網(wǎng)絡(luò)異常檢測與溯源方法研究.pdf

1、當(dāng)前網(wǎng)絡(luò)中存在著許多諸如網(wǎng)絡(luò)掃描、拒絕服務(wù)攻擊等以網(wǎng)絡(luò)入侵或網(wǎng)絡(luò)破壞為目的的網(wǎng)絡(luò)異常行為，嚴(yán)重影響了網(wǎng)絡(luò)的正常運行。雖然目前已經(jīng)有了基于閥值過濾、特征匹配、統(tǒng)計檢測等網(wǎng)絡(luò)異常檢測方法，但這些方法主要專注于網(wǎng)絡(luò)異常的發(fā)現(xiàn)以及如何實現(xiàn)防護(hù)，對攻擊時刻、攻擊類型、攻擊行為發(fā)起主機地址等與網(wǎng)絡(luò)犯罪相關(guān)的數(shù)字證據(jù)關(guān)注較少。因此，探索出行之有效的網(wǎng)絡(luò)異常檢測與溯源方法，對網(wǎng)絡(luò)追蹤、網(wǎng)絡(luò)取證、打擊網(wǎng)絡(luò)犯罪，具有重要的理論意義和現(xiàn)實意義。
　　

2、 根據(jù)網(wǎng)絡(luò)流量在大時間尺度上的自相似性，以及在小時間尺度上異常流量、小波變換模極大值與Lipschitz（簡稱李氏）正則性三者之間的關(guān)系，利用小波變換，提出了一種基于小波變換的網(wǎng)絡(luò)流量異常檢測與定位方法。該方法利用小波系數(shù)方差法求解Hurst 指數(shù)，并通過該指數(shù)的變化情況來判斷當(dāng)前網(wǎng)絡(luò)流量正常與否。在發(fā)現(xiàn)異常后，利用信號奇異性與李氏指數(shù)的關(guān)系，使用小波變換快速求解網(wǎng)絡(luò)流量的李氏指數(shù)，并通過李氏指數(shù)的變化情況來實現(xiàn)網(wǎng)絡(luò)流量異常發(fā)生時刻定位

3、。
　　 同時，據(jù)研究發(fā)現(xiàn)，網(wǎng)絡(luò)流量中約有90%的流量為TCP（Transmission ControlProtocol）流。不難想象，TCP 流的任何微小變化都可能會對整個網(wǎng)絡(luò)產(chǎn)生巨大的影響。因此，在發(fā)現(xiàn)網(wǎng)絡(luò)流量存在異常，并定位異常發(fā)生時刻后，根據(jù)TCP協(xié)議，針對TCP 流，提出了一種基于相關(guān)系數(shù)矩陣的網(wǎng)絡(luò)異常行為檢測與分析的方法。該方法從TCP 連接建立和連接拆除報文的完整性入手，利用TCP 流不同類型報文在數(shù)量上的相關(guān)關(guān)系

4、，在不維護(hù)每個TCP 連接具體狀態(tài)的情況下使用相關(guān)系數(shù)矩陣對TCP流的健康性進(jìn)行宏觀評估。通過選擇恰當(dāng)?shù)慕y(tǒng)計時間粒度和樣本量，選取TCP 流中與TCP 連接建立和連接拆除相關(guān)的五種不同類型的報文作為觀察報文，根據(jù)各觀察報文彼此間在數(shù)量上的相關(guān)關(guān)系變化情況，結(jié)合常見的TCP 流異常行為對相關(guān)系數(shù)計算結(jié)果的影響，揭示出導(dǎo)致TCP 流發(fā)生異常的報文類型，進(jìn)而發(fā)掘出導(dǎo)致網(wǎng)絡(luò)行為異常的原因。
　　 在發(fā)現(xiàn)網(wǎng)絡(luò)流量存在異常，并判斷出異常發(fā)生

5、時間段、異常的報文以及異常行為的類型后，針對網(wǎng)絡(luò)傳輸層異常報文溯源的要求，提出了一種網(wǎng)絡(luò)傳輸層異常報文的溯源方法。該方法通過一種對標(biāo)準(zhǔn)Bloom Filter 改進(jìn)的方法—獨立哈希布魯姆過濾（Independent Hash Bloom Filter，IHBF）方法對異常報文的TCP 五元組信息進(jìn)行存儲和聚類分析。在挖掘出異常報文中最活躍的五元組及其主成分聚類信息的頻繁項后，結(jié)合TCP 流常見異常行為的聚類特征，通過綜合分析獲取與異常報