一、软件实现.Netflow流量处理的关键技术和算法(论文文献综述)
田晓雄[1](2021)在《多源异构数据融合的网络安全态势评估研究》文中认为随着通信技术的快速发展,互联网的优势日益凸显,极大地促进了社会经济的发展,互联网已经成为人类生活密不可分的一部分。互联网带来诸多便利的同时,人类也将面临新的风险与挑战,各种攻击事件层出不穷,严重地危害社会发展与个人财产安全。单点检测是监测网络攻击的一种常用手段,然而由于其数据源单一,且彼此之间缺乏有效协同机制等弊端,无法有效地应对智能化、复杂化的网络攻击。网络安全态势评估技术由于具有综合分析网络中多个节点信息的优势,得到广大学者的关注,并取得了一些研究成果,但其中涉及的体系架构、多源融合、评估方法等技术仍有待深入研究。本文深入研究了多源异构数据融合的网络安全态势评估方法,并对其中涉及的多源融合算法、态势评估策略进行了较为详细的分析和研究。主要工作及创新如下:1、构建了多源异构数据融合的网络安全态势评估体系。通过对网络安全态势评估机制进行深入剖析,有机地结合威胁检测、多源数据融合、层次化网络威胁评估方法,本文提出了一个包含流量解析模块、属性提炼模块、决策引擎模块、多源融合模块、态势评估模块的网络安全态势评估体系:流量解析模块使用多类探测器,以全面地解析网络流量;属性提炼模块基于网络攻击的特征,准确地构建有助于提高识别攻击类型的核心属性;决策引擎模块利用网络特征数据,科学地训练由核心属性到攻击类型的映射;多源融合模块巧妙地融合多个决策引擎的输出结果,有效地提升识别攻击类型的效果;态势评估模块基于多源融合结果,直观地展现网络遭受攻击的状况。2、提出了二维融合策略,二维融合策略包括多证据融合和攻击概率融合。针对证据间存在冲突,无法进行有效融合的问题,多证据融合以相似性度量可信度,以差异性度量不可信度,基于可信度和不可信度对多个决策引擎输出的攻击概率(证据)进行修正,并利用指数加权的D-S证据理论进行融合;针对多个攻击概率相近,选择最大概率值对应的攻击类型为决策结果会严重影响准确率的问题,攻击概率融合构建一个由多证据融合攻击概率到攻击类型的映射,以做出更加科学的决策。3、优化了层次化网络安全威胁态势评估模型中攻击威胁量化及权值设置方法。在攻击威胁量化过程中,本文以Snort中攻击优先等级划分思想为标尺,提炼出攻击严重等级划分原则以定性分析攻击威胁,并利用权系数公式进行威胁等级量化,计算网络攻击威胁值;在权值设置过程中,本文借鉴乘法融合的思想,有效融合影响权值的因素,以准确计算服务权值和主机权值。本方法能够根据网络的运行情况,更新权值大小。
周家鑫[2](2021)在《基于机器学习的态势感知系统的设计和实现》文中研究指明近年来,我国信息通信技术得到了蓬勃的发展,互联网网络规模增大到前所未有的程度,随之而来的是网络资产和数据时刻面临的安全威胁问题。信息技术和互联网的发展让网络环境变得越来越复杂,开放的网络环境成了黑客滋生的温床,信息系统接入方式的多变性让网络攻击更难被检测,企业和机构网络安全事件层出不穷,网络安全防护的形势日趋严峻。现有的态势感知系统主要基于对态势要素指标的关联规则分析,每条关联规则只能匹配特定的网络攻击,需要手动增加规则以应对动态变化的网络攻击手段,可拓展性和灵活性较弱。基于机器学习的态势感知系统能够建立态势要素和感知结果端到端的映射模式,态势感知准确率高,拓展数据集即可扩充识别的网络攻击类型,而且数据驱动的监督学习方式不需要像传统关联规则分析一样高度依赖于网络安全领域知识,能够降低态势感知系统的开发和维护成本。本文设计一种基于机器学习的态势感知系统,在融合网络安全要素的基础上从宏观角度实时评估和预测网络安全态势,通过直观、全面的态势可视化界面为网络安全管理员的决策分析提供依据。本文提出一种新颖的态势评估方法,通过自注意力机制提取态势要素时序关联信息,然后使用条件随机场计算时序全局最优的态势值序列,有效提高了高危态势等级识别召回率和普通态势等级的识别精准度;态势预测方法针对LSTM模型数据串行处理高耗时的问题,通过消除LSTM门控单元对历史隐藏状态的依赖实现并行计算并使用自定义Cuda核函数减少程序数据移动开销和运行延迟,实验证明态势预测模型能够快速收敛,模型单次训练的耗时相对于LSTM降低25%,相同运行训练耗时情况下具备更好的预测准确率;本文实现的态势感知系统能够实时采集安全设备事件日志、网络传输设备流量连接和设备硬件状态数据,应用态势评估和预测方法对网络安全态势进行感知,系统用户界面以图表的方式直观地展示网络各类运行指标和安全态势评估与预测结果,并且提供了数据查询、筛选和排序等功能。
龚瑾珂[3](2021)在《基于机器学习的僵尸网络检测系统的设计与实现》文中提出随着互联网的高速发展,网络服务给用户带来极大方便的同时,也对用户数据的隐私性和安全性带来了诸多挑战。伴随着互联网服务的发展,网络上充斥着许多恶意攻击软件,它们不断地实施恶意和非法活动。其中着名的一种恶意软件是僵尸恶意软件,它继承了当代恶意软件使用的多种技术。由多个被僵尸恶意软件感染的机器称为僵尸网络。然而传统的基于规则的僵尸网络检测方法很难从海量数据中识别出未知的和隐藏的恶意攻击行为。因此机器学习开始成为面对日益复杂的网络攻击的重要防御工具。使用机器学习的检测方法,不需要具有关于僵尸网络流量的领域知识,而只需要从现有数据中学习到僵尸网络流量的模式。针对以上问题,本文提出了基于机器学习的僵尸网络检测系统。僵尸网络检测系统是一款面向网络管理人员的系统,它能够实时检测局域网中是否出现了僵尸网络流量。该系统包含了网络流量数据采集和存储、机器学习模型检测和检测结果展示平台。网络管理员可以通过监控检测结果展示平台,及时的了解其所管辖的局域网内的安全情况。本文以软件工程的思路对僵尸网络检测系统进行设计和实现。首先对系统进行需求分析,确定用户角色和业务执行流程,明确系统在功能和性能方面的需求。其次根据需求分析,完成系统的概要设计,确定系统的架构设计,划分系统功能模块,给出系统的接口、数据库、界面的设计。然后进行系统的详细设计,包括机器学习模型的设计和数据展示平台各个功能模块的设计。随后给出系统的关键实现代码和界面展示。最后进行系统测试验证是否满足用户需求。
朱相楠[4](2021)在《轻量级细粒度网络流量监控机理与仿真实现》文中提出5G技术和IPv6技术的深度融合和应用普及,使IP地址资源紧张的局面得到明显改善,网络中业务类型和数据流量急剧上升。然而,随着网络规模不断地扩张,网络结构也变得非常复杂,异常流量不断增多,这给网络监控带来了极大挑战。现有的网络监控技术存在着异常流量监测困难、网络数据包获取不完整等问题,远远无法达到细粒度网络监控的要求。基于此,本文提出轻量级细粒度网络流量监控机理和方法,用于监控网络的实时状态,当网络中存在异常流量信息时,互联网服务提供商(Internet Service Provider,ISP)能够对其进行分析和处理。本文的主要研究内容及创新工作如下:1.本文通过对现有网络流量监控方法和技术的分析,基于NetFlow网络流量监技术,提出轻量级细粒度网络流量监控机制和方法。现有的基于NetFlow网络流量监控技术无法获取到完整的数据包信息,且需要投入大量的资源向交换机、路由器等转发设备部署协议,极大提高了运营商的投入成本。针对此问题,本文提出一种网络流量监控系统,网络管理员通过查询某条具体路径,向可编程路由器布置镜像规则,来获取相应的流量信息,从而对任何流量进行细粒度的监控。网路操作员将高级监控查询和监控成本作为输入,监控系统将自行确定进行镜像的流量,并且快速确定镜像规则放置的位置,这些镜像规则在降低网络监控成本同时最大化覆盖网络监控的范围。2.本文以网络中具体IP出发点,在以花费最低监控成本和获取完整IP报文的目的下,设计关键点镜像算法和区域边界镜像算法。关键点采样算法获取的是连续的流量,即一条IP地址在网络中转发的完整路径;而边界镜像算法是要确定需要查询的流量的范围。同时,本文对关键点采样算法和区域边界镜像算法进行仿真对比分析,相较于其它算法,本文提出的算法所需要的监控花费和增益都取得较好的效果。3.本文实现了所提的网络流量监控系统,并展示了系统的扩展性。可以在秒级时间内计算出复杂网络的调度和查询大小,并且可以在当前路由器的限制范围内生成大量镜像规则。最后本文对算法进行了整体仿真对比分析,仿真结果表明本文提出的轻量级细粒度网络流量测量理论和方法是可行的。
