骨干通信網(wǎng)中的分布式隱蔽流量異常檢測(cè)方法研究.pdf

1、隨著網(wǎng)絡(luò)通信技術(shù)的迅速發(fā)展，骨干通信網(wǎng)的帶寬不斷增加，承載的信息日趨多元化，異常流量帶來(lái)的通信網(wǎng)絡(luò)管理問(wèn)題也越來(lái)越復(fù)雜。分布式流量異常是由同種原因引起，同時(shí)存在于多條鏈路的異常流量，如分布式拒絕服務(wù)攻擊、蠕蟲(chóng)傳播、突發(fā)訪問(wèn)、網(wǎng)絡(luò)操作異常等。在單條鏈路上這些異常流量隱蔽在骨干通信網(wǎng)巨大的背景流量下，不易檢測(cè)，而多條鏈路上的異常匯聚總量驚人，可能導(dǎo)致網(wǎng)絡(luò)性能急劇下降，嚴(yán)重影響網(wǎng)絡(luò)的正常運(yùn)行。對(duì)分布式隱蔽流量異常的檢測(cè)是確保通信網(wǎng)絡(luò)安全的基礎(chǔ)

2、工作，對(duì)提高通信網(wǎng)絡(luò)系統(tǒng)的應(yīng)急響應(yīng)能力具有十分重要的意義，也是全球網(wǎng)絡(luò)安全領(lǐng)域?qū)W術(shù)界和工業(yè)界共同關(guān)注的前沿科學(xué)問(wèn)題。本文在系統(tǒng)地分析現(xiàn)有多種流量異常檢測(cè)方法的基礎(chǔ)上，充分考慮了分布式隱蔽流量異常時(shí)間空間模式上的不同特征，結(jié)合多種統(tǒng)計(jì)分析、信號(hào)處理等技術(shù)，從不同角度提出了多種檢測(cè)方法，所取得的主要研究成果如下：
　　 ⑴運(yùn)用小波變換對(duì)模型的參數(shù)進(jìn)行估計(jì)，設(shè)計(jì)了一種定量策略，衡量異常流量對(duì)模型估計(jì)的影響。能夠有效檢測(cè)出弱異常流以及未

3、明顯影響自相似Hurst系數(shù)變化的異常流，對(duì)異常發(fā)生初期檢測(cè)效果明顯。與基于自相似模型的流量異常檢測(cè)方法相比，能檢測(cè)出幅值更低的弱異常。
　　 ⑵通過(guò)提出一種基于滑動(dòng)時(shí)窗的瞬時(shí)參數(shù)快速計(jì)算方法，迅速獲得流量信號(hào)的瞬時(shí)頻率和瞬時(shí)振幅；采用時(shí)間序列模型預(yù)測(cè)獲得瞬時(shí)參數(shù)估計(jì)值，將瞬時(shí)參數(shù)觀測(cè)值與估計(jì)值間的差異定義為異?？臻g；最終根據(jù)異常空間相關(guān)性檢測(cè)分布在不同鏈路的隱蔽流量異常。本方法具有比現(xiàn)有方法更高的統(tǒng)計(jì)檢測(cè)性能，對(duì)低幅值的分布式

4、流量異常具有更高的敏感性，可避免現(xiàn)有全局主成分分析方法無(wú)法檢測(cè)相關(guān)異常的缺陷。
　　 ⑶對(duì)單個(gè)節(jié)點(diǎn)的不同鏈路，利用多尺度分析自適應(yīng)地檢測(cè)流量信號(hào)中可能存在異常的頻帶，將可能存在異常的頻帶重構(gòu)，生成單條鏈路的異常特征信號(hào)；然后將多條鏈路上同一個(gè)時(shí)刻下的異常特征信號(hào)值看做高維空間中的點(diǎn)，通過(guò)核密度估計(jì)評(píng)估異常程度。仿真數(shù)據(jù)的檢測(cè)結(jié)果表明本文方法能檢測(cè)出單條鏈路上很小的異常流量，優(yōu)于現(xiàn)有方法。
　　 ⑷改變傳統(tǒng)基于OD流檢測(cè)方