年

6 趙世平;網(wǎng)絡(luò)數(shù)據(jù)流監(jiān)控管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[D];電子科技大學(xué);2012年

7 田玥;大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流異常檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn)[D];東北大學(xué);2005年

8 生若谷;一種網(wǎng)絡(luò)異常數(shù)據(jù)流的檢測(cè)和控制技術(shù)[D];哈爾濱工業(yè)大學(xué);2007年

9 顧宗林;IPv6網(wǎng)絡(luò)數(shù)據(jù)流監(jiān)測(cè)技術(shù)的分析與測(cè)試[D];北京交通大學(xué);2008年

10 程燚;三網(wǎng)合一的網(wǎng)絡(luò)數(shù)據(jù)流監(jiān)控管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[D];南京郵電大學(xué);2015年

本文編號(hào)：2854039