张艳[5](2018)在《组织行为软件建模理论与应用研究》文中提出随着互联网技术的发展,以并行、结构化方式构成的分布式、多层次异构的组织主体系统(Orangniational-agent System)得到了广泛的应用,例如:动态构件系统(Dynamic Component Oriented Systems)、基于代理的仿真系统(Agent-based Simulation Systems)、僵尸网络(Botnet)等。这类系统的运行环境具有动态性和开放性,组成个体通常是自主和异构的,系统自身也呈现分布性和层次性的结构特点。它们表现出了与环境之间的动态交互、内聚、关联的组织行为特性,具有明显的社会组织特征。组织主体系统的社会组织特性给组织行为建模带来了新的挑战,主要体现在以下两个方面:第一,由于组织主体系统运行环境的动态性、开放性,需要在更高的组织层次抽象系统及个体的组织行为模型,以适应环境的变化。此类系统在设计开发时考虑参与系统的个体具有不确定性,在系统运行状态时,系统个体也会因环境的变化而引发相应的动态变化。当前,以Agent-Group-Role为基本架构的多代理组织自顶而下的组织行为建模方法无法支持动态、开放个体的组织行为特点。此类组织行为是在确定组织结构的条件下,将个体Agent的组织行为定义为进入组织、采用角色、任务分配等功能,典型模型包括:Medee方法框架、Tropos、Moise+、Organt L、XABSL等,只能满足设计阶段不确定的系统个体描述,无法满足在系统运行时,系统个体组织行为的动态变化。例如,在网络空间态势感知研究中,针对利用僵尸网络(Botnet)发起的未知团体攻击行为,应用已知组织行为模型的Agent仿真平台难以有效地检测、推演未知组织结构团体实施的攻击。第二,由于组织主体系统表现出运行状态下实时适应环境的组织行为特性,需要对组织行为进行实时建模。现有组织行为分析建模主要针对具体的专业领域进行观察和研究,是针对组织行为特性自底而上的建模,例如:拥挤人群疏散等。当前组织行为分析和设计建模之间存在模型依据、建模方法、行为语义形式化方法等方面的差异,这种差异导致了在组织行为分析和设计模型之间,无法实现模型基本要素程序级别的直接引用和关联,仍然需要进行语义、数据结构、对象描述等方面的方法转换。目前这种转换还需要专业人员运用大量工具完成,即便将来实现了模型之间的自动转换,也需要大量消耗计算时间和存储空间。因此,我们认为需要建立组织行为分析与设计模型在形式化语义方法方面的统一模型,以满足组织主体系统在开发环境和运行环境中实时、动态建模需求。为了解决这些问题,本文借鉴社会学组织行为的概念和思想,提出了一种具有实时、动态特性的组织行为统一模型,能够支持组织行为抽象数据类型的软件建模过程。核心研究内容体现在以下三个方面:第一,建立了组织行为形式化方法和统一模型。本文依据类型构造代数(Sorted Constructive Algebra)和态势理论(Situation Theory),利用指称语义形式化方法(Denotational Semantics Formalization Method),借鉴社会学领域中组织行为的概念定义,对开放网络环境下组织行为信息、状态空间集合、组织行为函数、组织行为集合、组织行为代数、组织行为态势语义等进行了形式化定义并提出了相关的定理,建立了组织行为形式化语义统一模型。第二,提出了组织行为软件工程建模方法。本文在抽象数据类型相关理论和多代理组织模型的支持下,对组织行为类型、组织行为初始代数、构造函数、拓延函数、等式规则等进行了定义,建立了组织行为类型表达式语言——组织行为代数规范语言(Organizational Behavior Algebraic Specification Language,OBASL)和OBASL的态势语义等式规范,形成了组织行为抽象类型库的程序设计支撑。本文提出的组织行为建模,面向组织行为类型结构特性、自底而上的建模技术既满足实时组织行为重组、聚类、分级的设计建模,同时也满足实时组织行为内聚、关联、动态的分析建模。第三,在统一模型的基础上,对网络态势感知领域开展了相关的模型应用与验证研究。本论文通过分析当前网络态势感知领域中的参考模型、Agent仿真平台和聚类算法等方面的不足与缺陷,将网络空间的未知攻击团体作为组织主体系统,通过对攻击团体实时的攻击行为进行组织行为态势语义理解,实现对未知团体攻击者的实时检测。本论文主要创新性成果包括:·分析研究了组织主体系统组织行为的内在类型特性和外在表现的动态、内聚、关联特性的关系,依据类型构造代数和行为类型理论,从数学系统论中到导出组织行为函数定义,建立了基于代数语义和指称语义的组织行为形式化方法,提出了组织行为形式化语义统一模型,为组织行为抽象数据类型软件建模建立了形式化和构造方法的理论依据。·分析研究了组织行为运行意义和态势语义相关理论,提出了基于组织行为观察信息态势的组织行为态势语义,建立了基于指称语义的组织行为态势语义形式化方法。在此基础上,提出了组织行为态势语义规范等式,为组织行为抽象数据类型软件建模提供运行意义形式化方法和拓延函数定义的理论依据。·分析研究了组织行为实时、动态软件工程方法,提出了组织行为抽象数据类型建模,定义了组织行为类型说明语言—组织行为代数规范语言(Organizational Behavior Algebraic Specification Language,OBASL)。为生成组织行为抽象数据类型提供代数结构向数据结构的转化工具。·分析研究了网络空间态势感知研究现状与相关问题,建立了基于组织行为态势语义的组织行为态势感知过程模型,为未知团体攻击的实时态势感知提供了理论依据。并且,依据组织行为抽象数据类型软件工程建模方法,提出了分级、聚类的组织行为重组设计建模方法和态势语义汇聚的组织行为实时分析建模,为组织行为态势感知仿真平台提供设计与分析建模的态势感知模型依据和算法支持。
郭成林[6](2016)在《基于Spark平台的恶意流量监测分析系统》文中进行了进一步梳理在DDos监测的研究方面,各种模型被提出来,但是都是针对某些特定领域特定场景下的,普适性不够;而在大数据平台方面,也涌现出了很多好的平台,比如Hadoop, Spark等,但并不直接支持恶意流量监测:在Netflow的现有工具及现有研究中,对于恶意流量监测也有部分工具,但不支持DDos监测。如果能将技术研究与技术平台的优势结合起来,对于DDos的防御也许会更有效。本文的成果在于:第一,提出了一个基于Spark平台的网络恶意流量监测系统模型,重点监测DDos攻击,拟定了相关的原则。提出了基于线性拟合的特征选择方法,基于此特征改进了基于机器学习的检测算法。第二,搭建了基于Spark平台的网络恶意流量监测平台,包括Hadoop平台与Spark平台。第三,在Spark平台及Hadoop平台,分别实现了上述四种改进算法,并进行了实验比较,选出了最优算法并进行了解释。机器学习算法在特征选取时,常常只独立考虑相关属性,这无法反映一些相关性。我们提出将请求流量与服务流量进行线性拟合并将残差作为特征,同时考虑到全面性,将平均包数与平均包大小也作为特征,这样就可以在更大程度上模拟正常流量的特征。基于新的特征,本文改进了基于机器学习的四个算法,分别是kmeans,决策树,贝叶斯学习和P枷。利用Spark支持的机器学习算法接口,我们开发了相应的算法。其中,聚类算法kmeans在确定簇类中心点中尝试了不同的方法。本文分析了机器学习算法对于恶意流量检测的可用性,分析了Spark平台对于机器学习算法的实用性,结合已有的恶意流量检测方法以及上述算法,设计并实现了一个恶意流量检测平台,可以针对蠕虫,木马,僵尸网络,DDos攻击等进行比较全面的检测。用户在使用时,可根据时间的要求选择不同的模式。本论文在基于线性拟合的特征提取方法的基础上,对改进的算法进行了实验比较及分析。
