[发明专利]一种基于超统计理论的网络流量异常检测方法

说明书

技术领域

本发明涉及网络信息安全和数理统计相关技术，具体涉及一种基于超统计的网络流量异常检测方法，该方法可以及时发现网络故障和性能问题，对提高网络的可用性，可靠性，保证网络服务质量具有重要意义。

背景技术

随着Internet的不断发展，网络攻击大量出现，由此导致网络流量异常，网络服务质量明显降低的可能性大大增加。通过检测网络流量异常可以快速发现网络故障和性能问题，及时采取措施，其实时性强，对提高网络的可用性，可靠性，保证网络服务质量具有重要意义。

网络流量的分析与建模一直是刻画网络性能，进行网络流量异常检测的重要内容。而网络流量的精确分析，对于网络的建模、理解网络的动态行为，以及网络异常检测方法的提出均有重要意义。

传统的电信网络，由于业务的单一性，基于泊松过程(连续时间)或贝努利过程(离散时间)的短相关的数学模型能较准确地描述其特性。但随着网络业务种类的增多，业务流特性日趋复杂。在过去十年的研究中，对实际流量新的分析发现，无论是局域网还是广域网，网络流量在很大的时间尺度上呈现高可变性并且其自相关系数表现出不可累加性。统计学上，这些特性可以用长相关性(LRD)来描述。短相关的网络流量模型的自相关呈指数衰减，其速度比实际观测到的要快很多，从而使得使用它们进行性能估计与实际有相当差距。因此，近年来，大量新的长相关性流量分析模型被提了出来。

在目前对网络流量进行分析的方法中，基于统计的方法要对网络流量建立合适的统计模型来进行分析，时间序列模型AR(自回归)、ARMA(自回归滑动平均)、ARIMA(自回归求和滑动平均)均是短相关模型，显然不适宜将其用于分析具有长相关性的网络流量时间序列。长相关的时间序列模型FARIMA(p，d，q)(分式求和ARMA)属于平稳参数模型，也不适宜将其用于分析非平稳的网络流量时间序列；基于网络流量特征量的方法是根据表征网络流量自相似特性的Hurst参数的突增程度，对网络流量异常进行检测，它必须假定在所感兴趣的时间范围内，网络流量时间序列的统计特征保持不变(即平稳性假设)，否则会显著降低其检测的准确性和稳定性。

传统的短相关模型很难准确描述网络流量的长相关以及重尾特性，但是这些经典的模型都有着完善的理论基础，并且模型的参数计算简单。长相关模型更好的描述了网络流量的长相关以及重尾特性，但是这种优势只局限于长相关性。对于网络流量中的短相关特性，长相关模型则很难描述，并且由于长相关模型的参数通常很难估计，这也局限了长相关模型的使用。

超统计理论属于物理学的前沿领域并弥补了传统统计方法的不足。超统计的含义是指“统计之统计”，用于描述多个动力学子系统的复合。这种系统在较长的时间尺度上存在某种强度量的大幅度波动，这种强度量在超统计理论中被称为慢变量(相对于快速变化的系统状态变量，例如本文中的网络流量)。

发明内容

本发明的目的在于提供一种基于超统计的网络流量异常检测方法，该方法中的超统计模型可以描述实际的网络流量时间序列，实际的网络流量通常表现出非平稳性、突发性、长相关性以及重尾性，通过对该方法计算出的慢变量序列进行网络流量异常检测具有明显的优越性。

本发明提供的基于超统计理论的网络流量异常检测方法，其步骤包括：

(1)根据网络流量的实际特性选择一种分布模型，并且该分布符合网络流量的分布拟合检验要求；

(2)根据此分布模型计算网络流量时间序列的慢变量序列，即分布参数序列；

(3)根据慢变量序列的异常波动来检测网络流量异常。

本发明通过建立基于超统计(即统计之统计)的网络流量模型，可以描述表现出突发性、非平稳、长相关性以及重尾性的网络流量时间序列并对网络流量进行异常检测。具体而言，本发明具有以下特点：

(1)网络流量时间序列的复杂性表现在：非平稳性、突发性、重尾性和长相关性，传统的短相关模型以及长相关模型都不能满足网络流量时间序列的上述四个特性。而基于超统计理论的网络流量模型可以满足网络流量时间序列的全部特性；

(2)根据超统计理论，慢变量序列含有系统的全部信息，因此通过分析慢变量序列可以达到分析整个系统的目的。并且由于慢变量的个数一般远小于原始序列，因此将大大加快计算速度。从慢变量的含义不难得知，慢变量变现的是较大时间尺度下的系统行为，准确说慢变量的变化比原始序列的变化更具有分析价值。因为原始序列中包含了许多随机波动的因素，在一定的时间范围内认为原始序列服从相应慢变量的分布模型，原始序列的波动并不是系统的本质属性，慢变量的波动变化才能表现系统的特征。

附图说明