基于流量信息结构的异常检测

被引：34

作者：

朱应武 ^{[1
,2
]}

杨家海 ^{[1
,2
]}

张金祥 ^{[1
,2
]}

机构：

[1] 清华大学信息网络工程研究中心

[2] 清华信息技术国家实验室(筹)

来源：

软件学报 | 2010年 / 21卷 / 10期

关键词：

异常检测; 网络流量结构; 流量信息结构; 异常流量; 抽样;

D O I：

暂无

中图分类号：

TP393.08 [];

学科分类号：

0839 ; 1402 ;

摘要：

由于人们对网络流量规律的认识还不够深入,大型高速网络流量的异常检测仍然是目前测量领域研究的一个难点问题.通过对网络流量结构和流量信息结构的研究发现,在一定范围内,正常网络流量的IP、端口等具有重尾分布和自相似特性等较为稳定的流量结构,这种结构对应的信息熵值较为稳定.异常流量和抽样流量的信息熵值以正常流量信息熵值为中心波动,构成以IP、端口和活跃IP数量为维度的空间信息结构.据此对流量进行建模,提出了基于流量信息结构的支持向量机(support vector machine,简称SVM)的二值分类算法,其核心是将流量异常检测转化为基于SVM的分类决策问题.实验结果表明,该算法具有很高的检测效率,还初步验证了该算法的抽样检测能力.因此,将该算法应用到大型高速骨干网络具有实际意义.

引用

页码：2573 / 2583

页数：11

共 3 条

[1] 基于抽样测量的高速网络实时异常检测模型 [J].

程光 ;

龚俭 ;

丁伟 .

软件学报, 2003, (03) :594-599

[2]

BLINC[J] . Thomas Karagiannis,Konstantina Papagiannaki,Michalis Faloutsos.ACM SIGCOMM Computer Communication Review . 2005 (4)

[3]

Structural analysis of network traffic flows .2 Lakhina A,Papagiannaki K,Crovella M,Diot M,Kolaczyk M,Taft N. Proc.of the Joint Int’l Conf.on Measurement and Modeling of Computer Systems . 2004

← 1 →