姚欣[7](2016)在《网络空间安全大数据实时计算平台关键技术研究》文中研究表明近些年来,接入设备的激增、网络应用的不断涌现和互联网流量的爆发式增长使得网络规模迅速扩大、网络环境日益复杂,开展网络安全分析工作的难度越来越大。与以往相比,网络攻击的隐蔽性更强而且更加难以防范,有针对性的大规模恶意网络攻击也愈发常见,网络安全形势依然不容乐观。当前,网络安全分析系统所面临的挑战不仅仅来自于攻击手段和技术的不断进化,计算速度以及横向扩展能力已成为制约基于传统架构模式的网络安全分析系统向复杂网络环境迁移的主要瓶颈,海量的数据规模已经远远超过了其处理能力的极限。本文首先从系统架构入手,提出了一种以开源大数据技术为依托的网络安全实时计算平台设计方案,该设计方案共包含七个层次,每一层都作为一个功能实体向上提供服务。平台架构中各层的实现都依赖于高性能分布式技术,如Storm、Spark、Kafka、Flume等,涵盖了集群资源管理、分布式协调、数据持久化存储、计算引擎等方面。该架构可以同时提供实时计算、离线处理、图计算等多种类型的数据处理服务,而且能够很好地满足海量数据存储需求。在这种以大数据技术为中心的架构模式之上,本文实现了一个面向天津教育城域网的实时流量监控系统。该流量监控系统在底层计算引擎上同时部署了多项数据处理业务逻辑,可以实现对多种类型DDoS攻击的预警与检测。本文所设计的DDoS攻击检测算法主要包括指数加权移动平均算法(EWMA)、异常流量区间定位算法和攻击类型判别规则这三个部分:EWMA算法按照指数递减的方式来为历史数值赋予权重并计算下一时刻的预估值,通过对比实际测量值和预估值就可以判别出网络流量的异常波动;与EWMA的分析结果相结合,异常流量区间定位算法能够实现对网络流量异常时段的准确定位;攻击类型判别算法则为不同类型的DDoS攻击提供了有针对性的判别规则。本文从系统吞吐量、Worker并发数、节点负载等维度对系统性能进行了深入的分析和讨论,而在验证DDo S攻击检测有效性的过程中,本文将天津教育城域网Netflow数据与绿盟抗DDoS系统(Anti-DDoS System)日志相结合,通过ADS日志压缩、数据处理、数据分析等操作步骤实现了对本系统DDoS攻击事件检测效果的评估。最后,本文借助多项网络负载指标对天津教育城域网流量变化情况进行了深入分析和探究。
陈陆颖[8](2011)在《高速网络中面向应用的IP流研究》文中认为网络流量监控是网络管理和网络运营的重要技术手段。通过对网络数据的测量、分析、建模,网络运营商可以深入了解网络流量的组成、业务的发展变化、用户的行为规律以及网络业务质量,对网络规划、网络运营、网络安全、QoS保障和价值评估等都有重要而深远的意义。目前,网络应用越来越多样化,P2P、VoIP、流媒体、即时通信、网络游戏等各类新兴业务蓬勃发展,对网络提出了越来越高的带宽和质量要求。其中,以P2P技术为主导的下载类、视频类、聊天类和游戏类业务更是向传统的网络监测技术提出了挑战,动态端口、端口伪装、私有协议、数据加密、NAT穿越等隐匿技术给业务识别和流量分析造成了极大的困难。P2P网络本身潜在的安全和版权问题,以及对各种资源尤其是带宽资源的滥用,受到各类网络运营商的高度重视。为保证网络带宽利用的公平性和保护合法版权,需要对其进行识别分类并采取措施进行限制和控制。另一方面,由于网络“管道化”趋势严重,网络运营商不断增加投资进行网络扩容,但是却难以分享增值业务带来的收入,形成“增量不增收”的尴尬局面。竞争环境的变化促使网络运营商必须对网络流量进行精细化的分析和控制,提供差异化的服务和精确营销。如何高效、准确、实时的识别网络流量,归纳用户和业务的行为规律,是运营商和研究者关注的首要问题。本文研究的课题正是围绕网络流监测技术和网络业务识别技术两个基本的问题展开的。网络流监测主要解决流量的采集、统计、上报和分析,了解网络的运行情况和历史趋势。网络业务识别主要解决业务可视化和合理分类的问题,并结合用户行为挖掘网络价值。本文主要研究内容和创新包括:(1)面向业务和质量的流监测传统的以Netflow为代表的网络流技术只能提供网络层和传输层的流量信息,缺乏应用层和质量指标方面的信息,无法满足目前网络运营商对用户、业务、质量等深层次的分析要求。本文提出了一种新的流记录定义,在兼容NetFlow信息的基础上增加了应用类型、质量指标等相关属性,能够满足面向用户和应用的分析需求。设计和实现了这种流记录的生成设备。(2)业务和应用的多特征综合识别方法对于使用周知端口、特征指纹、协议解析和流统计特征等进行业务和应用识别都已经有了大量的研究成果。每种方法都存在其合理性和局限性,而业务识别是一个综合的体系,需要充分利用应用交互的整个过程,包括每个流、每个报文甚至每个字节的全量信息。本文基于上述各种特征,综合DPI、DFI技术,提出了一种基于优先级的业务和应用识别方法。此方法将单流和多流信息、报文序列、报头字段和净荷内容,以及流统计特性进行动态关联,并采用权重和优先级仲裁机制,以五元组流为对象持续调整流所属的业务分类,大大提高了业务分类的识别率和准确性。同时,又研究和设计了在高速链路复杂环境下的实现方法,并在所研制设备中成功使用。(3)基于现网数据的P2P流媒体流量特征研究对于P2P流媒体的流量特征已经进行了大量研究。本文使用从国内某大城市某基础运营商网络出口(8×10G POS链路)采集的原始数据,对目前最主流的五种P2P流媒体应用,分析了它们的协议分布、流长、序列模式和包长分布等,获得了相关的实验统计模型,得到了一组在高速网络环境下比较实用的流统计特征,设计了利用己知业务流进行训练和提取上述特征的方法。现场使用证明:所述方法能够很好地用于识别经过加密的未知P2P流媒体应用。(4) 10Gbps高速接口的监控系统以面向应用和质量的流记录为基础,以综合的业务识别算法为核心,领导设计并研制了用于10Gbps高速链路的串接型流量监控系统。该系统支持10Gbps线速的双向报文转发处理能力,可以识别包括几十种P2P应用在内的各种主流网络应用协议。通过纯硬件的探针设备可以实现用户、业务、网络、流向和质量的分析和控制,基于新一代的流记录输出、报文过滤镜像和令牌桶流控技术,实现了运营商对网络和用户的行为分析,业务差异化和异常流量控制。系统采用了分布式、分层模块化、可伸缩扩展的体系架构,己成功商用并广泛部署在运营商的各级骨干网络,收集了大量的网络、用户和业务信息数据,为运营商提供高效和可扩展的流量监控平台。
贺伟凇[9](2011)在《骨干网络流量异常行为感知方法研究》文中指出随着骨干网络向高速化、多样化、复杂化方向发展,与网络流量相关的管理和安全问题越来越复杂,网络流量行为感知利用网络流量特征参数感知网络行为随时间或空间发展变化的规律,成为学术界与工业界共同关注的前沿科学问题之一。数据传输的高速特征、传输信息的海量特征、数据流与应用流的多样化特征及其相互关系的复杂性、各条链路间流量关系的复杂性等多种因素决定了骨干网络流量行为感知的复杂性。本论文围绕国家自然科学基金项目“大规模通信网络异常行为特征分析与提取关键技术研究”(项目编号:60872033)的研究任务,针对单汇接点和多汇接点两类情形,从骨干网络流量行为特征提取、骨干网络流量异常行为理解及骨干网络流量异常行为趋势预测三个层次展开对骨干网络流量异常行为感知的相关理论与技术问题的研究。论文的主要贡献概括如下:1.骨干网络流量行为特征提取问题的研究。由于骨干网络数据传输的高速特征和传输信息的海量特征,精细的逐包分析难以满足在线流量行为分析的要求,必须采用尽量少且相对粗粒度的流量特征参数。针对全息描述骨干网络流量行为的最小特征子集问题,本文采用了流量flow六元组(源目的地址,端口,协议类型,字节数)信息作为骨干网络流量行为感知的基础信息来源,实现了部分反映整体的哲学理念,是骨干网络流量行为感知的前提和基础。针对特征信息的高维特点,提出了一种基于信息熵的子空间分离流量特征分析方法,对海量高维的原始网络流量数据在保持原有的几何拓扑分布的前提下进行信息压缩和简约表示。