基于NetFlow的網(wǎng)絡(luò)流量異常檢測技術(shù)研究.pdf

1、伴隨著互聯(lián)網(wǎng)的高速發(fā)展,互聯(lián)網(wǎng)的應(yīng)用在各個(gè)領(lǐng)域內(nèi)得到了廣泛的普及?，F(xiàn)在網(wǎng)絡(luò)已經(jīng)無處不在,無論是辦公還是娛樂都離不開網(wǎng)絡(luò),它成為了人們在平時(shí)的工作生活中的一部分。網(wǎng)絡(luò)技術(shù)飛速發(fā)展帶來的網(wǎng)絡(luò)安全性逐漸本人們所關(guān)注,各種網(wǎng)絡(luò)安全問題層出不窮,網(wǎng)絡(luò)攻擊、木馬攻擊、病毒傳播等異常流量比比皆是,過去那些傳統(tǒng)的入侵檢測系統(tǒng)已經(jīng)無法滿足目前高速發(fā)展的網(wǎng)絡(luò)環(huán)境了。基于上述背景,本文進(jìn)行了相關(guān)研究工作。
　　本文首先對網(wǎng)絡(luò)流量的采集方法進(jìn)行了相關(guān)的研

2、究和探討,并介紹了 SNMP的采集方法、網(wǎng)絡(luò)探針的采集方法、NetFlow的采集方法的基本原理,分析了這幾種技術(shù)的優(yōu)缺點(diǎn),并在分析結(jié)果的基礎(chǔ)之上對NetFlow的網(wǎng)絡(luò)流量采集方法做了細(xì)致深入的研究工作,最終選擇了基于NetFlow的采集方法。然后提出了一種基于聚類算法的異常流量檢測算法。通過對網(wǎng)絡(luò)異常流量的內(nèi)在相關(guān)特征做了重點(diǎn)的分析,依據(jù)其特征設(shè)計(jì)了基于聚類的異常檢測算法,該算法通過相似度和互聯(lián)性這個(gè)評價(jià)標(biāo)準(zhǔn),通過合并這兩類高標(biāo)準(zhǔn)用以提

3、高該聚類算法的質(zhì)量。第三,本文設(shè)計(jì)實(shí)現(xiàn)了網(wǎng)絡(luò)流量異常檢測系統(tǒng)的模型,該模型主要包括數(shù)據(jù)采集模塊、信息統(tǒng)計(jì)模塊、異常檢測模塊、報(bào)警及信息呈現(xiàn)模塊這四部分組成。數(shù)據(jù)采集模塊首先對NetFlow從路由器出口采集得帶的數(shù)據(jù)信息進(jìn)行檢測和數(shù)據(jù)處理,然后將處理后的數(shù)據(jù)存入數(shù)據(jù)庫,信息統(tǒng)計(jì)模塊則將采集的信息進(jìn)行聚合處理并將得到的數(shù)據(jù)存入數(shù)據(jù)庫,并將統(tǒng)計(jì)信息展示給用戶;異常檢測主要是對流量異常檢測,它能檢測出流量異常的主機(jī)并定位。通過對系統(tǒng)的測試和模擬