研究性论文_基于层次聚类方法的流量异常检测

最新推荐文章于 2025-01-04 06:00:00 发布
原创 最新推荐文章于 2025-01-04 06:00:00 发布 · 1.6k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#聚类 #数据挖掘 #机器学习

本文介绍了使用层次聚类方法进行流量异常检测的流程,包括pcap到netflow的格式转换、数据预处理和异常检测模型。在数据预处理中,通过softflowd、nfcapd和nfdump工具完成转换。层次聚类采用凝聚法,通过计算样本间的相似度构建聚类树。实验比较了多种机器学习算法,发现约减的SVM在鲁棒性和泛化能力方面表现出色,最佳数据量处理切片为20万条。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

基于层次聚类方法的流量异常检测

链接:百度网盘链接
提取码:9trx

1.模型框架

在这里插入图片描述

2.数据预处理

  1. 流量格式转换

    在网络中捕获的流量数据包的初始格式通常为pcap格式,内容表现形式为 16进制的数据
    为了将其转化为安全分析人员熟知的IP、端口等内容,需要将pcap格式转换成netflow格式
    pacp ----> netflow

    (1)pcap格式

    pcap:Global Header(24B)、Packet Header(16B)、Packet Data(共n个字节)

     Global Header:定义了该文件的最大存储长度、读取规则等内容
 Packet Header:数据包包头。定义了数据包的时间戳、长度等内容
 Packet Data:数据

    在这里插入图片描述

    (2)netflow格式

    7元组:源IP地址、目的IP地址、源端口号、目的端口号、协议种类、服务种类、输入接口

     如果两段流量的7元组相同,则属于同一个数据流,否则属于不同的数据流

    (3)转换方法

    在ubuntu环境下,借助3种工具,分别是softflowd、nfcapd、nfdump

     softflowd:读取pcap文件,并将其转换为netflow,输出至指定端口,包含老化时间、抽样等多项参数
 nfcapd:在指定端口接收netflow数据,并输出为netflow文件
 nfdump:读取netflow文件

  2. 层次聚类

    主要思想:计算各个数据点的相似度,最终形成树形分布图,对数据集在不同的层次上进行划分

    根据聚类树划分的不同,分为:

     分裂法:自顶向下的分割方法
 凝聚法:自底向上的聚合方法(使用更广泛)

    凝聚法:将每个数据点作为一个初始聚类簇,每次都寻找相似度最高的2个类别进行合并,并不断迭代合并的过程,直至分类数目达到预期设定的值。

    簇间距离测量算法:

     (1)单连接算法:2个簇的距离是由这2个簇中最近的2个样本点之间的距离决定,会受到极端值的影响
 (2)全连接算法:2个簇的距离是由这2个簇中最远的2个样本点之间的距离决定,会受到极端值的影响
 (3)均连接算法:2个簇的距离是这2个簇中的所有样本点两两之间距离求均值的结果,计算量较大,结果更合理一些

在这里插入图片描述
结果为:
在这里插入图片描述

3.异常流量检测模型

使用了七种常用的机器学习算法:决策树、随机森林、SVM、AdaBoost、GBDT、GNB、MNB

4.实验与分析

在这里插入图片描述
分析可得:基于约减的SVM算法效果最佳,因为SVM算法具有较强的鲁棒性,且泛化能力较好

基于约减的SVM算法对不同数据量的约减率:
在这里插入图片描述

分析可得:当流量数据为20万条时,数据约减量达到峰值,因此,基于层次聚类的流量异常检测模型的最佳数据量处理切片为20万条。对于新的需预测的流量数据,以20万条数据量作为划分区间,将其划分为多段流量信息,再使用基于层次聚类的流量异常检测模型进行检测,能到达比较好的约减效果

