实现对网络流量异常检测

⑴ 系统检测到计算机网络中存在异常流量怎么处理

此提示是谷歌为了防范机器自动查询而采取的措施，解决方法如下：

1. 短线重拨。

2. 要么联系网管解决，要么自行使用代理服务器。

3. 不用或者更换代理服务器。

4. 重新进行宽带拨号或者重启路由器获得一个新IP。
   

⑵ 手机总出现网络异常请检查怎么解决

手机总是出现网络异常，一般情况是网络运营商的终端问题 建议解决方法：把手机调为离线模式，再开启标准模式，基本可以解决问题，不用关机再开机的，要是还是不行，直接致电10086，客服人员会在3小时内给你联系解决。

⑶ 异常检测的相关定义

1、误用检测是指通过攻击行为的特征库,采用特征匹配的方法确定攻击事件.误用检测的优点是检测的误报率低,检测快,但误用检测通常不能发现攻击特征库中没有事先指定的攻击行为,所以无法检测层出不穷的新攻击
2、异常检测是指根据非正常行为(系统或用户)和使用计算机非正常资源来检测入侵行为.其关键在于建立用户及系统正常行为轮廓(Profile),检测实际活动以判断是否背离正常轮廓
3、异常检测是指将用户正常的习惯行为特征存储在数据库中,然后将用户当前的行为特征与特征数据库中的特征进行比较,如果两者的偏差足够大,则说明发生了异常
4、异常检测是指利用定量的方式来描述可接受的行为特征,以区分和正常行为相违背的、非正常的行为特征来检测入侵
5、基于行为的入侵检测方法,通过将过去观察到的正常行为与受到攻击时的行为相比较,根据使用者的异常行为或资源的异常使用状况来判断是否发生入侵活动,所以也被称为异常检测
6、统计分析亦称为异常检测,即按统计规律进行入侵检测.统计分析先对审计数据进行分析,若发现其行为违背了系统预计,则被认为是滥用行为
7、统计分析亦称为异常检测.通过将正常的网络的流量.网络延时以及不同应用的网络特性(如时段性)统计分析后作为参照值,若收集到的信息在参照值范围之外,则认为有入侵行为
8、异常检测（Anomaly-based detection）方法首先定义一组系统处于“正常”情况时的数据，如CPU利用率、内存利用率、文件校验和等然后进行分析确定是否出现异常。

⑷ 我们的系统检测到您的计算机网络中存在异常流量.请稍后重新发送

此提示是浏览器为了防范机器自动查询而采取的措施，但对于多人使用同一对外IP的情况也会造成误报，比如身处局域网或者使用了代理服务器等网络条件下。

解决方法：

1、输入验证码，一般输入2次验证码之后即可解除提示。

2、如果使用的是局域网，要么联系网管解决，要么自行使用代理服务器。

3、如果使用了代理服务器，不用或者更换代理服务器。

4、如果是个人宽带，重新进行宽带拨号或者重启路由器获得一个新IP。

(4)实现对网络流量异常检测扩展阅读：

注意事项：

1、从工作方式上看，计算机网络可以分为边缘部分和核心部分。 边缘部分是指用户直接使用的、连接在因特网上的主机， 而核心部分是指大量的网络和连接这些网络的路由器，它为边缘部分提供了连通性和交换服务。

2、分布式处理。当计算机网络中的某个计算机系统负荷过重时，就可以将其处理的任务传送到网络的其他计算机系统中，利用空闲计算机资源以提高整个系统的运行效率。

3、按照网络的拓扑结构，主要分为星形、总线型、环形和网络形网络。 其中前三者多用于局域网，网络形网络多用于广域网。

⑸ 我们的系统检测到您的计算机网络中存在异常流量。 怎么解决

很可能是有些软件程序在扫描你的硬盘，然后无声无息地把你的硬盘数据上传到他的服务器上，从而制造了流量异常。

⑹ 局域网里如何侦测网络流量不正常的主机

对于流量 暂时没有什么特别好的办法
可以用show interface来查看各个端口的流量 这样做的缺点就是比较繁琐 建议使用一些流量检测软件
至于ARP攻击 可以用 show arp查看arp表 然后show mac-address-table
查看mac地址表 将两个表进行对比 做出判断 然后将mac地址表中对应的机器端口shut掉就可以了

⑺ java如何实现监控服务器网络流量

你可以在JSP页面用这三个方法
request.getRemoteAddr()//获取远程IP
request.getRemoteUser()//获取远程用户
request.getRemoteHost()//获取远程主机
可以写方法,请看java.net包下的类.
java.net.InetAddress
java.net.InetSocketAddress
获取IP,主机和端口.

