专利名称:网络流量异常检测方法和装置的利记博彩app
技术领域:
本发明涉及网络技术领域,尤其涉及一种网络流量异常检测方法和装置。
背景技术:
对网络流量异常进行检测时,通常先根据网络流量的变化特性建立流量模型,如果当前流量不符合流量模型,则判定网络流量出现异常。所以,建立合理的描述网络流量的流量模型,对于网络流量异常检测十分重要。
现有技术中,根据网络流量的自相似特性,采用自相似模型来描述网络流量。网络流量发生变化时,会导致自相似模型中的H(Hurst)系数发生变化。当H系数有明显变化时,判定网络流量出现异常。例如,当网络中出现分布式拒绝服务(Distributed Denial of Service,DDoS)攻击时,造成网络流量异常,采用自相似模型进行网络流量异常检测时,可利用小波方差法计算出当前流量的H系数,并使其与正常流量时H系数相比较,若两者之差大于预设阈值,则判定网络流量出现异常。
在实现本发明的过程中,发明人发现现有技术中至少存在如下问题自相似模型作为描述网络流量的模型不够准确。自相似模型通过单一的H系数对固定时间尺度的流量信号关系进行描述,只能从一个方面描述流量的异常特性,不能完全描述复杂的网络流量。并且,正常网络流量的H系数本身会随时间波动,若异常流量强度较弱,和正常流量聚合后,H系数变化不明显,就无法将其与正常情况下H系数的波动区分开来,无法检测出网络异常。
发明内容
一方面,本发明的实施例提供了一种网络流量异常检测方法,能够提高对网络异常流量检测的准确度。
本发明实施例采用的技术方案如下一种网络流量异常检测方法,该方法包括 选取待检测的流量检测信号; 根据所述流量检测信号生成层叠模型; 利用所述层叠模型获得所述流量检测信号的异常判别统计量; 将所述异常判别统计量与设定的阈值进行比较,如果所述异常判别统计量超过所述阈值,则网络流量存在异常。
另一方面,本发明实施例提供了一种网络流量异常检测装置,能够提高对网络异常流量检测的准确度。
本发明实施例采用的技术方案如下一种网络流量异常检测装置,该装置包括 信号选取单元,用于选取待检测的流量检测信号; 模型生成单元,用于根据所述流量检测信号生成层叠模型; 判别统计量获得单元,用于利用层叠模型获得所述流量检测信号的异常判别统计量; 判断单元,用于将所述异常判别统计量与设定的阈值进行比较,如果所述异常判别统计量超过所述阈值,则网络流量存在异常。
本发明实施例首先选取当前的流量检测信号,为所述流量检测信号生成层叠模型,采用所述层叠模型描述网络流量的变化特性,当所述流量检测信号变化时,导致所述层叠模型发生相应的变化,根据所述层叠模型的这种变化计算网络流量的异常判别统计量。如果所述异常判别统计量超过所述设定的阈值,则判定网络流量异常。由于通过为所述流量检测信号建立层叠模型,能够描述所述流量检测信号在多个不同时间尺度上流量信号的关系,全面体现流量信号的变化特征,对网络流量的描述更加准确。根据所述层叠模型进行网络流量异常检测时,即使网络异常流较弱,也能由层叠模型的参数变化获得判断依据,有效检测出较弱的网络异常流量,从而,提高了对网络异常流量检测的准确度。
图1为本发明实施例一提供的网络流量异常检测方法流程图; 图2为本发明实施例二提供的网络流量异常检测方法流程图; 图3为本发明实施例提供的网络流量异常检测方法中获得流量检测信号的累积偏移量的方法流程图; 图4为本发明实施例一提供的网络流量异常检测装置结构图; 图5为本发明实施例二提供的网络流量异常检测装置结构图; 图6为本发明实施例提供的网络流量异常检测装置中偏移量获得模块的结构图; 图7为本发明实施例提供的用NS2仿真的正常流量时与注入三种不同频率异常流量时的网络流量时域图; 图8为本发明实施例提供的用NS2进行仿真的拓扑图; 图9为本发明实施例提供的用NS2仿真的正常流量时与异常流量时层叠模型的分析图; 图10为本发明实施例提供的用NS2仿真的注入三种不同频率流量异常的实验结果比较图; 图11为本发明实施例提供的注入FGN异常流量时的实验结果比较图。
