[发明专利]一种基于多变量序贯分析的分布式网络流量异常检测方法

说明书

技术领域

本发明涉及一种分布式网络异常检测方法，特别是一种基于多变量序贯分析的分布式网络流量异常检测方法。

背景技术

随着网络通信技术的快速发展，计算机网络改变了人们日常生活和工作方式，使得信息的获取、利用和处理更加高效，然而当我们在享受网络给我们带来便利的同时，还要时刻警惕网络异常行为给我们带来的危害。网络流量异常的特点是发作突然，先兆特征未知，大量消耗网络资源，导致网络拥塞、网络链路利用率下降、显著降低网络服务质量，有可能在短时间内给网络运营商和客户都产生极大的危害，此外，通常情况下，网络异常行为较正常行为相比，总量以及变化量都是很小的，因此如何准确、快速、实时地检测和响应流量异常是防范攻击、制定网络配置策略以实现合理利用网络资源的重要手段。

近年来，研究人员将网络流行为的各种特征看作信号，采用信号处理的方法，探讨网络异常流行为在时域和频域中表现出的不同特性。基于信号处理的网络异常检测主要包括以下几种方法：基于时间的(Temporal)网络异常检测、基于谱分析(Spectrual Analysis)的网络异常检测以及基于空间(Spatial)的网络异常检 测。

(1)基于时间的网络异常检测

基于时间的网络异常检测方法主要采用应用时间序列分析方法进行分析。早期异常检测方法大多采用基于时间的方法，通过分析时间序列中偏离网络正常流行为的数据以检测网络异常。利用经典的时间序列预测模型，如AR^[1]、ARMA^[2]、ARIMA等，对网络流量进行预测，并根据预测值与实际观测值之间的偏差大小，通过设定一个阈值进行网络异常检测的目的。

该方法特点在于通过构建时间序列模型能够准确地描述网络正常流行为的特征，但是其准确性还是主要依赖模型对数据动态性和复杂性的描述，在高速连接网络的情况下，时间序列模型将很难实现对网络流行为的准确刻画，这也是时间序列模型不能用于实时高速网络异常检测的主要原因。

(2)基于谱分析的网络异常检测

谱分析技术^[3]广泛用于各种领域，采用谱技术能够从一个有噪声的环境中提取隐藏的模式和未来趋势。在过去几年，研究者已经将频率技术运用在网络异常流行为中，基于谱分析的网络异常检测是通过网络异常流行为在时域谱和频域谱上所反映出的统计特性与网络正常流行为之间的偏差来检测异常，该方法已经用于链路层的故障识别、DOS攻击检测、网络流量异常检测以及网络攻击行为指纹检测等。

基于谱分析的网络异常检测技术通过对网络流行为信号的频 率进行分析，以得到与网络正常流行为信号特性偏差较大的异常流行为信号，该方法计算复杂度较低，计算效率高，但是采用该方法的检测率会随着异常信号周期性减弱而减弱，与基于时域的方法相比，基于频域的方法开销比较大，尤其是在处理高速网络的情况下。

(3)基于空间的网络异常检测

由于异常特征会受到空间特征的影响而使得异常特征在时间上相关性受到一定的抑制，为此研究人员提出基于空间的网络异常检测方法。如利用链路之间的相关性描述网络正常流行为，为了将网络中异常流行为从网络行为数据空间中提取出来，采用PCA(Principal ComponentAnalysis)分析的方法，将网络行为空间分为正常行为子空间和剩余行为子空间，采用Q统计法在剩余子空间里设置阈值判断网络异常的发生等。基于空间的网络异常检测方法与其他基于信号处理的方法相比，检测率相当，检测算法计算复杂度低，但检测对象仅限于在时域频域上异常特征不明显而空间上异常特征相关的异常行为。

(4)时间序列分析方法

由于网络流量数据是随时间变化的数据，因此我们可以把网络流量数据看成一个时间序列，用时间序列的方法对流量数据进行建模。平稳时间序列是序列中不存在任何趋势性和周期性，其统计意义就是一阶矩为常数，二阶矩存在且为时间间隔的函数。较常见的平稳时间序列模型有自回归模型(AR，Auto Regressive)、 滑动平均模型(MA，MovingAverage)以及自回归滑动平均模型(ARMA)。

AR模型^[1]是最常见的平稳时间序列模型，可以表示为：

X_t＝φ₁X_t-1+φ₂X_t-2+…+φ_pX_t-p+a_t                (1-1)