[发明专利]一种基于相对熵理论的网络流量异常检测方法

说明书

本发明公开了一种基于相对熵理论的网络流量异常检测方法，其特征是，包括如下步骤：1）收集网络流量数据：从原始网络数据流中读取所需的网络流源端口的数据；2）计算网络流量信息熵值；3)构建滑动窗口模型；4)计算滑动窗口内信息熵值的平均值；5）计算当前网络流量的相对熵值；6）检测下一粒度网络流量是否异常。这种检测方法能有效地检测出网络流量异常，并能解决低检测率和高误报率的问题，且能够适应动态变化的网络环境。

技术领域

本发明涉及信息安全技术领域，涉及网络流量异常检测方法，具体是一种基于相对熵理论的网络流量异常检测方法。

背景技术：

随着计算机网络规模的不断扩大以及各类网络应用的不断深化，互联网已经融于人类的生产生活，逐渐成为人们生活的一部分，在给人们生活带来巨大方便的同时，网络拥挤和网络滥用等流量偏离其正常行为的流量异常情况时有发生，这些异常事件发作突然，并引起网络流量的剧烈变化，给网络安全和网络性能造成极大的伤害。而异常检测作为一种可以有效检测网络流量异常的方法，相关研究早已被广大学者和业界人士所重视，并取得了一定的研究成果。

熵是一种源于热力学的无序度量，表示系统微观状态的分布几率。信息熵则是熵在信息系统中的一种扩展，如果将信息源视为一组随机事件的集合，则热力学中微观状态的混乱度类同信息源的随机性不确定度，将热力学几率扩展到信息源信号出现的几率，就是信息熵。信息熵是对信息系统中随机事件不确定性程度的描述，标志着所含信息量的多少，信息熵作为一种复合型特征(区别简单特征，如计数特征、流量特征等)，可以反映简单统计特征无法反映的内涵。当网络特征全部相同，取一个值时，表示特征的分布最集中，此时信息熵值取得最小值；当网络特征全取不同值时，表示特征的分布最为分散，信息熵值取得最大值，扩展到网络流量数据中，即在同一属性上，数据分布越集中的地方信息熵值越小，数据分布越分散的地方信息熵值越大。据研究发现，使用信息熵进行计算时，源/目的IP、源/目的端口和流持续时间等特征分布要比其他特征分布效果更好，并且这些特征本身具有强相关关系，可以有效的表征大规模网络流量的异常。以拒绝服务攻击(DistributedDenial Of Service，简称DDOS)为例，它借助足够数量的傀儡主机，随机伪造大量的IP地址，在几乎同一时间开展拒绝服务攻击，向目标主机发送大量无用分组，引起源IP地址的分布更加分散，进而造成源IP地址信息熵突然增大，目的地址信息熵突然减小。