[发明专利]基于相对熵理论的多测度网络异常检测方法

说明书

技术领域

本发明属于信息安全技术领域，涉及一种网络异常检测的方法，具体涉 及一种基于相对熵理论的多测度网络异常检测方法。

背景技术

计算机网络在给人们带来方便的同时，也常常面临着多种安全威胁，比 如计算机病毒、木马、网络监听、黑客攻击以及包括诸如流氓软件在内的恶 意软件等等，这些对于网络的恶意攻击的一个直接后果就是造成网络使用的 各种异常。网络异常检测可以使人们及早发现网络攻击，并采取相应防范对 策来遏制网络异常的进一步发展。

对网络异常检测方法的研究从1990年的第1个网络入侵检测系统NSM 问世至今，提出的方法有概率统计分析方法、数据挖掘方法、神经网络方法、 模糊数学理论、人工免疫方法、支持向量机方法等。网络异常通常表现为流 量异常，近年来，网络流量的异常检测得到了较多的研究和应用，提出了多 种检测方法，归结起来有四类：(1)阈值检测方法；(2)统计检测方法；(3) 基于小波的检测方法；(4)面向网络安全的检测方法。在阈值检测方法中， 通过对历史数据分析建立正常的参考基线范围，一旦超出此范围就判断为异 常。该方法简单、计算复杂度小，适用于实时检测，然而它作为一种实用检 测手段时，需要结合网络流量的特点不断进行阈值的修正。统计检测方法有 多种算法，最常见的是GLR(Generalized Likelihood Ratio)检测方法，例如 DM.Hawkins的方法。该方法考虑两个相邻的时间窗口以及由这两个窗口构 成的合并窗口，每个窗口都用自回归模型拟合，并计算各窗口序列残差的联 合似然比，然后与某个预先设定的阈值T比较，当超过阈值T时，则窗口 边界被认定为异常点。这种检测方法对于流量的突变检测比较有效，但是当 异常持续长度超过窗口长度时，该方法将出现部分失效。P.Barford等人将小 波分析理论运用于流量异常检测，并给出了基于小波分析理论的四类异常结 果，但该方法的计算过于复杂，不适于进行网络实时检测。面向网络安全的 检测方法是通过学习得到流量属性之间的正常关联规则，然后建立正常规则 集，在实际检测中对流量进行规则匹配，对违反规则的流量进行告警。这种 方法能够对发生异常的地址进行定位，并对异常程度进行量化，但学习需要 大量正常模式下的纯净数据，这在实际网络中并不容易实现。

通过对国内外大量现有技术和理论的分析，到目前为止网络异常检测面 临的两个问题还没有得到很好解决：(1)检测攻击范围不够全面；(2)提高 检测率和降低误报率之间的矛盾。所以，如何挖掘新的检测算法或者改进现 有算法以提高检测率同时降低误报率已经成为当前异常检测领域亟待解决 的问题。

发明内容

本发明的目的是提供一种基于相对熵理论的多测度网络异常检测方法， 有助于解决现有网络异常检测中一直面临的两个棘手的问题：一是检测攻击 范围不够全面；二是提高检测率和降低误报率之间的矛盾。

本发明所采用的技术方案是，一种基于相对熵理论的多测度网络异常检 测方法，该方法按以下步骤具体实施：

步骤1、异常检测测度的选择和量化

异常检测测度选取的标准为：选择的测度对正常和异常区分度较高，且 从网络流量中量化该特征值的计算量小；

步骤2、数据预处理