具体实施例方式 为使本发明实施例的技术方案的优点更加清楚,下面结合附图对本发明的实施例作进一步的详细说明。
为了解决现有技术中对网络异常流量进行检测时,无法检测出较弱的网络异常流量,检测结果不准确的问题,本发明实施例提供了一种网络流量异常检测方法,能够提高对网络异常流量检测的准确度。
本发明实施例提供的技术方案一种网络流量异常检测方法,如图1所示,该方法包括 101、选取待检测的流量检测信号; 102、根据所述流量检测信号生成层叠模型; 103、利用所述层叠模型获得所述流量检测信号的异常判别统计量; 104、将所述异常判别统计量与设定的阈值进行比较,如果所述异常判别统计量超过所述阈值,则网络流量存在异常。
本发明实施例首先选取当前的流量检测信号,为所述流量检测信号生成层叠模型,采用所述层叠模型描述网络流量的变化特性,当所述流量检测信号变化时,导致所述层叠模型发生相应的变化,根据所述层叠模型的这种变化计算网络流量的异常判别统计量。如果所述异常判别统计量超过所述设定的阈值,则判定网络流量异常。由于通过为所述流量检测信号建立层叠模型,能够描述所述流量检测信号在多个不同时间尺度上流量信号的关系,全面体现流量信号的变化特征,对网络流量的描述更加准确。根据所述层叠模型进行网络流量异常检测时,即使网络异常流较弱,也能由层叠模型的参数变化获得判断依据,有效检测出较弱的网络异常流量,从而,提高了对网络异常流量检测的准确度。
下面对本发明实施例提供的网络流量异常检测方法进行详细说明,如图2所示。
选取待检测的流量检测信号。
201、统计通过采集路由器的网络流量包数。
在本发明实施例中,对通过采集路由器的原始网络流量数据包数进行统计,获得单位时间内(即任两个抽样点之间)通过的流量数据包数,单位时间间隔为T0。
202、根据所述网络流量包数生成流量检测信号。
所述流量检测信号X[n]可以表示为 时间段内获得的网络流量包数,n≠0,其中,n为抽样点数,T0为单位时间。
203、根据所述流量检测信号选取定长的流量检测信号段。
在本发明实施例中,采用滑动时窗选取定长的流量检测信号段。窗口每滑动一次,对该窗口中所包括流量检测信号段进行检测。窗口每次滑动的步长和窗口的大小根据实际需要的安全级别预先设定。如果实际需要的安全级别较高,设定的滑动的步长较短,窗口也较小。
204、将所述的流量检测信号段划分为至少两个子段。
将滑动时窗中的流量检测信号段等分为若干子段,在本发明实施例中,将该滑动时窗中的流量检测信号段等分为5个子段。
205、获得各子段中的待检测的流量检测信号。
待检测的流量检测信号为各个子段中的流量检测信号。
根据所述流量检测信号生成层叠模型。
分别为所述各子段的流量检测信号生成层叠模型,下面进行具体介绍。
206、计算所述各子段中流量检测信号的小波变换系数WX(u,s),其中u为平移因子,s为尺度因子。
所述小波变换系数
其中,X为选取的子段中的流量检测信号,母小波
在本发明实施例中使用高斯(Gaussian)函数的导数作为母小波(高斯小波),取归一化高斯函数则高斯小波为 207、计算所述小波变换系数模|WX(u,s)|在不同尺度下的局部极大值点。
首先固定某个尺度(一般是最小的尺度),计算出该尺度下的所述小波变换系数模|WX(u,s)|局部极大值点的位置,然后根据该尺度下局部极大值点的位置找出下一尺度的局部极大值点,直到分析完所有尺度,获得不同尺度下的局部极大值点。
