收藏
下载资源

多源流量特征分析方法及其在异常检测中的应用.pdf

上传人:qwe****56 文档编号:69622400 上传时间:2023-01-07 格式:PDF 页数:7 大小:379.19KB
返回 下载 相关 举报
多源流量特征分析方法及其在异常检测中的应用.pdf_第1页
第1页 / 共7页
多源流量特征分析方法及其在异常检测中的应用.pdf_第2页
第2页 / 共7页
点击查看更多>>
资源描述

《多源流量特征分析方法及其在异常检测中的应用.pdf》由会员分享,可在线阅读,更多相关《多源流量特征分析方法及其在异常检测中的应用.pdf(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、解放军理工大学学报(自然科学版)第1 0 卷笫4 期2 0 0 9 年8 月V 0 1 1 0N o 4A u g 2 0 0 9J o u m a lo fP L AU n i v e r s 时o fS c i e n c ea n dT e c l l I l o l o g)r(N a n l r a ls c i e n c eE d i t i o n)多源流量特征分析方法及其在异常检测中的应用牛国林1,管晓宏1 2,龙毅1,秦涛1(1 西安交通大学智能网络与网络安全教育部重点实验室、机械制造系统工程国家重点实验室,陕西西安7 l 0 0 4 9;2 清华大学清华信息科学与技术国家

2、实验室,北京l o 0 0 8 4)摘要:针对不同的网络攻击会造成不同流量特征的变化,单一的网络流量特征难以全面检测网络异常的缺陷,提出了一种多源流量特征分析方法。通过选取一组网络流测度,分析其分布特征并采用雷尼信息熵方法进行多源流量特征融合以实现对网络异常行为的全面检测。基于真实网络流量的实验结果表明,提出的网络异常行为检测方法实现简单、计算量小、检测精度高,可适用于大规模网络,能有效检测已知及未知异常。关键词:雷尼信息熵;大规模网络;流量监控;异常行为检测;多源特征融合中图分类号:T P 3 9 3 0 8文献标识码:A文章编号:1 0 0 9 3 4 4 3(2 0 0 9)0 4 一0

3、 3 5 0 0 6A n a I y s i Sm e t h O dO fm u I t l S O u r C ef l o wc h a r a c t e r i S t i C Sa n di t sa p p|c a t i O ni na n O m a I yd e t e c t i o nN f UG“o 一丘挖1,G U A X 妇。一 o 咒9 1,L 0 Gy i l,Q Z 7 0 1(1 M O EK e yL a bf o rI n t e I l i g e n tN e t w o r k sa n dN e t w o r kS e c u r i t

4、y,S t a t eK e yL a bf o rM a n u f a c t u r i n gS y s t e m s,X i7a nJ i a o t o n gU n i v e r s i t y,x i a n7 1 0 0 4 9,C h i n a;2 T s i n g h u aN a t i o n a lL a bf o rI n f o r m a t i o nS c i e n c ea n dT e c h n o l o g y,T s i n g h u aU n i V e r s i t y,B e i j i n gl O 0 0 8 4,C h

5、 i n a)A b s l r a c t:B a s e do nt r a d e o f f sa n a l y s i so fa b n o r m a lb e h a v i o ra n dd e t e c t i o nm e t h o d s,am u l t i s o u r c et r a f f i cf e a t u r e sa n a l y s i sa n da b n o r m a ld e t e c t i o nm e t h o dw a sp r o p o s e d T h ed i s t r i b u t i o nc

6、h a r a c t e r i s t i c so ft h ef l o ws i z e,I Pa d d r e s s e sa n dp o r t sw e r ea n a l y z e da n df o u n dt ob ee f f i c a c i o u si nt r a f f i cp a t t e r n sa n a l y s i s T h eR e n y ie n t r o p yw a se m p l o y e dt of u s et h em u l t i s o u r c ei n f o r m a t i o nc