2.单汇接点情形下骨干网络流量异常行为理解方法的研究。针对具有时频谱范围广、包含多种信息的、非平稳特性的复杂流量信号,通过流量信号的时间和频率的联合函数,从时域、频域同时揭示网络流量信号异常成分。对于一些更复杂的情况,如非线性、非平稳的流量信号,提出了一种基函数由原始信号本身自适应得到的网络流量信号分解方法。针对骨干网络流量行为参数相互关系的复杂性,提出多时间序列分析方法,借助多时间序列提供的相互关系(如波形模式、结构模式等)理解网络流量行为,通过多时间关联数据挖掘算法分析波形符号之间的关联模式来理解异常行为,提高网络流量行为感知能力。针对网络流量行为的挖掘算法性能问题,提出了一种快速的关联挖掘算法,通过减少扫描数据的次数,可提高海量高维网络流量数据的挖掘性能。3.多汇接点情形下骨干网络流量异常行为理解方法的研究。针对跨越多汇接点的异常行为在时间空间上具有相互依赖相互影响的特点,提出通过两阶段时空处理方法提取流量异常特征,运用多时间序列关联挖掘算法提取跨越多汇接点的协同异常在时间空间上的关联模式,提高骨干网络流量行为感知能力。4.骨干网络流量异常行为趋势预测问题的研究。针对短期流量行为趋势的非线性特性,运用基于粒子群优化后向传播神经网络的预测方法,通过粒子群进化获取神经网络学习权值,利用神经网络进行预测。针对采样后包含缺失值和干扰信息的网络流量数据,提出了一种组合灰预测模型,通过子空间分离将原始数据分离到不同的子空间,不同的子空间采取相应的数据处理手段,在此基础上选取少量数据,对骨干网络流量行为趋势进行预测。
邵颖[10](2010)在《基于NetFlow的网络流量管理技术研究》文中指出随着网络规模的不断扩大和结构的日渐复杂,网络流量可视化成为了网络管理软件不可缺少的功能。针对当前主流的可视化流量管理软件仅具有展示统计图表而未结合网络拓扑结构对流量分布进行展示这项不足,本文设计并实现了将网络流量分布和拓扑结构相结合的流量管理原型系统,该原型系统能够简单快速的定位大象流,且增加了在网络拓扑结构界面上对其进行展示的功能。针对原型系统的实际需求本文设计了面向NetFlow流量信息的大象流提取算法。该算法通过对NetFlow流量信息进行三次筛查确定了流量中的大象流。通过实验证明,算法能较好对流量中的大象流进行提取。随后根据原型系统的需求设计了基于子网固定主机的拓扑发现技术。通过对多种拓扑发现技术进行适当使用,算法可以获得当前网络的拓扑结构。在获得网络拓扑结构后,本文提出了路由信息完整和不完整的情况下的端到端路径推断算法,通过实验证明该算法能够有效对网络中的端到端路径进行推断。本文最后设计并实现了基于NetFlow的流量分析管理原型系统,对该系统的模块组成、数据接口进行了说明和实现。该原型系统通过对NetFlow流量和网络拓扑信息进行分析,完成了对流量类型进行识别和在拓扑结构上对流量进行展示的功能。通过综合分析,证明了该模型的有效性。
二、软件实现.Netflow流量处理的关键技术和算法(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、软件实现.Netflow流量处理的关键技术和算法(论文提纲范文)
(1)多源异构数据融合的网络安全态势评估研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第1章 绪论 |
| 1.1 研究背景和意义 |
| 1.2 国内外文献综述 |
| 1.3 研究内容与方法 |
| 1.4 主要工作和创新 |
| 1.5 论文的基本结构 |
| 第2章 网络安全态势评估体系理论基础 |
| 2.1 态势感知模型理论 |
| 2.1.1 Endsley态势感知模型 |
| 2.1.2 网络安全态势感知模型—龚俭 |
| 2.1.3 层次化网络安全威胁态势评估模型 |
| 2.2 威胁检测 |
| 2.2.1 数据预处理 |
| 2.2.2 模型训练 |
| 2.2.3 检测评估 |
| 2.3 多源数据融合理论 |
| 2.3.1 数据级融合 |
| 2.3.2 特征级融合 |
| 2.3.3 决策级融合 |
| 2.4 小结 |
| 第3章 多源异构数据融合的网络安全态势评估体系 |
| 3.1 流量解析模块 |
| 3.1.1 网络流量解析器 |
| 3.1.2 恶意流量分析器 |
| 3.2 属性提炼模块 |
| 3.2.1 日志数据预处理 |
| 3.2.2 核心属性提炼 |
| 3.3 决策引擎模块 |
| 3.3.1 攻击检测模型 |
| 3.3.2 基于二分类模型实现多分类检测 |
| 3.4 多源融合模块 |
| 3.4.1 冲突证据修正 |
| 3.4.2 多源数据融合 |
| 3.5 态势评估模块 |
| 3.5.1 攻击威胁量化 |
| 3.5.2 网络威胁态势评估 |
| 3.6 小结 |
| 第4章 基于二维融合策略的网络安全态势评估模型 |
| 4.1 基于Netflow、Suricata和 Snort探测器的流量解析模块 |
| 4.1.1 基于Netflow分析工具解析流量自身特点 |
| 4.1.2 基于Suricata解析恶意流量特征 |
| 4.1.3 基于Snort解析恶意流量特征 |
| 4.2 基于统计方法的属性提炼模块 |
| 4.2.1 网络数据预处理 |
| 4.2.2 网络连接属性提炼 |
| 4.3 基于支持向量机的决策引擎模块 |
| 4.3.1 基于支持向量机的网络攻击分类模型 |
| 4.3.2 基于Platt方法的SVM分类结果概率 |
| 4.3.3 基于成对耦合方法的攻击概率 |
| 4.4 基于二维融合策略的多源融合模块 |
| 4.4.1 基于指数加权D-S证据理论的多证据融合 |
| 4.4.2 基于BP神经网络的攻击概率融合 |
| 4.5 基于层次化评估方法的态势评估模块 |
| 4.5.1 攻击层态势 |
| 4.5.2 服务层态势 |
| 4.5.3 主机层态势 |
| 4.5.4 网络层态势 |
| 4.6 实验与分析 |
| 4.6.1 流量解析与属性提炼 |
| 4.6.2 决策引擎 |
| 4.6.3 多源融合 |
| 4.6.4 态势评估 |
| 4.7 小结 |
| 第5章 结论与展望 |
| 5.1 结论 |
| 5.2 展望 |
| 参考文献 |
| 致谢 |
| 攻读硕士学位期间发表的论文和其它科研情况 |
(2)基于机器学习的态势感知系统的设计和实现(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 研究现状 |
| 1.2.1 态势要素提取技术 |
| 1.2.2 态势评估技术 |
| 1.2.3 态势预测技术 |
| 1.2.4 态势感知解决方案 |
| 1.3 本文主要工作 |
| 1.4 章节结构安排 |
| 第二章 相关概念和技术 |
| 2.1 态势感知相关概念 |
| 2.2 神经网络模型与技术 |
| 2.2.1 RNN及其梯度消失问题 |
| 2.2.2 LSTM和GRU |
| 2.2.3 注意力机制 |
| 2.3 条件随机场 |
| 2.3.1 CRF的数学定义 |
| 2.3.2 CRF的参数化表示 |
| 2.3.3 CRF的向量化表示 |
| 2.4 Web开发技术 |
| 2.5 本章总结 |
| 第三章 基于Self-attention+CRF的态势评估方法 |
| 3.1 态势评估流程 |
| 3.2 态势评估指标体系 |
| 3.2.1 态势要素指标选取 |
| 3.2.2 态势要素指标量化 |
| 3.2.3 态势等级划分与量化 |
| 3.3 基于self-attention+CRF的态势评估模型 |
| 3.3.1 态势评估模型网络结构 |
| 3.3.2 态势要素自注意力特征编码 |
| 3.3.3 态势等级概率分布计算 |
| 3.3.4 态势等级评估与量化 |
| 3.4 实验仿真与结果分析 |
