[发明专利]一种基于超统计理论的网络流量异常检测方法

权利要求书

1、一种基于超统计理论的网络流量异常检测方法，其步骤包括：

(1)根据网络流量的特性选择一种分布模型，并且该分布符合网络流量的分布拟合检验要求；

(2)根据此分布模型计算网络流量时间序列的慢变量序列，即分布参数序列；

(3)根据慢变量序列的异常波动来检测网络流量异常。

2、根据权利要求1所述的基于超统计理论的网络流量异常检测方法，其特征在于：步骤(2)中慢变量序列的计算包括下述步骤：

(A1)将非平稳的网络流量时间序列划分为宽平稳的子序列，或者对整个网络流量时间序列进行差分平稳化，对原始网络流量时间序列进行平稳化处理，得到平稳网络流量序列；

(A2)设选取的分布模型的分布参数为λ_i，i＝1，2，…W，W为分布参数的个数，再分别根据参数λ_i的变化趋势和设定的规则，将步骤(A1)得到的平稳网络流量序列划分为多个窗口，设窗口的总个数为N，N为正整数；

(A3)计算每个窗口的分布参数λ_i，j，1≤j≤N，该序列即为慢变量序列。

3、根据权利要求1所述的基于超统计理论的网络流量异常检测方法，其特征在于：步骤(3)通过检测偏离所述慢变量序列所服从的分布模型的慢变量进行网络流量异常。

4、根据权利要求1所述的基于超统计理论的网络流量异常检测方法，其特征在于：步骤(3)采用传统的异常检测方法检测在统计特征上异常的慢变量进行网络流量异常。

5、根据权利要求1所述的基于超统计理论的网络流量异常检测方法，其特征在于：步骤(3)采用基于离散广义Pareto超统计进行网络流量异常检测，其过程为：

(C1)对非平稳的网络流量时间序列进行平稳化处理；

(C2)将平稳化的网络流量时间序列根据离散广义Pareto分布的参数划分成N个子窗口；

(C3)计算每个窗口的离散广义Pareto分布参数，得到网络流量时间序列的慢变量序列；

(C4)用K-近邻算法方法检测慢变量序列中的异常慢变量，异常慢变量对应的窗口中的网络流量即为异常网络流量；

(C5)用广义最大似然比方法检测慢变量序列，异常慢变量对应的窗口中的网络流量即为异常网络流量。

6、根据权利要求5所述的基于超统计理论的网络流量异常检测方法，其特征在于：步骤(C2)中，进行离散广义Pareto分布的参数估计时，利用下述补偿算法对网络流量时间序列进行预处理：

(D1)假设原始网络流量时间序列的小数部分服从一个均匀分布，将原始网络流量时间序列加上均匀分布产生的小数部分后用广义概率权重矩方法估计进行参数估计；

(D2)根据(D1)步骤中得到分布参数产生于原始网络流量时间序列个数相同的样本序列，计算样本序列与原始网络流量时间序列的差值，用该差值加上原始网络流量时间序列并用GPWM方法进行参数估计；

(D3)重复上述步骤(D1)-(D2)，估计出离散GPD模型的参数。

7、根据权利要求5所述的基于超统计理论的网络流量异常检测方法，其特征在于：步骤(C2)中，步骤(C2)中的窗口划分方法步骤如下：

(E1)采用滑动窗口方法，对每个滑动窗口估计离散广义Pareto分布的分布参数，得到分布参数序列，该序列反映了网络流量时间序列的分布参数的变化趋势；

(E2)采用BG算法计算出分布参数序列的均值突变点，并通过该突变点对应网络流量即为窗口划分点。