1、隨著網(wǎng)絡(luò)規(guī)模的不斷壯大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜，網(wǎng)絡(luò)流量的異常行為對網(wǎng)絡(luò)本身以及用戶造成的危害越來越大。為了更好的控制和管理通信網(wǎng)絡(luò)，減少異常流量對正常業(yè)務(wù)的危害，就必須準(zhǔn)確、實時地對流量異常行為特征進行分析和提取，主動發(fā)現(xiàn)通信網(wǎng)絡(luò)中的異常行為，并對具有攻擊性的異常流量進行攔截和告警。
　　 傳統(tǒng)的用戶網(wǎng)絡(luò)的異常行為分析主要采用用戶行為、應(yīng)用行為和網(wǎng)絡(luò)行為的精細分析。由于骨干通信網(wǎng)絡(luò)的通信量非常大，精細的應(yīng)用行為和用戶行為分析是非常困

2、難的，異常行為分析需要以相對粗粒度的異常特征分析技術(shù)為基礎(chǔ)，才能適應(yīng)骨干通信網(wǎng)絡(luò)的超大規(guī)模流量。本文主要研究內(nèi)容包括骨干通信網(wǎng)中流量特征信息的粗粒度表示、流量異常事件的捕獲以及流量異常事件的關(guān)聯(lián)分析，并在此基礎(chǔ)上提出一種骨干通信網(wǎng)中攻擊檢測的機制。具體工作如下：
　　 第一，由于骨干通信網(wǎng)絡(luò)中通信量的海量性與高速性使得精細分析非常困難，本文采用相對粗粒度的流量特征參數(shù)，將這些參數(shù)看做隨時間變化的信號，即網(wǎng)絡(luò)流量特征信號，將骨干通

3、信網(wǎng)中流量異常行為的分析轉(zhuǎn)化為多時間序列的分析問題。
　　 第二，針對異常流量相對于骨干通信網(wǎng)的海量背景流量的隱蔽性，提出一種多流多特征的流量特征信號提取方法，在流分類后的子流中提取流量特征信號，起到了約減數(shù)據(jù)，突出異常流量特征的作用。
　　 第三，在流量特征信號的異常檢測方法研究中，引入數(shù)據(jù)挖掘中離群點檢測的思想，提出一種基于局部密度的時序離群點挖掘方法。將該方法用于流量特征信號，得到離群點，形成流量異常事件。

4、　　 第四，由于流量異常事件與引起流量異常的原因之間相互孤立，沒有形成有效的聯(lián)系。為此采用關(guān)聯(lián)規(guī)則挖掘的方法，通過在離線數(shù)據(jù)中挖掘得到網(wǎng)絡(luò)攻擊與流量異常事件之間的關(guān)聯(lián)規(guī)則，一條關(guān)聯(lián)規(guī)則表明了一種網(wǎng)絡(luò)攻擊能夠引起何種流量異常事件。
　　 第五，將上述方法運用于骨干通信網(wǎng)的網(wǎng)絡(luò)攻擊檢測中，建立一種骨干通信網(wǎng)的網(wǎng)絡(luò)攻擊檢測機制：在骨干通信網(wǎng)中捕獲流量異常事件，將這些流量異常事件與關(guān)聯(lián)規(guī)則庫中的關(guān)聯(lián)規(guī)則進行匹配，最后檢測出網(wǎng)絡(luò)攻擊并根