| 3.4.1 开发环境 |
| 3.4.2 DARPA2000数据集 |
| 3.4.3 数据集预处理 |
| 3.4.4 模型超参数设置 |
| 3.4.5 仿真结果与分析 |
| 3.5 本章总结 |
| 第四章 基于LimAdam-PRU的态势预测方法 |
| 4.1 态势预测方法流程 |
| 4.2 基于PRU的态势预测模型 |
| 4.2.1 模型网络结构 |
| 4.2.2 PRU并行循环单元 |
| 4.2.3 CUDA核函数加速算法 |
| 4.3 LimAdam优化器算法 |
| 4.3.1 SGD和Adam优化器的问题 |
| 4.3.2 改进的LimAdam优化器算法 |
| 4.4 仿真结果与分析 |
| 4.4.1 样本构造方法 |
| 4.4.2 模型超参数设置 |
| 4.4.3 仿真结果与分析 |
| 4.5 本章总结 |
| 第五章 态势感知系统的需求分析与总体设计 |
| 5.1 系统设计原则 |
| 5.2 功能性需求分析 |
| 5.2.1 系统功能需求分析 |
| 5.2.2 态势可视化功能点 |
| 5.3 系统总体设计 |
| 5.3.1 系统总体结构 |
| 5.3.2 系统模块功能架构 |
| 5.4 本章总结 |
| 第六章 态势感知系统的实现 |
| 6.1 数据采集模块 |
| 6.1.1 Syslog告警日志采集器 |
| 6.1.2 NetFlow网络流量采集器 |
| 6.1.3 设备硬件状态采集器 |
| 6.2 态势评估模块 |
| 6.3 态势预测模块 |
| 6.4 态势可视化模块 |
| 6.4.1 Web开发环境 |
| 6.4.2 态势可视化模块实现 |
| 6.4.3 态势可视化界面 |
| 6.5 本章总结 |
| 第七章 总结与展望 |
| 7.1 工作总结 |
| 7.2 改进方向展望 |
| 参考文献 |
| 致谢 |
(3)基于机器学习的僵尸网络检测系统的设计与实现(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 研究背景与意义 |
| 1.2 国内外研究现状 |
| 1.3 研究内容与目标 |
| 1.4 论文结构 |
| 第二章 相关技术概述 |
| 2.1 网络流量采集 |
| 2.1.1 交换机端口镜像 |
| 2.1.2 流量采集工具Bro |
| 2.1.3 Stenographer |
| 2.2 ELK数据存储套件 |
| 2.3 机器学习模型 |
| 2.4 数据展示平台相关技术 |
| 2.4.1 Flask后端框架 |
| 2.4.2 AdminLTE后台管理框架 |
| 2.4.3 ECharts图表库 |
| 2.4.4 DataTables表格插件 |
| 2.5 本章小结 |
| 第三章 僵尸网络检测系统需求分析 |
| 3.1 用户角色分析 |
| 3.2 业务需求分析 |
| 3.3 功能性需求分析 |
| 3.3.1 用户管理 |
| 3.3.2 用户登录 |
| 3.3.3 账号信息管理 |
| 3.3.4 查看僵尸检测汇总数据 |
| 3.3.5 查看僵尸检测详细内容 |
| 3.3.6 查看服务器性能 |
| 3.4 非功能性需求分析 |
| 3.4.1 模型性能评价指标 |
| 3.4.2 性能和稳定性 |
| 3.4.3 可扩展性 |
| 3.5 本章小结 |
| 第四章 僵尸网络检测系统概要设计 |
| 4.1 系统架构设计 |
| 4.2 系统功能模块设计 |
| 4.3 系统数据库设计 |
| 4.4 系统接口设计 |
| 4.5 系统界面设计 |
| 4.6 本章小结 |
| 第五章 僵尸网络检测系统详细设计 |
| 5.1 僵尸网络检测模块详细设计 |
| 5.1.1 数据采集 |
| 5.1.2 数据格式修正 |
| 5.1.3 模型训练数据集 |
| 5.1.4 特征工程 |
| 5.1.5 模型性能评价指标 |
| 5.1.6 模型性能对比实验 |
| 5.1.7 僵尸网络检测程序构建 |
| 5.2 检测结果展示平台详细设计 |
| 5.2.1 用户管理 |
| 5.2.2 用户登录 |
| 5.2.3 账号信息管理 |
| 5.2.4 查看僵尸检测汇总数据 |
| 5.2.5 查看僵尸检测详细内容 |
| 5.2.6 查看服务器性能 |
| 5.3 本章小结 |
| 第六章 僵尸网络检测系统实现 |
| 6.1 僵尸网络检测模块实现 |
| 6.1.1 Bro特征指标采集 |
| 6.1.2 特征工程 |
| 6.1.3 Lightgbm模型训练 |
| 6.1.4 僵尸网络检测程序 |
| 6.2 检测结果展示平台实现 |
| 6.2.1 用户登录 |
| 6.2.2 用户注册 |
| 6.2.3 用户认证 |
| 6.2.4 柱状图展示 |
| 6.2.5 用户管理页面 |
| 6.2.6 查看拓扑分析 |
| 6.2.7 流量数据下载 |
| 6.2.8 查看服务器性能 |
| 6.3 检测结果展示平台界面展示 |
| 6.4 本章小结 |
| 第七章 僵尸网络检测系统测试 |
| 7.1 系统测试环境 |
| 7.2 僵尸网络检测模块测试 |
| 7.2.1 功能测试 |
| 7.2.2 性能测试 |
| 7.3 检测结果展示平台功能测试 |
| 7.3.1 用户登录 |
| 7.3.2 用户注册 |
| 7.3.3 用户认证 |
| 7.3.4 修改密码 |
| 7.3.5 柱状图展示 |
| 7.3.6 TopN检测结果列表展示 |
| 7.3.7 查看详细内容 |
| 7.3.8 流量数据下载 |
| 7.3.9 查看服务器性能 |
| 7.4 本章小结 |
| 第八章 结束语 |
| 8.1 论文总结 |
| 8.2 下一步工作展望 |
| 参考文献 |
| 中英文缩略词对照表 |
| 致谢 |
| 攻读学位期间发表的学术论文 |
(4)轻量级细粒度网络流量监控机理与仿真实现(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 研究工作的背景与意义 |
| 1.2 国内外研究历史与现状 |
| 1.2.1 国外研究现状 |
| 1.2.2 国内研究现状 |
| 1.3 本文的主要研究内容 |
| 1.4 本论文的结构安排 |
| 第二章 轻量级细粒度网络流量监控理论与方法 |
| 2.1 网络流量监控体系 |
| 2.2 基于路由器网络流量监控技术 |
| 2.2.1 .简单网络管理协议(SNMP) |
| 2.2.2 远程监控(RMON) |
| 2.2.3 NetFlow |
| 2.3 基于非路由器的网络流量监控技术 |
| 2.3.1 主动监控 |
| 2.3.2 被动监控 |
| 2.3.3 联合监控 |
| 2.3.3.1 从网络边缘(WREN)监视 |
| 2.3.3.2 自配置网络监视器(SCNM) |
| 2.4 轻量级细粒度网络流量监控理论和方法 |
| 2.4.1 轻量级细粒度网络流量监控理论 |
| 2.4.2 轻量级细粒度网络流量监控方法 |
| 2.4.2.1 基于路由器镜像流量 |
| 2.4.2.2 基于传输节点的最小监控成本 |
| 2.5 本章小结 |
| 第三章 轻量级细粒度网络流量监控机制及算法设计 |
| 3.1 轻量级细粒度网络流量监控机制 |
| 3.1.1 轻量级细粒度网络流量监控架构 |
| 3.1.2 轻量级细粒度网络流量监控流程 |
| 3.2 轻量级细粒度网络流量监控算法设计 |
| 3.2.1 轻量级细粒度网络流量关键点镜像(kpm)算法设计 |
| 3.2.2 轻量级细粒度网络流量区域边界镜像算法设计 |
| 3.3 监控仪测量调度设计 |
| 3.4 本章小结 |
| 第四章 轻量级细粒度网络流量监控仿真 |
| 4.1 实验环境部署 |
| 4.1.1 Gurobi |
| 4.1.2 Mininet |
| 4.1.3 实验仿真网络拓扑 |
| 4.2 算法性能仿真分析 |
