大流量高速網(wǎng)絡(luò)環(huán)境下用戶行為分析研究.pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)的應(yīng)用范圍越來越廣，隨之而來的是網(wǎng)絡(luò)中各種病毒、木馬等爆發(fā)頻率的加快，更加不幸的是各種網(wǎng)絡(luò)攻擊機(jī)制和網(wǎng)絡(luò)攻擊工具操作使用時(shí)越來越趨向于傻瓜化，這都使計(jì)算機(jī)網(wǎng)絡(luò)在安全性上面臨嚴(yán)重的威脅。同時(shí)網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)中流量迅猛增加，網(wǎng)絡(luò)用戶增長(zhǎng)速度加快，因此如何在網(wǎng)絡(luò)用戶不斷增加的情況下實(shí)現(xiàn)網(wǎng)絡(luò)中海量數(shù)據(jù)的有效存儲(chǔ)和處理以及發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)中存在的網(wǎng)絡(luò)攻擊并做出有效的判斷和處理成為網(wǎng)絡(luò)安全研究的重點(diǎn)。
　　傳統(tǒng)的入侵檢測(cè)系

2、統(tǒng)采用被動(dòng)防御技術(shù)，對(duì)網(wǎng)絡(luò)中的異常數(shù)據(jù)以及入侵檢測(cè)進(jìn)行檢測(cè)。但隨著網(wǎng)絡(luò)帶寬的增加，網(wǎng)絡(luò)中單位時(shí)間內(nèi)通過的數(shù)據(jù)包數(shù)越來越多，這使得入侵檢測(cè)系統(tǒng)在進(jìn)行數(shù)據(jù)采集和分析時(shí)存在檢測(cè)速度不高、誤報(bào)率和漏報(bào)率高等問題。
　　針對(duì)當(dāng)前入侵檢測(cè)技術(shù)存在的缺陷和不足，本文分析了大流量數(shù)據(jù)捕獲、聚類以及異常檢測(cè)的原理，在此基礎(chǔ)上進(jìn)行了深入的研究。本文所作的主要工作有：
　　①在進(jìn)行數(shù)據(jù)采集時(shí)，搭建高速流量采集環(huán)境，使用freebsd和tcpdum

3、p相結(jié)合，并對(duì)freebsd系統(tǒng)進(jìn)行網(wǎng)卡模式修改。經(jīng)過測(cè)試發(fā)現(xiàn)，搭建的環(huán)境在對(duì)重慶大學(xué)網(wǎng)絡(luò)出口流量進(jìn)行數(shù)據(jù)捕獲時(shí)，數(shù)據(jù)丟包率在可以接受的范圍內(nèi)。搭建的數(shù)據(jù)捕獲系統(tǒng)同時(shí)還具有數(shù)據(jù)分析功能，對(duì)于捕獲的數(shù)據(jù)包能夠進(jìn)行實(shí)時(shí)的解析。
　?、谠诜治鲅芯楷F(xiàn)有的入侵檢測(cè)系統(tǒng)和數(shù)據(jù)挖掘技術(shù)的基礎(chǔ)上，本文提出了基于IP流量聚類的數(shù)據(jù)捕獲與入侵檢測(cè)系統(tǒng)Cluster Package CAP（CPCAP）。
　?、坩槍?duì)入侵檢測(cè)系統(tǒng)進(jìn)行異常捕獲時(shí)誤報(bào)

4、率、漏報(bào)率高以及CP算法不能對(duì)大量數(shù)據(jù)進(jìn)行處理的問題，本文在CPCAP系統(tǒng)中采用基于IP流量聚類k均值CP算法（KCP）對(duì)網(wǎng)絡(luò)異常數(shù)據(jù)進(jìn)行檢測(cè)，改進(jìn)后的算法在時(shí)間復(fù)雜度以及在對(duì)入侵檢測(cè)數(shù)據(jù)分析的正確性上優(yōu)于CP算法。同時(shí)在發(fā)現(xiàn)異常數(shù)據(jù)后，能夠根據(jù)改進(jìn)的KCP算法確定攻擊源和目的主機(jī)。
　?、軐?shí)現(xiàn)CPCAP系統(tǒng)在重慶大學(xué)校園網(wǎng)的部署，部署后的系統(tǒng)能夠?qū)崿F(xiàn)對(duì)異常數(shù)據(jù)和網(wǎng)絡(luò)攻擊進(jìn)行有效檢測(cè)。
　　最后，對(duì)本文的所作的研究工作進(jìn)行了