[发明专利]快速网络流量异常检测方法

说明书

技术领域

本发明涉及一种网络流量异常检测方法，特别是快速网络流量异常检测方法。

背景技术

随着因特网的发展，网络环境日趋复杂，各种突发的快速的异常和攻击常常令异常检测系统猝不及防，异常检测的快速性和实时性愈来愈凸显其重要性。但是，现有的异常检测方法将侧重点放在检测的准确性上，跟不上因特网发展的需要。

文献“Network-Based Anomaly Detection Using an Elman Network，InternationalConference on Computer Communication and Mobile Computing(ICCNMC2005)，2005，pp.471-480”公开了一种利用简单递归神经网络生成模型来检测网络流量异常的方法，该方法将有效载荷的聚合信息应用于模型的生成。这样做不仅可以检测出数据包内部异常，并且可以检测数据包间序列异常，提高了异常检测的准确性。但该方法仍存在一些缺陷：首先：方案仍然基于特征库生成，必须事先建立特征库并进行训练和学习，且这种特征库本身是主观建立的，无法反映网络自身特性，故仍很难保证检测的精确性。其次；方案并未考虑检测速度方面的问题，然而对于当今大量出现的各种突发的快速的异常和攻击，检测速度无疑是一个重要技术指标。最后，特征库匹配本身存在滞后性，训练和学习均发生在异常出现之后，所以检测实时性的保证存在一定困难。

发明内容

为了克服现有的网络流量异常检测方法检测速度慢的不足，本发明提供一种快速网络流量异常检测方法。该方法利用描述网络流量分形特点的Hurst指数来判断异常的发生，通过采样最新的流量数据，并利用这些数据迭代求解Hurst指数，通过Hurst指数的变化，建立异常判断阈值，直接进行流量异常检测，可以实时检测网络流量异常，提高网络流量异常检测的速度。

本发明解决其技术问题所采用的技术方案：一种快速网络流量异常检测方法，其特点是包括下述步骤：

(a)通过调用库函数pcap_findalldevs()获取系统所有网络设备的信息，从中获得本机网卡名称，选择本机网卡的名称，并通过库函数pcap_open_live()打开本机网卡，将本机网卡模式设置为混杂模式，以接收所有流过本机网卡的数据，将接收到的数据包存储在事先建立的文件中；

(b)从所接收到的数据包中提取数据包的到达时间和长度信息，将每个数据包中提取的数据包的到达信息和长度信息以链表的形式存储，通过遍历链表，按照数据包到达时间先后顺序进行序列划分，一个时间间隔STEP作为一个时隙，即循环遍历链表，每次取出一个节点，将节点中的数据包到达时间取出并与数据包初始到达时间求差值，再将该差值与设定的时间间隔STEP相除，求出数据包属于的时间间隔，该时间间隔的数据包总数增一，得到一组随机序列X＝{X_j：j＝1，2，…}；

X_j是随机分量，表示一个时隙内收到的数据包总数；

(c)将随机序列X＝{X_j：j＝1，2，…}值作为网络流量分析和异常判断的原始数据，对随机序列值求解均值、方差以及自相关函数值，将得到的自相关函数值用于求解Hurst指数的值，即H值；

广义平稳自相似过程满足的自相关函数式如下：

ρ_k＝H(2H-1)k^2H-2，k→∞                              (1)

式中，ρ_k是样本自相关函数，k是采样间隔；

对上式进行变换得到Hurst指数的迭代求解公式如下：