江苏大学
硕士学位论文
NetFlow的网络异常流量的分离与分类
姓名:卞鹏
申请学位级别:硕士
电能量采集终端专业:计算机应用技术
指导教师:许晓东
20090611江苏大学硕士学位论文
摘要
随着互联网的不断普及,网络已经跟人们的日常生活密不可分,作为网络管理者,如何在迅速有效地检测网络异常情况的同时,准确地判断和控制整个网络
的异常流量,供有关部门作决策分析,已成为一项重要的课题。
本文系统分析了现有主要异常检测方法,针对这些检测方法只能在宏观上发现异常,但无法在实际应用中控制和摒除异常流量的不足,在现有协议分析手段
的基础上提出了基于的网络异常流量分离及分类方法。该方法从微观和
宏观相结合的角度考察整个校园网络的流量,能在宏观上发现异常后,从微观的
角度分离和分类异常流量,将网络突发流量控制在有效的时间和空间范围内。
滑动水口机构首先,依托流采集系统,通过对关键主机历史行为数据建模预测的
方法刻画出网络的下常模型,利用正常流量比和异常流量比的比值将主机划分为
正常主机、异常主机和可疑主机,将异常主机流量从总流量中分离出来,对于可
疑主机仍需对其主要流量进行流分析进而判别。
其次,本文在总结了现有流分类基础上,针对他们的缺点提出了一种按
关键项目、行为模式、和扩展项目三层逐层分类的流分类方法,并详细
描述了如何利用神经网络来实现对扩展项目的分类,通过该方法可以将主机应
用流分类为流、正常应用流和异常流,并对其性能作出了评估。
最后通过实际环境来对异常流量的分离和分类系统进行了测试。通过真实实验数据表明,该异常流量分离和分类方法能有效的将异常流量分离出来并加以控
制,效果显著。
关键词:,流量分离,指数平滑,流分类,逐层分类方法,神经网络江苏大学硕士学位论文、析
,. .
,
.
.
, .
,
.
, . . .
叩
, , ..
,.,. :, ,
, ,,
Ⅱ学位论文版权使用授权书
本学位论文作者完全了解学校有关保留、使用学位论文的规定,同意学
校保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。本人授权江苏大学可以将本学位论文的全部内容或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。
保密口,在年解密后适用本授权书。
本学位论文属于
玻璃干燥器不保密■。
Ⅵ
签乏
学位论文作者签名: 导师名
卞朋为保温碗
罗日
数据库探针签字期年
乡阳
签字期:矽哆年占月
独创性声明
本人郑重声明:所呈交的学位论文,是本人在导师的指导下,独立进行
研究工作所取得的成果。除文中己注明引用的内容以外,本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。
学位敝作者签名:卞鹕
日期:侧夕年衫月日江苏大学硕士学位论文
绪论殖下匕
第一章弟一早
的进步推动计算机技术进入了“以网络为中心计算的新时代,
、、等新技术、新标准的出现继续推动了计算机网络技术的发展。
支持联网和服务的网络产品越来越完善。网络电话、网络电视会议、
三维视频信息等应用技术正在不断推出激动人心的产品。更多的新型通信和网络
设备将要加入到中,已经进入高速率骨干网和高速率接入网
的阶段。
随着、、等应用的兴起,流量占用了大量的带
宽,使传统的,等应用受到了很大程度上的影响,有关调查表明,
业务已经悄然占据了互联网业务总量的%一%,成为杀手级的宽带互联网应用。伴随着正常应用流量,各种形式的异常流量也随之而来,恶意流量攻击,如
拒绝服务、分布式拒绝服务、洪水攻击、蠕虫病毒等,都有
可能影响到网络的正常运行,威胁用户主机的安全,网络中有大量知名并可自动
鱼笼
繁殖的恶意代码存在,它们定期或不定期的滋扰网络主机或用户。甚至最近有越
来越多的复合式攻击出现,它们使用不止一种的攻击手段,具有自我修改、加密
等能力,这使得它们的攻击更加难以防范和阻击。这些都要求网络管理人员对网
络流量有深入的了解,并能够在网络层面对异常流量采取隔离措施。
在大规模高速网络环境中,我们需要实时的监控网络流量并检测出有攻击意向的异常,及时采取适当的行动来遏制它进一步的繁殖和传播。实验证明流一级
的异常检测比包一级更有效。在协议层将具有相同特征的包汇聚成流,不仅可以
降低采样系统的负担,保证流量监控的实时性,而且还提供了整个网络的宏观视
