基于主机活跃性和通信模式分析的实时异常流量检测
提出一种基于主机活跃性和通信模式分析的实时异常流量检测方法,对整个网络报文空间按异常流量事件相关报文类型进行分类,在各报文子空间中分析各活动主机的活跃性,采用自适用报文抽样和报文特征分布熵方法提取各活跃主机通信模式,与先前建立的各类型异常流量检测事件通信模式进行比较,从而实现对各类型异常流量事件的实时检测和异常流量事件源的准确物理定位。通过在实验环境中进行混合模拟攻击测试表明,本异常流量检测方法对各种常见类型异常流量事件具有较高检测速度和精度,适合高速骨干网络环境下实时异常流量检测。
网络安全 异常流量 通信模式 异常检测 网络报文
叶润国 胡建平
北京启明星辰信息技术有限公司,北京 100093;北京航空航天大学计算机学院,北京 100083 北京航空航天大学计算机学院,北京 100083
国内会议
青岛
中文
35-41
2007-07-18(万方平台首次上网日期,不代表论文的发表时间)