7、a p t u r e db yd i f f e r e n tt r a f f i cf e a t u r e s,a n da na b n o r m a lb e h a v i o rd e t e c t i o nm e t h o dw a sp r e s e n t e d B e a c a u s eo fu s i n gt h em u l t i s o u r c ei n f o r m a t i o n,t h em o d e l sc o u l dd e t e c tm a n yk i n d so fa b n o r m a lb e

8、h a v i o r s,w h i c hw a sa ni m p o s s i b l em i s s i o nf o rm a n yo t h e rt r a d i t i o n a la b n o r m a ld e t e c t i o nm e t h o d s T h ee x p e r i m e n t a lr e s u l t sb a s e do na c t u a ln e t w o r kd a t as h o wt h a tt h ep r o p o s e da b n o r m a ld e t e c t i o

9、nm e t h o d sa r ee f f e c t i v ei nd e t e c t i n gk n o w na n du n k n o w na t t a c k sw i t hh i g h a c c u r a c yd e t e c t i o nr a t ea n dl o wc o m p l e x i t y K e yw o r d s:R e n y ie n t r o p y;l a r g es c a l en e t w o r k;t r a f f i cm o n i t o r;a n o m a l yd e t e c

10、t i o n;m u l t i s o u r c ec h a r a c t e r j s t j c sf u s i o n在信息化大潮的推动下,计算机网络在人们的生活和工作中扮演着日益重要的作用,但是层出不收稿日期:2 0 0 8 1 2 一0 1 基金项目:国家自然科学基金资助项目(6 0 5 7 4 0 8 7);国家8 6 3计划资助项目(2 0 0 7 A A 0 l Z 4 7 5 2 0 0 7 A A 0 1 2 4 8 0,2 0 0 7 A A 0 l Z 4 6 4 2 0 0 8 A A O l Z 4 1 5)作者简介:牛国林(1 9 8 6 一),女,

11、硕士联系人:管晓宏教授博士生导师;研究方向:计算机网络信息安全、系统优化与调度;E-m a i l:n i v 8 6n i v o l 2 0 g m a i l c o m 穷的网络安全事件严重威胁到计算机网络的安全运行。近年来,基于网络流量特征的网络异常行为检测方法得到了广泛的研究,主要的检测方法可以划分为两类:第1 类流量异常检测方法大多使用统计学手段分离出异常,然后与已知的某类异常表征信息依次进行比较。若结果相近,便确定为该类异常;否则,继续与其他类型异常的表征信息进行比较。但是,这种方法并不能很好地检测大规模网络流量异万方数据万方数据第4 期牛国林,等:多源流量特征分析方法及其在异

12、常检测中的应用3 5 1常,原因有以下3 方面1 :(1)对表征信息模糊的异常不敏感,降低了异常检测的准确性;(2)需要人工处理的过程比较复杂,不适用于大量的网络流量样本;(3)只能确定已知类型的异常,不能发现新类型的异常。第2 类是近年来在文献 2 中提到的一些检测方法,该类方法使用信息熵衡量流量特征的分布,根据分布情况进行异常检测。然而,该方法仅对单一的特征进行分析,并没有给出不同特征的综合分析方法,因而得出的结论具有很大的局限性,且异常检测的范围也很狭窄。针对以上问题,本文提出一种基于多源流量特征分布的网络异常行为检测方法。首先选取一组流量特征的主要参数,包括流大小、端口及地址等,然后采

13、用信息熵的方法衡量其分布特征,由于不同的网络攻击会造成不同特征分布的变化,本文采用雷尼信息熵对上述多源特征的分布进行融合,综合判定网络运行的安全状况。该方法将各特征的测度集合作为一个整体综合分析,而非仅关注某一测度的变化,有广泛的适用性,对低容量异常和未知异常也有良好的检测效果。1 信息熵和雷尼信息熵分析方法1 1 信息熵信息熵是信息论中用于度量信息量的一个概念。一个系统越是有序,信息熵就越低;反之,一个系统越是混乱,信息熵就越高。所以信息熵可以说是系统有序化程度的一个度量3。设离散有限随机变量X=z l,z 2,z 3,z),X 的概率向量为P=(户。户:户。户。),其中,户i o,芝:户i