⑻ 上网浏览网页时，出现“系统检测到您的计算机网络中存在异常流量”怎么办

上网浏览网页时，出现“系统检测到您的计算机网络中存在异常流量”这是因为路由器上网模式设置错误造成的，具体的解决方法如下：

1、首先在电脑上打开宽带连接的窗口，然后单击属性：

⑼ “宏观网络流量”的定义是什么有哪些异常检测方法

一种互联网宏观流量异常检测方法(2007-11-7 10:37) 摘要：网络流量异常指网络中流量不规则地显着变化。网络短暂拥塞、分布式拒绝服务攻击、大范围扫描等本地事件或者网络路由异常等全局事件都能够引起网络的异常。网络异常的检测和分析对于网络安全应急响应部门非常重要，但是宏观流量异常检测需要从大量高维的富含噪声的数据中提取和解释异常模式，因此变得很困难。文章提出一种分析网络异常的通用方法，该方法运用主成分分析手段将高维空间划分为对应正常和异常网络行为的子空间，并将流量向量影射在正常子空间中，使用基于距离的度量来检测宏观网络流量异常事件。公共互联网正在社会生活的各个领域发挥着越来越重要的作用，与此同时，由互联网的开放性和应用系统的复杂性所带来的安全风险也随之增多。2006年，国家计算机网络应急技术处理协调中心(CNCERT/CC)共接收26 476件非扫描类网络安全事件报告，与2005年相比增加2倍，超过2003—2005年3年的总和。2006年，CNCERT/CC利用部署的863-917网络安全监测平台，抽样监测发现中国大陆地区约4.5万个IP地址的主机被植入木马，与2005年同期相比增加1倍；约有1千多万个IP地址的主机被植入僵尸程序，被境外约1.6万个主机进行控制。黑客利用木马、僵尸网络等技术操纵数万甚至上百万台被入侵的计算机，释放恶意代码、发送垃圾邮件，并实施分布式拒绝服务攻击，这对包括骨干网在内的整个互联网网络带来严重的威胁。由数万台机器同时发起的分布式拒绝服务攻击能够在短时间内耗尽城域网甚至骨干网的带宽，从而造成局部的互联网崩溃。由于政府、金融、证券、能源、海关等重要信息系统的诸多业务依赖互联网开展，互联网骨干网络的崩溃不仅会带来巨额的商业损失，还会严重威胁国家安全。据不完全统计，2001年7月19日爆发的红色代码蠕虫病毒造成的损失估计超过20亿美元；2001年9月18日爆发的Nimda蠕虫病毒造成的经济损失超过26亿美元；2003年1月爆发的SQL Slammer蠕虫病毒造成经济损失超过12亿美元。针对目前互联网宏观网络安全需求，本文研究并提出一种宏观网络流量异常检测方法，能够在骨干网络层面对流量异常进行分析，在大规模安全事件爆发时进行快速有效的监测，从而为网络防御赢得时间。1 网络流量异常检测研究现状在骨干网络层面进行宏观网络流量异常检测时，巨大流量的实时处理和未知攻击的检测给传统入侵检测技术带来了很大的挑战。在流量异常检测方面，国内外的学术机构和企业不断探讨并提出了多种检测方法[1]。经典的流量监测方法是基于阈值基线的检测方法，这种方法通过对历史数据的分析建立正常的参考基线范围，一旦超出此范围就判断为异常，它的特点是简单、计算复杂度小，适用于实时检测，然而它作为一种实用的检测手段时，需要结合网络流量的特点进行修正和改进。另一种常用的方法是基于统计的检测，如一般似然比(GLR)检测方法[2]，它考虑两个相邻的时间窗口以及由这两个窗口构成的合并窗口，每个窗口都用自回归模型拟合，并计算各窗口序列残差的联合似然比，然后与某个预先设定的阈值T 进行比较，当超过阈值T 时，则窗口边界被认定为异常点。这种检测方法对于流量的突变检测比较有效，但是由于它的阈值不是自动选取，并且当异常持续长度超过窗口长度时，该方法将出现部分失效。统计学模型在流量异常检测中具有广阔的研究前景，不同的统计学建模方式能够产生不同的检测方法。最近有许多学者研究了基于变换域进行流量异常检测的方法[3]，基于变换域的方法通常将时域的流量信号变换到频域或者小波域，然后依据变换后的空间特征进行异常监测。P. Barford等人[4]将小波分析理论运用于流量异常检测，并给出了基于其理论的4类异常结果，但该方法的计算过于复杂，不适于在高速骨干网上进行实时检测。Lakhina等人[5-6]利用主成分分析方法(PCA)，将源和目标之间的数据流高维结构空间进行PCA分解，归结到3个主成分上，以3个新的复合变量来重构网络流的特征，并以此发展出一套检测方法。此外还有一些其他的监测方法[7]，例如基于Markov模型的网络状态转换概率检测方法，将每种类型的事件定义为系统状态，通过过程转换模型来描述所预测的正常的网络特征，当到来的流量特征与期望特征产生偏差时进行报警。又如LERAD检测[8]，它是基于网络安全特征的检测，这种方法通过学习得到流量属性之间的正常的关联规则，然后建立正常的规则集，在实际检测中对流量进行规则匹配，对违反规则的流量进行告警。这种方法能够对发生异常的地址进行定位，并对异常的程度进行量化。但学习需要大量正常模式下的纯净数据，这在实际的网络中并不容易实现。随着宏观网络异常流量检测成为网络安全的技术热点，一些厂商纷纷推出了电信级的异常流量检测产品，如Arbor公司的Peakflow、GenieNRM公司的GenieNTG 2100、NetScout公司的nGenius等。国外一些研究机构在政府资助下，开始部署宏观网络异常监测的项目，并取得了较好的成绩，如美国研究机构CERT建立了SiLK和AirCERT项目，澳大利亚启动了NMAC流量监测系统等项目。针对宏观网络异常流量监测的需要，CNCERT/CC部署运行863-917网络安全监测平台，采用分布式的架构，能够通过多点对骨干网络实现流量监测，通过分析协议、地址、端口、包长、流量、时序等信息，达到对中国互联网宏观运行状态的监测。