基于半监督深度学习的木马流量检测方法
罗伯特技术屋
07-04 223
异常流量检测领域的开源数据集多数是提供每个样本的特征属性,这些特征是经过人工筛选或统计计算得到,如KDD99和NSL-KDD提供了41个流量特征.本文所提方法不采用人工提取的特征,而是使用原始流量信息,但是木马流量分类中可用原始流量的开源数据集较少,本文使用USTC-TFC 2016[12]数据集作为输入.该数据集的文件格式为pcap,大小为3.71 GB,数据集中流量采集服务器的ip和mac已用随机地址代替.
基于深度学习的入侵检测系统设计与实现
AI天才研究院
05-18 2295
随着互联网的快速发展,网络安全问题日益突出。网络攻击手段不断翻新,攻击目标也从传统的服务器、网络设备扩展到个人电脑、移动设备等。传统的入侵检测系统(Intrusion Detection System,IDS)基于规则匹配和统计分析,难以应对复杂多变的网络攻击,特别是新型的未知攻击。研究人员将继续探索更高效、更准确的深度学习模型,提高入侵检测系统的性能。数据增强技术可以扩充训练数据集,提高模型的泛化能力。对抗学习可以提高模型的鲁棒性,使其能够抵抗对抗样本攻击。
PLC网络流量异常检测的统计模型和神经网络模型的比较研究
工控小白2021的博客
02-26 1430
A Comparative Study of Statistical and Neural Network Models for PLC Network Traffic Anomaly Detection一、摘要二、介绍三、系统建模四、结论 一、摘要 在本文中,我们试图通过使用三种不同模型描述的分析网络流量中的异常检测来保护系统和计算机网络免受新的未知攻击。第一类由ARFIMA和Holt-Winters模型组成,它们具有统计依赖性。第二类包括神经网络自回归模型,该模型具有单隐层和滞后输入的特点,用于预测单变
异常检测:帮助检测pcap文件中异常的脚本。 使用tensorflow和tshark进行异常检测
02-04
使用张量流和tshark的无监督异常检测 使用张量流使用自动编码器神经网络进行无监督学习。 请参阅 使用tensorflow和tshark的监督异常检测 Script to help to detect anomalies in pcap file. Using tensorflow neural network classifier and tshark -T ek -x input. Input is tshark ek json generate by: ./tshark -T ek -x -r trace.pcap > input.json Run script: cat input
论文学习——基于滑动窗口和聚类算法的变压器状态异常检测
#仙女不扎马尾#的博客
04-15 1172
文章目录0 封面1 标题(title)2 作者(author)3 摘要(abstract) 写在前面:《高电压技术》;主办单位:国家电力科学研究院;中文核心期刊、CA、SA、JST、EI、CSCD;月刊 0 封面 1 标题(title) 基于滑动窗口和聚类算法的变压器状态异常检测 昨天才更了一篇关于《基于滑动窗口...》的文章,今天就称热打铁,再更一篇。看看别人是怎么利用已有的技术来运用到自己领域上,然后提供贡献的。 关于 聚类算法 这个词的出现频率很高,与之相对应的是分类算法和预测算法。 2 作者(
毕业设计:基于深度学习的异常网络流量检测系统 信息安全
2301_79555157的博客
03-03 3307
毕业设计:基于深度学习的异常网络流量检测系统旨在实现高效准确的异常流量检测和识别。通过结合深度学习和计算机视觉技术,该系统能够从大规模的网络流量数据中学习网络行为模式,并通过对比分析实时网络流量与学习模型的差异来判断是否存在异常流量。这为计算机毕业设计提供了一个创新的方向,结合了深度学习和计算机视觉技术,为毕业生提供了一个有意义的研究课题。无论您对深度学习技术保持浓厚兴趣,还是希望探索机器学习、算法或人工智能的领域的同学,能为您提供灵感和指导。
网站流量异常检测
最新发布
weixin_55987175的博客
01-04 1493
第二个例子中,我们将对前一个例子的反面建模。我们不会讨论典型的少欺诈案例是什么, 而要讨论系统正常的预期行为。如果有违背模型预期的事情发生,这个事情就会被识别为异常。
PippySearch:基于网络层与传输层特征的异常流量聚类算法
关键词包括:异常检测、分类、流量分析、统计特征和聚类,这些都是理解论文核心贡献的关键点。 PippySearch: Anomaly Traffic Clustering 的研究不仅填补了现有网络监控技术的空白,也为网络安全研究人员提供了新的...
【双曲层次聚类案例研究】:如何证明其有效性并应用于实践
![对比多视图双曲层次聚类模型的有效性证明...双曲层次聚类是一种创新的数据聚类方法,它结合了双曲几何的特性与层次聚类的思想。本论文首先介绍聚类分析的基本概念和双曲层次聚类的理论基础,接着详细阐述了该算法的实
