論文既是探討問題進行學術研究的一種手段，又是描述學術研究成果進行學術交流的一種工具。關于網絡檢測的論文應該怎么寫?

　　網絡檢測論文篇一：

　　網絡異常流量檢測研究

摘要:異常流量檢測是目前IDS入侵檢測系統)研究的一個重要分支,實時異常檢測的前提是能夠實時,對大規模高速網絡流量進行異常檢測首先要面臨高速流量載荷問題,由于測度、分析和存儲等計算機資源的限制,無法實現全網絡現流量的實時檢測,因此,抽樣測度技術成為高速網絡流量測度的研究重點。

　　關鍵詞:網絡 異常流量 檢測

　　一、異常流量監測基礎知識

　　異常流量有許多可能的來源,包括新的應用系統與業務上線、計算機病毒、黑客入侵、網絡蠕蟲、拒絕網絡服務、使用非法軟件、網絡設備故障、非法占用網絡帶寬等。網絡流量異常的檢測方法可以歸結為以下四類:統計異常檢測法、基于機器學習的異常檢測方法、基于數據挖掘的異常檢測法和基于神經網絡的異常檢測法等。用于異常檢測的5種統計模型有:①操作模型。該模型假設異?？赏ㄟ^測量結果和指標相比較得到,指標可以根據經驗或一段時間的統計平均得到。②方差。計算參數的方差,設定其置信區間,當測量值超出了置信區間的范圍時表明可能存在異常。③多元模型。操作模型的擴展,通過同時分析多個參數實現檢測。④馬爾可夫過程模型。將每種類型事件定義為系統狀態,用狀態轉移矩陣來表示狀態的變化。若對應于發生事件的狀態轉移矩陣概率較小,則該事件可能是異常事件。⑤時間序列模型。將測度按時間排序,如一新事件在該時間發生的概率較低,則該事件可能是異常事件。

　　二、系統介紹分析與設計

　　本系統運行在子網連接主干網的出口處,以旁路的方式接入邊界的交換設備中。從交換設備中流過的數據包,經由軟件捕獲,處理,分析和判斷,可以對以異常流量方式出現的攻擊行為告警。本系統需要檢測的基本的攻擊行為如下:(1)ICMP攻擊(2)TCP攻擊,包括但不限于SYN Flood、RST Flood(3)IP NULL攻擊(4)IP Fragmentation攻擊(5)IP Private Address Space攻擊(6)UDP Flood攻擊(7)掃描攻擊不同于以特征、規則和策略為基礎的入侵檢測系統(Intrusion Detection Systems),本研究著眼于建立正常情況下網絡流量的模型,通過該模型,流量異常檢測系統可以實時地發現所觀測到的流量與正常流量模型之間的偏差。當偏差達到一定程度引發流量分配的變化時,產生系統告警(ALERT),并由網絡中的其他設備來完成對攻擊行為的阻斷。系統的核心技術包括網絡正常流量模型的獲取、及對所觀察流量的匯聚和分析。由于當前網絡以IPv4為主體,網絡通訊中的智能分布在主機上,而不是集中于網絡交換設備,而在TCP/IP協議中和主機操作系統中存在大量的漏洞,況且網絡的使用者的誤用(misuse)也時有發生,這就使得網絡正常流量模型的建立存在很大的難度。為達到保障子網的正常運行的最終目的,在本系統中,采用下列方式來建立多層次的網絡流量模型:

　　(1)會話正常行為模型。根據IP報文的五元組(源地址、源端口、目的地址、目的端口和協議),TCP和UDP報文可以構成流(flow)或偽流(pseudo-flow)。兩個五元組中源和目的相反的流可以構成一個會話。由于ICMP的特殊性,對于ICMP的報文,分別進行處理:ICMP(query)消息構成獨立會話,而ICMP錯誤(error)消息則根據報文中包含的IP報頭映射到由IP報頭所制定的會話中去。每一類協議(TCP/UDP/ICMP)的正常行為由一個有限狀態及刻畫。在這個狀態機中,如果一個事件的到來導致了錯誤狀態的出現,那么和狀態機關聯的計數器對錯誤累加。協議狀態機是一種相對嚴格的行為模型,累加的錯誤計數本身并不一定代表發現了攻擊行為。

　　(2)流量規則特征模型。在正常的網絡流量中,存在著穩定的規則特征。比如一個IP收到和發出的含SYN標志位和含FIN標志位的報文的比值、一個IP的出度和入度的比值以及一個IP的平均會話錯誤數等。這些網絡不變量是檢驗在一定時間區間內,一個IP是否行為異常的標準之一。這個模型要求對會話表中的會話摘要(一個含有會話特征的向量)進行匯聚,在會話正常行為模型基礎上增加攻擊行為判斷的準確程度。

　　(3)網絡流量關聯模型。把一些流量特征(如字節數、報文數、會話錯誤數等)在一定時間區間內的累加值記錄下來,可以看作時間序列。通過對序列的分析,可以找到長期的均值、方差、周期、趨勢等特征。當攻擊行為發生時,觀察到的一些流量特征會偏離其長期特征。這種特征偏離的相關性就提供了判斷是否攻擊已發生的一個依據。

　　三、大規模流量異常檢測框架

　　異常檢測通常需要描述正常網絡行為,網絡行為模型越準確,異常檢測算法效果越好。在大規模流量異常檢測中通常通過網絡探針了解單個實體或結點的行為來推測整個網絡行為,基于網絡斷層成像(network tomography)思想通過使用探針測量推斷網絡特征,這是檢測非協作(noncooperative)網絡異常和非直接管理控制網絡異常的有效手段。對于單個管理域,基于實體研究可以向網絡管理者提供有用信息,例如網絡拓撲。在單個結點使用一些基本的網絡設計和流量描述的方法,可以檢測網絡異常和性能瓶頸。然后觸發網絡管理系統的告警和恢復機制。為了對大規模網絡的性能和行為有一個基本的了解,需要收集和處理大量網絡信息。有時,全局網絡性能信息不能直接獲得,只有綜合所獲得的本地網絡信息才能對全局網絡行為有個大致的了解。因為不存在準確的正常網絡操作的統計模型,使得難以描述異常網絡模型的統計行為,也沒有單個變量或參數能包括正常網絡功能的各個方面。需要從多個統計特征完全不同的矩陣中合成信息的問題。為解決該問題,有人提出利用操作矩陣關聯單個參數信息。但導致算法的計算復雜度較高,為了滿足異常檢測的實時性要求,本文關聯本地和全局數據檢測網絡異常。盡管本章利用行為模型對IP Forwarding異常進行檢測,但該方法并不僅限于檢測本地異常。通過關聯多條網絡鏈路的時間序列數據,也可以檢測類似于空間的網絡異常。因此,該方法可以擴展到其他類型的大規模網絡數據和其他大規模網絡異常。

　　參考文獻:

　　[1]司偉紅.淺析網絡攻擊常用方法.科技廣場,2006,7:36-38.

　　[2]卿斯漢等.入侵檢測技術研究綜述.通信學報,2004,25(7):20-25.

　　[3]戴英俠、連一峰、王航.系統安全與入侵檢測.北京:清華大學出版社,2002:24-26.