群體行為異常檢測系統(tǒng)的設計實現(xiàn).pdf

1、現(xiàn)代社會中，計算機網(wǎng)絡以其豐富的信息資源以及方便的信息交換方式，讓人們享受其帶來的便利的同時，也逐漸改變著人們的生活方式。人類社會的政治、經(jīng)濟、文化各個領域無處不見網(wǎng)絡的應用。隨著網(wǎng)絡對人們的影響不斷增大，網(wǎng)絡安全問題也越來越受到人們的重視。網(wǎng)絡的迅速發(fā)展，使得網(wǎng)絡已由傳統(tǒng)單一的網(wǎng)絡變成了復雜異構的大規(guī)模網(wǎng)絡，而黑客水平的提高也催生了各種新型的計算機病毒，這些都使得以防火墻為代表的傳統(tǒng)防御技術缺乏主動應對措施。入侵檢測技術是一種動態(tài)、主

2、動的防御技術，其目標是在網(wǎng)絡系統(tǒng)受到危害前積極主動的發(fā)現(xiàn)入侵行為，攔截并控制入侵行為。作為入侵檢測技術的一種，異常檢測以其能夠發(fā)現(xiàn)未知入侵的優(yōu)點近年來受到學者們的關注。 本文綜述了目前國內外入侵檢測技術的研究現(xiàn)狀，詳細地介紹了現(xiàn)有幾種異常檢測方法的基本思想、優(yōu)缺點，在此基礎上總結了現(xiàn)有異常檢測技術的不足。以大規(guī)模的網(wǎng)絡環(huán)境為應用背景，以檢測群體攻擊行為為目的，本文提出了一種基于群體行為分析的異常檢測模型。該模型的基本思想是匯聚覆

3、蓋網(wǎng)中各用戶網(wǎng)絡信息，從全網(wǎng)的角度對其中群體社團的網(wǎng)絡狀態(tài)進行定量分析，通過與歷史同期正常數(shù)據(jù)進行比較以檢測異常。針對該模型的核心—檢測引擎，本文將其劃分為四個模塊：覆蓋網(wǎng)構造模塊、覆蓋網(wǎng)分類模塊、覆蓋網(wǎng)特征分析模塊、覆蓋網(wǎng)異常分析模塊，并對這些模塊分別進行描述分析。覆蓋網(wǎng)構造模塊利用采集的原始數(shù)據(jù)構造網(wǎng)絡圖；覆蓋網(wǎng)分類模塊采用Kmeans算法和Newman快速算法進行兩級社團劃分，以增強檢測效果；覆蓋網(wǎng)特征分析模塊根據(jù)一維9元組的特征