您的位置:360文档中心› 基于熵的流量分析和异常检测技术研究与实现

基于熵的流量分析和异常检测技术研究与实现

合集下载

基于特征属性信息熵的网络异常流量检测方法

基于特征属性信息熵的网络异常流量检测方法

基于特征属性信息熵的网络异常流量检测方法刘奕1,李建华1,张一瑫2,孟涛1(1.空军工程大学信息与导航学院,西安 710077;2.空军工程大学职业教育中心,西安 710038)摘 要:针对网络异常流量检测问题,文章提出一种基于网络流量特征属性信息熵的异常流量检测方法。

该方法首先计算描述网络流量特征变化的源端口号、目的端口号、源IP地址和目的IP地址这4种特征属性信息熵,并进行归一化处理,降低异常样本数据对分类性能的影响;然后利用自适应遗传算法对支持向量机分类器的惩罚参数和核函数参数进行优化,提高分类器泛化能力,同时改进遗传算法的交叉算子和变异算子,减少支持向量机分类器的训练时间;最后通过训练好的支持向量机分类器识别4种流量特征属性信息熵的变化以实现网络异常流量检测。

仿真实验表明,该方法提取的4种流量特征属性信息熵能够有效表征异常流量变化,在多种异常流量类型条件下,具有较高的异常流量识别率和较低的误判率,且检测方法的鲁棒性较好。

关键词:信息熵;异常流量检测;支持向量机;参数优化中图分类号:TP309 文献标志码: A 文章编号:1671-1122(2021)02-0078-09中文引用格式:刘奕,李建华,张一瑫,等.基于特征属性信息熵的网络异常流量检测方法[J].信息网络安全,2021,21(2):78-86.英文引用格式:LIU Yi, LI Jianhua, ZHANG Yitao, et al. Network Abnormal Flow Detection Method Based on Feature Attribute Information Entropy[J].Netinfo Security, 2021, 21(2): 78-86.Network Abnormal Flow Detection Method Based on FeatureAttribute Information EntropyLIU Yi1, LI Jianhua1, ZHANG Yitao2, MENG Tao1(1. Information and Navigation College, Air Force Engineering University, Xi’an 710077, China;2. VocationalEducation Center of Air Force Engineering University, Xi’an 710038, China)Abstract: Aiming at the problem of network abnormal flow detection, this paper proposes an abnormal flow detection method based on network flow feature attribute informationentropy. This method firstly calculates the four feature attribute information entropies of sourceport number, destination port number, source IP address and destination IP address whichdescribe the change of network flow feature. At the same time, normalization is performed toreduce the impact of abnormal sample data on classification performance. Then, the adaptivegenetic algorithm is used to optimize the penalty parameters and kernel function parametersof the support vector machine classifier to improve the generalization ability of the classifier.收稿日期:2020-09-01基金项目:国家自然科学基金[61871396]作者简介:刘奕(1983—),女,江苏,博士研究生,主要研究方向为网络安全;李建华(1965—),男,陕西,教授,博士,主要研究方向为空天信息网络系统规划建设;张一瑫(1983—),男,陕西,讲师,硕士,主要研究方向为无线电通信与导航;孟涛(1967—),女,江苏,副教授,硕士,主要研究方向为通信对抗技术。

