網絡異常流量與行為分析 葉曉鳴 喬少傑著 9787111716938 【台灣高等教育出版社】

內容簡介
基於行為分析的網路流量異常檢測是當前網路安全中的熱點研究方向，本書基於大數據和圖技術，圍繞異常行為輪廓構建和網路異常檢測及其優化問題涉及的若干個關鍵技術展開介紹，使讀者了解基於大數據技術進行網路流量異常的檢測和預警。

目錄
前言
第1章 引言1
1 1 研究背景及意義1
1 2 國內外研究現狀5
1 2 1 基於CiteSpace的用戶行為畫像
建模相關文獻可視化分析6
1 2 2 網路行為異常檢測的研究現狀11
1 2 3 整體網路行為研究現狀12
1 2 4 網路個體行為研究現狀13
1 2 5 主機群行為研究現狀15
1 2 6 圖分析技術在網路行為研究中的
應用現狀17
1 2 7 發展動態分析21
1 3 研究工作23
1 4 本書結構27
第2章 網路行為分析的網路流量
異常檢測框架29
2 1 研究框架設計29
2 1 1 網路行為分析的研究思路29
2 1 2 網路行為分析的研究框架33
2 2 網路流量採集37
2 3 Spark數據分析原理38
2 3 1 Spark工作機理38
2 3 2 Spark Streaming41
2 3 3 Spark GraphX44
2 4 基於Spark的網路行為分析
平台的搭建48
2 4 1 Spark作業運行環境48
2 4 2 Spark作業頂層程序流程49
2 4 3 Spark大數據分析技術平台搭建50
2 4 4 Spark開發環境搭建52
2 5 本章小結57
第3章 整體網路行為異常檢測研究58
3 1 問題分析和解決思路59
3 1 1 問題分析59
3 1 2 研究內容60
3 1 3 研究思路61
3 2 整體網路行為構建方法和定義63
3 2 1 流數據形式化表徵64
3 2 2 流量圖形式化表徵67
3 2 3 整體網路行為特徵集和抽取演算法71
3 3 整體網路行為異常檢測方法研究73
3 3 1 時序數據歷史時間取點法73
3 3 2 時序異常檢測方法75
3 3 3 異常檢測演算法79
3 4 Spark并行化設計80
3 5 異常案例分析182
3 6 異常案例分析294
3 7 異常案例分析399
3 7 1 一維數據分析104
3 7 2 二維數據關係分析105
3 7 3 時序分析方法109
3 7 4 特徵值統計分析112
3 7 5 異常案例分析117
3 8 本章小結122
第4章 網路個體行為異常檢測研究124
4 1 問題分析和解決思路125
4 1 1 問題分析125
4 1 2 研究內容127
4 1 3 研究思路128
4 2 網路個體行為輪廓構建的
方法和定義129
4 2 1 網路個體行為特徵向量130
4 2 2 網路個體行為特徵集和
抽取演算法135
4 3 網路個體行為的異常檢測方法137
4 4 Spark并行化設計142
4 5 異常案例分析1142
4 6 異常案例分析2152
4 7 異常案例分析3159
4 8 本章小結173
第5章 主機群行為異常檢測研究175
5 1 問題分析和解決思路176
5 1 1 問題分析176
5 1 2 研究內容178
5 1 3 研究思路179
5 2 主機群行為演化事件識別的
方法和定義181
5 2 1 主機群行為識別181
5 2 2 動態圖演化事件的定義183
5 3 主機群行為的異常檢測演算法188
5 4 Spark并行化設計189
5 5 異常案例分析1191
5 6 異常案例分析2206
5 7 本章小結212
第6章 總結和展望213
6 1 總結213
6 2 展望215
參考文獻217

前言/序言
隨著網路技術的發展，大量未知、新型網路攻擊層出不窮，越來越多的網路攻擊行為具有協同性、主機群性和隱蔽性，同時湧現出試圖躲避安全設備檢測的方法和技術，使網路流量的結構、組成和規模呈現出複雜性、動態性和關聯性，網路監控的難度劇增。傳統特徵庫的防火牆、入侵檢測系統採用的安全防禦技術，由於其原理是必須在了解攻擊特徵的前提下才能進行有效防禦，因此，這些檢測技術難以應對與防禦惡意變種、未知威脅以及新型攻擊，迫切需要採取全新的威脅分析與檢測技術。因此，網路行為分析作為網路安全威脅檢測的重要研究課題，越來越受到學術界和產業界的關注。網路行為異常檢測是指在一段時間內建立一個正常網路行為基線，確認正常網路行為的相關參數定義后，將任何背離這些參數的行為都標記為異常。近年來，該領域的研究工作成果顯著，但仍然存在一些問題。如目前的研究多從單一網路行為層面出發，較難完整揭示異常發生的原因和本質，導致檢測能力較差，不能全面地為異常處理提供支撐；異常檢測的訓練數據難於獲取；異常檢測系統適應能力差，各類異常檢測系統容易被攻擊者繞過；尤其是網路行為呈現的潛在社會化關係，沒有考慮網路交互過程對網路行為主體關係和屬性的影響，導致網路主機群事件難以形式化描述和檢測。因此，探索出行之有效的網路行為分析的異常流量檢測方法，對了解網路情況、提升網路管理和監測的能力，具有重要的理論和現實意義。
本書首先系統地總結了網路行為分析的相關研究背景和最新進展，重點針對「整體」 「個體」「主機群」網路行為的研究現狀進行了對比和總結，分析了網路行為特徵和異常檢測方法在檢測率、運行效率、全面性和新型異常行為的識別能力等方面的不足。
其次，針對這些不足，結合圖論、特徵工程、數據挖掘以及大數據分析等技術，以網路流量作為切入點，將圖結構、屬性以及動態變化的信息引入模型中，通過對用戶行為特徵的理解、分析和建模，從宏觀到微觀、由整體到局部，系統地研究了整體網路行為、網路個體行為和主機群行為，定義了更為有效的網路行為特徵集、異常檢測模型及其并行化演算法，並進行了實驗和異常案例分析。