本文基于863-917网络安全监测平台获取流量信息，构成监测矩阵，矩阵的行向量由源地址数量、目的地址数量、传输控制协议(TCP)字节数、TCP报文数、数据报协议(UDP)字节数、UDP报文数、其他流量字节数、其他流量报文书、WEB流量字节数、WEB流量报文数、TOP10个源IP占总字节比例、TOP10个源IP占总报文数比例、TOP10个目的IP占总字节数比例、TOP10个目的IP占总报文数比例14个部分组成，系统每5分钟产生一个行向量，观测窗口为6小时，从而形成了一个72×14的数量矩阵。由于在这14个观测向量之间存在着一定的相关性，这使得利用较少的变量反映原来变量的信息成为可能。本项目采用了主成份分析法对观测数据进行数据降维和特征提取，下面对该算法的工作原理进行介绍。 2 主成分分析技术主成分分析是一种坐标变换的方法，将给定数据集的点映射到一个新轴上面，这些新轴称为主成分。主成分在代数学上是p 个随机变量X 1, X 2……X p 的一系列的线性组合，在几何学中这些现线性组合代表选取一个新的坐标系，它是以X 1,X 2……X p 为坐标轴的原来坐标系旋转得到。新坐标轴代表数据变异性最大的方向，并且提供对于协方差结果的一个较为简单但更精练的刻画。主成分只是依赖于X 1,X 2……X p 的协方差矩阵，它是通过一组变量的几个线性组合来解释这些变量的协方差结构，通常用于高维数据的解释和数据的压缩。通常p 个成分能够完全地再现全系统的变异性，但是大部分的变异性常常能够只用少量k 个主成分就能够说明，在这种情况下，这k 个主成分中所包含的信息和那p 个原变量做包含的几乎一样多，于是可以使用k 个主成分来代替原来p 个初始的变量，并且由对p 个变量的n 次测量结果所组成的原始数据集合，能够被压缩成为对于k 个主成分的n 次测量结果进行分析。运用主成分分析的方法常常能够揭示出一些先前不曾预料的关系，因而能够对于数据给出一些不同寻常的解释。当使用零均值的数据进行处理时，每一个主成分指向了变化最大的方向。主轴以变化量的大小为序，一个主成分捕捉到在一个轴向上最大变化的方向，另一个主成分捕捉到在正交方向上的另一个变化。设随机向量X '=[X 1,X 1……X p ]有协方差矩阵∑,其特征值λ1≥λ2……λp≥0。考虑线性组合：Y1 =a 1 'X =a 11X 1+a 12X 2……a 1pX pY2 =a 2 'X =a 21X 1+a 22X 2……a 2pX p……Yp =a p'X =a p 1X 1+a p 2X 2……a p pX p从而得到：Var (Yi )=a i' ∑a i ,(i =1,2……p )Cov (Yi ,Yk )=a i '∑a k ,(i ,k =1,2……p )主成分就是那些不相关的Y 的线性组合，它们能够使得方差尽可能大。第一主成分是有最大方差的线性组合，也即它能够使得Var (Yi )=a i' ∑a i 最大化。我们只是关注有单位长度的系数向量，因此我们定义：第1主成分＝线性组合a 1'X，在a1'a 1=1时，它能够使得Var (a1 'X )最大；第2主成分＝线性组合a 2 'X，在a2'a 2=1和Cov(a 1 'X,a 2 'X )=0时，它能够使得Var (a 2 'X )最大；第i 个主成分＝线性组合a i'X，在a1'a 1=1和Cov(a i'X,a k'X )=0(k<i )时，它能够使得Var (a i'X )最大。由此可知主成分都是不相关的，它们的方差等于协方差矩阵的特征值。总方差中属于第k个主成分(被第k个主成分所解释)的比例为：如果总方差相当大的部分归属于第1个、第2个或者前几个成分，而p较大的时候，那么前几个主成分就能够取代原来的p个变量来对于原有的数据矩阵进行解释，而且信息损失不多。在本项目中，对于一个包含14个特征的矩阵进行主成分分析可知，特征的最大变化基本上能够被2到3个主成分捕捉到，这种主成分变化曲线的陡降特性构成了划分正常子空间和异常子空间的基础。3 异常检测算法本项目的异常流量检测过程分为3个阶段：建模阶段、检测阶段和评估阶段。下面对每个阶段的算法进行详细的介绍。3.1 建模阶段本项目采用滑动时间窗口建模，将当前时刻前的72个样本作为建模空间，这72个样本的数据构成了一个数据矩阵X。在试验中，矩阵的行向量由14个元素构成。主成份分为正常主成分和异常主成份，它们分别代表了网络中的正常流量和异常流量，二者的区别主要体现在变化趋势上。正常主成份随时间的变化较为平缓，呈现出明显的周期性；异常主成份随时间的变化幅度较大，呈现出较强的突发性。根据采样数据，判断正常主成分的算法是：依据主成分和采样数据计算出第一主成分变量，求第一主成分变量这72个数值的均值μ1和方差σ1，找出第一主成分变量中偏离均值最大的元素，判断其偏离均值的程度是否超过了3σ1。如果第一主成分变量的最大偏离超过了阈值，取第一主成份为正常主成分，其他主成份均为异常主成分，取主成份转换矩阵U =[L 1]；如果最大偏离未超过阈值，转入判断第下一主成分，最后取得U =[L 1……L i -1]。第一主成份具有较强的周期性，随后的主成份的周期性渐弱，突发性渐强，这也体现了网络中正常流量和异常流量的差别。在得到主成份转换矩阵U后，针对每一个采样数据Sk =xk 1,xk 2……xk p )，将其主成份投影到p维空间进行重建，重建后的向量为：Tk =UU T (Sk -X )T计算该采样数据重建前与重建后向量之间的欧氏距离，称之为残差：dk =||Sk -Tk ||根据采样数据，我们分别计算72次采样数据的残差，然后求其均值μd 和标准差σd 。转换矩阵U、残差均值μd 、残差标准差σd 是我们构造的网络流量模型，也是进行流量异常检测的前提条件。 