交互式网络流模型及其在网络异常行为检测中的应用

摘要

寻找合适的监控数据源对网络异常行为检测至关重要。网络流量作为基本的网络信息载体在近几年得到了充分的研究。针对传统NetFlow网络流模型无法描述网络用户行为交互特征的问题，本文提出了一种交互式网络流模型。该模型根据数据包特征，将前向数据包和后向数据包进行聚合，形成描述网络用户交互行为的特征参量。结合异常行为检测的需要，首先分析了交互式网络流的特点，发现网络中存在大量的不完整网络流。随后分析了不完整网络流大小、协议等特征。进一步分析发现这些不完整网络流是由个别网络用户产生的，据此可以断定这些不完整网络流产生者是网络中的异常用户。最后，本文利用可逆Sketch方法对不完整网络流产生者进行准确定位。实验结果表明，本文所提出的方法对于多种类型的网络异常行为具有良好的检测效果，可以准确的定位出网络中不完整网络流的严生者，为网络异常行为的控制奠定了基础。