基于流量检测的用户异常行为识别机制

作     者：张珣 

作者单位：北京邮电大学 

学位级别：硕士

导师姓名：邱雪松

授予年度：2019年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：流量异常检测 用户异常行为识别 熵 聚类算法 

摘      要：随着网络的发展,越来越多的政府、企业和组织部署了局域网,以方便日常的办公与生活。同时,网络攻击者也在不断提升攻击技术,使得网络异常行为时有发生。为了维护局域网的安全与稳定,必须及时发现异常行为及异常类型。由于局域网的汇聚节点是内网用户连接外网的重要路径节点之一,该节点上采集的流量包含了丰富的用户行为信息,在研究网络异常方面具有非常重要的价值。此外,汇聚节点的运行速度关系到内网网络的服务速度,并且汇聚节点上实时流经的流量数量大、涉及的用户多,所以在局域网汇聚节点部署的用户异常行为识别机制必须具有高效且准确的性能。现已有许多异常行为识别方法,但对于部署在局域网汇聚节点上的识别机制还不完善,不能兼顾准确性、实时性且判定异常类型的要求,因此,论文设计了一种基于流量检测的用户异常行为识别机制,可及时、准确识别出局域网中发生异常行为的用户和异常类型。用户异常行为识别需要先检测出流量异常,发现发生异常行为的时间点。为了检测出异常时间点,论文设计了一种基于熵和线性关系的两级流量异常检测算法。为提高准确率,在时间序列上设定两级动态阈值并采用基于熵的方法对异常点进行检测,为保证实时性,仅对熵值变化程度处于一级阈值和二级阈值之间的时间点采用基于线性关系的方法进行检测,并且可以通过定义的报警触发函数识别异常类型。仿真实验结果表明论文提出的方法在准确性和实时性方面优于现有的方法。在流量异常检测的基础上,为了准确的识别出异常时间点上发生异常行为的用户,论文设计了一种基于行为相似性的异常用户行为识别算法。基于不同用户的流量中端口号使用的关联性提出用户行为相似性计算公式和k-similarity聚类算法。为提高聚类结果的准确性,该算法对离群点加以考虑,最终达到分离出异常用户分簇的目的。仿真实验结果表明论文提出的算法在识别率和误判率方面优于现有的识别方法。