14、 一1,则x 的信l 1息熵定义为:日(X)=日(P)=H(户1 户:户3 A)=一户1 0 9:户。(1)1 1 11 2 熵值归一化为了比较不同时间点熵值的变化情况,需要对熵值进行归一化处理,使其取值位于o 1 之间。令Ol o gO=O,则对于式(1),有O H(X)l 0 9 2。,(2)其中:第1 个等号在X 为某一定值的时候成立;第2个等号在X 均匀分布的时候成立。N。为独立随机事件可能出现的状态的数目,称为归一化因子。对式(2)进行变换,得。勰l。(3)此时,式(3)即为对熵值进行归一化的结果,利用该结果可以比较不同时间点的熵值。在本文中,如未特别强调,都将使用归一化的熵值进行计

15、算。1 3 雷尼信息熵1 9 6 0 年,A R e n y i 提出了口一级信息熵4 5 ,并定义如下:1(1 一口)l n(户4),口 o,口1,(4)其中:(户。户:户i 户。)为离散随机变量X 的概率分布。雷尼信息熵是香农信息熵的广义形式,用雷尼信息熵度量一个参数为口的概率分布的表达式为:础户)=击1 0 9 z 翠砘(5)此处,o 口 1。易见香农熵是当一1 时的一个特例。根据式(5),口级的互雷尼信息熵为以加)=击l。g z;善,(6)L(加卜南1 0 9 z;茅,“)这里,户和q 为2 个离散的概率分布。互雷尼信息熵的一个重要特性是:当户=q 时,。=O。如果在式(6)中,令口=

16、O 5,则有,0 5(户,q)一2l o g:户 q。一J 0 5(g,户),(7)式(7)为互雷尼信息熵的对称表达式。通过式(7)可进行网络异常行为检测。首先得到网络流量特征观测序列户+,利用式(7)计算A(一1)和p t()的互雷尼信息熵值,可得E R。“c r。=,o 5(p,q)=2l o g:户。(一1)户()。(8)式(8)表明,在通常意义下,若网络环境正常稳定且没有异常发生,尸。在(f 一1)时刻与时刻的取值应该相近,于是互雷尼信息熵值趋近于o;反之若网络中存在异常行为,如发生蠕虫或D D O s 攻击时,则会引起流量特征分布的变化,使得互雷尼信息熵值偏离o。可采用阈值法进行异常

17、行为检测,其中阈值叩的选取与具体的网络环境相关,并可根据经验进行设定。2网络流量特征选取及分析2 1 网络流量特征选取由长期观察和实验可知,几乎所有的大规模网万方数据万方数据3 5 2解放军理工大学学报(自然科学版)第1 0 卷络异常行为都会引起流量特征分布的变化(如地址、端口等)6 。以D O S 攻击为例,无论攻击数据包的大小和攻击流数量的多少,均会在目的地址的分布中有明显的表征,即多数流量的目的地址都集中在受害主机。同时,由文献 7 可知,网络流大小分布F s D(n o ws i z ed i s t r i b u t i o n)对D D O S 攻击和多种网络扫描等异常也有很好的

18、检测效果,且有更高的灵敏度。以网络扫描攻击为例,图1、2 分别给出正常和异常情况下I P 流量分布和端口流量分布的变化情况。易见,流量特征的分布在网络扫描发生时均有不同程度的变化,尤其是目的地址和目的端口这两个测度的测量值分布在该类异常发生时变化显著。1 0 0 08 0 0走6 0 0棚嫠0 02 0 0O5 0 04 0 0圭3 0 0栅籁爝2 0 01 0 00,趟002 0 04 0 06 0 01 0 0 01 2 0 0目的I P 数量个(a)目的I P 流数量统计图0l o o2 0 03(I o4 0 0源I P 数量个(b)源I P 流数量统计图图l 不同I P 流数量统计图