3.2 检测阶段在通过建模得到网络流量模型后，对于新的观测向量N,(n 1,n 2……np )，采用与建模阶段类似的分析方法，将其中心化：Nd =N -X然后将中心化后的向量投影到p维空间重建，并计算残差：Td =UUTNdTd =||Nd -Td ||如果该观测值正常，则重建前与重建后向量应该非常相似，计算出的残差d 应该很小；如果观测值代表的流量与建模时发生了明显变化，则计算出的残差值会较大。本项目利用如下算法对残差进行量化：3.3 评估阶段评估阶段的任务是根据当前观测向量的量化值q (d )，判断网络流量是否正常。根据经验，如果|q (d )|<5，网络基本正常；如果5≤|q (d )|<10，网络轻度异常；如果10≤|q (d )|，网络重度异常。4 实验结果分析利用863-917网络安全监测平台，对北京电信骨干网流量进行持续监测，我们提取6小时的观测数据，由于篇幅所限，我们给出图1—4的时间序列曲线。由图1—4可知单独利用任何一个曲线都难以判定异常，而利用本算法可以容易地标定异常发生的时间。本算法计算结果如图5所示，异常发生时间在图5中标出。我们利用863-917平台的回溯功能对于异常发生时间进行进一步的分析，发现在标出的异常时刻，一个大规模的僵尸网络对网外的3个IP地址发起了大规模的拒绝服务攻击。 5 结束语本文提出一种基于主成分分析的方法来划分子空间，分析和发现网络中的异常事件。本方法能够准确快速地标定异常发生的时间点，从而帮助网络安全应急响应部门及时发现宏观网络的流量异常状况，为迅速解决网络异常赢得时间。试验表明，我们采用的14个特征构成的分析矩阵具有较好的识别准确率和分析效率，我们接下来将会继续寻找更具有代表性的特征来构成数据矩阵，并研究更好的特征矩阵构造方法来进一步提高此方法的识别率，并将本方法推广到短时分析中。6 参考文献[1] XU K, ZHANG Z L, BHATTACHARYYA S. Profiling Internet backbone traffic: Behavior models and applications [C]// Proceedings of ACM SIGCOMM, Aug 22- 25, 2005, Philadelphia, PA, USA. New York, NY,USA:ACM,2005:169-180.[2] HAWKINS D M, QQUI P, KANG C W. The change point model for statistical process control [J]. Journal of Quality Technology,2003, 35(4).[3] THOTTAN M, JI C. Anomaly detection in IP networks [J]. IEEE Transactions on Signal Processing, 2003, 51 )8):2191-2204.[4] BARFORD P, KLINE J, PLONKA D, et al. A signal analysis of network traffic anomalies [C]//Proceedings of ACM SIGCOMM Intemet Measurement Workshop (IMW 2002), Nov 6-8, 2002, Marseilles, France. New York, NY,USA:ACM, 2002:71-82.[5] LAKHINA A, CROVELLA M, DIOT C. Mining anomalies using traffic feature distributions [C]// Proceedings of SIGCOMM, Aug 22-25, 2005, Philadelphia, PA, USA. New York, NY,USA: ACM, 2005: 217-228.[6] LAKHINA A, CROVELLA M, DIOT C. Diagnosing network-wide traffic anomalies [C]// Proceedings of ACM SIGCOMM, Aug 30 - Sep 3, 2004, Portland, OR, USA. New York, NY,USA: ACM, 2004: 219-230.[7] SCHWELLER R, GUPTA A, PARSONS E, et al. Reversible sketches for efficient and accurate change detection over network data streams [C]//Proceedings of ACM SIGCOMM Internet Measurement Conference (IMC’04), Oct 25-27, 2004, Taormina, Sicily, Italy. New York, NY,USA: ACM, 2004:207-212.[8] MAHONEY M V, CHAN P K. Learning rules for anomaly detection of hostile network traffic [C]// Proceedings of International Conference on Data Mining (ICDM’03), Nov 19-22, Melbourne, FL, USA . Los Alamitos, CA, USA: IEEE Computer Society, 2003:601-604.