208、根据所述小波变换模极大值点构造配分函数其中L(s)为在尺度s上|WX(u,s)|所有局部极大值点,q为阶矩数。
209、根据所述配分函数为所述各子段的流量检测信号建立层叠模型。所述层叠模型可以表示为lnZ(q,s)=Hq,plnZ(p,s)+Kq,p,其中,p、q为阶矩数,Hq,p为包含阶矩数q和p的乘性因子,Kq,p为包含阶矩数q和p的加性因子。
为了详细说明层叠模型,将层叠模型通过所述乘性因子和加性因子具体表示为其中,H″(q)=H(q)+q/2-1。
上述层叠模型体现了当固定阶矩p和q时,当尺度s变化时,lnZ(p,s)与lnZ(q,s)之间为线性关系。通过对网络流量的大量研究分析表明,即使当网络流量中包含异常流量,描述该网络流量的层叠模型仍然满足这种线性关系,但是所形成的层叠模型较正常情况下发生偏移,根据该偏移检测出异常流量。
为了更进一步说明所述层叠模型,下面对本发明实施例采用的H(q)函数进行说明。
求取所述流量检测信号小波系数绝对值的对数h(s)=ln|WX(u,s)|; 对不同尺度下h(s)的概率密度函数ps(h),层叠模型满足如下关系 ps(h)=Gs,s′(h)*ps′(h),其中,函数Gs,s′(h)称为层叠模型的核或者传播因子,不同的层叠模型取决于其核的不同形式。无穷可分层叠模型(infinitely divisiblecascadesIDC)的传播因子可由一个基本核G0(h)多次自卷积而成,卷积次数取决于尺度s和s′Gs,s′(h)=[G0(h)]*(n(s)-n(s′)) 对Gs,s′(h)做拉氏变换为
将尺度因素s和频率因素q分离成两个因子, 可得 从而,可以得到 利用所述层叠模型获得所述流量检测信号的异常判别统计量。
210、利用所述层叠模型获得所述各子段中流量检测信号的计算模型。
所述层叠模型的尺度s=2j,在本发明实施例中j的取值从1到16,则尺度s的变化范围为2到65536。该尺度变化范围并不局限于此,可以选取更大的尺度变化范围以提高检测的准确度。
在所述尺度变化范围内在上述的5个子段中,获得所述层叠模型中lnZ(p,s)与lnZ(q,s)的数据点对集{(lnZ(q,2j)lnZ(p,2j))},j=1~16。
在5个子段中根据所述数据点对集{(lnZ(q,2j),lnZ(p,2j))},采用最小二乘直线拟合的方法,得到各子段中流量检测信号的计算模型y=kix+bi,其中,x为第一参数,y为第二参数,ki为乘性因子,bi为加性因子,i为子段数。
211、根据所述计算模型获得所述流量检测信号的累积偏移量。
如图3所示,下面结合附图对步骤211进行详细说明。
301、根据所述计算模型获得第一平均计算模型; 对相同的第一参数xj在各子段中计算所述计算模型的第二参数yj,其中,j为选取的第一参数的个数; 计算所述第二参数yj的均值yj,其中,j为选取的第一参数的个数; 根据所述第一参数xj与第二参数的均值yj组成的点对集{xj,yj}采用最小二乘直线拟合的方法,获得第一平均计算模型。
302、根据所述计算模型与所述第一平均计算模型计算最初累积偏移量; 对相同的第一参数xj在各子段中求取所述计算模型和所述第一平均计算模型分别对应的第二参数yj和第二参数的均值yj,其中,j为选取的第一参数的个数; 根据所述的第二参数yj和第二参数的均值yj获得各子段中的所述计算模型与所述第一平均计算模型的最初累积偏移量其中,i为子段数。
303、根据所述最初累积偏移量获得第二平均计算模型; 去除具有最大最初累积偏移量的子段中的流量检测信号; 对相同的第一参数xj在剩余子段中计算所述计算模型的第二参数yj,其中,j为选取的第一参数的个数; 计算所述第二参数yj的均值yj,其中,j为选取的第一参数的个数; 根据所述第一参数xj与第二参数的均值yj组成的点对集{xj,yj},采用最小二乘直线拟合的方法,获得第二平均计算模型。