19、F i g 1S t a t i s t i c so fd i f f e r e n tI Pt r a f f i c s结合上述实验和分析,为全面反映网络异常行为的特点,本文选取源端口、目的端口、源I P、目的I P和F S D 作为流量特征。这5 个特征参数信息可方便地由N e t F l o w 嘲包头统计信息获取,便于将本方法应用于实时的网络流量监控和异常行为检测。2 2 概率空间构成确定源I P、目的I P、源端口、目的端口及F S D 作为网络流量特征的5 个基本测度之后,需运用熵值法观测各个测度的分布情况,并通过单位化的方法O2()04(1 06 0 08 0 0l O【)

20、o目的端口数量,个(a)目的端口流数量统计图甲幽。童h;j烈+矿(b)源端口流数量统计图图2 不同端口流数量统计图F i g 2S t a t i s t i c so fd i f f e r e n tp o r tt r a f f i c s使测度集合构成概率空间,从而运用雷尼信息熵法进行异常检测。(1)各个测度的熵值计算相对于传统的基于大量数据统计特征的异常检测手段,使用熵作为流量分析9 3 和异常检测1 0 1 1 3 的手段可以捕捉到更多的细微特征,并能发现在统计数据中没有明显特征变化的异常。熵值计算公式如式(1)所示。其中,本文中各个测度的概率向量定义如下:对于地址:声(z)=

21、以五作为源(目的)地址的流数目总流数;归一化因子为l o g,为所有活动的源(目的)I P 数。对于端口:户(z,)=以薯作为源(目的)端口的流数目总流数;归一化因子为l o g P,P 为所有活动的源(目的)端口。对于F S D:声(工j)=大小为z i 的流的数目总流数;归一化因子为l o g F,F 为一个时间窗口中不同大小的流的数目。(2)测度集合单位化选取的5 个基本流量指标组成的测度集合为o b s 一 1 一源地址I P,2 一目的地址I P,3 一源端口,4 一目的端口,5 一流大小分布)。瑚鲫湖枷姗瑚mo捌赫璃万方数据万方数据第4 期牛国林,等:多源流量特征分析方法及其在异常

22、检测中的应用3 5 3对于测度集o b s 中的每个测度对应有一个统计量即香农熵,该统计量的集合为:r o b。=r|,。I P,f d。I P,r-,。P o n,f o P,r f I d 。将不同时刻的香农熵统计向量组成一时间序列,即r o b。(1),r o b,(2),r o b。(),。对熵值向量进行单位化,得到;。b:;。伊,;。伊,;。,。,山。,。,;h。),(9)r o b 摹=t r。r c 伊,r d-t 伊r。r c P 啊t,f d 5 t P o n f f d,L y,其中:r 5 r c 口 r d 5 t I Pk l r 一瓦-r a s t r 一 i,

23、;时一晋,会n=警,J a 儿J a Uf M2 丽S u=f。,。I P+乱。m+r 5。P o。+“。P。+r I s d。(1 0)易见,;。口+;洲,+;。,。+;山肌。+;砌=1,得到的向量;。即为单位化的向量。对;。应用式(7)计算互雷尼信息熵即J。(o b s(一1),o b s()。此时,分析得到的互雷尼信息熵时间序列即可确定异常发生时间点。3 实验结果分析3 1 网络流量收集本文所用到的数据来自教育网西北网络中心节点出口的主路由器处。教育网西北网络中心是整个西北五省的教育科研机构和部分商业机构的教育网接入点,联网主机近3 0 万台,其主干网流量已达到1 0G b s,西安交通