⑽ 我的笔记本联网的时候显示dns服务器异常，这是网络服务商的问题还是我的本设置有问题

、背景

域名系统(Domain Name System，DNS)是互联网的重要基础设施之一，负责提供域名和IP地址之间的映射和解析，是网页浏览、电子邮件等几乎所有互联网应用中的关键环节。因此，域名系统的稳定运行是实现互联网正常服务的前提。近年来，针对域名系统的网络攻击行为日益猖獗，DNS滥用现象层出不穷，再加上DNS协议本身固有的局限性，域名系统的安全问题正面临着严峻的考验。如何快速有效的检测域名系统的行为异常，避免灾难性事件的发生，是当今域名系统乃至整个互联网所面临的一个重要议题。

DNS服务器通过对其所接收的DNS查询请求进行应答来实现对外域名解析服务，因此DNS查询数据流直接反映了DNS服务器对外服务的整个过程，通过对DNS流量异常情况的检测可以对DNS服务器服务状况进行有效的评估。由于导致DNS流量异常的原因是多方面的，有些是由针对DNS服务器的网络攻击导致的，有些是由于DNS服务系统的软件缺陷或配置错误造成的。不同的原因所引起的DNS流量异常所具备的特征也各不相同，这给DNS流量异常检测带来了诸多困难。

目前，在DNS异常流量检测方面，比较传统的方法是对发往DNS服务器端的DNS查询请求数据流中的一个或多个测量指标进行实时检测，一旦某时刻某一指标超过规定的阈值，即做出流量异常报警。这种方法虽然实现简单，但是仅仅通过对这些指标的独立测量来判定流量是否异常过于片面，误报率通常也很高，不能有效的实现异常流量的检测。

近年来，随着模式识别、数据挖掘技术的发展，开始有越来越多的数据模型被引入到DNS异常流量检测领域，如在[Tracking]中，研究人员通过一种基于关联特征分析的检测方法，来实现对异常DNS服务器的识别和定位；[Context]则引入了一种上下文相关聚类的方法，用于DNS数据流的不同类别的划分；此外，像贝叶斯分类[Bayesian]、时间序列分析[Similarity]等方法也被先后引入到DNS异常流量检测中来。

不难发现，目前在DNS异常流量检测方面，已有诸多可供参考利用的方法。但是，每种方法所对应的应用场合往往各不相同，通常都是面向某种特定的网络攻击活动的检测。此外，每种方法所采用的数据模型往往也比较复杂，存在计算代价大，部署成本高的弊端。基于目前DNS异常流量检测领域的技术现状，本文给出了两种新型的DNS流量异常检测方法。该两种方法能够有效的克服目前DNS异常流量检测技术所存在的弊端，经验证，它们都能够对DNS流量异常实施有效的检测。

2、具体技术方案

1）利用Heap’sLaw检测DNS流量异常

第一种方法是通过利用Heap’s定律来实现DNS流量异常检测。该方法创新性的将DNS数据流的多个测量指标进行联合分析，发现它们在正常网络状况下所表现出来的堆积定律的特性，然后根据这种特性对未来的流量特征进行预测，通过预测值和实际观测值的比较，实现网络异常流量实时检测的目的。该方法避免了因为采用某些独立测量指标进行检测所导致的片面性和误报率高的缺点，同时，该方法具有计算量小，部署成本低的特点，特别适合部署在大型DNS服务器上。

堆积定律(Heap’sLaw)[Heap’s]最早起源于计算语言学中，用于描述文档集合中所含单词总量与不同单词个数之间的关系：即通过对大量的英文文档进行统计发现，对于给定的语料，其独立的单词数（vocabulary的size）V大致是语料大小N的一个指数函数。随着文本数量的增加，其中涉及的独立单词（vocabulary）的个数占语料大小的比例先是突然增大然后增速放缓但是一直在提高，即随着观察到的文本越来越多，新单词一直在出现，但发现整个字典的可能性在降低。

