[发明专利]一种基于本福特定律的异常流模式识别方法

权利要求书

1.一种基于本福特定律的异常流模式识别方法，其特征在于：利用本福特定律分别选取在正常网络环境下和异常网络环境下区分能力最强的特征作为度量，依据所述度量分别获取不同攻击类型的混合数据集，利用各个所述混合数据集所对应模式图之间的差异对各个所述攻击类型进行识别。

2.根据权利要求1所述的一种基于本福特定律的异常流模式识别方法，其特征在于，利用与本福特定律分别选取在正常网络环境下与异常网络环境下区分能力最强的特征作为度量的具体方法包括：

正常会话特征数据集生成步骤，捕获正常网络会话，作为正常会话集合，提取所述正常会话集合中各个特征对应的特征值，将各个所述特征对应的特征值的集合作为所述特征的正常会话特征数据集；

点集获取步骤，利用窗口值集合中各个窗口值对所述正常会话数据集进行均等划分；依次遍历窗口值集合中的各个窗口值，获取划分后每个独立模块的块内拟合度，获取各个所述独立模块对应块内拟合度的平均值，得到各个窗口值所对应的平均拟合度，依据所有窗口值和各个所述窗口值所对应的平均拟合度获取点集；

最佳窗口值获取步骤，依据所述点集获取对应的拟合函数，将所述拟合函数距离零点最近的点的横坐标作为最佳窗口值；

度量生成步骤，捕获异常网络会话，作为异常会话集合，提取所述异常会话集合中各个特征对应的特征值，将各个所述特征对应的特征值的集合作为所述特征的异常会话特征数据集；将所述异常会话特征数据集和所述正常会话特征数据集按照所述最佳窗口值进行分割，获取各个所述异常会话特征数据集和所述正常会话特征数据集在最佳窗口值的平均拟合度，获取各个特征所对应的正常会话产生的数据集的平均拟合度与异常会话产生的数据集的平均拟合度的差值，差值最大的特征即为所述度量。

3.根据权利要求2所述的一种基于本福特定律的异常流模式识别方法，其特征在于：所述特征包括有源地址、源端口、目的地址、目的端口、数据包大小、字节大小、源到目的的数据包大小、源到目的的字节大小、目的到源的数据包大小、目的到源的字节大小、相对开始时间和持续时间。

4.根据权利要求2所述的一种基于本福特定律的异常流模式识别方法，其特征在于，依据所有窗口值和各个所述窗口值所对应的平均拟合度获取点集的方法包括：各个窗口值所对应的点的横坐标为所述窗口值，纵坐标为所述窗口值对应的平均拟合度，所有窗口值所对应的点的集合即为所述点集。

5.根据权利要求2所述的一种基于本福特定律的异常流模式识别方法，其特征在于，所述依据所述度量分别获取不同攻击类型的混合数据集，利用各个所述混合数据集所对应模式图之间的差异对各个所述攻击类型进行识别的具体方法包括：

混合数据集生成步骤，利用所述度量，提取所述正常网络会话与所述异常网络会话在该度量下的特征值集合作为正常数据集与异常数据集；将所述异常数据集按照攻击类型进行划分，得到各个攻击类型对应的异常数据集；对各个攻击类型所对应的异常数据集，依次按照各个异常比例将异常数据集与正常数据集进行混合，得到各个攻击类型下各个异常比例所对应的混合数据集；

识别步骤，将所述混合数据集用窗口值集合中各个窗口值进行均等划分，依次遍历窗口值集合中的各个窗口值，获取划分后每个独立模块的块内拟合度，获取各个所述独立模块对应块内拟合度的平均值，得到各个窗口值所对应的平均拟合度，依据所有窗口值和各个所述窗口值所对应的平均拟合度获取各个所述混合数据集对应的点集，依据所述混合数据集对应的点集生成模式图；将各个攻击类型按照不同异常比例所对应的混合数据集的模式图作为特征进行训练，得到对各个攻击类型的分类器。

6.根据权利要求5所述的一种基于本福特定律的异常流模式识别方法，其特征在于：所述混合数据集的数量为所述攻击类型数量和所述异常比例数量的乘积。

7.根据权利要求5所述的一种基于本福特定律的异常流模式识别方法，其特征在于：各个所述异常比例均为人工设定值。

8.根据权利要求5所述的一种基于本福特定律的异常流模式识别方法，其特征在于：所述窗口值集合的最大值为数据集长度，窗口值集合的最小值为1。