基于信息熵的网络流量分析研究

基于信息熵的网络流量分析研究

基于信息熵的网络流量分析研究网络流量分析是网络安全领域中极为重要的一项技术。

通过对网络数据包的分析,可以对网络中的异常流量、攻击行为等问题进行检测和排查,帮助网络管理员及时发现问题并采取相应的措施保证网络安全。

信息熵是一种常用的信息度量工具,可以用于评估网络数据包的复杂程度和随机性,从而分析网络流量特征。

本文将介绍基于信息熵的网络流量分析研究。

一、网络流量分析的意义随着互联网的发展,网络攻击的威胁也日益严重。

黑客不断利用各种漏洞和攻击手段进行攻击,窃取账号密码、非法访问、垃圾邮件等行为不断出现。

这些攻击行为给网络安全带来了极大的威胁,为了保障网络安全,网络流量分析就变得尤为关键。

通过对网络数据包的分析,可以发现和定位网络中的异常数据流,识别并定位攻击威胁,从而采取相应措施保护网络安全。

二、信息熵在网络流量分析中的应用2.1 信息熵的基本概念信息熵是信息学中的一个基本概念,用来度量信息的不确定性和随机性。

熵越大,信息的不确定性越大,信息越随机。

网络数据包也具有一定的随机性和复杂性,因此可以通过信息熵对网络数据包进行分析。

2.2 信息熵在网络流量分析中的作用网络数据包的信息熵可以反映其复杂度和随机性,因此可以用来区分不同类型的网络流量。

例如,大多数应用层协议的网络流量具有较高的熵值,而PING、ARP等协议的流量则较为规则,熵值较低。

因此,可以通过对网络数据包的熵值分析,对网络流量进行分类,并发现网络中的异常流量。

2.3 示例分析下面以一个简单的示例来说明信息熵在网络流量分析中的作用。

假设有如下两组网络数据包:流量A:00 11 22 33 44 55 66 77 88 99 AA BB CC DD EE FF流量B:11 22 44 55 66 77 99 AA BB CC DD FF EE 00 33 88通过计算两组数据包的信息熵,可以得到如下结果:流量A的信息熵为3.99流量B的信息熵为4.00可以发现,流量B的熵值略高于流量A,这意味着流量B的复杂度和随机性略高于流量A。

基于信息熵的网络流量分析与安全检测

基于信息熵的网络流量分析与安全检测

基于信息熵的网络流量分析与安全检测随着网络技术的飞速发展,互联网已经成为了我们日常生活以及工作中不可缺少的一部分,我们需要借助网络来完成很多事情,比如打开网页浏览资讯,通过网络购物、聊天、工作等等。

然而,网络的使用也带来了一些潜在的安全风险,如网络病毒,黑客攻击等等,这些安全问题需要我们加强网络安全检测。

网络流量分析与安全检测已经成为信息安全领域非常重要的一部分,可以通过对网络流量的分析来发现和防范网络攻击,保护网络的安全。

信息熵在网络流量分析与安全检测中是一种很常见的分析方法。

信息熵的概念来源于热力学,是一个度量物理系统乱度的物理量,可以用来描述信息的随机程度。

在计算机科学中,信息熵被用来衡量各种消息及其概率分布的信息量,即用来衡量消息是否重要的指标。

信息量越大,熵值就越大,反之亦然。

在网络流量分析与安全检测中,信息熵可以用来分析流量的统计规律,可以发现网络流量中大量不同的特征组合,例如源地址,目标地址,协议类型,端口号,数据包大小等等。

通过计算这些组合的信息熵,可以了解流量的统计规律,进而提高网络的安全性。

在网络流量分析与安全检测方面,信息熵有以下应用:1. 网络流量分析信息熵可以用来分析网络流量的分布情况,例如对某一特定IP地址的流量进行分析,可以计算流量数据包的大小分布、端口号分布等等,通过这些信息可以分析出该IP地址的网络使用情况,从而可以进行针对性的优化。