304、根据所述计算模型与所述第二平均计算模型计算累积偏移量。
对相同的第一参数xj在各子段中求取所述计算模型和所述第二平均计算模型分别对应的第二参数yj和第二参数的均值yj,其中,j为选取的第一参数的个数; 根据所述的第二参数yj和第二参数的均值yj获得各子段中的所述计算模型与所述第二平均计算模型的累积偏移量其中,i为子段数。
212、根据所述累积偏移量计算异常判别统计量。
对各子段中所述流量检测信号的累积偏移量求取均值; 根据所述均值获得异常判别统计量D为其中ε为所述累积偏移量的均值,ε1为第一个子段中所述流量检测信号的累积偏移量。
本发明实施例取当前滑动时窗中的第一个子段的异常判别统计量作为当前检测的结果,滑动步长与每个子段的长度相同。本发明实施例将滑动时窗分为5个子段,所以,当滑动时窗按照步长连续移动5次,就检测出了当前滑动时窗中每一子段中流量检测信号的异常判别统计量。
将所述异常判别统计量与设定的阈值进行比较,如果所述异常判别统计量超过所述阈值,则网络流量异常。
所述设定的阈值threhold为threhold=D+3σ,其中,D和σ分别为对正常网络流量计算异常判别统计量的均值和方差。
本发明实施例还提供了一种网络流量异常检测装置,能够提高对网络异常流量检测的准确度。
本发明实施例提供的技术方案为一种网络流量异常检测装置,如图4所示,该装置包括 信号选取单元41,用于选取待检测的流量检测信号; 模型生成单元42,用于为所述流量检测信号生成层叠模型; 判别统计量获得单元43,用于利用层叠模型获得所述流量检测信号的异常判别统计量; 判断单元44,用于将所述异常判别统计量与设定的阈值进行比较,如果所述异常判别统计量超过所述阈值,则网络流量异常。
本发明实施例首先选取当前的流量检测信号,为所述流量检测信号生成层叠模型,采用所述层叠模型描述网络流量的变化特性,当所述流量检测信号变化时,导致所述层叠模型发生相应的变化,根据所述层叠模型的这种变化计算网络流量的异常判别统计量。如果所述异常判别统计量超过所述设定的阈值,则判定网络流量异常。由于通过为所述流量检测信号建立层叠模型,能够描述所述流量检测信号在多个不同时间尺度上流量信号的关系,全面体现流量信号的变化特征,对网络流量的描述更加准确。根据所述层叠模型进行网络流量异常检测时,即使网络异常流较弱,也能由层叠模型的参数变化获得判断依据,有效检测出较弱的网络异常流量,从而,提高了对网络异常流量检测的准确度。
如图5所示,本发明实施例提供的所述信号选取单元41包括 统计模块411,用于统计通过采集路由器的网络流量包数; 信号生成模块412,用于根据所述网络流量包数生成流量检测信号; 信号段选取模块413,用于根据所述流量检测信号选取定长的流量检测信号段; 子段划分模块414,用于将所述的流量检测信号段划分为至少两个子段; 待检测信号获得模块415,用于获得各子段中的待检测的流量检测信号。
在本发明实施例中,采用滑动时窗选取定长的流量检测信号段。窗口每滑动一次,对该窗口中所包括流量检测信号段进行检测。窗口每次滑动的步长和窗口的大小根据实际需要的安全级别预先设定。如果实际需要的安全级别较高,设定的滑动的步长较短,窗口也较小。
本发明实施例提供的所述模型生成单元42包括 系数计算模块421,用于计算所述流量检测信号的小波变换系数WX(u,s),其中u为平移因子,s为尺度因子; 小波模极大值模块422,用于计算所述小波变换系数模|WX(u,s)|在不同尺度下的局部极大值点; 配分函数构造模块423,用于根据所述小波变换模极大值点构造配分函数其中L(s)为在尺度s上|WX(u,s)|所有局部极大值点,q为阶矩数。
