[发明专利]一种基于相对熵理论的网络流量异常检测方法

权利要求书

1.一种基于相对熵理论的网络流量异常检测方法，其特征是，包括如下步骤：

1)收集网络流量数据：从原始网络数据流中读取所需的网络流源端口的数据；

2)计算网络流量信息熵值：网络流量数据当作为离散信息源，将数据的特征当作一组随机事件，定义随机变量X＝{n_i，i＝1，2，...，N}，N为正整数，表示网络流量数据中待分析的网络特征i发生了n_i次，x_i则表示该特征的具体值，那么信息熵的定义如下：

n_i/S表示X取值特征值x_i的概率，表示当前检测的网络特征发生的总次数，

设检测粒度为T，对检测粒度T内的网络流源端口的数据分布进行统计，将得到的统计结果通过公式(1)求出每个T内网络流源端口的数据分布的信息熵值，得到网络流源端口的数据分布情况的原始信息熵值序列E＝{E_i，i＝1，2，...，m}，m为正整数；

3)构建滑动窗口模型：设数据流为一个不断增长的多维元组集台对任意i，i≥1，设元组内元素为x_i，元素数量为d，则各元组时标为T₁...T_j...，且对任意i＜m，T_i＜T_m，在滑动窗口模型中，在任意时刻只考虑并处理最近到达的N个元组，最近到达的N个元组称为有效元组；其余的元组则称为过期元组，并不再参与下一步的分析处理；

4)计算滑动窗口内信息熵值的平均值：采用网络流量数据作为元组集合的基本元组，滑动窗口模型内预设w个正常网路流量数据，当有新的正常网络流量数据时，滑动窗口向前推移，加入最新的正常流量数据，并剔除最旧的正常流量数据；滑动窗口模型在任意时刻，仅仅考虑并处理包含在模型内的最近到达的w个数据，包含在滑动窗口内的w个数据即为有效元组，有效元组时标前的数据，称为过期元组，且不参与数据的分析处理，正常信息熵值序列为EZ＝{EZ_j，j＝1，2，...，n}，n为正整数，滑动窗口内包含最新的w个数据，求滑动窗口内数据的均值avg，其中

5)计算当前网络流量的相对熵值：相对熵，又称K-L散度，用信息量D(P，Q)表示，用来度量两个概率分布P＝{p₁，p₂，...，p_n}和Q＝{q₁，q₂，...，q_n}的相似程度，可表示为：

在信息熵的基础上，相对熵可以表示为对同一属性在不同状态下的特征分布的信息熵值比，用信息量I(P，Q)表示，结合信息熵公式，相对熵可表示为：

其中，P代表当前检测的网络流量分布，Q代表正常的历史网络流量分布，H(P)和H(Q)分别代表当前检测的网络流量分布的信息熵值和正常的历史网络流量分布的信息熵值，相对熵值I(P，Q)的一个重要性质是：I(P，Q)≥0恒成立，且根据定义，I(P，Q)越接近1，表示P和Q越接近，反之则表示两个分布之间相差较大；当I(P，Q)＝1时，表示两个分布完全相同，此时，设u、v为上下限阈值，如果

I(P，Q)∈[u，v] (4)

则判定当前检测的网络流量正常；反之，则判定当前检测的网络流量发生异常；

结合步骤4)，当前信息熵值H(P)为E_i，正常的历史网络流量分布的信息熵值H(Q)为avg，根据公式(3)，则相对熵值EI＝E_i/avg，若EI∈(u，v)，则判定为正常；否，判定为异常；

6)检测下一粒度网络流量是否异常：

(1)若当前检测相对熵值无异常，将对应信息熵值放入正常信息熵值序列EZ，滑动窗口向前推移一项，加入最新的正常熵值为活动数据，并剔除滑动窗口内最原始的一项为过期数据的活动数据，重新计算平均信息熵值avg，更新原有的avg，之后，跳转至步骤4)，进行下一熵值的流量检测；

(2)若当前检测熵值为异常，则保持滑动窗口内数据、当前正常信息熵值的平均值avg不变，直接跳转至步骤4)，进行下一熵值的异常检测。

2.根据权利要求1所述的基于相对熵理论的网络流量异常检测方法，其特征是，所述检测粒度T为至少100。

3.根据权利要求1所述的基于相对熵理论的网络流量异常检测方法，其特征是，所述网络特征i为源或目的IP、源或目的端口。