基于流量结构稳定性的服务器网络行为描述:建模与系统

发布时间：2019-09-01 19:53

【摘要】：针对现有基于异常特征库匹配的流量检测方法难以适应日趋复杂的网络环境需要的问题,对服务器网络流量进行了大量观测和研究,综合正常流量在某些属性上的固有稳定性及特定服务在流量层面表现出的稳定性,提取相应的流量特征,同时提出了流量结构稳定性的概念,并基于此对服务器的正常网络行为轮廓进行刻画,依据当前流量结构偏离正常轮廓的程度对服务器网络异常行为进行检测。针对流量结构差异性的定量刻画问题,提出了一种基于Spie Chart的可视化度量方法,并基于一台邮件服务器流量实现了系统,通过实验验证了系统对常见网络攻击及未知网络异常的检测效果。
【图文】：

示意图,差异性,示意图,饼图

106电子科技大学学报第46卷rsector(comp,n)rsectr(oabse,n)θ(n)基准饼图轮廓b.SpieChart差异性度量示意图图3SpieChart及差异性度量示意图本文将正常网络行为轮廓的流量结构作为基准饼图，将当前网络流量结构作为比较饼图，每个扇形表示流量结构的一个特征，将两个饼图对应扇形的面积差作为偏离度的衡量值。为了方便描述，令每个饼图的扇形数为N，sector(base,n)r、sector(comp,n)r分别为基准饼图及比较饼图的第n个扇形半径。在SpieChart中，将sector(base,n)r设为1，表示正常网络行为轮廓，sector(comp,n)r则为实际网络流量结构特征值与正常轮廓中对应特征值(正常参考值)的比值。本文以基准饼图与比较饼图的差异作为差异性的度量依据，即图3b中黑色部分面积。由于每个特征的稳定性存在差别，因此各特征对应的扇形角度不同，这里使用稳定系数描述，第n个扇形的稳定系数表示为α(n)，α(n)越大表明越稳定。特征的稳定系数决定了对应扇形的角度θ(n)，扇形的角度越大，对最终计算差异性diff(n)影响越大。1)扇形角度θ(n)α(n)反映了每个特征对差异值影响力的大小，在饼图中则通过对应扇形角度θ(n)体现。θ(n)根据α(n)通过式(1)计算：12π()()()Ninniαθα=

示意图,差异性,示意图,饼图

106电子科技大学学报第46卷rsector(comp,n)rsectr(oabse,n)θ(n)基准饼图轮廓b.SpieChart差异性度量示意图图3SpieChart及差异性度量示意图本文将正常网络行为轮廓的流量结构作为基准饼图，将当前网络流量结构作为比较饼图，每个扇形表示流量结构的一个特征，将两个饼图对应扇形的面积差作为偏离度的衡量值。为了方便描述，令每个饼图的扇形数为N，sector(base,n)r、sector(comp,n)r分别为基准饼图及比较饼图的第n个扇形半径。在SpieChart中，将sector(base,n)r设为1，表示正常网络行为轮廓，sector(comp,n)r则为实际网络流量结构特征值与正常轮廓中对应特征值(正常参考值)的比值。本文以基准饼图与比较饼图的差异作为差异性的度量依据，即图3b中黑色部分面积。由于每个特征的稳定性存在差别，因此各特征对应的扇形角度不同，这里使用稳定系数描述，第n个扇形的稳定系数表示为α(n)，α(n)越大表明越稳定。特征的稳定系数决定了对应扇形的角度θ(n)，扇形的角度越大，，对最终计算差异性diff(n)影响越大。1)扇形角度θ(n)α(n)反映了每个特征对差异值影响力的大小，在饼图中则通过对应扇形角度θ(n)体现。θ(n)根据α(n)通过式(1)计算：12π()()()Ninniαθα=
【作者单位】：四川大学计算机学院;
【基金】：国家自然科学基金(61272447) 国家科技支撑计划(2012BAH18B05)
【分类号】：TP393.08

【参考文献】