骨干通信網中流量異常事件的關聯分析.pdf

1、隨著網絡規(guī)模的不斷壯大，網絡結構日益復雜，網絡流量的異常行為對網絡本身以及用戶造成的危害越來越大。為了更好的控制和管理通信網絡，減少異常流量對正常業(yè)務的危害，就必須準確、實時地對流量異常行為特征進行分析和提取，主動發(fā)現通信網絡中的異常行為，并對具有攻擊性的異常流量進行攔截和告警。
　　 傳統(tǒng)的用戶網絡的異常行為分析主要采用用戶行為、應用行為和網絡行為的精細分析。由于骨干通信網絡的通信量非常大，精細的應用行為和用戶行為分析是非常困

2、難的，異常行為分析需要以相對粗粒度的異常特征分析技術為基礎，才能適應骨干通信網絡的超大規(guī)模流量。本文主要研究內容包括骨干通信網中流量特征信息的粗粒度表示、流量異常事件的捕獲以及流量異常事件的關聯分析，并在此基礎上提出一種骨干通信網中攻擊檢測的機制。具體工作如下：
　　 第一，由于骨干通信網絡中通信量的海量性與高速性使得精細分析非常困難，本文采用相對粗粒度的流量特征參數，將這些參數看做隨時間變化的信號，即網絡流量特征信號，將骨干通

3、信網中流量異常行為的分析轉化為多時間序列的分析問題。
　　 第二，針對異常流量相對于骨干通信網的海量背景流量的隱蔽性，提出一種多流多特征的流量特征信號提取方法，在流分類后的子流中提取流量特征信號，起到了約減數據，突出異常流量特征的作用。
　　 第三，在流量特征信號的異常檢測方法研究中，引入數據挖掘中離群點檢測的思想，提出一種基于局部密度的時序離群點挖掘方法。將該方法用于流量特征信號，得到離群點，形成流量異常事件。

4、　　 第四，由于流量異常事件與引起流量異常的原因之間相互孤立，沒有形成有效的聯系。為此采用關聯規(guī)則挖掘的方法，通過在離線數據中挖掘得到網絡攻擊與流量異常事件之間的關聯規(guī)則，一條關聯規(guī)則表明了一種網絡攻擊能夠引起何種流量異常事件。
　　 第五，將上述方法運用于骨干通信網的網絡攻擊檢測中，建立一種骨干通信網的網絡攻擊檢測機制：在骨干通信網中捕獲流量異常事件，將這些流量異常事件與關聯規(guī)則庫中的關聯規(guī)則進行匹配，最后檢測出網絡攻擊并根