24、大学校园网内的网络带宽也已达到了1 OG b s,通过在路由器处设置被动监控点实现流量采集。本文所用到流量是西安交通大学校园网内部数个C 网段的外向扫描流量。该流量是从主干路由器上获取的单向流。如图3 所示为实验过程中包数和流数的统计信息图。3 2 数据预处理根据收集到的N e t F I o w 网络流信息,结合选取的网络流量的5 个基本测度按如下4 个步骤进行数据预处理。(1)根据信息熵定义,以1m i n 作为时间窗口,计算网络流量在1 0 0m i n 内,源I P、目的l P、源端口、目的端口及流大小分布的熵值序列,得到1 0 0 5 的0 6O _ 5蠢0 4螟0 30 202 0

25、4 06 08 01 0 0f m i n(”网络流数量l,n l i n(b)网络流数据包数量图3 网络流量统计图F i g 3S t a t i s t i c so fn e t w o r kt r a f f i c矩阵。其中,1 0 0 为时间窗口的大小,5 为测度集合的维度。(2)使用2 2 中的熵值归一化方法对(1)中所得矩阵进行归一化。(3)使用3 2 中的方法对归一化后的熵值矩阵进行单位化处理,构成概率空间。(4)对(3)中所得概率空间,应用2 3 中互雷尼信息熵算法,得到异常检测时间序列I。对I 使用阈值法进行分析,其检测结果即可反映当前网络的异常。3 3 网络异常行为检

26、测以对网络扫描的检测为例。先在没有攻击的正常网络中,收集1 0 0m i n 的正常流量数据。应用本文提出的基于雷尼信息熵的多源流量特征法作熵值曲线,如图4(a)所示;然后以已收集的正常流量数据集为背景流量,在7 3m i n 时注入时长为1m i n 的网络扫描攻击数据,分别应用本文提出的基于雷尼信息熵的方法和传统的熵值检测法对所收集数据进行分析,其结果分别如图4(b)和图5 所示。图4 为正常情况及网络扫描发生时,雷尼信息熵的时间序列曲线。由图4 可知,本实验所计算的雷万方数据万方数据3 5 4解放军理工大学学报(自然科学版)第1 0 卷趔壤。量酲趔墨。孓岂(a)正常情况(b)异常情况雷图

27、4 雷尼信息熵值检测方法F i g 4R e n y ie n t r o p yd e t e c t i o nm e t h o d尼信息熵曲线在网络扫描攻击发生时刻会出现明显起伏,通常令阈值为o 0 0 1 即可有效的分析出是否有异常发生以及异常发生的时间。图5 中的3 组图分别表示了发生网络扫描时各个流量测度熵值随时间的变化曲线,由于对熵值进行了归一化处理,因而显示结果具有较强的可比性。其中图5(a)表示了攻击发生时源I P 和目的I P 的熵值变化情况,图5(b)表示了攻击发生时源端口和目的端口的熵值变化情况,图5(c)表示了攻击发生时流大小分布的熵值曲线。由图4 可知,各个测度的

28、熵值曲线在异常发生时刻无明显起伏,因而传统的熵值检测法难以有效检测该类异常。此外,在实验中还通过端口扫描,D O S 等常见网络异常对传统的单一熵值检测法和本论文提出的基于雷尼信息熵的多源流量特征分析法的检测效果进行了对比分析,对比结果如表l 所示。可见基于雷尼信息熵进行综合检测可以有效发现各类异常,而传统的检测算法仅能在某一测度上检测特定类别的异常。综上,本文提出的基于雷尼信息熵的多源流量特征分析方法能全面检测出端口扫描,D D O S 等常见网络异常,而且算法复杂度低,计算量小,可应用测台 璺龌口磐f m j n(a)口熵值时间序列t,m i n(b)端口熵熵值时间序列I,m i n(c)

