计算机科学与技术专业毕业论文计算机科学与技术专业毕业论文 精品论文精品论文 基于概要数据结构基于概要数据结构的异常流量检测方法研究与实现的异常流量检测方法研究与实现关键词：互联网安全关键词：互联网安全 网络流量网络流量 动态跟踪动态跟踪 蠕虫传播蠕虫传播摘要：近年来，随着 Internet 的飞速发展，面向互联网安全的监测和管理已经 成为影响互联网正常应用的重大问题。不同的运营商和管理部门，也相应的建 立了不同的互联网安全事件监测系统。但是，由于互联网安全事件的规模性、 复杂性和不断更新的特性，导致诸如 DDoS 攻击、大规模扫描、僵尸网络和蠕虫 传播等安全事件层出不穷。网络流量异常指网络中流量不规则地显著变化，如 何针对网络上海量数据流进行监测，并对其中的异常进行标定和报警，以及对 其进行可视化展现，是对互联网上安全监测的重要手段之一。 本文针对国家 骨干网络 NetFlow 数据到达速度快、流量大等特点，引入数据流模型，通过对 不同种类攻击原理及造成异常的流量特征分析，提出了一种基于概要数据结构 的可溯源的异常流量检测方法，该方法主要是通过概要数据结构记录与某类异 常相关的流量特征值，进而应用 EWMA 时间序列预测模型，计算此特征值的预测 量，将其与实际观测值进行比较，最后在二者之间的差异上建立均值方差的统 计模型，从而判定异常。论文基于国家骨干网流量数据实现了一个异常流量检 测原型系统，完成了对于拒绝服务攻击、网络扫描和短时网络拥塞三种异常流 量的检测，以及对于网络流量变化的动态跟踪、安全事件的多维度的可视化展 示功能。 通过实验验证和原型系统的结果分析表明，本文给出的异常流量检 测方法以及实现的原型系统，能够在 150MB/S 的链路上达到实时处理的要求， 且内存开销小，运算简便。其次，算法能够针对多种异常流量同时进行检测， 算法具备可扩展性，并且，在实现检测的同时，可以定位 IP 主机，从而实现可 溯源性。这些对于增强全网的安全响应能力、提高安全防护水平具有重要意义。 此外，由于该算法是基于网络的异常流量检测，因而能够在攻击发生初期对其 进行有效检测，较之基于主机的检测而言，具有更重要的研究和实用价值。正文内容正文内容近年来，随着 Internet 的飞速发展，面向互联网安全的监测和管理已经成 为影响互联网正常应用的重大问题。不同的运营商和管理部门，也相应的建立 了不同的互联网安全事件监测系统。但是，由于互联网安全事件的规模性、复 杂性和不断更新的特性，导致诸如 DDoS 攻击、大规模扫描、僵尸网络和蠕虫传 播等安全事件层出不穷。网络流量异常指网络中流量不规则地显著变化，如何 针对网络上海量数据流进行监测，并对其中的异常进行标定和报警，以及对其 进行可视化展现，是对互联网上安全监测的重要手段之一。 本文针对国家骨 干网络 NetFlow 数据到达速度快、流量大等特点，引入数据流模型，通过对不 同种类攻击原理及造成异常的流量特征分析，提出了一种基于概要数据结构的 可溯源的异常流量检测方法，该方法主要是通过概要数据结构记录与某类异常 相关的流量特征值，进而应用 EWMA 时间序列预测模型，计算此特征值的预测量， 将其与实际观测值进行比较，最后在二者之间的差异上建立均值方差的统计模 型，从而判定异常。论文基于国家骨干网流量数据实现了一个异常流量检测原 型系统，完成了对于拒绝服务攻击、网络扫描和短时网络拥塞三种异常流量的 检测，以及对于网络流量变化的动态跟踪、安全事件的多维度的可视化展示功 能。 通过实验验证和原型系统的结果分析表明，本文给出的异常流量检测方 法以及实现的原型系统，能够在 150MB/S 的链路上达到实时处理的要求，且内 存开销小，运算简便。其次，算法能够针对多种异常流量同时进行检测，算法 具备可扩展性，并且，在实现检测的同时，可以定位 IP 主机，从而实现可溯源 性。这些对于增强全网的安全响应能力、提高安全防护水平具有重要意义。