模型建立模块424,用于根据所述配分函数建立层叠模型。
本发明实施例通过所述模型生成单元42,生成的层叠模型可以表示为lnZ(q,s)=Hq,plnZ(p,s)+Kq,p,其中,p、q为阶矩数,Hq,p为包含阶矩数q和p的乘性因子,Kq,p为包含阶矩数q和p的加性因子。当固定阶矩p和q时,当尺度s变化时,lnZ(p,s)与lnZ(q,s)之间为线性关系。通过对网络流量的大量研究分析表明,即使当网络流量中包含异常流量,描述该网络流量的层叠模型仍然满足这种线性关系,但是所形成的层叠模型较正常情况下发生偏移,根据该偏移检测出异常流量。
所述判别统计量获得单元43包括 计算模型获得模块431,用于利用所述层叠模型获得所述各子段中流量检测信号的计算模型; 偏移量获得模块432,用于根据所述计算模型获得所述流量检测信号的累积偏移量; 判别统计量计算模块433,用于根据所述累积偏移量计算异常判别统计量。
所述偏移量获得模块,如图6所示,包括第一模型获得模块601,用于根据所述计算模型获得第一平均计算模型; 最初偏移量计算模块602,用于根据所述计算模型与所述第一平均计算模型计算最初累积偏移量; 第二模型获得模块603,用于根据所述最初累积偏移量获得第二平均计算模型; 偏移量计算模块604,用于根据所述计算模型与所述第二平均计算模型计算累积偏移量。本发明装置实施例中各单元与模块的具体工作方法,可以参照本发明的方法实施例,此处不再赘述。
下面结合实验结果对本发明实施例的有益效果作进一步详细说明。
在本发明实施例中,仿真实验均在2.4GHz的Pentium 4计算机(内存512M)上分析。正常网络流量数据采用加州大学Berkeley分校Lawrence Berkeley实验室采集的真实流量数据BC-pAug89,如图7中(a)所示,BC-pAug89流量的采样间隔为10ms,采样点收集的流量数据包的最大幅值为18,流量均值大小为9.234。
异常网络流量数据采用网络环境模拟器(Network Simulator Version2NS2)仿真的不同频率的DDoS攻击。根据DDoS攻击的原理,在NS2仿真拓扑中仿真大量的数据源作为攻击源,并让这些攻击源在较短的时间内同时向被攻击方发送数据包,如图8所示,B代表正常网络流量数据源,即背景流量(在本发明实施例中为BC-pAug89流量),Ai(i=1~8)代表DDoS攻击数据源主机,R代表受害者主机前的核心路由器,v代表受害者主机。
因为对攻击流量以及正常网络流量频域特性的研究表明,正常流量的功率谱在各个频段都比较均匀,而攻击流量的功率谱主要集中在某些频带上,所以,在本发明实施例中采用注入三种DDoS攻击,这三种DDoS攻击在频域中的频带分别对应低频,中频和高频。当每台攻击源主机每隔10ms按照指数分布(exponential)的规律发送数据包,这种仿真攻击是一种低频攻击,本发明实施例取指数分布的参数λ=8;当每台攻击源主机每隔10ms分别依次发送7、5、2、0、3个数据包,则这种仿真攻击是一种中频攻击;当每台攻击源主机每隔10ms分别依次发送2、10、1、8、5个数据包,则这种仿真攻击是一种高频攻击。
因为BC-pAug89流量采样点上收集的数据包的最大幅值为18,若直接在真实流量上注入上述方式产生的攻击,异常流量幅值相对较大,十分容易检测,为了验证本发明实施例提供的网络流量异常检测方法对较弱异常流量检测的灵敏性,在注入攻击时将攻击流在保留原有频谱特征的条件下将其幅值减小,即将NS2产生的攻击大小归一化到0~1之间后乘以其背景流量均值大小,再乘以一个系数,通过调整系数大小实现对攻击流幅度的调整。本发明实施例对所述系数取1.5。