DNS服务器通过对其所接收的DNS查询请求进行应答来实现对外域名解析服务。一个典型的DNS查询请求包由时间戳，来源IP地址，端口号，查询域名，资源类型等字段构成。我们发现，在正常网络状况下，某时间段内DNS服务器端所接收的DNS查询请求数和查询域名集合的大小两者间遵循堆积定律的特性，同样的，DNS查询请求数和来源IP地址集合的大小两者间也存在这种特性。因此，如果在某个时刻这种增长关系发生突变，那么网络流量发生异常的概率也会比较高。由于在正常网络状况下DNS服务器端所接收的查询域名集合的大小可以根据这种增长关系由DNS查询请求数推算得到。通过将推算得到的查询域名集合大小与实际观测到的查询域名集合的大小进行对比，如果两者的差值超过一定的阈值，则可以认为有流量异常情况的发生，从而做出预警。类似的，通过将推算得到的来源IP地址集合大小与实际观测到的来源IP地址集合的大小进行对比，同样可以达到异常流量检测的目的。

由于DNS流量异常发生时，DNS服务器端接收的DNS查询请求通常会异常增多，但是单纯凭此就做出流量异常的警报很可能会导致误报的发生。此时就可以根据观测查询域名空间大小的相应变化情况来做出判断。如果观测到的域名空间大小与推算得到的预测值的差值在允许的阈值范围之内，则可以认定DNS查询请求量的增多是由于DNS业务量的正常增长所致。相反，如果观测到的域名空间大小未发生相应比例的增长，或者增长的幅度异常加大，则做出流量异常报警。例如，当拒绝服务攻击(DenialofService)发生时，攻击方为了降低本地DNS缓存命中率，提高攻击效果，发往攻击对象的查询域名往往是随机生成的任意域名，这些域名通常情况下不存在。因此当该类攻击发生时，会导致所攻击的DNS服务器端当前实际查询域名空间大小异常增大，与根据堆积定律所推算出预测值会存在较大的差距，即原先的增长关系会发生突变。如果两者间的差距超过一定的阈值，就可以据此做出流量异常报警。

通过在真实数据上的测试和网络攻击实验的模拟验证得知，该方法能够对常见的流量异常情况进行实时高效的检测。

2）利用熵分析检测DDoS攻击

通过分析各种网络攻击数据包的特征，我们可以看出：不论DDoS攻击的手段如何改进，一般来说，各种DDoS工具软件所制造出的攻击都要符合如下两个基本规律：

1、攻击者制造的攻击数据包会或多或少地修改包中的信息；

2、攻击手段产生的攻击流量的统计特征不可能与正常流量一模一样。

因此，我们可以做出一个大胆的假设：利用一些相对比较简单的统计方法，可以检测出专门针对DNS服务器的DDoS攻击，并且这中检测方法也可以具有比较理想的精确度。

“熵”（Entropy）是德国物理学家克劳修斯(RudolfClausius，1822～1888)在1850年提出的一个术语，用来表示任何一种能量在空间中分布的均匀程度，也可以用来表示系统的混乱、无序程度。信息理论创始人香农（ClaudeElwoodShannon，1916～2001）在1948年将熵的概念引入到信息论中，并在其经典着作《通信的数学原理》中提出了建立在概率统计模型上的信息度量，也就是“信息熵”。熵在信息论中的定义如下：

如果在一个系统S中存在一个事件集合E={E1,E2,…,En}，且每个事件的概率分布P={P1,P2,…,Pn}，则每个事件本身所具有的信息量可由公式（1）表示如下：

熵表示整个系统S的平均信息量，其计算方法如公式（2）所示：

在信息论中，熵表示的是信息的不确定性，具有高信息度的系统信息熵是很低的，反过来低信息度系统则具有较高的熵值。具体说来，凡是导致随机事件集合的肯定性，组织性，法则性或有序性等增加或减少的活动过程，都可以用信息熵的改变量这个统一的标尺来度量。熵值表示了系统的稳定情况，熵值越小，表示系统越稳定，反之，当系统中出现的不确定因素增多时，熵值也会升高。如果某个随机变量的取值与系统的异常情况具有很强的相关性，那么系统异常时刻该随机变量的平均信息量就会与系统稳定时刻不同。如果某一时刻该异常情况大量出现，则系统的熵值会出现较大幅度的变化。这就使我们有可能通过系统熵值的变化情况检测系统中是否存在异常现象，而且这种强相关性也使得检测方法能够具有相对较高的准确度。

