-
题名基于流量信息结构的异常检测
被引量:36
- 1
-
-
作者
朱应武
杨家海
张金祥
-
机构
清华大学信息网络工程研究中心
清华信息技术国家实验室(筹)
-
出处
《软件学报》
EI
CSCD
北大核心
2010年第10期2573-2583,共11页
-
基金
国家重点基础研究发展计划(973)No.2009CB320505
国家高技术研究发展计划(863)Nos.2007AA01Z2A2
+1 种基金
2009AA01Z205
国家科技支撑计划No.2008BAH37B05~~
-
文摘
由于人们对网络流量规律的认识还不够深入,大型高速网络流量的异常检测仍然是目前测量领域研究的一个难点问题.通过对网络流量结构和流量信息结构的研究发现,在一定范围内,正常网络流量的IP、端口等具有重尾分布和自相似特性等较为稳定的流量结构,这种结构对应的信息熵值较为稳定.异常流量和抽样流量的信息熵值以正常流量信息熵值为中心波动,构成以IP、端口和活跃IP数量为维度的空间信息结构.据此对流量进行建模,提出了基于流量信息结构的支持向量机(support vector machine,简称SVM)的二值分类算法,其核心是将流量异常检测转化为基于SVM的分类决策问题.实验结果表明,该算法具有很高的检测效率,还初步验证了该算法的抽样检测能力.因此,将该算法应用到大型高速骨干网络具有实际意义.
-
关键词
异常检测
网络流量结构
流量信息结构
异常流量
抽样
-
Keywords
anomaly detection
network traffic structure
traffic information structure
anomalous traffic
sampling
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
