大流量高速網(wǎng)絡環(huán)境下用戶行為分析研究.pdf

1、隨著計算機網(wǎng)絡的發(fā)展，網(wǎng)絡的應用范圍越來越廣，隨之而來的是網(wǎng)絡中各種病毒、木馬等爆發(fā)頻率的加快，更加不幸的是各種網(wǎng)絡攻擊機制和網(wǎng)絡攻擊工具操作使用時越來越趨向于傻瓜化，這都使計算機網(wǎng)絡在安全性上面臨嚴重的威脅。同時網(wǎng)絡帶寬和網(wǎng)絡中流量迅猛增加，網(wǎng)絡用戶增長速度加快，因此如何在網(wǎng)絡用戶不斷增加的情況下實現(xiàn)網(wǎng)絡中海量數(shù)據(jù)的有效存儲和處理以及發(fā)現(xiàn)網(wǎng)絡數(shù)據(jù)中存在的網(wǎng)絡攻擊并做出有效的判斷和處理成為網(wǎng)絡安全研究的重點。
　　傳統(tǒng)的入侵檢測系

2、統(tǒng)采用被動防御技術，對網(wǎng)絡中的異常數(shù)據(jù)以及入侵檢測進行檢測。但隨著網(wǎng)絡帶寬的增加，網(wǎng)絡中單位時間內通過的數(shù)據(jù)包數(shù)越來越多，這使得入侵檢測系統(tǒng)在進行數(shù)據(jù)采集和分析時存在檢測速度不高、誤報率和漏報率高等問題。
　　針對當前入侵檢測技術存在的缺陷和不足，本文分析了大流量數(shù)據(jù)捕獲、聚類以及異常檢測的原理，在此基礎上進行了深入的研究。本文所作的主要工作有：
　?、僭谶M行數(shù)據(jù)采集時，搭建高速流量采集環(huán)境，使用freebsd和tcpdum

3、p相結合，并對freebsd系統(tǒng)進行網(wǎng)卡模式修改。經(jīng)過測試發(fā)現(xiàn)，搭建的環(huán)境在對重慶大學網(wǎng)絡出口流量進行數(shù)據(jù)捕獲時，數(shù)據(jù)丟包率在可以接受的范圍內。搭建的數(shù)據(jù)捕獲系統(tǒng)同時還具有數(shù)據(jù)分析功能，對于捕獲的數(shù)據(jù)包能夠進行實時的解析。
　?、谠诜治鲅芯楷F(xiàn)有的入侵檢測系統(tǒng)和數(shù)據(jù)挖掘技術的基礎上，本文提出了基于IP流量聚類的數(shù)據(jù)捕獲與入侵檢測系統(tǒng)Cluster Package CAP（CPCAP）。
　?、坩槍θ肭謾z測系統(tǒng)進行異常捕獲時誤報

4、率、漏報率高以及CP算法不能對大量數(shù)據(jù)進行處理的問題，本文在CPCAP系統(tǒng)中采用基于IP流量聚類k均值CP算法（KCP）對網(wǎng)絡異常數(shù)據(jù)進行檢測，改進后的算法在時間復雜度以及在對入侵檢測數(shù)據(jù)分析的正確性上優(yōu)于CP算法。同時在發(fā)現(xiàn)異常數(shù)據(jù)后，能夠根據(jù)改進的KCP算法確定攻擊源和目的主機。
　?、軐崿F(xiàn)CPCAP系統(tǒng)在重慶大學校園網(wǎng)的部署，部署后的系統(tǒng)能夠實現(xiàn)對異常數(shù)據(jù)和網(wǎng)絡攻擊進行有效檢測。
　　最后，對本文的所作的研究工作進行了