学位论文 > 优秀研究生学位论文题录展示

网络入侵异常检测的统计方法研究

作 者: 王昊
导 师: 赵尔敦
学 校: 华中师范大学
专 业: 计算机系统结构
关键词: 网络入侵检测 异常检测 统计特征 参数检验 距离判别
分类号: TP393.08
类 型: 硕士论文
年 份: 2011年
下 载: 25次
引 用: 0次
阅 读: 论文下载
 

内容摘要


随着互联网进入生活的各方各面,网络入侵也日益成为人们面临的安全问题。因此,有效地检测到网络入侵行为具有十分重要的意义。网络入侵检测方法分为基于特征的入侵检测和异常行为检测。基于特征的检测主要针对已知的攻击行为,异常行为检测则是通过网络的异常来实现检测。但目前的方法,都存在着误报警率高的问题。对未知入侵行为的有效检测一直是人们研究的热点问题。网络的异常行为可能是因为攻击,也可能不是因为攻击,但对网络正常运行来说,都是值得注意的。本文采用统计的方法来对异常行为进行检测,而不检测出现何种攻击:论文首先对正常行为的网络实验数据进行统计采集,获得正常行为的统计特征参数;然后统计分析含有入侵的数据,获得入侵行为影响到的主要特征参数;提出采用参数检验的方法和基于距离判别的方法来实时检测异常行为,并通过实验数据进行检验。主要的研究包括:(1)介绍了在网络入侵检测系统中广泛应用的Lincoln实验室的网络入侵的数据集;探讨和研究了snort等网络入侵检测系统,并设计了采集网络入侵数据集的算法;分析了网络入侵的主要方式,并对数据集中出现的网络入侵进行原理分析,分析其表现出来的异常统计特征。(2)通过对网络入侵特征的分析,获得一些能够反应网络入侵的统计特征参数,确定了需要统计的网络行为统计特征,如IP流量、ICMP流量、端口访问量等;利用设计的采集系统采集正常流量数据,获得正常网络流数据的统计特征;采集含网络入侵行为的数据集,并对比网络中正常数据流和入侵数据流的的统计特征,证实了某些统计参数特征能正确反应入侵的行为。(3)提出网络异常行为的参数检验方法,对正常情况下的统计获得正常样本的经验分布,当某种统计特征数值出现在正常样本经验分布的小概率事件范围时,可以判断其出现了异常;提出基于距离判别的方法来实时检测异常行为,在综合各种入侵特征的基础上,给出一组特征组成测试样本向量,对正常情况下各个特征统计出样本向量的样本均值和样本协方差矩阵,求出检验样本向量是否与正常网络流有较大的距离,从而判断是否出现了网络异常。

全文目录


摘要  5-6
Abstract  6-10
第一章 绪论  10-21
  1.1 引言  10
  1.2 网络入侵检测系统  10-16
    1.2.1 网络入侵检测的概念  10-13
    1.2.2 网络入侵检测的分类  13-14
    1.2.3 网络入侵检测目前存在系统  14-16
    1.2.4 网络入侵检测系统中存在的问题  16
  1.3 网络异常行为检测  16-20
    1.3.1 异常行为检测的原理  16-18
    1.3.2 网络异常检测的研究方法  18-19
    1.3.3 网络异常检测的存在的问题  19-20
  1.4 本文的研究内容及组织结构  20-21
第二章 网络入侵数据的采集及入侵特征分析  21-33
  2.1 网络入侵数据集的介绍  21-22
  2.2 网络入侵实验数据采集  22-29
    2.2.1 Lincoln实验室入侵实验数据  22-26
    2.2.2 数据集的采集方法  26-27
    2.2.3 数据集的采集及分析示例  27-29
  2.3 网络入侵特征分析  29-32
    2.3.1 网络入侵的种类  29
    2.3.2 网络入侵的原理及统计特征分析  29-32
  2.4 本章小结  32-33
第三章 网络入侵行为的数据统计特征分析  33-47
  3.1 协议包的流量特征分析  33-37
    3.1.1 刻画包流量的统计量及统计方法  33
    3.1.2 IP包流量的特征统计  33-34
    3.1.3 ICMP包流量的特征统计  34-35
    3.1.4 TCP包流量的特征统计  35-36
    3.1.5 UDP包流量的特征统计  36-37
  3.2 网络来源统计特征分析  37-41
    3.2.1 不同时间窗内出现的不同IP的个数  37-38
    3.2.2 不同时间窗内出现的携带ICMP的IP包的不同地址的个数  38-39
    3.2.3 不同时间窗内出现的携带TCP的IP包的不同地址的个数  39-40
    3.2.4 不同时间窗内IP地址的TCP,UDP包不同端口的平均数  40-41
  3.3 网络行为的统计特征分析  41-45
    3.3.1 不同时间窗内IP地址的IP包数的平均数、最大值、最小值  42
    3.3.2 不同时间窗内IP地址的ICMP包的平均数,最大值,最小值  42-43
    3.3.3 不同时间窗内IP地址的TCP,UDP包的平均数  43-44
    3.3.4 不同时间窗内IP地址发起连接的TCP包的平均数,最大值  44-45
  3.4 网络异常行为对流量的影响  45-46
  3.5 本章小结  46-47
第四章 网络入侵行为的统计检测方法  47-59
  4.1 统计参数检测法  47-54
    4.1.1 参数检验法的原理  47
    4.1.2 流量异常特征检测  47-49
    4.1.3 网络来源异常特征的参数检验  49-52
    4.1.4 异常行为的统计特征的参数检验  52-54
  4.2 距离判别的异常检测方法  54-58
    4.2.1 距离判别的原理  54-55
    4.2.2 异常检测的原理  55-58
  4.3 网络异常行为统计检测的分析与探讨  58
  4.4 本章小结  58-59
第五章 总结  59-60
参考文献  60-63
在校期间发表的论文、参加的科研项目  63-64
致谢  64

相似论文

  1. 用于检索的人脸特征提取与匹配算法研究,TP391.41
  2. 基于核方法的高光谱图像异常检测算法研究,TP751
  3. 人工免疫分类和异常识别算法的改进,R392.1
  4. 基于行为可信的无线传感器网络入侵检测技术的研究,TP212.9
  5. 交通视频中车辆异常行为检测及应用研究,TP391.41
  6. 一种多数据流聚类异常检测算法,TP311.13
  7. 民族面部特征提取及其识别算法研究,TP391.41
  8. 基于投影寻踪回归的网络异常检测机制研究,TP393.08
  9. 非织造布疵点检测研究,TP391.41
  10. 无线传感器网络定位及目标跟踪的研究,TN929.5
  11. P2P流媒体特征提取技术研究与实现,TN919.8
  12. 高光谱图像异常目标检测,TP391.41
  13. 基于非参数统计高斯核函数特征量的网络流量异常检测方法,TP393.07
  14. EPC网络的RFID供应链数据异常检测研究,TP391.44
  15. Linux下基于神经网络的智能入侵检测系统研究,TP393.08
  16. 基于Petri网的网络入侵检测系统研究与实现,TP393.08
  17. 连续时间模型的非参数设定检验问题研究,F224
  18. 基于气味分析的设备异常检测方法研究,TB17
  19. 基于多核混合支持向量机的城市短时交通预测,U491.14
  20. Web敏感信息监测优化方法研究,TP393.08
  21. 基于关联规则的数据库安全审计系统,TP311.13

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com