将熵的理论运用到DNS系统的DDoS攻击检测中来，就是通过测量DNS数据包的某些特定属性的统计特性（熵），从而判断系统是否正在遭受攻击。这里的熵值提供了一种对DNS的查询数据属性的描述。这些属性包括目标域名长度、查询类型、各种错误查询的分布以及源IP地址的分布，等等。熵值越大，表示这些属性的分布越随机；相反，熵值越小，属性分布范围越小，某些属性值出现的概率高。在正常稳定运行的DNS系统中，如果把查询数据作为信息流，以每条DNS查询请求中的某种查询类型的出现作为随机事件，那么在一段时间之内，查询类型这个随机变量的熵应该是一个比较稳定的值，当攻击者利用DNS查询发起DDoS攻击时，网络中会出现大量的攻击数据包，势必引起与查询类型、查询源地址等相关属性的统计特性发生变化。即便是黑客在发动攻击时，对于发送的查询请求的类型和数量进行过精心设计，可以使从攻击者到目标服务器之间某一路径上的熵值维持在稳定的水平，但绝不可能在所有的路径上都做到这一点。因此通过检测熵值的变化情况来检测DNS系统中异常状况的发生，不仅是一种简便可行的方案，而且还可以具有很好的检测效果。

DNS系统是通过资源记录（ResourceRecord，RR）来记录域名和IP地址信息的，每个资源记录都有一个记录类型（QType），用来标识资源记录所包含的信息种类，如A记录表示该资源记录是域名到IP地址的映射，PTR记录IP地址到域名的映射，NS记录表示域名的授权信息等，用户在查询DNS相关信息时，需要指定相应的查询类型。按照前述思想，我们可以采用DNS查询数据中查询类型的出现情况作为随机事件来计算熵的变化情况，从而检测DDoS攻击是否存在。检测方法的主要内容如图1所示。可以看出，通过比较H1和H2之间的差别是否大于某一个设定的阈值，可以判定系统是否正在遭受DDoS攻击。随着查询量窗口的不断滑动，这种比较会随着数据的不断更新而不断继续下去。检测算法的具体步骤如下所示：

1、设定一个查询量窗口，大小为W，表示窗口覆盖了W条记录。

2、统计窗口中出现的所有查询类型及其在所属窗口中出现的概率，根据公式（2）计算出该窗口的熵H1。

图1熵分析检测方法

3、获取当前窗口中第一条查询记录所属的查询类型出现的概率，求出该类型所对应的增量

4、将窗口向后滑动一条记录，此时新窗口中的第一条记录为窗口滑动前的第二条记录。

5、获得窗口移动过程中加入的最后一条记录所代表的查询类型在原窗口中出现的概率以及对应的增量

6、计算新窗口中第一条记录所对应的查询类型出现在新窗口中出现的概率，以及对应的增量

7、计算新窗口中最后一条记录所属的查询类型在当前窗口出现的概率以及对应的增量

8、根据前面的结果计算窗口移动后的熵：

重复步骤2至步骤8的过程，得到一系列的熵值，观察熵值的变化曲线，当熵值曲线出现剧烈波动时，可以断定此时的DNS查询中出现了异常。

窗口的设定是影响检测算法的一个重要因素，窗口越大，熵值的变化越平缓，能够有效降低误检测的情况发生，但同时也降低了对异常的敏感度，漏检率上升；反之，能够增加检测的灵敏度，但准确性相应的会降低。因此，窗口大小的选择，需要根据实际中查询速率的大小进行调整。

2009年5月19日，多省市的递归服务器由于收到超负荷的DNS查询而失效，中国互联网出现了大范围的网络瘫痪事故，这起事故可以看作是一起典型的利用DNS查询发起的分布式拒绝服务攻击，这种突发的大量异常查询混入到正常的DNS查询中，必然会使DNS查询中查询类型的组成发生变化。我们利用从某顶级结点的DNS权威服务器上采集到的2009年5月19日9:00-24:00之间的查询日志，来检验算法是否能够对DNS中的异常行为做出反应。图2和图3分别是窗口大小为1,000和10,000时所得到的熵变化曲线，图4是该节点的查询率曲线。

图2窗口大小为1,000时熵的变化情况

图3窗口大小为10,000时熵的变化情况

图4查询率曲线

从图2和图3中可以发现，大约从16:00时开始，熵值剧烈上升，这是由于此时系统中查询类型为A和NS的查询请求大量涌入，打破了系统原有的稳定态势，在经历较大的波动之后，又回复到一个稳定值。随着系统中缓存失效的递归服务器不断增多，该根服务器收到的异常数据量逐渐增大，在16:45左右熵值达到一个较低点，此时系统中已经混入了大量的异常查询数据。由于各省递归服务器的缓存设置的不一致，不断的有递归服务器崩溃，同时不断缓存失效的递归服务器加入，一直到21:00左右，这种异常查询量到达峰值，表现为熵值到达一个极低的位置，随着大批递归服务器在巨大的压力下瘫痪，查询数据的组成再次发生剧烈波动，接下来随着大面积断网的发生，异常查询无法到达该根服务器，熵值在经历波动之后又重新回到较稳定的状态，图4中的流量变化也证实了这一点。

图2和图3分别将查询窗口设为1,000和10,000，对比两图可以看出，图2中的熵值变化较为频繁，反映出对DNS异常更加敏感，但同时误检测的几率也较高，图3中熵值的变化相对平缓，对异常情况敏感程度较低，同时误检率也相对较低。

