基于分形理论与小波分析的网络数据流异常检测研究

异常检测技术能够检测到未知攻击，对于保障网络安全具有重要的实际意义。当前的异常检测技术主要是采用统计、机器学习等方法构建检测模型，实时性差，误报率高。本课题采用分形理论与小波分析对异常检测模型进行深入探索，研究攻击对数据流分形特性的影响，构建网络数据流异常检测模型；研究小尺度Hurst求解方法，提高异常检测实时性；结合协议分析对异常实现多类精确检测，提高异常检测的准确率，减少误报率；构建基于网络数据流分形特性的异常检测原型，以离线与在线数据为基础，对各种网络攻击进行检测，验证基于网络数据流分形与小波分析的异常检测模型、实时检测方法，以及多类检测方法的有效性。课题根据网络数据流分形特性及异常对分形的影响，采用小波分析构建网络数据流异常检测模型、并提出新的多类检测、实时检测方法，为网络异常检测的进一步研究与应用提供了新的思路与理论依据。

(一)、本项目完成情况.本项目完成了项目所预期的所有技术内容，并结合当前热门技术，对研究内容进行了一些扩展。具体而言，包括如下：(1) 本项目对网络流量及分形特性进行了研究，使用随机产生的时间序列、以太网（Ethernet）正常网络流量、视频流（VBR），验证了网络流量具有分形特性；给出了使用Hurst参数与Lyapunov指数进行异常检测的方法，实验结果表明两种方法可以进行异常检。(2) 提出了基于小波分析的异常检测方法，实验结果表明小波分析方法对异常比较敏感，能正确区分繁忙业务与异常；给出了最佳检测Hurst参数小波选择的理论推导，基于实验得到了小波选择的规律：在一定的范围，随着消失矩增大，局部上H值时大时小，总体上H值在减小，消失矩越小，分解级数越大，求解的H值越准确，具有最小消失矩的小波误差最小，是小波分析法求解H值的最佳选择。这一结论为使用小波分析进行异常检测奠定了基础。(3)提出了小尺度Hurst求解实时入侵检测方法，对基于分形理论与小波的异常检测进行优化，采用逆向取数据，动态时隙调整，并行计算和判断策略，提高了Hurst值的输出速度和小波分析检测异常的能力。提出了将网络统计、协议分析结合分析，将网络统计度量进行优化，将网络行为通用度量进行实验优化，形成针对特定协议检测的网络特征，从而对异常实现多类精确检测，提高异常检测的准确率,减少误报率。(4) 在实现方面，采用度网络最后设计和开发了一个基于自相似理论的异常检测软件，使用R/S与小波分析对Hurst进行求解和监视，该软件能迅速准确地检测到异常。(5) 此外，在完成本项目既定目标基础上，我们结合当前的热门技术，对云计算下的入侵防御、虚拟机中的检测技术、网络流量特征自动生成技术等进行了若干理论研究。在实现方面，将特征规则匹配作为触发引擎，从而结合DPI和DFI技术，构建了一个比较实用的IDS检测系统。.(二)、本项目取得的成果.本项目取得了较为丰富的科研成果，具体而言，包括如下：.(1) 发表论文24篇，其中SCI/EI及国际会议论文16篇；.(2) 发明专利申请8项；.(3) 获得江苏省科技进步二等奖1项；.(4) 获得国家博士后面上资助项目1项；.(5) 获得对外合作横向项目1项；.(6) 培养硕士生10名以上。