[发明专利]一种网络流量异常检测方法

说明书

技术领域

本发明涉及网络信息安全和协同学相关技术，具体涉及一种基于协同 突变模型的网络流量异常检测方法，该方法可以及时发现网络故障和性能 问题，对提高网络的可用性，可靠性，保证网络服务质量具有重要意义。

背景技术

虽然在网络安全管理中一些有意义的工作已经得到了实施，然而自动 实时的网络流量异常检测仍然是网络安全中一个尚未解决的问题。

一般来说，网络异常检测方法可分为两类：误用检测和异常检测。前 者使用标记过去的异常数据来检测可能发生的异常。后者建立了正常的网 络行为的数据库，用以检测攻击大大偏离了正常行为的异常。

早期的研究工作异常检测，主要是基于特征的异常检测，该方法需要 经常更新攻击数据库，不适合实时网络异常检测。在已经提出的众多的异 常检测方法中，大多采取传统的统计物理的方法，提取网络流量的宏观特 征，比如自相似性系数，熵，概率分布函数，概率密度等等。随后使用各 种模式识别技术，如神经网络，隐马尔可夫模型，综合接入控制，以及传 感器融合，机器学习等方法进行检测网络异常。

然而，网络流量的产生是一个复杂的过程，受许多因素，如网络设备， 拓扑结构，传输协议，以及网络用户之间的互动合作与竞争的影响，因此， 网络流量往往表现出非线性，非平稳性和复杂性特征，是一个复杂的动力 学系统。其宏观行为由这些因素的协作活动所产生。在某一时刻，网络流 量的变化趋势由少数的几个主要因素所决定，而其它的次要因素对网络流 量变化趋势的贡献甚微。即使由次要因素所产生的正常网络流量的波动可 能较大，但整体的网络系统保持在某一水平的正常的平衡态。但是，当攻 击发生时，网络流量系统将从正常的平衡态转变为攻击的平衡态。这个转 变过程是一个突变的，非平稳的过程的，该过程受主要的攻击因素所决定。 在专利文献“一种基于超统计理论的网络流量异常检测方法”(公开号为 CN101286897，公开日为2008.10.15)中提出根据网络流量的实际特性确 定一种分布模型，并根据此分布模型计算网络流量时间序列的慢变量序列， 即分布参数序列；根据慢变量序列的异常波动来检测网络流量异常。该方 法采用统计的方法对网络流量异常进行检测，对产生异常的所有因素进行 了混合平稳化处理，忽略了网络流量发生异常时的这种突变过程。这种传 统的基于统计物理方法网络流量异常检测是基于网络流量的平稳性假设， 忽视了网络流量发生异常时的突变的，非平稳过程。因此，网络流量检测 的实时性，准确性受到了较大影响。

发明内容

本发明的目的在于提供一种网络流量异常检测方法，该方法具有计算 复杂度低，检出率高和误检率低，具有较好的实时性等特点。

本发明提供的网络流量异常检测方法，其步骤包括：

第1步对网络流量样本数据进行归一化和均值化处理，得到网络流量 样本数据向量v_k，1≤k≤M，M代表网络流量样本数据的类别数，对识别的 网络流量测试数据进行归一化和均值化处理，得到网络流量测试数据向量 q(0)；

第2步计算网络流量异常的注意参数，并求出网络流量样本数据向 量对应的伴随向量；

第3步根据所述伴随向量计算序参量的初始值，

第4步利用所述注意参数对序参量进行循环计算，当循环结束时， 得到检测结果。

本发明描述网络流量系统的复杂行为，体现了网络流量异常与网络流 量之间的关系。由于网络流量异常发生时，受少数驱动因子的控制，网络 流量行为会表现出非线性、非平稳和复杂的特性，会有突变发生，本发明 中采用序参量来描述引起网络流量系统发生非平稳的突变过程的少数控制 因子，序参量体现了支配网络流量突变过程中的主导因素。对序参量进行 循环计算，当序参量收敛时，即可得到网络异常检测的结果。为了验证该 方法的有效性，使用DARPA数据集进行了仿真试验，多次实验结果表明， 即使在网络中存在多种不同的攻击的情况下，我们提出的方法对网络流量 异常检测是非常有效的。