文档介绍:上海交通大学
硕士学位论文
基于linux平台的流量统计与异常检测系统的设计与实现
姓名:辛茗庭
申请学位级别:硕士
专业:计算机技术
指导教师:夏雨人;史晓敏
20080701
上海交通大学工程硕士学位论文摘要
基于 linux 平台的流量统计与异常检测系统的设计与实现
摘要
本文的研究目标是设计实现一个基于 Linux 平台的流量统计与异常检测系统。
流量统计与异常检测技术具有广泛的应用前景,本文从一个实际的项目应用出发,
flow 流数据的生成、输出、采集、统计、检测等几个方面进行了大量深入
的研究,并对统计结果的输出方式、监测算法的参数优化提出了改进。
流数据的生成、采集方面。flow 技术,对其工作原理和数
据格式有了清晰了解。然后系统学习了流量生成、输出工具 nProbe 和流量采集、统
计工具 SiLK 的原理,分析其源码,并对 SiLK 的特定文件存储结构作了说明。
流量统计方面。本文详细介绍了 Silk 的原理、组成,对其主要分析工具 rwfilter、
rwtotal、rwcount 等作了详细说明。系统在使用 SiLK 进行流量统计过程中,由于其
主要工具 rwfilter 只能将统计结果输出到文件、命名管道或标准输出,增加了出错机
率,影响程序执行效率,因此对其源码进行了改造。
流量异常检测方面。本文首先对异常监测背景、监测方法进行说明。通过各种
异常监测方法比较,确定对细粒度的协议及端口异常进行监测。在监测模型中参数
的优化程度决定着流量异常检测告警的准确度,为此在系统实现过程中对监测模型
的参数进行了最优化处理。
系统设计与实现方面。本文对系统的硬件运行环境和软件组成作了说明,设计
实现了各功能模块功能,并画出了具体的执行流程图。最后在单位互联网出入口搭
建了小型实验环境,对系统的流量统计、异常流量检测模块的功能进行了测试。
本文的意义在于,本文不仅设计并实现了一个基于 Linux 平台的流量统计与异
常检测系统,并且此系统已在小型网络环境下投入使用,能够快速检测出 Dos、
DDos、蠕虫病毒等网络异常流量,产生实时告警,效果良好。同时对异常流量监测
方法的研究对今后的工作也有通用的参考和指导意义。
flow,nProbe,SiLK,流量统计,异常流量检测,监测模型,周期性和
非周期性监测算法
I
上海交通大学工程硕士学位论文 ABSTRACT
Design and Realization of Traffic Statistics and Anomaly Detecting
System based on Linux
Abstract
The goal of this paper is to design and implement a traffic statistics and anomaly
detection system based on Linux. The technology of traffic statistics and anormaly
detection based Flow have widespread application prospect. This paper is based on
a practical project, Focusing on several aspects Flow,such as generation, output,
collection, statistic, anomaly detection and so on. this paper has done a lot of thorough
researches, and put forward improvement for the output model and tne parameter
optimization.
On Flow generating and collection, the principle and data format are
understood by analyzing the source codes of nProbe and SILK. The specific file storing
structure of SILK is discussed in this paper.
On Flow statistic, this paper introduces the principle, composition of SILK,
also