此 外，由于该算法是基于网络的异常流量检测，因而能够在攻击发生初期对其进 行有效检测，较之基于主机的检测而言，具有更重要的研究和实用价值。 近年来，随着 Internet 的飞速发展，面向互联网安全的监测和管理已经成为影 响互联网正常应用的重大问题。不同的运营商和管理部门，也相应的建立了不 同的互联网安全事件监测系统。但是，由于互联网安全事件的规模性、复杂性 和不断更新的特性，导致诸如 DDoS 攻击、大规模扫描、僵尸网络和蠕虫传播等 安全事件层出不穷。网络流量异常指网络中流量不规则地显著变化，如何针对 网络上海量数据流进行监测，并对其中的异常进行标定和报警，以及对其进行 可视化展现，是对互联网上安全监测的重要手段之一。 本文针对国家骨干网 络 NetFlow 数据到达速度快、流量大等特点，引入数据流模型，通过对不同种 类攻击原理及造成异常的流量特征分析，提出了一种基于概要数据结构的可溯 源的异常流量检测方法，该方法主要是通过概要数据结构记录与某类异常相关 的流量特征值，进而应用 EWMA 时间序列预测模型，计算此特征值的预测量，将 其与实际观测值进行比较，最后在二者之间的差异上建立均值方差的统计模型， 从而判定异常。论文基于国家骨干网流量数据实现了一个异常流量检测原型系 统，完成了对于拒绝服务攻击、网络扫描和短时网络拥塞三种异常流量的检测， 以及对于网络流量变化的动态跟踪、安全事件的多维度的可视化展示功能。 通过实验验证和原型系统的结果分析表明，本文给出的异常流量检测方法以及 实现的原型系统，能够在 150MB/S 的链路上达到实时处理的要求，且内存开销 小，运算简便。其次，算法能够针对多种异常流量同时进行检测，算法具备可 扩展性，并且，在实现检测的同时，可以定位 IP 主机，从而实现可溯源性。这 些对于增强全网的安全响应能力、提高安全防护水平具有重要意义。此外，由于该算法是基于网络的异常流量检测，因而能够在攻击发生初期对其进行有效 检测，较之基于主机的检测而言，具有更重要的研究和实用价值。 近年来，随着 Internet 的飞速发展，面向互联网安全的监测和管理已经成为影 响互联网正常应用的重大问题。不同的运营商和管理部门，也相应的建立了不 同的互联网安全事件监测系统。但是，由于互联网安全事件的规模性、复杂性 和不断更新的特性，导致诸如 DDoS 攻击、大规模扫描、僵尸网络和蠕虫传播等 安全事件层出不穷。网络流量异常指网络中流量不规则地显著变化，如何针对 网络上海量数据流进行监测，并对其中的异常进行标定和报警，以及对其进行 可视化展现，是对互联网上安全监测的重要手段之一。 本文针对国家骨干网 络 NetFlow 数据到达速度快、流量大等特点，引入数据流模型，通过对不同种 类攻击原理及造成异常的流量特征分析，提出了一种基于概要数据结构的可溯 源的异常流量检测方法，该方法主要是通过概要数据结构记录与某类异常相关 的流量特征值，进而应用 EWMA 时间序列预测模型，计算此特征值的预测量，将 其与实际观测值进行比较，最后在二者之间的差异上建立均值方差的统计模型， 从而判定异常。论文基于国家骨干网流量数据实现了一个异常流量检测原型系 统，完成了对于拒绝服务攻击、网络扫描和短时网络拥塞三种异常流量的检测， 以及对于网络流量变化的动态跟踪、安全事件的多维度的可视化展示功能。 通过实验验证和原型系统的结果分析表明，本文给出的异常流量检测方法以及 实现的原型系统，能够在 150MB/S 的链路上达到实时处理的要求，且内存开销 小，运算简便。其次，算法能够针对多种异常流量同时进行检测，算法具备可 扩展性，并且，在实现检测的同时，可以定位 IP 主机，从而实现可溯源性。这 些对于增强全网的安全响应能力、提高安全防护水平具有重要意义。此外，由 于该算法是基于网络的异常流量检测，因而能够在攻击发生初期对其进行有效 检测，较之基于主机的检测而言，具有更重要的研究和实用价值。 