国防科学技术大学 硕士学位论文 大规模网络流量异常分析 姓名：王海龙 申请学位级别：硕士 专业：计算机科学与技术 指导教师：杨岳湘 20061101 摘要随着网络规模的日益扩大和承载业务种类的逐渐增多，Intemet的发展给人们大规模网络流量的特点是维数多、速度快、规模宏大，但现有的基于时间序单高效的异常流量分析方法。本文就是探索大规模网络流量异常分析的新方法，首先对已提出的子空间方法进行了研究，并应用于实验环境中实现了大规模有更高的检测精度。然后在改进基于信息熵的大规模网络流量异常15：j=测和异常分类方法的基础上，提出了一种分布式的异常检测方法，经实验证明该方法操作简单，处理时间短，检测效果好。最后提出大规模网络流量异常检测系统框架模型，由流量采集模块和预处理模块、异常分析模块、综合分析及可视化模块组成，并通过实验验证了该模型的有效性，具有实际应用价值。关键词：大规模网络流量，异常检测，异常分类，子空间方法，信息熵带来了巨大方便。但是，这些也使网络中出现各种异常的机会大大增加，给网络监测带来了更大的挑战。网络流量异常分析是网络监测中的关键部分，能够准确、及时地检测出异常对提高网络的可用性和可靠性具有非常重要的意义。列的统计分析和基于信号的小波分析对这类数据的处理能力有限，需要一种更简以提高对网络流量异常的检测和分类的能力，并利用这种方法实现网络流量监测的功能。网络流量异常检测，通过对结果的对比分析证明了基于子空间方法的异常检测具国防科技大学研究生院工学硕士学位论文第i页 mnetworkABSTRACTWithofconvenience．However,thisbeenimprovementsimplyWords：large—scaleanomalyandanalysisanomaliesmethod．11lrou曲thelar嚣一scaletrafficdatamodel，anomalyvisualizedpracticesmade国防科技大学研究生院工学硕士学位论文provided，theoftheInteractthemenacesfromnetwork-monitornetwork-monitor，whetherimproveavailabilityreliability．manydimensions，rapid，basedtimewithsimpleeffectivemethodgreatneed．ThisthesissomemethodsinexperimentenvironmenttermstraffiCentropy．wedetection．硼1ethatgreatly，whichsystemfTamemodel。whichmodel，synthesismodel．modelpractical．Keytraffic，anomalydetection，anomalyclassification，subspacemethod，entropy第ii页expansionofsizeincreaseservicesrapiddevelopmentbringslotalsoresultsvariouskindssecurityincidents，whichenablefacegreaterchallenges．Networktraf五ciskeypartiSdetectedaccuratelyimporttocharacteristiclarge-scalelarge，whiletoday’Sstatisticsequencewaveletsignaldealinglimit．Sopresentsnewdetectlarge—scaletl_affiCanalysis，whichonlycapabilityclassification,butrealizefunction．Firstall，westudysubspacewhichhaspresented，andprocessdetectingapplyingresults’contrastanalysis，itshowsdetectionhigherprecisiorLThenclassificationllewdistributedprovesthisoperatesreducessatisfyrequestonlinedetection．Finally，Wepresentcollectionpre—disposalSeveralhaveprovenotveryupUSaoronCall‘ 表目录表2．1网络滥用异常种类说明⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．10表2．2三种流量采集技术比较⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．13