异常流量检测 网络异常流量检测研究.docx

异常流量检测 网络异常流量检测研究

　　摘要:异常流量检测是目前IDS入侵检测系统)研究的一种重要分支,实时异常检测的前提是可以实时,对大规模高速网络流量进行异常检测一方面要面临高速流量载荷问题,由于测度、分析和寄存等计算机资源的限异常流量检测 网络异常流量检测研究

　　摘要:异常流量检测是目前IDS入侵检测系统)研究的一种重要分支,实时异常检测的前提是可以实时,对大规模高速网络流量进行异常检测一方面要面临高速流量载荷问题,由于测度、分析和寄存等计算机资源的限制,无法实现全网络现流量的实时检测,因此,抽样测度技术成为高速网络流量测度的研究核心。
　　核心词:网络 异常流量 检测
　　一、异常流量监测基本知识
　　异常流量有诸多也许的,涉及新的应用系统和业务上线、计算机病毒、***、网络蠕虫、回绝网络服务、使用非法软件、网络设备故障、非法占用网络带宽等。网络流量异常的检测措施可以归结为如下四类:记录异常检测法、基于机器学****的异常检测措施、基于数据挖掘的异常检测法和基于神经网络的异常检测法等。用于异常检测的5种记录模型有:①操作模型。该模型假设异常可通过测量成果和指标相比较得到,指标可以根据经验或一段时间的记录平均得到。②方差。计算参数的方差,设定其置信区间,当测量值超过了置信区间的范畴时表白也许存在异常。③多元模型。操作模型的扩展,通过同步分析多种参数实现检测。④马尔可夫过程模型。将每种类型事件定义为系统状态,用状态转移矩阵来表达状态的变化。若相应于发生事件的状态转移矩阵概率较小,则该事件也许是异常事件。⑤时间序列模型。将测度准时间排序,如一新事件在该时间发生的概率较低,则该事件也许是异常事件。
　　二、系统简介分析和设计
　　本系统运营在子网连接主干网的出口处,以旁路的措施接入边界的互换设备中。从互换设备中流过的数据包,经由软件捕获,解决,分析和鉴定,可以对以异常流量措施浮现的袭击行为告警。本系统需要检测的基本的袭击行为如下:ICMP袭击TCP袭击,涉及但不限于SYN Flood、RST FloodIP NULL袭击IP Fragmentation袭击IP Private Address Space袭击UDP Flood袭击扫描袭击不同样于以特性、规则和方略为基本的入侵检测系统,本研究着眼于建立正常状况下网络流量的模型,通过该模型,流量异常检测系统可以实时地发现所观测到的流量和正常流量模型之间的偏差。当偏差达到一定限度引起流量分派的变化时,产生系统告警,并由网络中的其他设备来完毕对袭击行为的阻断。系统的核心技术涉及网络正常流量模型的获取、及对所观测流量的汇聚和分析。由于目前网络以IPv4为主体,网络通讯中的智能分布在主机上,而不是集中于网络互换设备,而在TCP/IP合同中和主机操作系统中存在大量的漏洞,况且网络的使用者的误用也时有发生,这就使得网络正常流量模型的建立存在很大的难度。为达到保障子网的正常运营的最后目的,在本系统中,采用下列措施来建立多层次的网络流量模型:
　　会话正常行为模型。根据IP报文的五元组,TCP和UDP报文可以构成流或伪流。两个五元组中源和目的相反的流可以构成一种会话。由于ICMP的特殊性,对于ICMP的报文,分别进行解决:ICMP消息构成独立会话,而ICMP错误消息则根据报文中涉及的IP报头