2. DDoS攻击检测DDoS(分布式拒绝服务攻击)是一种常见的网络攻击形式,通过大量的恶意流量向目标服务器发起攻击,导致服务无法正常运行。

信息熵可以用来检测DDoS攻击,因为攻击流量的统计规律与正常流量有所不同,可以通过计算信息熵来判断流量是否属于DDoS攻击。

3. 木马攻击检测木马是一种常见的网络安全威胁,通过植入恶意代码实现对目标系统的控制和监控。

信息熵可以用来检测指向控制服务器的恶意流量,因为该类流量有时会带有加密头部,难以通过其他方法进行检测。

基于熵值检测的网络异常流识别

基于熵值检测的网络异常流识别

基于熵值检测的网络异常流识别网络异常流是指在网络通信中出现的与正常流量行为不符的数据流。

它可能是网络攻击或故障的表现,对网络安全和性能产生严重影响。

因此,网络异常流的识别和监测是网络管理和安全维护的重要任务之一。

为了准确地识别网络异常流,熵值检测成为一种广泛应用的方法。

熵值是信息论中的概念,用于度量数据集合的不确定性和随机性。

在网络流量分析中,熵值可以揭示流量的规律性和异常性。

一、熵值检测原理熵值检测基于信息熵的概念。

信息熵是信息论中度量信息量的一种方法,表示信息的不确定性。

在网络流量分析中,信息熵可用于度量数据流的随机性和规律性。

正常网络流量通常具有较低的熵值,而网络异常流则具有较高的熵值。

为了实现熵值检测,首先需要对网络流量数据进行采样和处理,以获取所需的特征。

常见的特征包括数据包大小、传输协议、源和目的IP地址等。

然后,通过计算数据流的熵值,可以得到该流的随机性程度。

根据事先设定的阈值,将熵值较高的流标记为异常流。

二、熵值检测的优势相比其他方法,熵值检测具有以下优势:1. 适用性广泛:熵值检测不依赖于特定网络协议或应用场景,适用于各种类型的网络环境。

2. 实时性强:由于熵值计算是基于数据流特征的累积统计,因此可以实时进行异常流识别。

3. 鲁棒性高:熵值检测对于网络流量的变化和背景噪声具有较强的鲁棒性。

三、熵值检测的应用熵值检测在网络异常流识别中具有广泛应用,下面介绍几个常见的应用场景:1. DDoS攻击检测:分布式拒绝服务(DDoS)攻击是网络安全的主要威胁之一。

熵值检测可以通过监测流量的熵值,及时发现DDoS攻击的异常流。

2. 僵尸网络识别:僵尸网络是黑客利用恶意软件控制大量主机进行攻击或传播的网络。

通过熵值检测,可以识别出僵尸网络中的异常流,从而有效阻止攻击行为。

3. 网络故障监测:网络故障可能导致流量的异常行为。

通过熵值检测,可以及时发现网络中的故障流量,并采取相应措施进行修复。

四、熵值检测的挑战和改进虽然熵值检测在网络异常流识别中取得了一定的成果,但仍面临以下挑战:1. 大数据处理:网络流量数据呈现指数增长趋势,导致熵值检测算法在处理大规模数据时效率低下。

基于机器学习的网络流量分析与异常检测

基于机器学习的网络流量分析与异常检测

基于机器学习的网络流量分析与异常检测网络流量分析与异常检测是当今网络安全领域中的重要研究方向,它可以帮助企业和组织实时监测和检测网络中的异常活动,以及恶意攻击行为。

