[发明专利]一种基于多变量序贯分析的分布式网络流量异常检测方法有效
| 申请号: | 201510096082.9 | 申请日: | 2015-03-04 |
| 公开(公告)号: | CN104717106A | 公开(公告)日: | 2015-06-17 |
| 发明(设计)人: | 陈利民;胡航宇;马涛;任阳阳;陆飙;王玮;张晓;于富财;李由;熊诚 | 申请(专利权)人: | 贵州电网公司信息通信分公司;电子科技大学 |
| 主分类号: | H04L12/26 | 分类号: | H04L12/26;H04L12/24 |
| 代理公司: | 北京联创佳为专利事务所(普通合伙) 11362 | 代理人: | 韩炜 |
| 地址: | 550003 *** | 国省代码: | 贵州;52 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 多变 量序贯 分析 分布式 网络流量 异常 检测 方法 | ||
1.一种基于多变量序贯分析的分布式网络流量异常检测方法,其特征在于:包括以下步骤:
a、获取分布式网络中链路的网络流量信息,并对网络流量信息进行预处理,得到网络流量的属性数据信息,提取其中的数据包大小值;
b、构建网络流量新息序列:使用时间序列预测算法ARMA模型,对该链路数据包大小值进行预测,所得预测值和步骤a中提取的真实流量数据包大小值比对,将两个数据进行作差处理,得到新息序列;
c、多变量序贯概率比检验方法:将步骤b中的新息序列通过多变量序贯概率比检验,得到似然比值;
d、将后一个时刻的似然比值减去前一个时刻的似然比值,得到似然比突变值,构建似然比突变值序列;
e、通过检测分布式网络2条以上的网络链路的似然比突变值序列的相关性来检测分布式网络异常的发生:当2条链路似然比突变值的皮尔逊相关系数≥0.8时,认为网络中流量发生异常;当2条链路似然比突变值的皮尔逊相关系数<0.8时,认为网络中流量没有发生异常。
f、输出异常检测结果:根据步骤e中相关性变化,得出网络异常检测的结果。
2.根据权利要求1所述的基于多变量序贯分析的分布式网络流量异常检测方法,其特征在于:步骤b为:分布式网络中链路的数据包大小为数值xi,通过ARMA模型得到预测值将xi与进行作差处理,得到新息序列
3.根据权利要求1所述的基于多变量序贯分析的分布式网络流量异常检测方法,其特征在于:步骤c为:假设正常情况下随机变量服从正态分布,即θ∈(-∞,+∞),若发生异常情况,会变成X*,即X*~N(θ+Δq,σ2),令y=[X*-θ]/σ,则y满足正态分布,即Y~N(θ,1),y是否正常就决定于θ是否为0,因此将问题转化为以下假设检验问题:
H0:θ=0,流量正常;Hi:θ=θi,流量异常;
通过多变量序贯概率比检验算法判决函数,得到似然比值λi:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于贵州电网公司信息通信分公司;电子科技大学;,未经贵州电网公司信息通信分公司;电子科技大学;许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201510096082.9/1.html,转载请声明来源钻瓜专利网。
