摘  要

 

网络技术的飞速发展给了人们巨大便利的同时，也带了大量的网络流量和安全隐患。大量的攻击行为在数据流中难以检测，如何从数据流中检测出攻击行为成为了研究领域的热点。由于传统的基于规则库匹配的恶意流量识别方案需要解包得到完整的报文内容，并将报文内容与规则库中的规则匹配，才能得到流量的类型标签，这使得传统方案在大量数据包情况下将耗费大量不必要的时间成本进行解包操作，而基于规则库的匹配方案又无法有效检测出未知的恶意流量，给网络安全带来新的挑战。数据流又具有快速，无限和高维特征的特点，传统的规则库匹配方案误报率过高，这就要求模型能够灵活、快速并且准确的判断数据流的类型。

针对上述数据流的特点，本文结合了BIRCH聚类算法和信息熵技术，对数据流的特征进行选择，将信息熵大的特征保留，即信息增益大的特征组成特征集，经后续实验证明，特征选择过后的特征集能对神经网络模型训练的准确率有提升效果。针对规则库匹配方案的缺点，本文使用卷积神经网络模型对特征集进行训练，对训练集较少的攻击也有识别效果，最终模型在KDDCUP99数据集上的准确率达到了99.2%。将提出的特征选择方法与卷积神经网络模型应用到系统中，利用特征选择方法得到特征集，并在此基础上，将特征集作为输入传至神经网络模型中，神经网络模型在经过训练后能够输出得到网络流量的标签，0为正常流量，1为恶意流量，2为可疑流量。

 

关键词：数据流，信息熵，BIRCH算法，卷积神经网络

 

 

目  录

 

第一章 绪论 1

1.1 课题研究背景及研究意义 1

1.2 基于流技术的恶意流量识别研究现状 1

第二章 相关工作 3

2.1 特征选择技术 3

2.1.1 信息熵 3

2.1.2 BIRCH算法 3

2.2 卷积神经网络 4

第三章 系统的设计 6

3.1 系统架构技术 6

3.2 系统功能设计 7

3.3 系统运作流程 7

3.4 基于流聚类技术的恶意流量识别方法 8

3.4.1 数据流的特征选择 8

3.4.2 神经网络的训练 9

3.4.3 恶意流量识别 10

第四章 系统的实现 11

4.1 系统技术栈 11

4.2 配置管理模块实现 11

4.3 人工智能模块实现 12

4.4 智能分析模块实现 13

4.5 流量查询模块实现 14

第五章 系统测试 15

5.1 测试环境 15

5.2 功能测试 15

5.3 性能测试 17

第6章 总结与展望 20

6.1 总结 20

6.2 展望 20

参考文献 21

致  谢 23