传统的网络流量分析方法通常只基于特定规则和模式进行检测,对于新型的网络攻击往往无法准确识别。

而基于机器学习的网络流量分析与异常检测则可以通过训练算法,自动识别和学习网络流量中的正常行为模式,并检测出不符合正常模式的异常行为。

本文将重点介绍基于机器学习的网络流量分析与异常检测的原理、方法和应用。

一、网络流量分析的背景与意义网络流量分析是指对网络中的数据包进行捕获、解析和处理,以获取有关网络流量特征的信息。

通过对网络流量的分析,可以获得网络中的通信行为、协议使用情况、带宽利用率等信息,对于网络性能优化、安全检测等方面具有重要意义。

而异常检测则是对网络流量中的异常活动进行识别和定位,帮助企业和组织及时发现并处理网络攻击行为。

二、基于机器学习的网络流量分析与异常检测方法1. 数据预处理在进行网络流量分析和异常检测之前,首先需要对原始网络数据进行预处理。

这包括数据清洗、特征提取和数据标准化等步骤。

数据清洗主要是去除噪声数据和无效信息,确保数据的有效性和准确性。

特征提取则是从原始数据中提取出具有代表性的特征,用于后续的建模和分析。

数据标准化则是将不同尺度和数值范围的特征统一到相同的数值范围内,避免特征之间的差异影响模型训练的效果。

2. 特征选择与构建特征选择是在众多的网络流量特征中选择出最具有代表性和重要性的特征,用于构建机器学习模型。

通常可以利用统计方法、信息熵等技术进行特征选择。

在特征选择的基础上,还可以通过特征构建来创建新的高级特征,以提高模型的准确性和表现能力。

3. 模型训练与评估基于机器学习的网络流量分析与异常检测需要通过训练算法建立模型,并对模型进行评估和优化。

常用的机器学习算法包括支持向量机(SVM)、朴素贝叶斯(Naive Bayes)和深度学习等。

基于信息熵的通信网络流量异常监测系统

基于信息熵的通信网络流量异常监测系统
1 通信网络流量异常监测系统硬件配置优化
当前网络技术飞速发展,通信网络的应用越来 越广泛。人们对网络的依赖性日益增强,因此通信网
收稿日期:2020-09-14 基金项目:郑州工业应用技术学院 2018 年专科教学改革 试 点 基 金 项 目 - 计 算 机 应 用 技 术(201808);2019 年 郑 州工业应用技术学院教育教学改革研究与实践项目(JG190230)。 作者简介:尹光花(1990-),女,河南固始人,硕士,助 教,主要研究方向为大数据;
一般来说,网络异常是指网络运行状态与正常 状态发生偏差。由于网络流量异常具有加速扩散的特 征,因此需要及时对其进行监控。针对不同粒度、类 型以及传输时间的网络流量,需要对其进行划分,以 提高监测效率 [3]。在监测具体线路和节点时,应设 置相应的指标。采用上下法能有效提高指标的最大值 和最小值,并通过计算得出平均值。设定通信处理中 心的 IP 地址,并按 10 b/s 的频率定期向 IP 地址报告 通信数据,包括通信源 IP、通信源端口以及通信源 的协议类型。通信网络终端每次更新通信源和通信包
2.Business School,Shengda College of Zhengzhou,Zhengzhou 450000,China)
Abstract:In order to solve the problem of low accuracy of traditional system for mobile communication network traffic monitoring,a communication network traffic anomaly monitoring system based on information entropy is designed,and the software and hardware of the system are optimized. The hardware part includes communication network traffic data acquisition module,communication network traffic feature monitoring module and communication network traffic feature display module,which can ensure the performance of the system. The software part realizes the abnormal monitoring of communication network traffic mainly by optimizing the network traffic setting threshold, monitoring effect and data statistics results. Experiments show that the system can effectively improve the accuracy of abnormal traffic monitoring in communication network,and has high practical value.

基于熵的网络异常流量检测研究综述

基于熵的网络异常流量检测研究综述
Abs t r a c t : I t i s a n e s s e n t i a l me a n s t o d e t e c t a n d a na l y s i z e t h e a b n o r ma l n e t wo r k t r a ic f i n n e t wo r k s u pe r v i s i o n . An d i t i s

要:网络流量 异常检测及分 析作为一种重 要的网络监管控 制手段,是 网络及 安全 管理领域 的重 要研 究 内容 .
本文探讨 了网络异常流量 的种类,简述 了基于 传统 的异 常检 测方法在 网络 异常流量检测 中的应用 以及存在 的 问 题. 针对基 于信 息熵 、相对熵 、活跃熵等熵值理论在 网络异 常流量检测 中的研 究,阐述 了基于熵值理论 的异常检 测在 国内外 的研究进展情况.总结了当前基 于熵值 理论的异常检 测研 究工作中存在的 问题及改进方 向. 关键词:网络安全;异常检 测;异常流量 ; 熵理论 ; 信 息熵
计 算 机 系 统 应 用
h t t p : f } w. c - S - a . o r g . c n
2 0 1 7年 第 2 6卷 第 6 期
基于熵的网络异常流量检测研究综述①
李 蕊,张路桥,李海峰,刘 恺
( 成都信息工程大学 信息安全工程学 院,成都 6 1 0 0 0 0 )
Sur v e y o f Ent r o p y — Ba s e d Ne t wo r k Tr a f ! f i c Ano ma l y De t e c t i o n M e t ho ds
L I R u i , Z HA NG L u - Qi a o , L I H a i - F e n g , L I U K a i

一种SDN中基于熵值计算的异常流量检测方法

一种SDN中基于熵值计算的异常流量检测方法

he t S DN d a t a p l a n e e n t i t y f o r a n a l y z i n g . T h e a t t a c k s c a n b e d e t e c t e d b a s e d o n t h e e n r t o p y v a i r a t i o n o f t h e i d e n t i i f e r
An En t r o p y Ba s e d An o ma l y Tr a ic f De t e c t i o n Ap p r o a c h i n S DN
Wa n u Hu a c h u n , C h e n J i a , Z h a n g Ho n g k e
研究与开发

种S D N中基 于熵值计 算 的异 常流 量检 测方法
王铭 鑫 。 周 华春 , 陈 佳, 张宏 科
( 北 京 交通 大 学 电子 信 息 工程 学 院 北京 1 0 0 0 4 4 )
摘 要: 软件定义 网络 ( s o f t w a r e d e i f n e d n e t w o r k i n g , S D N) 是一种新 型网络创新架 构 , 其 分 离 了控 制 平 面 与 转 发
到 的 网络 异 常 情 况 , 安 全 中心 通 过 与 S D N控 制 器 的 接 口通 告 S D N 控 制 器 上 的安 全 处 理 模 块 , 进 行 流 表 策 略 的
下发 , 进 而 缓 解 网络 异 常 行 为 。 通 过 本 系 统 可 以在 不 影 响 S D N控制器性 能的情况下 , 快 速 检 测 网 络 中 的 异 常
平面 , 使得 网络管理更为灵活 。 借助S D N控 制 与 转 发 分 离 的思 想 , 在S D N 基 础 上 引 入 一 个 集 中 式安 全 中 心 , 在 数 据 平 面 设 备 上 采 集 数据 , 用 于对 网 络 流 量 进 行 分 析 , 通 过 熵 值 计 算 和分 类 算 法判 断 异 常 流 量 行 为 。 对 于 检 测
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