研究型论文_ 基于改进聚类分析的网络流量异常检测方法
一个努力生活的人的博客
12-02 1299
文章目录基于改进聚类分析的网络流量异常检测方法论文摘要论文解决的问题1.网络流量特征数据的预处理2.网络流量特征优化选择3.网络流量数据记录的距离度量4.基于二分法的 k-means 聚类检测总结 基于改进聚类分析的网络流量异常检测方法 论文摘要 针对传统基于聚类分析的网络流量异常检测方法准确性较低的问题,提出了一种基于改进 k-means 聚类流量异常检测方法。 通过对各类流量特征数据的预处理,使 k-means 算法能适用于离散型数据检测 进而给出一种基于数值分布分析法的高维数据特征筛选方法
《吴恩达机器学习》15 异常检测
JockerWong的笔记工厂
02-23 495
异常检测 前言一、高斯分布1、问题描述2、算法二、异常检测方法应用1、应用方式2、异常检测与监督学习比较3、特征选择三、多变量的高斯分布总结 前言 异常检测首先不是检测机器学习算法中的异常,也不是一个算法,它指的是一种应用场景(刚开始时我也陷入这两种猜测。。。)比如在工厂内生产一批零件,我们用高斯分布的方法来预测新生产的零件的异常状况。这就是本章学习的内容——异常检测 一、高斯分布 正态分布(N...
《数据驱动的网络分析》——2.3 NetFlow
weixin_33756418的博客
05-02 286
本节书摘来自异步社区《数据驱动的网络分析》一书中的第2章,第2.3节,作者: 【美】Michael Collins 更多章节内容可以访问云栖社区“异步社区”公众号查看。 2.3 NetFlow NetFlow是Cisco开发的流量汇总标准,最初用于网络服务记账。虽然本意不是为了安全性,但是人们臆测NetFlow对此有益,因为它提供了紧凑的网络通信会话摘要...
彻底剖析 Fprobe
脚踏实地,仰望星空
09-03 7165
一. Fprobe简介     Fprobe 是一款在 FreeBSD下运行的软件,它可以将其接口收到的数据转化为Netflow 数据,并发送至Netflow 分析端。     其中的Netflow 是 Cisco 公司开发出的一套协议,用于与门解决原始流量方式所产生的问题。当在网络设备戒其接口上开启 Netflow 功能后,网络设备会对需要迚行分析的流量迚行采样分析,并把采样分析的结果发送到分析端进行流量分析,当然这些采样分析的结果要比原始数据小的多的多。其中网络设备采样分析的结果数据会包括源地址、目
聚类分析的异常检测与异常值处理
AI天才研究院
01-05 2487
1.背景介绍 聚类分析是一种常用的数据挖掘技术,它主要用于将数据集中的数据点分为多个群集,使得同一群集内的数据点之间的距离较小,而与其他群集的距离较大。聚类分析可以帮助我们发现数据中的模式、规律和异常。在现实生活中,聚类分析应用非常广泛,例如在医疗健康领域,我们可以通过聚类分析来识别疾病的高危人群;在金融领域,我们可以通过聚类分析来识别潜在的诈骗行为;在社交媒体领域,我们可以通过聚类分析来识别用...
异常检测论文翻译——A Deep Learning Approach for Unsupervised Anomaly Detection in Time Series
I'm not perfect, but I keep trying.
07-27 4227
原文链接:DeepAnT----A Deep Learning Approach for Unsupervised Anomaly Detection in Time Series 摘要 传统的基于距离与维度的异常检测技术不能检测流数据中的具有周期性的点异常,这使得在物联网时代,时间序列异常检测存在着较大差距。为了解决这个问题,我们提出了一个新的基于深度学习的时间序列异常检测方法(Dee...
流量异常分析(归因分析)
T_110140的博客
05-26 1229
网站数据流量,特别是电商的数据流量会因为内外部的因素的各种原因,导致某一段时间流量异常。
nfsen+nfdump+sflow流量监控实现
机智的埃努
05-15 6574
nfsen+nfdump+sflow流量监控实现1.安装环境    yum install -y perl perl-Sys-Syslog rrdtool-perl perl-Data-Dumper perl-MailTools perl-Socket6    yum install php    yum install -y httpd2.安装nfdump1.6.15    (1)直接按下图安装...
改进k-means聚类的网络流量异常检测方法
传统的基于聚类分析的网络流量异常检测方法往往存在准确性不高的问题,容易遗漏潜在的安全威胁。针对这一挑战,研究者提出了一种基于改进k-means聚类算法的流量异常检测方法。 该方法首先对网络流量特征数据进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值