| 4.2.1 关键点镜像算法性能仿真分析 |
| 4.2.2 区域边界镜像算法性能仿真分析 |
| 4.3 监控仪整体性能仿真分析 |
| 4.3.1 与其他网络监控仪性能对比分析 |
| 4.3.2 面对不可控网络流量的反应 |
| 4.4 本章小结 |
| 第五章 全文总结与展望 |
| 5.1 全文总结 |
| 5.2 后续工作展望 |
| 致谢 |
| 参考文献 |
| 攻读硕士学位期间取得的成果 |
(5)组织行为软件建模理论与应用研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 研究背景与意义 |
| 1.2 研究现状 |
| 1.2.1 分析模型 |
| 1.2.2 设计模型 |
| 1.2.3 建模方法 |
| 1.2.4 行为语义形式化方法 |
| 1.3 问题分析与研究目标 |
| 1.4 研究思路与创新点 |
| 1.4.1 研究思路 |
| 1.4.2 创新成果 |
| 1.5 论文的组织结构 |
| 第2章 组织行为语义形式化方法与统一模型 |
| 2.1 引言 |
| 2.2 行为形式化方法研究现状与局限性分析 |
| 2.3 组织主体与系统 |
| 2.4 组织行为及其特性关系 |
| 2.4.1 组织行为 |
| 2.4.2 组织行为类型 |
| 2.5 组织行为形式化方法 |
| 2.5.1 组织行为函数 |
| 2.5.2 组织行为集合 |
| 2.5.3 组织行为代数 |
| 2.6 组织行为形式化语义统一模型 |
| 2.7 本章小结 |
| 第3章 组织行为态势语义与规范等式 |
| 3.1 引言 |
| 3.2 组织行为指称语义方法 |
| 3.3 组织行为运行意义与表达 |
| 3.3.1 运行意义定义 |
| 3.3.2 基础态势理论 |
| 3.3.3 组织行为态势 |
| 3.3.4 组织行为态势语义 |
| 3.4 组织行为态势语义规范等式 |
| 3.4.1 组织行为态势代数 |
| 3.4.2 规范等式与集合 |
| 3.5 本章小结 |
| 第4章 组织行为软件工程建模 |
| 4.1 组织行为抽象数据类型 |
| 4.2 组织行为代数规范语言 |
| 4.2.1 参数与类别 |
| 4.2.2 CONSTRUCTORS |
| 4.2.3 EXTENSION |
| 4.2.4 EQUALITY |
| 4.2.5 语法分析生成工具 |
| 4.3 本章小结 |
| 第5章 组织行为态势感知模型 |
| 5.1 引言 |
| 5.2 网络空间态势感知研究现状与问题分析 |
| 5.2.1 基于代理仿真技术的实时分析 |
| 5.2.2 基于代理行为仿真技术 |
| 5.2.3 基于多代理的仿真系统在网络空间安全应用现状 |
| 5.2.4 问题分析 |
| 5.3 组织行为态势感知模型 |
| 5.4 组织行为态势感知过程模型 |
| 5.5 本章小结 |
| 第6章 组织行为态势感知仿真平台设计与分析建模 |
| 6.1 组织行为态势抽象数据类型库 |
| 6.1.1 态势语义抽取函数 |
| 6.1.2 组织行为态势语义ADT库 |
| 6.2 设计建模 |
| 6.2.1 态势代理与组织 |
| 6.2.2 重组算法 |
| 6.3 分析建模 |
| 6.3.1 态势关系 |
| 6.3.2 态势时间窗 |
| 6.3.3 态势汇聚算法 |
| 6.4 本章小结 |
| 第7章 Netflow组织行为态势感知系统应用实例与验证分析 |
| 7.1 Netflow组织行为态势感知系统研究背景 |
| 7.2 问题与解决路径 |
| 7.3 Netflow组织行为态势感知系统应用 |
| 7.4 系统实例运行效果 |
| 7.4.1 安全事件响应及时 |
| 7.4.2 未知攻击实时检测 |
| 7.5 对比分析 |
| 7.6 本章小结 |
| 第8章 结论与展望 |
| 8.1 本文创新成果 |
| 8.2 成果展望 |
| 参考文献 |
| 攻读学位期间发表论文与研究成果清单 |
| 攻读学位期间参与的项目 |
| 致谢 |
| 作者简介 |
(6)基于Spark平台的恶意流量监测分析系统(论文提纲范文)
| 致谢 |
| 摘要 |
| ABSTRACT |
| 1 引言 |
| 1.1 论文研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.2.1 DDos防御方法研究 |
| 1.2.2 基于Netflow的数据流采集的研究 |
| 1.3 论文研究内容与创新点 |
| 1.4 本文主要工作及文章结构 |
| 2 相关知识及技术 |
| 2.1 恶意流量 |
| 2.1.1 恶意流量攻击方法 |
| 2.1.2 恶意流量分类 |
| 2.1.3 恶意流量检测方法 |
| 2.2 恶意流量检测方法研究 |
| 2.3 流量采集技术 |
| 2.3.1 Netflow原理 |
| 2.3.2 Netflow输出流信息的格式 |
| 2.3.3 现有Netflow工具分析 |
| 2.4 大数据计算平台Spark |
| 2.4.1 Spark主要概念 |
| 2.4.2 Spark编程接口 |
| 2.4.3 Spark streaming |
| 2.4.4 Spark机器学习编程接口 |
| 2.5 本章小结 |
| 3 基于Spark的系统整体架构 |
| 3.1 系统设计原则 |
| 3.1.1 可扩展性 |
| 3.1.2 鲁棒性 |
| 3.1.3 大吞吐量 |
| 3.1.4 高速性 |
| 3.1.5 可定制性 |
| 3.2 系统模块 |
| 3.2.1 数据收集模块 |
| 3.2.2 简单异常检测模块 |
| 3.2.3 数据存储模块 |
| 3.2.4 数据处理模块 |
| 3.3 本章小结 |
| 4 系统设计与实现 |
| 4.1 平台构建模块 |
| 4.2 算法设计模块 |
| 4.2.1 特征选择算法 |
| 4.2.2 基于线性拟合的特征选择方法 |
| 4.2.3 基于线性拟合特征集的聚类算法 |
| 4.2.4 基于线性拟合特征集的分类算法 |
| 4.3 算法实现 |
| 4.3.1 Hadoop算法实现 |
| 4.3.2 Spark算法实现 |
| 4.4 本章小结 |
| 5 实验和结果分析 |
| 5.1 实验数据来源及数据集划分 |
| 5.2 实验结果及分析 |
| 5.3 本章小结 |
| 6 总结与展望 |
| 6.1 论文工作总结 |
| 6.2 下一步研究工作 |
| 参考文献 |
| 作者简介及攻读硕士学位期间取得的研究成果 |
| 学位论文数据集 |
(7)网络空间安全大数据实时计算平台关键技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 研究背景和意义 |
| 1.2 国内外研究现状 |
| 1.3 主要研究工作及创新点 |
| 1.4 文章内容组织 |
| 第二章 相关技术与理论 |
| 2.1 大数据 |
| 2.2 分布式技术 |
| 2.2.1 Apache Spark |
| 2.2.2 Apache Storm |
| 2.2.3 Apache Hadoop |
| 2.2.4 HBase |
| 2.2.5 Apache Kafka |
| 2.3 Netflow |
| 2.4 本章小结 |
| 第三章 网络安全大数据计算平台架构 |
| 3.1 平台整体架构 |
| 3.2 集群管理层 |
| 3.3 数据仓库层 |
| 3.4 计算层 |
| 3.5 数据分析层 |
| 3.6 可视化层 |
| 3.7 数据处理流程设计 |
| 3.8 本章小结 |
| 第四章 大规模网络流量实时监控系统的设计与实现 |
| 4.1 系统处理流程设计 |
| 4.2 Netflow数据实时处理 |
| 4.2.1 网络负载指标实时计算模块 |
| 4.2.2 Flow还原模块 |
