[发明专利]一种基于熵和动态线性关系的多级流量异常检测方法有效
| 申请号: | 201711385042.1 | 申请日: | 2017-12-20 |
| 公开(公告)号: | CN109951420B | 公开(公告)日: | 2020-02-21 |
| 发明(设计)人: | 姜文婷;陈燕;亢中苗;王婉婷;施展;苏卓;王远丰;廖颖茜 | 申请(专利权)人: | 广东电网有限责任公司电力调度控制中心 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 广州粤高专利商标代理有限公司 44102 | 代理人: | 林丽明 |
| 地址: | 510000 广*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 动态 线性 关系 多级 流量 异常 检测 方法 | ||
1.一种基于熵和动态线性关系的多级流量异常检测方法,其特征在于:包括以下步骤:
S1.设定时间片大小T和时间窗口大小N;计算时间窗口和当前时间点t的流量集合熵值四元组,分别记为Hi和Ht;其中,所述的熵值四元组为IP报头中的四种属性的熵值,包括源地址、源端口、目的地址、目的端口的熵值;
S2.分别对流量集合熵值四元组进行一阶差分计算,差分处理序列定义为Hi′、Ht′;
S3.计算时间窗口内N个差分熵值四元组Hi′的平均值和标准差,将三倍标准差设置为一级阈值,将两倍标准差设置为二级阈值;
S4.判断当前时间点t的流量集合熵值四元组的一阶差分处理序列Ht′相对于时间窗口内的N个差分熵值四元组Hi′的平均值的差值是否超过一级阈值;若是,则进行步骤S8,否则进行步骤S5;
S5.判断当前时间点t的流量集合熵值四元组的一阶差分处理序列Ht′相对于时间窗口内的N个差分熵值四元组Hi′的平均值的差值是否超过二级阈值;若是,则进行步骤S6,否则进行步骤S7;
S6.计算四元组对应的线性关系,得到线性预测值;当观测值与预测值之差的平方和为最小值时,得到最佳的线性模型;设定判断偏离线性关系的阈值,根据时间点t时四元组熵值与根据最佳的线性模型的线性关系得出的预测值之间的差异是否超过所设定的阈值范围,对四元组熵值是否偏离线性关系进行判断,若是,则进行步骤S8,否则进行步骤S7;
S7.检测当前时间无异常,进行步骤S9;
S8.根据熵值四元组的熵值变化方向,对熵值四元组不同的异常类型进行识别;
S9.滑动时间窗口,进行下一个时间点检测。
2.根据权利要求1所述的基于熵和动态线性关系的多级流量异常检测方法,其特征在于:所述的步骤S1详细如下:设定时间片大小T和时间窗口大小N,在时间点t上,聚合流St上的熵值四元组定义为:
Ht=(Hsa,t,Hsp,t,Hda,t,Hdp,t);
其中,Hsa,t、Hsp,t、Hda,t、Hdp,t分别表示源地址、源端口、目的地址、目的端口的熵值。
3.根据权利要求2所述的基于熵和动态线性关系的多级流量异常检测方法,其特征在于:所述的源地址的熵值定义为:
其中,nsa为聚合流中流量的总数,Pisa,t为相应源地址出现的概率;
所述的源端口的熵值定义为:
其中,nsp为聚合流中流量的总数,Pisp,t为相应源端口出现的概率;
所述的目的地址的熵值定义为:
其中,nda为聚合流中流量的总数,Pida,t为相应目的地址出现的概率;
所述的目的端口的熵值定义为:
其中,ndp为聚合流中流量的总数,Pidp,t为相应目的端口出现的概率。
4.根据权利要求3所述的基于熵和动态线性关系的多级流量异常检测方法,其特征在于:所述的步骤S2具体如下:
对时间点t的熵值序列进行一阶差分处理,处理后的序列表示为Ht′,其表达式如下:
Ht′=Ht-Ht-1;
其中,Ht表示时间点t的流量集合熵值四元组,Ht-1表示时间点t-1的流量集合熵值四元组;同理,得到时间窗口的差分处理序列Hi′。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于广东电网有限责任公司电力调度控制中心,未经广东电网有限责任公司电力调度控制中心许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201711385042.1/1.html,转载请声明来源钻瓜专利网。
