[发明专利]一种基于TCP协议的高效多级异常流量检测方法

权利要求书

1.一种基于TCP协议的高效多级异常流量检测方法，其特征在于，包括以下步骤：

101、在时间段T内收集网络流量数据，然后对于网络流量数据中的原始序列R，在时刻t的观测值用x_t表示，x_t∈R,t＝1,2,…,T，按照|x_t|＞kvar_R准则去除不可用的流量数据值x_t，其中k表示的是格拉布斯准则系数，var_R表示原始序列R的方差，将保留下来的流量数据，作为一个观测序列X；

102、对观测序列X进行差分平稳化预处理，预处理得到的差分序列为D,其中差分值d_t＝x_t-x_t-1,t＞1，d_t∈D,t＝1,2,…N，得到差分序列D后，输入步骤103中；

103、分别计算出观测序列X和差分序列D的平均值和方差，并根据平均值和方差，预估t时刻的差分流量值所在的区间[l_t,h_t]，n表示客户端的数量，其中p_t表示t时刻的阈值预测值，l_t和h_t分别表示在t时刻允许的差分流量的最小值和最大值，var_d_t表示在t时刻的差分流量的方差，在检测到步骤102中的差分序列D输入后，防火墙即开启初级检测防御功能，对传送过来的数据，根据t时刻的阈值预测值p_t进行检测，当t时刻的差分流量数据值在差分流量预测值的区间[l_t,h_t]范围内时，判定其为正常流量，并将其转发给服务器；当超出区间[l_t,h_t]范围时，判定为异常流量，跳转至步骤104；

104、防火墙的多级检测系统对转发过来的数据包进行分解，提取数据包中的关键字段key_field，并对这些关键字段key_field进行判定，若没有发现异常字段，则将其转发给服务器；若检测到异常字段，则将该数据包丢弃；

105、经过步骤104中的再次检测后，将正常的数据包转发给服务器，使得服务器与客户端建立第一次握手连接；

106、在建立了第一次握手连接后，服务器将会发送回复信息M_response给客户端，同时等待客户端的确认信息ACK，当客户端收到服务器的回复信息M_response后，两端建立了第二次握手连接；当服务器收到了确认信息ACK之后，服务器与客户端的建立了第三次握手连接，两者之间即可通信。

2.根据权利要求1所述的基于TCP协议的高效多级异常流量检测方法，其特征在于，步骤102中所述的差分平稳化预处理的步骤为：

S21、对所收集时间段T内的网络通信数据序列{x₁,x₂,…,x_T}，分析去除非正常值，保留正常值，这里，如果|x_t|＞kvar_R则表示x_t非正常值，其中k表示的是格拉布斯准则系数，var_R表示原始序列R的方差；将保留下来的观测值序列作为观测序列X；

S22：对所述的原始序列R计算其平均值和其方差var_R；

S23：对所述的观测序列X，进行差分预处理，有d_t∈D,t＝1,2,…T，其中d_t＝x_t-x_t-1,t＞1；

S24：对所述差分序列D，计算其平均值和方差var_D。

3.根据权利要求2所述的基于TCP协议的高效多级异常流量检测方法，其特征在于，原始序列R的平均值公式为：var_R表示原始序列的方差，