ly a d e t e c i t o nt e c h n o l o g y b se a d o n j o i n t - e n t r o p yi s mo r e e f ct e i v e , ndt a h e n av a l i da na l y s i s o f i d e a st o d e t e c t hea t no ma l y o f r t a f i f c i s p r o
崔锡 鑫 , 苏 伟, 刘 颖
( 北 京 交通 大学 电子信 息工程 学院 , 北京 1 0 0 0 4 4 )
摘 要: 随着 互联 网的 飞速发 展 , 网络安 全 问题受 到越来 越 多 的关 注 。作 为一种 重 要 的 网络监 管 控制 手段 , 流量 异 常检 测
技 术也越 来越 受到 人们 的重视 。 目前流 量异 常检测 方法 有 很 多 , 基 于熵 的流量 异 常 检测 是 近 几 年研 究 较 多 的一 种 方法 。 文 中在 基于熵 的流 量异 常检测 的基础 上 , 先对 两种 算 法进行 编 程 实 现 , 即基 于 信 息熵 的流 量 异常 检 测算 法 和 基 于联 合 熵 的流量异 常检 测算 法 , 而后对 这两 种算 法进行 实验 测试 与分 析 比较 , 结果 表 明基 于联 合 熵 的 流量 异 常检 测 可 以 更为 有 效
地 检测 出异 常 。同时根 据分析 结 果 , 提 出一种 有效 的检测 流量异 常 的分析 思路 。 关键词 : 异常 检测 ; 熵; 联 合熵
中 图分 类号 : T P 3 0 9 文献 标识 码 : A 文章编 号 : 1 6 7 3 — 6 2 9 X ( 2 0 1 3 ) 0 5 — 0 1 2 0 — 0 4
CU I Xi -x i n, S U We i , LI U Yi n g
( C o l l e g e o f E l e c t r o n i c s a n d I n f o r ma t i o n E n g i n e e r i n g , B e i j i n g J i a o t o n g U n i v e r s i t y , B e i j i n g 1 0 0 0 4 4, C h i n a )
第2 3卷
第 5期
计 算 机 技 术 与 发 展
C OMPU TER T ECHNOL OGY AND DE VE LOP MENT
2 0 1 3年 5月
Vo 1 . 2 3 No . 5 Ma v . 201 3
基 于熵 的流 量 分 析 和 异 常检 测 技 术研 究 与 实 现
a r e p r o g r a mmi n gr ea li z e di nt hi s p a er p , he t nma k ea n e x er p i me n t a l t e s t n da a n a n lys a i s a c c o r d i n gt ot h et wo wa ys . I t s h o wst ha tt h ea no m—
y e a r s . F i r s t t h e no a ma ly d e t e c i t o n t e c h n o l o g y b a s d e o n i n f o r ma i t o n e n r t o p y nd a he t no a ma l y d e t e c t i o n t e c h n o l o g y b se a d o n j o i n t - e n t r o p y
o f n e t wo r k mo n i t o in r g a n d c o n t r o l , he t r t a f ic f no a ma l y d e t e c i t o n t e c h n o l o g y h a s b e e n r e li a z i n g mo r e i mp or t a n t b y p e o p l e . No w he t r e a r e
Abs t r a c t : W i t h he t ap r i d d e v e l o p me n t o f I n t e r n e t , he t n e t wo r k s e c u r i t y r e c e i v e s mo r e a n d mo r e a t  ̄n io f n . As o n e o f he t i mp o r t a n t me n s a
Hale Waihona Puke d o i : 1 0 . 3 9 6 9 / j . i s s n . 1 6 7 3 — 6 2 9 X. 2 0 1 3 . 0 5 . 0 3 1
Re s e a r c h a n d I mp l e me n t a t i o n o f Tr a ic f An a l y s i s a n d An o ma l y De t e c t i o n Te c h n o l o g y Ba s e d o n En t r o p y
ma ny wa y s t o d e t e ct he t no a ma l y o f he t ra t i c, f nd a he t no a ma ly d e t e c io t n t e c h n o l o g y b se a d o n e n t r o p y i s n a i mp o r t a n t me a n s i n r e c e n t
相关文档
最新文档