| 4.2.3 原始数据持久化模块 |
| 4.3 DDoS攻击检测 |
| 4.3.1 指数加权移动平均算法 |
| 4.3.2 流量异常波动定位算法的实现 |
| 4.3.3 攻击类型判别规则 |
| 4.4 Spark内核实现原理分析 |
| 4.4.1 Spark逻辑执行图 |
| 4.4.2 Spark物理执行图 |
| 4.4.3 Spark作业执行过程 |
| 4.5 本章小结 |
| 第五章 系统验证 |
| 5.1 实验环境 |
| 5.1.1 物理集群 |
| 5.1.2 集群管理系统 |
| 5.1.3 数据采集与传输工具 |
| 5.1.4 数据存储管理系统 |
| 5.1.5 大数据计算引擎 |
| 5.2 Storm集群性能验证 |
| 5.2.1 系统吞吐量 |
| 5.2.2 工作节点个数对系统性能的影响 |
| 5.3 DDoS攻击检测模块有效性 |
| 5.3.1 检测结果验证方法描述 |
| 5.3.2 Flow创建速率与DDoS攻击检测 |
| 5.4 本章小结 |
| 第六章 总结与展望 |
| 6.1 本文主要研究工作总结 |
| 6.2 展望 |
| 参考文献 |
| 发表论文和科研情况说明 |
| 致谢 |
(8)高速网络中面向应用的IP流研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 背景 |
| 1.2 互联网业务发展的挑战与机遇 |
| 1.2.1 网络信息安全问题 |
| 1.2.2 新业务对监管的挑战 |
| 1.2.3 新业务对运营的挑战 |
| 1.2.4 新业务发展带来的机遇 |
| 1.3 网络管理和测量技术 |
| 1.3.1 网络管理 |
| 1.3.2 网络测量 |
| 1.4 网络流量监测需求 |
| 1.5 网络流量监控面临的问题 |
| 1.6 论文主要工作及贡献 |
| 1.7 论文结构 |
| 第二章 面向应用的IP流网络监测 |
| 2.1 流监测需求 |
| 2.2 什么是"流" |
| 2.3 流技术综述 |
| 2.3.1 SNMP和MRTG |
| 2.3.2 xFlow技术 |
| 2.3.3 Netflow |
| 2.3.4 sFlow |
| 2.3.5 IPFIX |
| 2.4 流性能指标 |
| 2.4.1 时延 |
| 2.4.2 丢包率 |
| 2.4.3 通过率 |
| 2.4.4 链路利用率 |
| 2.4.5 可用性 |
| 2.4.6 测量模型 |
| 2.5 流记录应用 |
| 2.5.1 网络规划 |
| 2.5.2 流量计费 |
| 2.5.3 安全监测 |
| 2.5.4 应用实例 |
| 2.6 流记录格式 |
| 2.7 传统流存在的问题 |
| 2.8 新一代流记录 |
| 2.8.1 双向流改造 |
| 2.8.2 网内和网外 |
| 2.8.3 服务器位置 |
| 2.8.4 时延测量 |
| 2.8.5 重传和丢包统计 |
| 2.8.6 流超时机制 |
| 2.9 流记录数据 |
| 2.10 IP流监测系统设计 |
| 2.10.1 IP流采集服务器 |
| 2.10.2 中心分析服务器 |
| 2.10.3 流量分析软件 |
| 2.11 本章小结 |
| 第三章 DPI/DFI业务识别与分类 |
| 3.1 P2P技术综述 |
| 3.1.1 P2P技术特点 |
| 3.1.2 P2P组织结构 |
| 3.2 P2P业务软件 |
| 3.2.1 BitTorrent |
| 3.2.2 eMule |
| 3.2.3 Thunder |
| 3.2.4 Skype |
| 3.3 业务识别技术 |
| 3.3.1 基于周知端口的业务识别 |
| 3.3.2 基于特征指纹的业务识别 |
| 3.3.3 基于协议解析的业务识别 |
| 3.3.4 基于流统计特征的业务识别 |
| 3.4 DPI技术实现 |
| 3.4.1 模式匹配 |
| 3.4.2 FPGA匹配 |
| 3.4.3 TCAM算法 |
| 3.4.4 Bloom Filter |
| 3.5 综合的业务识别方法 |
| 3.5.1 业务分类机制 |
| 3.5.2 特征指纹识别 |
| 3.5.3 协议解析和状态机 |
| 3.5.4 IP+Port模块 |
| 3.5.5 流统计特性 |
| 3.6 本章小结 |
| 第四章 P2P流媒体业务特征分析 |
| 4.1 P2P流媒体介绍 |
| 4.2 P2P流媒体应用 |
| 4.2.1 PPTV(PPLive) |
| 4.2.2 PPS(PPStream) |
| 4.2.3 QQLive |
| 4.3 DFI技术与机器学习 |
| 4.4 单机业务行为分析 |
| 4.4.1 流长度分布统计 |
| 4.4.2 单连接报文长度 |
| 4.4.3 净荷长度分布统计 |
| 4.5 网络业务行为分析 |
| 4.5.1 协议和业务组分 |
| 4.5.2 长短流分布分析 |
| 4.5.3 C4.5决策树分类 |
| 4.5.4 流统计特征分类 |
| 4.5.5 属性特征选择 |
| 4.6 现网使用效果 |
| 4.7 本章小结 |
| 第五章 高速网络监控系统 |
| 5.1 流量监控系统架构 |
| 5.1.1 硬件探针设备 |
| 5.1.2 数据采集层 |
| 5.1.3 数据挖掘和业务应用层 |
| 5.2 监控系统主要功能 |
| 5.2.1 业务识别 |
| 5.2.2 用户定义 |
| 5.2.3 流量统计 |
| 5.2.4 流量控制 |
| 5.2.5 用户行为分析 |
| 5.2.6 网站和业务喜好分析 |
| 5.2.7 运营商间流量分析 |
| 5.2.8 重点业务分析 |
| 5.3 现网流量分析数据 |
| 5.3.1 链路流量分析 |
| 5.3.2 业务组分分析 |
| 5.3.3 典型端口分析 |
| 5.3.4 报文长度分析 |
| 5.3.5 主机和连接模式 |
| 5.3.6 流量流向分析 |
| 5.4 本章小结 |
| 结束语:总结与展望 |
| 参考文献 |
| 附录:缩写词说明 |
| 致谢 |
| 攻读学位期间发表的学术论文目录 |
(9)骨干网络流量异常行为感知方法研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 缩略字表 |
| 第一章 绪论 |
| 1.1 互联网流量 |
| 1.2 网络流量行为感知的基本概念和研究意义 |
| 1.2.1 态势感知的基本概念和原理 |
| 1.2.2 网络态势感知的基本概念和内容 |
| 1.2.3 网络流量行为感知的基本概念和内容 |
| 1.2.4 网络流量行为感知的研究意义 |
| 1.3 网络流量行为感知的发展历程与现状 |
| 1.3.1 网络流量行为感知的发展历程 |
| 1.3.2 网络流量行为感知的国内外研究现状 |
| 1.4 骨干网络流量异常行为感知研究的关键问题 |
| 1.4.1 骨干网络流量行为特征提取问题 |
| 1.4.2 骨干网络流量异常行为特征变化规律的理解问题 |
| 1.4.3 骨干网络流量异常行为趋势预测问题 |
| 1.5 全文主要贡献与内容安排 |
| 1.5.1 全文主要贡献 |
| 1.5.2 本文内容安排 |
| 第二章 骨干网络流量数据及预处理方法研究 |
| 2.1 研究背景 |
| 2.2 研究对象 |
| 2.2.1 Abilene 网络 |
| 2.2.2 NetFlow |
| 2.2.3 Flow-tools |
| 2.3 基于熵的预处理算法 |
| 2.3.1 问题定义 |
| 2.3.2 基于信息熵的数据离散化压缩表示 |
| 2.3.3 基于信息熵的预处理算法 |
| 2.3.4 仿真和分析 |
| 2.4 基于子空间的预处理算法 |
| 2.4.1 基于PCA 的子空间分离算法 |
| 2.4.2 基于ICA 的子空间分离算法 |
| 2.4.3 基于流行学习的子空间分离算法 |
