Sniffer研究与应用

网络管理的基本职责是能快速定位网络故障并加以排除,同时应该了解网络的基本流量特征和分布状况,有助于网络的整体规划和流量策略调整,以应对各种网络应用需求。Sniffer同时具备了上述两种功能,介绍了它的工作原理和部署方法,并分析了如何使用Sniffer进行异常流量检测、流量评估和网络流量特征的长期监控。

基于数据增强和模型更新的异常流量检测技术

网络攻击手段层出不穷,使得数据样本不断变化,导致异常检测精度低。传统网络异常流量检测方法通过规则匹配进行检测,该方法检测手段较简单,很难适应复杂灵活的大规模网络环境。为此,文章提出一种基于数据增强和模型更新的异常流量检测技术。为解决数据不平衡问题,文章引入SMOTE算法进行少数类样本的过采样,并结合ENN算法剔除噪音数据。通过随机森林算法提取样本特征的重要性,并在改进的KNN算法中以特征重要性作为距离度量实现模型更新。最后,采用带有分类特性的CatBoost分类算法对网络流量数据进行分类。该模型在模型迭代更新过程中,对异常流量的检测效果较好,与HCPTC-IDS等方法比较,检测精度和误报率都有所提升。利用KDD 99数据集进行实验的结果表明,该模型的多分类检测精度高达96.52%,并且误报率仅为0.92%。