本发明实施例对滑动时窗的长度取210*5=5120,即该滑动时窗包括了5120个采样点。将该滑动时窗划分为5个子段,滑动的步长为210=1024,即大约10s滑动一次窗口。
对正常网络流量按照上述滑动时窗对当前检测的流量检测信号建立层叠模型,如图9(a)所示,正常网络流量在5个子段中层叠模型的lnZ(p,s)与lnZ(q,s)近似呈线性关系,并且基本聚集在一起。
本发明实施例在第三子段的位置分别注入三种不同频率的异常流量,如图7中的(b)、(c)、(d)中箭头所指处,注入的异常攻击的位置对应采样点2048到2448之间,对应的采样起止时间为20s-24s。对异常网络流量按照上述滑动时窗建立层叠模型,如图9(b)所示,异常网络流量在5个子段中层叠模型的lnZ(p,s)与lnZ(q,s)也近似呈线性关系,但第三子段对应的线性关系偏离了其它四种线性关系,根据这种偏离程度计算异常判别统计量,判断是否存在网络异常流量。
如图10所示,记录了对上述滑动时窗中5个子段异常判别统计量的计算结果,注入攻击的位置对应该图中第三个检测结果点,图中的虚线表示阈值。从图中显示的实验结果可以清晰的看到,当异常流量进入检测时窗时,即使在异常流量较弱的情况下,异常判别统计量较正常流量的情况下均发生突变,明显超出阈值,通过计算异常判别统计量可以检测出高频、中频以及低频的较弱异常流。
为了更进一步说明本发明实施例提供的网络流量异常检测方法的有益效果,作为对比,本发明实施例采用自相似模型,在上述同样的实验条件下,对同样的正常检测流量,在相同位置注入同样的异常流量,通过对H系数的估计进行网络异常流量检测。如图10所示,异常流量注入的位置对应图中32~38的采样点,图中实线为在正常流量情况下H系数的估计结果。实验结果表明,注入异常流量后,自相似模型H系数的变化并不明显,尚不及正常流量时H系数随时间变化的抖动程度(如图中75~100采样点的位置),无法检测出相对较小的弱异常流量,因此采用基于自相似模型的网络异常流量检测准确度低。
本发明实施例能够检测出的较弱异常流量并不局限于DDoS异常流量,下面以分形高斯噪声(Fractal Gausssian NoiseFGN)为异常流量时,对本发明实施例带来的有益效果作进一步说明。
首先利用自相似模型对网络异常流量进行检测,采用与上述相同的BC-pAug89流量作为背景流量,BC-pAug89流量的H系数值为0.877,生成与所述背景流量H系数值相近的FGN异常流量,该FGN异常流量H系数值近似为0.877。注入异常流量的位置在第2048到3048采样点之间,对应的采样起止时间约为20s-30s。如图11中(a)所示,为采用自相似H系数对FGN异常流量进行检测的实验结果,注入异常流量的位置对应图中32至47点的位置,从图中所示实验结果可以看出异常流量注入以后H系数变化微小,甚至不及正常流量情况下H系数自身的变化幅度,采用基于自相似H系数的方法无法检测出这种与背景流量自相似性接近的异常流量。
然后,利用本发明实施例提供的技术方案对所述FGN异常流量进行检测,采用上述相同的BC-pAug89流量作为背景流量,如图11中(b)所示,注入异常流量的位置对应图中第3个检测点,从图中所示实验结果可以看出异常流量对应的位置明显超过阈值,出现尖峰,本发明实施例提供的技术方案可以有效的检测出这种与背景流量自相似性接近的异常流量,提高了网络异常流量检测的准确度。
当然,本发明的实施例还可有很多种,在不背离本发明的实施例精神及其实质的情况下,本领域技术人员当可根据本发明的实施例做出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明的实施例所附的权利要求的保护范围。