29、F s D 熵值时问序列图5 传统的熵值检测方法F i g 5T r a d i t i o n a le n t r o p yd e t e c t i o nm e t h o d表12 种检测方法对比T a b 1C o m p a r s i o nb e t w e e nt h et w od e t e c“o nm e t h o d s于大规模网络。而传统的熵值检测算法在试图全面检测各类异常时需对所有测度的熵值曲线同时进行趔爨口-万方数据万方数据第4 期牛国林,等:多源流量特征分析方法及其在异常检测中的应用3 5 5观测和跟踪,这不仅大大降低了算法的效率,而且不能融合各个测

30、度的表征信息以发现低容量的网络异常。4 4结语针对不同的网络攻击会造成不同流量特征的变化,单一的网络流量特征难以全面检测网络异常的缺陷,本文提出了一种多源流量特征融合的网络异常行为检测方法,即利用雷尼信息墒实现网络参数信息的融合和网络异常行为的检测。实验结果表明,本文提出的基于雷尼信息熵的网络流量异常行为检测方法实现简单,计算量小,异常检测准确性高,可以准确检测已知和未知网络异常行为。下一步工作中,我们将对大规模网络异常的检测进行深入研究,把现在普遍采用的集中式流量分析改为分布式流量分析,减少测量数据的传输,提高节点计算机的使用效率,以到达更好的异常检测效果。参考文献:1 杨岳湘,王海龙,卢锡

31、城基于信息熵的大规模网络流量异常分类口 计算机科学与工程,2 0 0 7,2 9(2):4 0 一4 3 Y A N GY u e x i a n g,W A N GH a i l o n g,L UX i c h e n g E n t r o p y b a s e dc I a s s i f i c a t i o n o fl a r g e s c a l en e t w o r kt r a f f i ca n o m a l i e s 口 C o m p u t e rE n g i n e e r i n g&S c i e n c e,2 0 0 7,2 9(2):4

32、 0 一4 3(i nC h i n e s e)2 L A K H I N AA,C R O V E L L AM,D 1 0 TP D i a g n o s i n gn e t w o r k w i d et r a f f i ca n o m a l i e s J A C MS I G c 0 M MC o m p u t e rC o m m u n i c a t i o nR e v i e w,2 0 0 4 3 4(4):2 1 9 2 3 0 3 s H A N N O NCE Am a t h e m a t i c a lt h e o r yo fc o m

33、m u n i 一 5 6 7 8 9 1 0 c a t i o n J B e l ls y s t e mT e c h n i c a lJ o u r n a l,1 9 4 8,8(2 7):3 7 9 4 2 3 E D W A R DFH M e a s u“n gn e t w o r kc h a n g e:r e n y ic r o s se n t r o p ya n dt h es e c o n do r d e rd e g r e ed i s t r i b u t i o n c H e i d e l b e r g:L N c s,I nP r o

34、 c e e d i n g so fP a s s i v ea n dA c t i v eM e a s u r e m e n tC o n f e r e n c e2 0 0 6。2 0 0 6 R E N Y IA P r o b a b m t yt h e o r y M A m s t e r d a m:N o r t h H o l l a n d。19 7 0 L A K H I N AA,C R O V E L L AM,D I O TC M i n i n ga n o m a l i e su s i n gt r a f f i cf e a t u r ed

35、 i s t r i b u t i o n s c N e wY o r k:A C M,P r o c e e d i n g so fA C MS I G C O M M,2 0 0 5 N Y C H I SG A ne m p i r i c a le v a l u a t i o no fe n t r o p y _ b a s e da n o m a l yd e t e c t i o n D P i t t s b u r g h:C a r n e g i eM e l l o nU n i v e r s i t yT h e s i s,2 0 0 7 C i s