上述例子表明该方法能够及时发现DNS查询中针对DNS服务器的DDoS攻击。将该算法应用到DNS查询流量的实时监测中，可以做到准实时的发现DNS异常从而能够及早采取应对措施。此外，结合使用错误查询类型或者源IP地址等其他属性的分布来计算熵，或是采用时间窗口划分流量等，可以进一步提高异常检测的准确率。

3）利用人工神经网络分类器检测DDoS攻击

针对DDoS攻击检测这样一个典型的入侵检测问题，可以转换为模式识别中的二元分类问题。利用人工神经网络分类器和DNS查询数据可以有效检测针对DNS名字服务器的DDoS攻击。通过分析DNS权威或者递归服务器的查询数据，针对DDoS攻击在日志中所表现出来的特性，提取出若干特征向量，这些特征向量用作分类器的输入向量。分类器选择使用多层感知器，属于神经网络中的多层前馈神经网络。人工神经网络在用于DDoS攻击检测时具有以下显着优点：

1、灵活性。能够处理不完整的、畸变的、甚至非线性数据。由于DDoS攻击是由许多攻击者联手实施的，因此以非线性的方式处理来自多个数据源的数据显得尤其重要；

2、处理速度。神经网络方法的这一固有优势使得入侵响应可以在被保护系统遭到毁灭性破坏之前发出，甚至对入侵行为进行预测；

3、学习性。该分类器的最大优点是能够通过学习总结各种攻击行为的特征，并能识别出与当前正常行为模式不匹配的各种行为。

由于多层感知器具有上述不可替代的优点，因此选择它作为分类器。分类器的输出分为“服务正常”和“遭受攻击”两个结果，这个结果直接反应出DNS服务器是否将要或者正在遭受DDoS攻击。如果检测结果是“遭受攻击”，则相关人员可以及时采取措施，避免攻击行为的进一步发展。

图5DDoS攻击检测

如图5所示，本检测方法主要分为特征提取、模型训练和线上分类三个阶段。在特征提取阶段，需要利用DNS查询数据中已有的信息，结合各种DNSDDoS攻击的特点，提取出对分类有用的特征。模型训练阶段是通过大量的特征数据，模拟出上百甚至上千的DDoS攻击序列，对多层感知器进行训练，多层感知器在训练过程中学习攻击行为的特征，增强识别率。线上分类属于应用阶段，利用软件实现将本方法部署在DNS权威或递归服务器上。通过实时读取DNS查询数据，并将经过提取的特征输入到多层感知器中，就可以快速地识别出本服务器是否将要或正在遭受DDoS攻击，以便采取进一步防范措施。

多层感知器分类的精确率，在很大程度上取决于作为输入的特征向量是否能够真正概括、体现出DDoS攻击的特征。本方法通过仔细分析各种DNSDDoS攻击，以分钟为时间粒度提取出八种能够单独或者联合反映出攻击的特征：

1、每秒钟DNS查询量。这个特征通过对每分钟查询量进行平均获得；

2、每分钟时间窗口内查询率的标准差。公式如下：

其中，n表示每分钟内查询数据中记录的秒数，Xi表示某一秒钟的查询量，m表示一分钟内每秒钟查询量的均值；

3、IP空间大小。表示一分钟内有多少个主机发出了DNS查询请求；

4、域名空间大小。表示一分钟内有多少域名被访问；

5、源端口设置为53的查询数量。由于某些针对DNS的DDoS攻击将源端口设置为53，因此对这一设置进行跟踪十分必要；

6、查询记录类型的熵的变化情况。公式如下：

其中n表示时间窗口内记录类型的种类数，Pi表示某种记录类型出现的概率，Xi表示某种记录类型。

7、设置递归查询的比例。由于某些DDoS攻击会通过将查询设置为递归查询来增大攻击效果，因此对这一设置进行跟踪十分必要；

8、域名的平均长度。由于某些DDoS攻击所查询的域名是由程序随机产生的，这必然在查询数据上引起域名平均长度的变化，因此对域名的平均长度进行跟踪也很有意义。

图6人工神经网络分类器的结构

神经网络分类器的大致结构如图6所示。如图中所示，本分类器分为三个层次，一个输入层，一个隐藏层，一个输出层。输入层包含八个单元，隐藏层包含20个单元，按照神经网络理论[3]，隐藏层的单元数和输入层的单元数应满足以下关系：



H表示隐藏层单元数，N表示输入层单元数。输出层只含有一个单元，输出值包含两个：“1”表示“遭受攻击”，“0”表示“服务正常”。

本检测方法的关键技术点包括以下两个方面：

1、特征的抽取。这些特征必须能够充分、足够地反映DDos攻击发生时带来的查询状况的改变；

2、学习、分类方法。选取多层感知器作为分类器，设计调整了该分类器的具体结构和相关参数，并利用后向传播算法对分类器进行训练。通过将DDoS攻击检测问题转化为包含“服务正常”和“遭受攻击”两种类别的二元分类问题，能够有效地对DNSDDoS攻击进行实时检测。