| 2.5 本章小结 |
| 第三章 单个汇接点网络流量异常行为感知方法研究 |
| 3.1 研究背景 |
| 3.2 基于信号处理的异常特征提取 |
| 3.2.1 问题定义 |
| 3.2.2 基于小波包变换的算法 |
| 3.2.3 基于瞬时频率的算法 |
| 3.2.4 基于Choi-Williams 分布的算法 |
| 3.2.5 基于Pseudo Wigner-Ville 分布的算法 |
| 3.2.6 基于经验模式分解的算法 |
| 3.2.7 仿真结果与分析 |
| 3.3 基于频繁子结构的异常特征提取算法 |
| 3.3.1 问题定义 |
| 3.3.2 频繁子结构算法 |
| 3.3.3 基于频繁子结构的算法 |
| 3.3.4 仿真结果与分析 |
| 3.4 基于波形分析的多维序列符号化感知算法 |
| 3.4.1 问题定义 |
| 3.4.2 多维序列波形挖掘算法 |
| 3.4.3 多维序列波形符号化分析算法 |
| 3.4.4 多维序列波形符号位图算法 |
| 3.4.5 仿真结果与分析 |
| 3.5 基于矩阵内积的多时间序列关联感知快速算法 |
| 3.5.1 问题定义 |
| 3.5.2 基于矩阵的Apriori 算法 |
| 3.5.3 基于矩阵的快速Apriori 算法 |
| 3.5.4 仿真结果与分析 |
| 3.6 基于TCP 平衡性的网络流量行为感知算法 |
| 3.6.1 问题定义 |
| 3.6.2 TCP 服务、首部、三次握手与TCP 宏观平衡性 |
| 3.6.3 基于TCP 宏观平衡性的流量行为感知算法 |
| 3.6.4 仿真结果与分析 |
| 3.7 本章小结 |
| 第四章 跨越多个汇接点的网络流量异常行为感知方法研究 |
| 4.1 研究背景 |
| 4.1.1 网络全息对应理论 |
| 4.1.2 网络时空统一理论 |
| 4.2 跨越多个汇接点网络流量行为异常特征提取方法 |
| 4.2.1 问题定义 |
| 4.2.2 基于两阶段处理的时空处理方法 |
| 4.2.3 两阶段处理算法 |
| 4.2.4 仿真结果与分析 |
| 4.3 基于时空序列关联挖掘的跨越多个汇接点的网络流量行为感知方法 |
| 4.3.1 问题定义 |
| 4.3.2 时空序列关联挖掘算法 |
| 4.3.3 仿真结果与分析 |
| 4.4 本章小结 |
| 第五章 骨干网络流量异常行为趋势的预测方法研究 |
| 5.1 研究背景 |
| 5.2 基于粒子群优化神经网络的短期流量异常行为预测算法 |
| 5.2.1 问题描述 |
| 5.2.2 基于粒子群优化神经网络短期流量异常行为预测算法 |
| 5.2.3 仿真结果与分析 |
| 5.3 基于流量熵值特征的异常行为趋势的组合灰预测算法 |
| 5.3.1 问题描述 |
| 5.3.2 ICA-AGF 算法 |
| 5.3.3 仿真结果与分析 |
| 5.4 本章小结 |
| 第六章 全文总结 |
| 6.1 研究工作总结 |
| 6.2 展望 |
| 致谢 |
| 参考文献 |
| 本文作者在攻博期间发表、录用和投出的文章 |
| 已发表和录用期刊文章 |
| 已发表和录用国际会议文章 |
| 已投期刊文章 |
| 攻读博士期间参加的科研项目 |
(10)基于NetFlow的网络流量管理技术研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 课题背景 |
| 1.2 课题的目的和意义 |
| 1.3 本文所做的主要工作 |
| 1.4 本文的组织结构 |
| 第二章 网络管理技术简介 |
| 2.1 流量采集系统简介 |
| 2.1.1 流量采集系统比较 |
| 2.1.2 NetFlow 流量采集系统简介 |
| 2.2 流量分析技术简介 |
| 2.2.1 网络流量分类技术简介 |
| 2.2.2 网络异常检测方法简介 |
| 2.2.3 宏观流量检测技术简介 |
| 2.3 拓扑发现技术简介 |
| 2.3.1 IP 地址聚类拓扑猜测技术简介 |
| 2.3.2 基于traceroute 拓扑发现技术简介 |
| 2.3.3 基于SNMP 协议的拓扑发现简介 |
| 2.3.4 基于端到端流量信息的拓扑判定简介 |
| 2.4 网络路由简介 |
| 2.4.1 网络路由原理简介 |
| 2.4.2 网络路由协议简介 |
| 2.5 本章小结 |
| 第三章 面向NetFlow 信息的层次化流量分类提取技术 |
| 3.1 层次化流量分类提取技术概述 |
| 3.1.1 层次化流量分析提取算法研究背景 |
| 3.1.2 层次化流量分类提取算法问题描述 |
| 3.1.3 层次化流量分类提取算法流程框架 |
| 3.2 层次化流量分类提取第一层分类提取算法 |
| 3.3 层次化流量分类提取第二层分类提取算法 |
| 3.3.1 基于TopN 的大象流提取算法 |
| 3.3.2 基于流量统计阈值的异常流量提取算法 |
| 3.4 层次化流量分类提取第三层分类算法 |
| 3.5 层次化流量分类提取技术实验分析 |
| 3.6 本章总结 |
| 第四章 端到端路径推断技术 |
| 4.1 端到端路径推断问题描述 |
| 4.2 面向NetFlow 流量的拓扑发现算法 |
| 4.2.1 拓扑发现算法框架 |
| 4.2.2 IP 聚类的拓扑发现技术 |
| 4.2.3 traceroute 拓扑发现技术 |
| 4.2.4 SNMP 拓扑发现技术 |
| 4.2.5 基于端到端信息的拓扑判定技术 |
| 4.3 端到端路径推断技术 |
| 4.3.1 端到端路径推断问题描述 |
| 4.3.2 端到端路径推断算法描述 |
| 4.3.3 端到端路径推断算法流程 |
| 4.3.4 推断网络重负载流量路径算法 |
| 4.4 端到端路径推断算法实验验证 |
| 4.4.1 树状拓扑路径推断实验验证 |
| 4.4.2 有环拓扑路径推断实验验证 |
| 4.4.3 基于路径推断的最重负载路径实验验证 |
| 4.4.4 实验对比 |
| 4.4.5 实验总结 |
| 第五章 基于NetFlow 的流量管理原型系统的设计与实现 |
| 5.1 原型系统的设计目的与结构框架 |
| 5.2 原型系统的实现 |
| 5.2.1 原型系统接口设计 |
| 5.2.2 原型系统数据库设计 |
| 5.3 原型系统的测试与分析 |
| 5.3.1 原型系统测试环境 |
| 5.3.2 原型测试结果界面 |
| 5.3.3 原型系统测试分析 |
| 第六章 结束语 |
| 6.1 工作总结 |
| 6.2 工作展望 |
| 致谢 |
| 参考文献 |
| 作者在学期间取得的学术成果 |
四、软件实现.Netflow流量处理的关键技术和算法(论文参考文献)
- [1]多源异构数据融合的网络安全态势评估研究[D]. 田晓雄. 山西财经大学, 2021(09)
- [2]基于机器学习的态势感知系统的设计和实现[D]. 周家鑫. 北京邮电大学, 2021(01)
- [3]基于机器学习的僵尸网络检测系统的设计与实现[D]. 龚瑾珂. 北京邮电大学, 2021(01)
- [4]轻量级细粒度网络流量监控机理与仿真实现[D]. 朱相楠. 电子科技大学, 2021(01)
- [5]组织行为软件建模理论与应用研究[D]. 张艳. 北京理工大学, 2018(06)
- [6]基于Spark平台的恶意流量监测分析系统[D]. 郭成林. 北京交通大学, 2016(01)
- [7]网络空间安全大数据实时计算平台关键技术研究[D]. 姚欣. 天津理工大学, 2016(04)
- [8]高速网络中面向应用的IP流研究[D]. 陈陆颖. 北京邮电大学, 2011(05)
- [9]骨干网络流量异常行为感知方法研究[D]. 贺伟凇. 电子科技大学, 2011(12)
- [10]基于NetFlow的网络流量管理技术研究[D]. 邵颖. 国防科学技术大学, 2010(03)