36、 c oS y s t e m s N e t F l o ws e r v i c e ss o l u t i o n sg u i d e E B 0 L h t t p:w w w c i s c o c o m e n U s p r o d u c t s s w n e t m g t s w p s1 9 6 4 p r o d u c t s i m p l e m e n t a t i o n d e s i g n g u i d e 0 9 1 8 6 a 0 0 8 0 0 d 6 a 1 1 h t m l 2 0 0 8 X UK Z H A N GZ,B H

37、A T T A C H A R Y Y AS P r o f i l i n gi n t e r n e tb a c k b o n et r a f f i c:b e h a v i o rm o d e l 5a n da p p l i c a t i o n s J A C MS 1 G C O M MC o m p u t e rC o m m u n i c a t i o nR e v i e w,2 0 0 5,3 5(4):1 6 9 1 8 0 B R A U C K H O F FD,T E L L E N B A C HB,W A G N E RA,e ta 1

38、I m p a c to fT r a f“cs a m p l i n gona n o m a l yd e t e c t i o nm e t r i c s C R i od eJ a n e r i r o,B r a z i l:P r o c e e d i n g so fT h e6 t hA C MS I G C O M MC o n f e r e n c eo nI n t e r n e tM e a s u r e m e n t,2 0 0 6 1 1 K A R A M C H E T IV,G E I G E RD,K E D E Mz,e ta I-C I

39、 e t e c t i n gm a l i c i o u sn e t w o r kt r a f f i cu s i n gi n v e r s ed i s t r i b u t i o n so fp a c k e tc o n t e n t s C P h i l d e l p h i a。P e n n s y l v a n i a:A C M,P r o c e e d i n g so ft h e2 0 0 5A C MS I G C O M MW o r k s h o ponM i n i n gN e t w o r kD a t a,2 0 0 5

40、(责任编辑:汤雪峰)万方数据万方数据多源流量特征分析方法及其在异常检测中的应用多源流量特征分析方法及其在异常检测中的应用作者:牛国林,管晓宏,龙毅,秦涛,NIU Guo-lin,GUAN Xiao-hong,LONG Yi,QIN Tao作者单位:牛国林,龙毅,秦涛,NIU Guo-lin,LONG Yi,QIN Tao(西安交通大学,智能网络与网络安全教育部重点实验室、机械制造系统工程国家重点实验室,陕西,西安,710049),管晓宏,GUANXiao-hong(西安交通大学,智能网络与网络安全教育部重点实验室、机械制造系统工程国家重点实验室,陕西,西安,710049;清华大学,清华信息科学

41、与技术国家实验室,北京,100084)刊名:解放军理工大学学报(自然科学版)英文刊名:JOURNAL OF PLA UNIVERSITY OF SCIENCE AND TECHNOLOGY(NATURAL SCIENCE EDITION)年,卷(期):2009,10(4)参考文献(11条)参考文献(11条)1.XU K;ZHANG Z;BHATTACHARYYA S Profi-ling internet backbone traffic:behavior models and applications 2005(04)2.Cisco Systems.NetFlow services solu

42、tions guide 20083.NYCHIS G An empirical evaluation of entropy-based anomaly detection 20074.LAKHINA A;CROVELLA M;DIOT C Mining anomalies using traffic feature distributions 20055.RENYI A Probability theory 19706.EDWARD F H Measuring network change:renyi cross entropy and the second order degree dist

43、ribution20067.KARAMCHETI V;GEIGER D;KEDEM Z Detecting malicious network traffic using inverse distributions ofpacket contents 20058.BRAUCKHOFF D;TELLENBACH B;WAGNER A Impact of Traffic sampling on anomaly detec-tion metrics 20069.SHANNON C E A mathematical theory of communi-cation 1948(27)10.LAKHINA A;CROVELLA M;DIOT P Diagnosing network-wide traffic anomalies外文期刊 2004(04)11.杨岳湘;王海龙;卢锡城 基于信息熵的大规模网络流量异常分类期刊论文-计算机工程与科学 2007(02)本文链接:http:/

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 应用文书 > 财经金融

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