基于聯合數據挖掘的網絡異常檢測系統的研究

摘要：網絡攻擊日趨隱蔽和復雜化，傳統的檢測方法具有很大的局限性。該文提出將網絡管理中故障管理和性能管理相結合，根據目前網絡中可獲得的豐富的數據進行聯合挖掘，能夠全面發現網絡中存在的問題。

關鍵詞：數據挖掘 異常檢測 網絡管理

中圖分類號：TP274文獻標識碼：A 文章編號：1674-098X（2013）01（b）-000-03

隨著目前網絡環境越來越復雜，網絡攻擊形式越來越多樣，如何維持網絡性能的穩定成為網絡管理的一個難題。現實中引起網絡異常的原因有很多，典型的有：網絡設備故障、網絡過載、惡意的拒絕服務和網絡入侵等等。如何發現這些異常一直是研究的熱點問題。然而網絡異常的發現依賴于可獲得的網絡數據及其分析。一般情況下，網絡中可獲得數據包括：網絡設備的告警日志、網絡設備的Trap消息、網絡流量數據和基于簡單網絡管理協議（SNMP）獲得的相關MIB的數據。我們假設“網絡異常能夠在異常事件發生之前或發生時被一些相關的瞬時變化所刻畫”，所以通過對這些數據的分析一般都能發現與異常相關的信息。[1]在此之前已經有專家在這方面進行了一些有創造性的工作。1997年Mika Klemettinen等人提出了“頻繁情節（frequent episode）”的概念[2]，在1999年提出了將頻繁情節挖掘的方法應用于電信網的告警數據分析中，用來自動提取規則，并實現了一個“電信網告警序列分析器（TASA）”的電信網故障管理系統[3]（見圖1）。

在流量異常分析方面，目前在入侵檢測系統中研究的較多。主要包括基于行為（異常檢測）和基于知識（誤用檢測）兩類[4]。……