权利要求
1. 一种网络流量异常检测方法,其特征在于,该方法包括
选取待检测的流量检测信号;
根据所述流量检测信号生成层叠模型;
利用所述层叠模型获得所述流量检测信号的异常判别统计量;
将所述异常判别统计量与设定的阈值进行比较,如果所述异常判别统计量超过所述阈值,则网络流量存在异常。
2. 根据权利要求1所述的网络流量异常检测方法,其特征在于,所述选取待检测的流量检测信号的步骤包括
统计通过采集路由器的网络流量包数;
根据所述网络流量包数生成流量检测信号;
根据所述流量检测信号选取定长的流量检测信号段;
将所述的流量检测信号段划分为至少两个子段;
获得各子段中的待检测的流量检测信号。
3. 根据权利要求1或2所述的网络流量异常检测方法,其特征在于,根据所述流量检测信号生成层叠模型的步骤包括
计算所述各子段中流量检测信号的小波变换系数WX(u,s),其中u为平移因子,s为尺度因子;
计算所述各小波变换系数的模|WX(u,s)|在不同尺度因子s下的局部极大值点;
根据所述小波变换系数模的局部极大值点构造所述各子段的配分函数;
根据所述配分函数为所述各子段的流量检测信号建立层叠模型。
4. 根据权利要求1所述的网络流量异常检测方法,其特征在于,利用所述层叠模型获得所述流量检测信号的异常判别统计量的步骤包括
利用所述层叠模型获得所述各子段中流量检测信号的计算模型;
根据所述计算模型获得所述流量检测信号的累积偏移量;
根据所述累积偏移量计算异常判别统计量。
5. 根据权利要求4所述的网络流量异常检测方法,其特征在于,利用所述层叠模型获得所述各子段中流量检测信号的计算模型的步骤包括
获得所述各子段中层叠模型在不同尺度上的数据点对集;
根据所述数据点对集获得所述各子段的计算模型,所述计算模型为y=kix+bi,其中,x为第一参数,y为第二参数,ki为乘性因子,bi为加性因子,i为子段数。
6. 根据权利要求5所述的网络流量异常检测方法,其特征在于,根据所述计算模型获得所述流量检测信号的累积偏移量的步骤包括
根据所述计算模型获得第一平均计算模型;
根据所述计算模型与所述第一平均计算模型计算最初累积偏移量;
根据所述最初累积偏移量获得第二平均计算模型;
根据所述计算模型与所述第二平均计算模型计算累积偏移量。
7. 根据权利要求6所述的网络流量异常检测方法,其特征在于,根据所述计算模型获得第一平均计算模型的步骤包括
对相同的第一参数xj在各子段中计算所述计算模型的第二参数yj,其中,j为选取的第一参数的个数;
计算所述第二参数yj的均值yj,其中,j为选取的第一参数的个数;
根据所述第一参数xj与第二参数的均值yj组成的点对集{xj,yj}获得第一平均计算模型。
8. 根据权利要求6所述的网络流量异常检测方法,其特征在于,根据所述计算模型与所述第一平均计算模型计算最初累积偏移量的步骤包括
对相同的第一参数xj在各子段中求取所述计算模型和所述第一平均计算模型分别对应的第二参数yj和第二参数的均值yj,其中,j为选取的第一参数的个数;
根据所述的第二参数yj和第二参数的均值yj获得各子段中的所述计算模型与所述第一平均计算模型的最初累积偏移量其中,i为子段数。
9. 根据权利要求6所述的网络流量异常检测方法,其特征在于,根据所述最初累积偏移量获得第二平均计算模型的步骤包括
去除具有最大最初累积偏移量的子段中的流量检测信号;
对相同的第一参数xj在剩余子段中计算所述计算模型的第二参数yj,其中,j为选取的第一参数的个数;
计算所述第二参数yj的均值yj,其中,j为选取的第一参数的个数;
根据所述第一参数xj与第二参数的均值yj组成的点对集{xj,yj}获得第二平均计算模型。
