[发明专利]一种基于相对位置度量的网络异常检测方法

说明书

本发明公开了一种基于相对位置度量的网络异常检测方法，对骨干通信网络中的流量进行采样；引入香农熵对采样数据进行预处理；引入z得分的相对位置度量方法对预处理后的数据进行计算；搭建基于香农熵值的z得分图谱；利用香农熵变化结合z得分图谱分析网络是否异常。本发明的有益效果：通过香农熵的引入，能够将网络流量中属性的聚合离散趋势进行表示，再通过引入z得分，根据统计学中的经验法则，进而搭建基于香农熵的z得分图谱，能够直观的判断是否有疑似异常发生，以及疑似异常发生的时间和程度；通过对疑似异常的程度和相关属性的变化，对比网络中常见的异常的特征，可以将疑似异常的检测范围进一步缩小，达到有效检测和提高检测效率的目的。

技术领域

本发明属于网络检测领域，特别是一种基于相对位置度量的网络异常检测方法。

背景技术

随着互联网的发展和业务量的不断增长，大规模通信网络正在向高速化，多样化，复杂化方向发展，网络中交换的数据量越来越大，网络异常流量的危害也越来越大。

网络流量异常的特点是发作突然，先兆特征未知，大量消耗网络资源，导致网络拥塞、网络链路利用率下降、显著降低网络服务质量，有可能在短时间内给网络运营商和客户都产生极大的危害，因此实时检测和响应流量异常是防范攻击、制定网络配置策略以实现合理利用网络资源的重要手段。

然而，在大型网络中，要进行实时统计的数据量是巨大的，由于测量、分析和存储等计算机资源的限制，无法实现全部网络流量的分析。异常检测算法的最终目标是要从巨大且处于不断变化的正常流量中，检测到相对娇小的异常流量，而且要满足实时性的要求，因而系统设计和实现的难度很大。

网络流量异常检测技术自提出以来，经过了几十年的不断发展，从最初的简单方法迅速发展成种类繁多的各种算法，成为保证网络安全不可或缺的方法。近年来，常用的异常检测方法主要有统计分析、神经网络、机器学习、数据挖掘等多种方法。

现有的网络流量异常检测技术都有一些缺点，如报警意义不明确、可扩展性较差、实时性和精确性依旧不高等。另外，在骨干通信网络高速、大数据量的环境下，相对于正常数据，攻击及异常数据是相对较少的，往往是不会超过4％这个限度。

发明内容

为了解决上述问题，本发明提出了一种引入香农熵对网络数据进行预处理同时引入z得分来进行相对灵敏的一种基于相对位置度量的网络异常检测方法。

本发明的基于相对位置度量的网络异常检测方法，包括以下步骤：

步骤1、对骨干通信网络中的流量进行采样；

步骤2、引入香农熵对采样数据进行预处理；

步骤3、引入z得分的相对位置度量方法对预处理后的数据进行计算；

步骤4、搭建基于香农熵值的z得分图谱；

步骤5、利用香农熵变化结合z得分图谱分析网络是否异常。

进一步地，所述步骤1中采样的数据有No.(数据包在该信息流中的编号)、Time(与该信息流第一个数据包的截获时间的相对时间)、doctets(数据包中网络层字节的总个数)、srcaddr(源IP地址)、dstaddr(目的IP地址)、srcport(TCP/UDP源头端口号)、dstport(TCP/UDP目的端口号)、prot(IP协议类型)、tcp_flags(TCP标志位)。

进一步地，所述步骤2中香农熵处理的数据有doctets(数据包中网络层字节的总个数)、srcaddr(源IP地址)、dstaddr(目的IP地址)、和dstport(TCP/UDP目的端口号)。

进一步地，所述步骤2的具体流程如下：

步骤21、以升序形式读取需要处理的四种数据；

步骤22、设置计算次数和计算结束条件；