大流量高速網絡環(huán)境下用戶行為分析研究.pdf

1、隨著計算機網絡的發(fā)展，網絡的應用范圍越來越廣，隨之而來的是網絡中各種病毒、木馬等爆發(fā)頻率的加快，更加不幸的是各種網絡攻擊機制和網絡攻擊工具操作使用時越來越趨向于傻瓜化，這都使計算機網絡在安全性上面臨嚴重的威脅。同時網絡帶寬和網絡中流量迅猛增加，網絡用戶增長速度加快，因此如何在網絡用戶不斷增加的情況下實現(xiàn)網絡中海量數(shù)據的有效存儲和處理以及發(fā)現(xiàn)網絡數(shù)據中存在的網絡攻擊并做出有效的判斷和處理成為網絡安全研究的重點。
　　傳統(tǒng)的入侵檢測系

2、統(tǒng)采用被動防御技術，對網絡中的異常數(shù)據以及入侵檢測進行檢測。但隨著網絡帶寬的增加，網絡中單位時間內通過的數(shù)據包數(shù)越來越多，這使得入侵檢測系統(tǒng)在進行數(shù)據采集和分析時存在檢測速度不高、誤報率和漏報率高等問題。
　　針對當前入侵檢測技術存在的缺陷和不足，本文分析了大流量數(shù)據捕獲、聚類以及異常檢測的原理，在此基礎上進行了深入的研究。本文所作的主要工作有：
　?、僭谶M行數(shù)據采集時，搭建高速流量采集環(huán)境，使用freebsd和tcpdum

3、p相結合，并對freebsd系統(tǒng)進行網卡模式修改。經過測試發(fā)現(xiàn)，搭建的環(huán)境在對重慶大學網絡出口流量進行數(shù)據捕獲時，數(shù)據丟包率在可以接受的范圍內。搭建的數(shù)據捕獲系統(tǒng)同時還具有數(shù)據分析功能，對于捕獲的數(shù)據包能夠進行實時的解析。
　　②在分析研究現(xiàn)有的入侵檢測系統(tǒng)和數(shù)據挖掘技術的基礎上，本文提出了基于IP流量聚類的數(shù)據捕獲與入侵檢測系統(tǒng)Cluster Package CAP（CPCAP）。
　?、坩槍θ肭謾z測系統(tǒng)進行異常捕獲時誤報

4、率、漏報率高以及CP算法不能對大量數(shù)據進行處理的問題，本文在CPCAP系統(tǒng)中采用基于IP流量聚類k均值CP算法（KCP）對網絡異常數(shù)據進行檢測，改進后的算法在時間復雜度以及在對入侵檢測數(shù)據分析的正確性上優(yōu)于CP算法。同時在發(fā)現(xiàn)異常數(shù)據后，能夠根據改進的KCP算法確定攻擊源和目的主機。
　　④實現(xiàn)CPCAP系統(tǒng)在重慶大學校園網的部署，部署后的系統(tǒng)能夠實現(xiàn)對異常數(shù)據和網絡攻擊進行有效檢測。
　　最后，對本文的所作的研究工作進行了