基于NetFlow的網(wǎng)絡(luò)流量異常檢測(cè)技術(shù)研究.pdf

1、伴隨著互聯(lián)網(wǎng)的高速發(fā)展,互聯(lián)網(wǎng)的應(yīng)用在各個(gè)領(lǐng)域內(nèi)得到了廣泛的普及?，F(xiàn)在網(wǎng)絡(luò)已經(jīng)無(wú)處不在,無(wú)論是辦公還是娛樂(lè)都離不開(kāi)網(wǎng)絡(luò),它成為了人們?cè)谄綍r(shí)的工作生活中的一部分。網(wǎng)絡(luò)技術(shù)飛速發(fā)展帶來(lái)的網(wǎng)絡(luò)安全性逐漸本人們所關(guān)注,各種網(wǎng)絡(luò)安全問(wèn)題層出不窮,網(wǎng)絡(luò)攻擊、木馬攻擊、病毒傳播等異常流量比比皆是,過(guò)去那些傳統(tǒng)的入侵檢測(cè)系統(tǒng)已經(jīng)無(wú)法滿足目前高速發(fā)展的網(wǎng)絡(luò)環(huán)境了。基于上述背景,本文進(jìn)行了相關(guān)研究工作。
　　本文首先對(duì)網(wǎng)絡(luò)流量的采集方法進(jìn)行了相關(guān)的研

2、究和探討,并介紹了 SNMP的采集方法、網(wǎng)絡(luò)探針的采集方法、NetFlow的采集方法的基本原理,分析了這幾種技術(shù)的優(yōu)缺點(diǎn),并在分析結(jié)果的基礎(chǔ)之上對(duì)NetFlow的網(wǎng)絡(luò)流量采集方法做了細(xì)致深入的研究工作,最終選擇了基于NetFlow的采集方法。然后提出了一種基于聚類(lèi)算法的異常流量檢測(cè)算法。通過(guò)對(duì)網(wǎng)絡(luò)異常流量的內(nèi)在相關(guān)特征做了重點(diǎn)的分析,依據(jù)其特征設(shè)計(jì)了基于聚類(lèi)的異常檢測(cè)算法,該算法通過(guò)相似度和互聯(lián)性這個(gè)評(píng)價(jià)標(biāo)準(zhǔn),通過(guò)合并這兩類(lèi)高標(biāo)準(zhǔn)用以提

3、高該聚類(lèi)算法的質(zhì)量。第三,本文設(shè)計(jì)實(shí)現(xiàn)了網(wǎng)絡(luò)流量異常檢測(cè)系統(tǒng)的模型,該模型主要包括數(shù)據(jù)采集模塊、信息統(tǒng)計(jì)模塊、異常檢測(cè)模塊、報(bào)警及信息呈現(xiàn)模塊這四部分組成。數(shù)據(jù)采集模塊首先對(duì)NetFlow從路由器出口采集得帶的數(shù)據(jù)信息進(jìn)行檢測(cè)和數(shù)據(jù)處理,然后將處理后的數(shù)據(jù)存入數(shù)據(jù)庫(kù),信息統(tǒng)計(jì)模塊則將采集的信息進(jìn)行聚合處理并將得到的數(shù)據(jù)存入數(shù)據(jù)庫(kù),并將統(tǒng)計(jì)信息展示給用戶(hù);異常檢測(cè)主要是對(duì)流量異常檢測(cè),它能檢測(cè)出流量異常的主機(jī)并定位。通過(guò)對(duì)系統(tǒng)的測(cè)試和模擬