[发明专利]一种基于TCP协议的高效多级异常流量检测方法

说明书

技术领域

本发明属于通信异常检测技术领域，涉及互联网上各类异常检测的快速、实时异常检测技术，具体设计一种基于TCP协议的高效多级异常流量检测方法。

背景技术

网络异常流量检测就是网络监测中的一个重要的部分。网络异常流量是指网络中的流量行为偏离正常行为的情形。网络中，引起网络流量异常的原因有很多，比如，网络中的设备出现故障，导致通信不正常，引起异常；网络操作异常，突发的访问(Flash crowd)，网络入侵等都会引起网络异常。同时，网络异常检测是网络不断发展壮大，网络拓扑结构的规划越来越复杂，网络设备越来越多样化，网络用户规模越来越大的发展过程中，通信安全的一个重要保障。网络用户在寻求网络的便利通信和对网络信任的同时，新类型的网络威胁也在不断增加。如何发现并排除这些网络威胁是网络异常检测的重要任务，也是保障网络正常通信的重要组成部分。

网络面临的攻击及威胁主要来源于网络内部,如大量网络病毒、网内主机的主动攻击及网络异常流量的突增都将引起网络设备负荷过重,从而导致网络拥塞,并可能进一步导致网络瘫痪。SYN Flood DDoS攻击，就是网络不良用户利用TCP协议的三次握手连接存在的缺陷，伪造正常用户的IP地址，产生的攻击，从而给网络带来不可估量的损失。因此，当网络中存在异常时，首要措施是，找出这些异常，并且产生异常报警。同时，网络异常不会只对针对某一处进行攻击，而是会尽可能广的向周围扩散。它的最终的目的是波及最大范围的网络，产生多种类型的异常。针对这种情况，就需要一种实时、快速发现异常的检测方法，发现异常，截断异常，从而使网络得以正常通信。

网络异常流量的特点是流量突发性变化，先兆特征未知，可以在短暂的时间内给网络或网络上的计算机带来极大的危害，因此实时、快速地检测网络流量的异常行为，判断引起异常的原因，做出合理的响应是保证网络有效运行的前提之一，而降低网络恶意攻击带来的损失是保障网络安全的另一个重要方面。

目前，已提出的异常检测方法，如非线性异常流量检测方法(NLPP)、基于小波分析的异常流量检测方法、基于ARMA模型的异常流量检测方法等，虽然能够实时快速的检测出异常，但计算复杂度较高，同时检测的结果不够精确，往往存在较大的误报率，并且检测方法需要当流量数据存在长相关特性时才能使用。而大多数流量数据在采集时，呈现的相关性特征并不明显，波动趋势常呈现出非平稳状态，使得检测方法的使用范围局限性很大。本发明提出的异常检测方法，在进行流量检测前，对流量数据进行预处理，从而能够克服检测局限性的问题。同时，在传统检测方法的检测的基础上，提出的多级检测机制，有效的降低了检测的误报率。

发明内容

针对现有技术中的不足，本发明的目的在于提供一种确保正确率的同时降低误报率，方法简单且易于实现的方法，本发明的技术方案如下：一种基于TCP协议的高效多级异常流量检测方法，其包括以下步骤：

101、在时间段T内收集网络流量数据，然后对于网络流量数据中的原始流量序列R，在时刻t的观测值用x_t表示，x_t∈R,t＝1,2,…,T，按照|x_t|>kvar_R准则去除不可用的流量数据值x_t，其中k表示的是格拉布斯准则系数，var_R表示所述序列R的方差，将保留下来的流量数据，作为一个流量观测序列X；

102、对流量观测序列X进行差分平稳化预处理，预处理得到的差分流量序列为D,其中差分值d_t＝x_t-x_t-1,t>1，d_t∈D,t＝1,2,…N，得到差分流量序列D后，输入步骤103中；