近年来，随着 Internet 的飞速发展，面向互联网安全的监测和管理已经成为影 响互联网正常应用的重大问题。不同的运营商和管理部门，也相应的建立了不 同的互联网安全事件监测系统。但是，由于互联网安全事件的规模性、复杂性 和不断更新的特性，导致诸如 DDoS 攻击、大规模扫描、僵尸网络和蠕虫传播等 安全事件层出不穷。网络流量异常指网络中流量不规则地显著变化，如何针对 网络上海量数据流进行监测，并对其中的异常进行标定和报警，以及对其进行 可视化展现，是对互联网上安全监测的重要手段之一。 本文针对国家骨干网 络 NetFlow 数据到达速度快、流量大等特点，引入数据流模型，通过对不同种 类攻击原理及造成异常的流量特征分析，提出了一种基于概要数据结构的可溯 源的异常流量检测方法，该方法主要是通过概要数据结构记录与某类异常相关 的流量特征值，进而应用 EWMA 时间序列预测模型，计算此特征值的预测量，将 其与实际观测值进行比较，最后在二者之间的差异上建立均值方差的统计模型， 从而判定异常。论文基于国家骨干网流量数据实现了一个异常流量检测原型系 统，完成了对于拒绝服务攻击、网络扫描和短时网络拥塞三种异常流量的检测， 以及对于网络流量变化的动态跟踪、安全事件的多维度的可视化展示功能。 通过实验验证和原型系统的结果分析表明，本文给出的异常流量检测方法以及 实现的原型系统，能够在 150MB/S 的链路上达到实时处理的要求，且内存开销 小，运算简便。其次，算法能够针对多种异常流量同时进行检测，算法具备可 扩展性，并且，在实现检测的同时，可以定位 IP 主机，从而实现可溯源性。这 些对于增强全网的安全响应能力、提高安全防护水平具有重要意义。此外，由于该算法是基于网络的异常流量检测，因而能够在攻击发生初期对其进行有效 检测，较之基于主机的检测而言，具有更重要的研究和实用价值。 近年来，随着 Internet 的飞速发展，面向互联网安全的监测和管理已经成为影 响互联网正常应用的重大问题。不同的运营商和管理部门，也相应的建立了不 同的互联网安全事件监测系统。但是，由于互联网安全事件的规模性、复杂性 和不断更新的特性，导致诸如 DDoS 攻击、大规模扫描、僵尸网络和蠕虫传播等 安全事件层出不穷。网络流量异常指网络中流量不规则地显著变化，如何针对 网络上海量数据流进行监测，并对其中的异常进行标定和报警，以及对其进行 可视化展现，是对互联网上安全监测的重要手段之一。 本文针对国家骨干网 络 NetFlow 数据到达速度快、流量大等特点，引入数据流模型，通过对不同种 类攻击原理及造成异常的流量特征分析，提出了一种基于概要数据结构的可溯 源的异常流量检测方法，该方法主要是通过概要数据结构记录与某类异常相关 的流量特征值，进而应用 EWMA 时间序列预测模型，计算此特征值的预测量，将 其与实际观测值进行比较，最后在二者之间的差异上建立均值方差的统计模型， 从而判定异常。论文基于国家骨干网流量数据实现了一个异常流量检测原型系 统，完成了对于拒绝服务攻击、网络扫描和短时网络拥塞三种异常流量的检测， 以及对于网络流量变化的动态跟踪、安全事件的多维度的可视化展示功能。 通过实验验证和原型系统的结果分析表明，本文给出的异常流量检测方法以及 实现的原型系统，能够在 150MB/S 的链路上达到实时处理的要求，且内存开销 小，运算简便。其次，算法能够针对多种异常流量同时进行检测，算法具备可 扩展性，并且，在实现检测的同时，可以定位 IP 主机，从而实现可溯源性。这 些对于增强全网的安全响应能力、提高安全防护水平具有重要意义。此外，由 于该算法是基于网络的异常流量检测，因而能够在攻击发生初期对其进行有效 检测，较之基于主机的检测而言，具有更重要的研究和实用价值。 近年来，随着 Internet 的飞速发展，面向互联网安全的监测和管理已经成为影 响互联网正常应用的重大问题。不同的运营商和