基于Filter-ary-Sketch数据结构的骨干网异常检测研究

作     者：郑黎明 邹鹏 韩伟红 李爱平 贾焰 ZHENG Li-ming;ZOU Peng;HAN Wei-hong;LI Ai-ping;JIA Yan

作者机构：国防科学技术大学计算机学院湖南长沙410073 装备指挥技术学院北京100029 

出 版 物：《通信学报》 (Journal on Communications)

年 卷 期：2011年第32卷第12期

页      面：151-160页

核心收录：

学科分类：0839[工学-网络空间安全] 08[工学] 

基　　金：国家高技术研究发展计划("863"计划)基金资助项目(2011AA010702)~~ 

主　　题：网络安全 异常检测 概要数据结构 熵 

摘      要：针对骨干网上异常检测的特殊要求,提出了一种基于Filter-ary-Sketch数据结构的异常检测方法。该方法通过Filter-ary-Sketch实时记录网络流量信息,然后每隔一定周期进行基于多维熵值的异常检测。如果出现异常则根据Filter-ary-Sketch记录的流量信息进行异常点定位,最后利用Bloom Filter中记录的源IP信息进行恶意流量阻断。该方法能够检测多种类型的网络攻击,且能有效地进行恶意流量阻断。利用实际骨干网流量数据,分别从效率和精度2个方法进行对比实验,取得了较好的效果。