[发明专利]一种基于熵和动态线性关系的多级流量异常检测方法

说明书

本发明涉及一种基于熵和动态线性关系的多级流量异常检测方法；通过分析大量的数据发现属性间的线性关系，对熵值变化程度处于一级阈值和二级阈值之间的时间点进行动态线性关系的检测，降低了实时检测的时延，而分析熵值的变化方向可以识别异常的种类。

技术领域

本发明涉及数据传输的技术领域，特别是涉及一种基于熵和动态线性关系的多级流量异常检测方法。

背景技术

目前，分析传输系统中传输的流量，及时检测出系统中存在的异常流量是保障系统安全稳定运行的基础，对流量异常检测进行了大量的研究，现有技术为两种：一是通过历史数据训练并建立网络异常的行为模式，通过分析实时网络流量是否与异常行为模式相匹配来判定网络中是否发生了异常；二是从时间序列的角度出发，观察预先定义的网络流量异常指标的是否在时空域上超过了正常的范围来判定异常的是否发生。由于使用第一种建立的方法只能检测到现有的异常类型，当新异常类型出现时无法检测出，因此局限性较大。

由于网络中的数据量巨大，保证流量异常检测方法的实时性和准确性是研究的重点和难点，而传输系统对实时性的要求比其他系统更高，此外，准确的判定异常的种类也是异常检测方法的要求之一；基于第二种方法，在提高流量异常检测方法的实时性和准确性方面做了大量的研究，忽略了异常种类的判定。

发明内容

本发明为克服上述所述的不足，提供一种提高了异常检测方法的实时性和准确性的基于熵和动态线性关系的多级流量异常检测方法。

为解决上述技术问题，本发明采用的技术方案是：

一种基于熵和动态线性关系的多级流量异常检测方法，包括以下步骤：

S1.设定时间片大小T和时间窗口大小N；计算时间窗口和当前时间点t的流量集合熵值四元组H_t；

S2.对熵值序列进行一阶差分计算，差分处理序列定义为H′_t；

S3.基于步骤S2，设定一级阈值和二级阈值；

S4.判断熵值四元组相对于时间窗口内的N个差分熵值四元组的差值是否超过一级阈值；若是，则进行步骤S8，否则进行步骤S5；

S5.判断熵值四元组相对于时间窗口内的N个差分熵值四元组的差值是否超过二级阈值；若是，则进行步骤S6，否则进行步骤S7；

S6.动态建立四元组之间的线性关系，并判断时间点t时熵值是否偏离线性关系，若是，则进行步骤S8，否则进行步骤S7；

S7.检测当前时间无异常，进行步骤S9；

S8.根据熵值四元组中的分量变化方向识别出异常类型；

S9.滑动时间窗口，进行下一个时间点检测。

在上述方案中，首先设定时间片大小T和时间窗口大小N；计算时间窗口和当前时间点t的流量集合熵值四元组；对熵值序列进行一阶差分计算；如何，设定一级阈值和二级阈值；判断熵值四元组相对于时间窗口内的N个差分熵值四元组的差值是否超过一级阈值；再进一步判断熵值四元组相对于时间窗口内的N个差分熵值四元组的差值是否超过二级阈值；接下来，动态建立四元组之间的线性关系，并判断时间点t时熵值是否偏离线性关系；再检测当前时间无异常，并根据熵值四元组中的分量变化方向识别出异常类型；通过滑动时间窗口，进行下一个时间点检测；通过设定两级动态阈值来提高检测率，降低误检率，并通过分析大量的数据发现属性间的线性关系，对熵值变化程度处于一级阈值和二级阈值之间的时间点进行动态线性关系的检测，降低了实时检测的时延，而分析熵值的变化方向可以识别异常的种类。

优选的，所述的熵值四元组为IP报头中的四种属性的熵值，包括源地址、源端口、目的地址、目的端口的熵值；

所述的步骤S1详细如下：