基于概要数据结构可溯源的异常检测方法

被引：11

作者：

罗娜

李爱平

吴泉源

陆华彪

机构：

[1] 国防科学技术大学计算机学院

来源：

软件学报 | 2009年 / 20卷 / 10期

关键词：

异常检测; 概要数据结构; 溯源性; EWMA; 均值均方差模型;

D O I：

暂无

中图分类号：

TP393.08 [];

学科分类号：

0839 ; 1402 ;

摘要：

提出一种基于sketch概要数据结构的异常检测方法.该方法实时记录网络数据流信息到sketch数据结构,然后每隔一定周期进行异常检测.采用EWMA(exponentially weighted moving average)预测模型预测每一周期的预测值,计算观测值与预测值之间的差异sketch,然后基于差异sketch采用均值均方差模型建立网络流量变化参考.该方法能够检测DDoS、扫描等攻击行为,并能追溯异常的IP地址.通过模拟实验验证,该方法占用很少的计算和存储资源,能够检测骨干网络流量中的异常IP地址.

引用

页码：2899 / 2906

页数：8

共 8 条

[1]

Diagnosing Network-Wide Traffic Anomalies. Lakhina A,,Crovella M,Diot C. ACM SIGCOMM . 2004

[2]

Extracting hidden anom-alies using sketch and non gaussian multiresolution statistical detec-tion procedures. DEWAELE G,FUKUDA K,BORGNATP. Proc of ACM SIGCOMM IMC . 2007

[3]

Sketch-Based change detection:Methods,evaluation,and applications. Krishnamurthy B,Sen S,Zhang Y,Chen Y. Proc.of the ACM SIGCOMM Internet Measurement Conf . 2003

[4]

Reverse hashing for high-speed network monitoring:Algorithms,evaluation,and applications. Schweller R,Li ZC,Chen Y,Gao Y,Gupta A. Proc.of the25th IEEE Int’l Conf.on Computer Communications . 2006

[5]

Data streams:Algorithms and applications. Muthukrishnan S. http://www.cs.rutgers.edu/～muthu/stream-1-1.ps . 2007

[6]

NLANR. ftp://pma.nlanr.net/traces/long/ipls/5/ . 2008

[7]

Universal classes of hash functions. J L Carter,M N Wegman. Journal of Computer and System Sciences . 1979

[8]

New hash functions and their use in authentication and set equality. Wegman M N,Carter J Lawrence. Journal of Computer and System Sciences . 1981

← 1 →