基于流量矩陣的網(wǎng)絡入侵檢測研究.pdf

1、入侵檢測技術是繼防火墻和數(shù)據(jù)加密等傳統(tǒng)防護措施之后的一種具有主動性的防護技術,如何有效的檢測出網(wǎng)絡中存在的干擾網(wǎng)絡性能的異常事件并正確地判別出網(wǎng)絡異常的類型,以保證網(wǎng)絡的正常運轉,成為網(wǎng)絡安全領域重要的研究課題之一。
　　網(wǎng)絡異常具有突發(fā)性、不可預知性和復雜性等特點,異常事件的發(fā)生通常會引起網(wǎng)絡流量特征屬性的改變,相應地,任何網(wǎng)絡流量特征屬性的改變預示著若干個異常事件的發(fā)生。網(wǎng)絡流作為互聯(lián)網(wǎng)運作和管理的一種重要形式,包含有網(wǎng)絡通信

2、中源/目的IP地址、源/目的端口和服務協(xié)議等特征屬性的信息。流量矩陣作為網(wǎng)絡流的一種重要組織方式,通常具有近似周期的正常成分、異常成分和噪聲成分三種,對網(wǎng)絡流量各個成分進行有效的分析處理成為入侵檢測系統(tǒng)對網(wǎng)絡異常進行檢測和分類研究的關鍵。本文將網(wǎng)絡中源-目的節(jié)點對之間的網(wǎng)絡流量構建成矩陣形式作為入侵檢測系統(tǒng)重要輸入。
　　建立一種良好的網(wǎng)絡入侵檢測模型有助于更好的實現(xiàn)對網(wǎng)絡流量異常進行分析處理,提高入侵檢測系統(tǒng)的檢測率,降低系統(tǒng)的

3、誤報率。在研究傳統(tǒng)入侵檢測方法和原理的基礎上,本文設計出一種基于網(wǎng)絡流量矩陣的入侵檢測模型,將網(wǎng)絡流量矩陣作為異常分析對象,包含流量數(shù)據(jù)收集、粗糙流量數(shù)據(jù)預處理、流量異常檢測、流量異常分類等多個功能模塊。為了實現(xiàn)對網(wǎng)絡異常更為準確的預警與分類功能,本文提出將基于PGM-NMF的異常檢測算法和基于聚類分析的異常分類算法分別用在異常檢測模塊和異常分類功能模塊中。
　　在上述模型設計的基礎上,本文給出了基于流量矩陣入侵檢測算法具體的設計

4、過程,通過信息熵算法對原始的網(wǎng)絡流量數(shù)據(jù)進行預處理,構建基于信息熵的流量矩陣,并通過提出一種基于PGM-NMF的網(wǎng)絡流量異常檢測算法,實現(xiàn)對網(wǎng)絡流量正常子空間的構建,在重構誤差的基礎上,采用Q統(tǒng)計來判斷流量異常狀況。為了進一步確定網(wǎng)絡異常的類型,提出了一種基于聚類分析的網(wǎng)絡異常分類算法,將網(wǎng)絡異常聚類分析結果與異常特征模式庫進行匹配,達到準確判斷出網(wǎng)絡異常類型的目的。最后,論文通過仿真實驗對網(wǎng)絡異常檢測和分類性能進行驗證,相比于傳統(tǒng)入侵