10. 根据权利要求6所述的网络流量异常检测方法,其特征在于,根据所述计算模型与所述第二平均计算模型计算累积偏移量的步骤包括
对相同的第一参数xj在各子段中求取所述计算模型和所述第二平均计算模型分别对应的第二参数yj和第二参数的均值yj,其中,j为选取的第一参数的个数;
根据所述的第二参数yj和第二参数的均值yj获得各子段中的所述计算模型与所述第二平均计算模型的累积偏移量其中,i为子段数。
11. 根据权利要求4所述的网络流量异常检测方法,其特征在于,根据所述累积偏移量计算异常判别统计量的步骤包括
对所述各子段中流量检测信号的累积偏移量求取均值;
根据所述均值获得异常判别统计量D为其中ε为所述累积偏移量的均值,ε1为第一个子段中所述流量检测信号的累积偏移量。
12. 一种网络流量异常检测装置,其特征在于,该装置包括
信号选取单元,用于选取待检测的流量检测信号;
模型生成单元,用于根据所述流量检测信号生成层叠模型;
判别统计量获得单元,用于利用所述层叠模型获得所述流量检测信号的异常判别统计量;
判断单元,用于将所述异常判别统计量与设定的阈值进行比较,如果所述异常判别统计量超过所述阈值,则网络流量存在异常。
13. 根据权利要求12所述的网络流量异常检测装置,其特征在于,所述信号选取单元包括
统计模块,用于统计通过采集路由器的网络流量包数;
信号生成模块,用于根据所述网络流量包数生成流量检测信号;
信号段选取模块,用于根据所述流量检测信号选取定长的流量检测信号段;
子段划分模块,用于将所述的流量检测信号段划分为至少两个子段;
待检测信号获得模块,用于获得各子段中的待检测的流量检测信号。
14. 根据权利要求12所述的网络流量异常检测装置,其特征在于,所述模型生成单元包括
系数计算模块,用于计算所述流量检测信号的小波变换系数WX(u,s),其中u为平移因子,s为尺度因子;
小波模极大值模块,用于计算所述小波变换系数模|WX(u,s)|在不同尺度下的局部极大值点;
配分函数构造模块,用于根据所述小波变换模极大值点构造配分函数;
模型建立模块,用于根据所述配分函数建立层叠模型。
15. 根据权利要求12所述的网络流量异常检测装置,其特征在于,所述判别统计量获得单元包括
计算模型获得模块,用于利用所述层叠模型获得所述各子段中流量检测信号的计算模型;
偏移量获得模块,用于根据所述计算模型获得所述流量检测信号的累积偏移量;
判别统计量计算模块,用于根据所述累积偏移量计算异常判别统计量。
16. 根据权利要求12所述的网络流量异常检测装置,其特征在于,所述偏移量获得模块包括
第一模型获得模块,用于根据所述计算模型获得第一平均计算模型;
最初偏移量计算模块,用于根据所述计算模型与所述第一平均计算模型计算最初累积偏移量;
第二模型获得模块,用于根据所述最初累积偏移量获得第二平均计算模型;
偏移量计算模块,用于根据所述计算模型与所述第二平均计算模型计算累积偏移量。
全文摘要
本发明公开了一种网络流量异常检测方法,涉及网络技术领域,解决了对网络异常流量进行检测时,无法检测出较弱异常流量,检测准确度不高的问题。本发明实施例提供的网络流量异常检测方法包括选取待检测的流量检测信号;根据所述流量检测信号生成层叠模型;利用所述层叠模型获得所述流量检测信号的异常判别统计量;将所述异常判别统计量与设定的阈值进行比较,如果所述异常判别统计量超过所述阈值,则网络流量存在异常。
文档编号H04L12/56GK101252482SQ20081010345
公开日2008年8月27日 申请日期2008年4月7日 优先权日2008年4月7日
发明者李宗林, 松 杨, 周汝强, 胡光岷, 姚兴苗 申请人:华为技术有限公司