文档介绍:该【短连接流量特征与异常检测模型 】是由【科技星球】上传分享,文档一共【31】页,该文档可以免费在线阅读,需要了解更多关于【短连接流量特征与异常检测模型 】的内容,可以使用淘豆网的站内搜索功能,选择自己适合的文档,以下文字是截取该文章内的部分文字,如需要获得完整电子版,请下载此文档到您的设备,方便您编辑和打印。:短连接通常具有连接时间较短(一般在几秒内)、请求数量多、请求间隔时间分布不均匀的特点。:异常流量可能表现为连接时间异常短或异常长、请求数量异常大或异常小、请求间隔时间分布异常均匀。:可采用基于时间序列分析的方法,通过建立正常流量模型,检测流量发起行为是否偏离正常模式。:短连接的目标分布通常集中在少数域名或IP地址。:异常流量可能表现为目标分布异常分散或集中,或出现大量新出现的域名或IP地址。:可采用基于统计分布分析的方法,识别流量目标分布的异常模式,如异常稠密或异常稀疏。:短连接的数据包大小通常较小,且数据类型单一(如HTTPGET请求)。:异常流量可能表现为数据包大小异常大或异常小,或出现大量异常数据类型(如恶意软件)。:可采用基于数据包特征分析的方法,识别流量中异常的数据包特征,如异常大的数据包或异常的数据类型。:短连接的地理分布通常集中在特定区域或国家。:异常流量可能表现为地理分布异常分散或集中,或出现大量来自异常区域或国家的流量。:可采用基于地理分布分析的方法,识别流量的地理分布异常模式,如异常高的特定区域或国家流量。:短连接的流量时间分布通常呈现明显的峰谷时段。:异常流量可能表现为时间分布异常平坦或异常波动,或出现异常的流量集中时段。:可采用基于时间序列分析的方法,识别流量时间分布的异常模式,如异常平坦或异常波动的时段。:短连接通常以HTTP/HTTPS协议为主。:异常流量可能表现为协议分布异常分散或集中,或出现大量异常协议(如恶意软件使用的定制协议)。:可采用基于协议分布分析的方法,识别流量的协议分布异常模式,如异常高的特定协议流量。:衡量实际流量与基线流量之间的差异程度,可通过计算流量值与基线值的绝对值或相对值来获取。:反映流量值的离散程度,如果实际流量的标准差明显高于基线流量的标准差,则可能表明存在异常流量。:识别流量中的异常高峰,如果流量值突然大幅上升并持续一定时间,则可能是异常流量的迹象。流量波动特性指标定义:(MAD):反映实际流量与基线流量之间的平均差异,MAD值越大,表明流量波动性越明显。(IQR):表示流量值分布的中间50%的跨度,IQR值越大,表明流量波动性越大。:衡量流量分布的混乱程度,熵值越大,表明流量分布越分散,流量波动性也越大。异常流量检测指标定义:异常流量检测指标定义流量模式指标定义::衡量两个流量序列之间的相关性,如果实际流量与基线流量的相关性较低或呈负相关,则可能表明存在异常流量。:衡量流量序列自身各点之间的相关性,如果实际流量的自相关系数与基线流量的自相关系数存在较大差异,则可能表明流量模式异常。:识别流量中的周期性模式,如果实际流量呈现出与基线流量不同的周期性,则可能表明存在异常流量。流量突发特性指标定义::衡量流量序列的变化率,奇异性值越大,表明流量突发性越强。:反映流量序列的长程相关性,,表明流量具有持久性,存在突发特性的可能性更高。:衡量流量序列的复杂程度,分形维数值越大,表明流量突发性越明显。:衡量流量分布的均匀程度,香农熵值越大,表明流量分布越分散,流量越混乱。:衡量流量序列的时间相关性,伦琴熵值越大,表明流量时间相关性越弱,流量越随机。:是对香农熵的推广,具有参数α,可调节熵的敏感性,提高对不同流量分布模式的检测能力。流量维度指标定义::衡量流量序列的复杂性,卡尔曼维度值越大,表明流量序列越复杂,异常流量的可能性越高。:反映流量分布的空间分布特性,箱数维度值越大,表明流量分布越分散,异常流量的可能性更高。流量熵指标定义: