[发明专利]一种基于态势感知预测方法的网络异常检测方法有效
| 申请号: | 201910864115.8 | 申请日: | 2019-09-12 |
| 公开(公告)号: | CN110460622B | 公开(公告)日: | 2021-11-16 |
| 发明(设计)人: | 袁舒;王颖舒;刘晴;左宇;张娟娟;黄韬;徐拓之;李易;韦倩 | 申请(专利权)人: | 贵州电网有限责任公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/24 |
| 代理公司: | 贵阳中新专利商标事务所 52100 | 代理人: | 商小川 |
| 地址: | 550002 贵*** | 国省代码: | 贵州;52 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 态势 感知 预测 方法 网络 异常 检测 | ||
1.一种基于态势感知预测方法的网络异常检测方法,其特征在于:它包括:
步骤1、获取骨干网的数据进行了提取分析以得到所需的链路数据;
步骤2、用Ruby实现网络流量属性信息熵计算;
步骤3、采用ARMA模型时间序列预测分析法作为熵值预测,通过预测值与实际值求差得到预测差序列以获得异常空间;
步骤3所述采用ARMA模型时间序列预测分析法作为熵值预测,通过预测值与实际值求差得到预测差序列以获得异常空间的方法包括:
首先对所要预测的数据进行平稳性检验,平稳性检验包括参数检验法和非参数检验法,经过检验,若数据是平稳时间序列,则继续下一步分析,如果是非平稳序列,则进行差分处理,并且继续进行平稳性检验,直到满足平稳性条件为止;
然后计算时间序列的样本自相关系数和偏自相关系数,根据样本自相关系数和偏自相关系数的拖尾或截尾性质,进而确定采用的时间序列模型及阶数p,q;
设x1,x2,…,xn为网络熵值时间序列,为网络熵值时间序列的平均值,则样本自相关系数和偏自相关系数的计算公式如下:
计算出样本自相关系数和偏自相关系数后,确定时间序列的数学模型和阶数:如果拖尾,而为p阶截尾,则采用AR(p)模型;如果为q阶截尾,而拖尾,则采用MA(q)模型;如果和均拖尾,则采用ARMA(p,q)模型;
将模型确定好后,再利用参数估计的方法计算模型的各个参数,参数估计方法采用有矩估计、极大似然估计或最小二乘估计;计算出模型参数后,就得到了安全态势值时间序列预测模型的表达式;
利用所得到的预测模型表达式进行计算和预测;
最后根据预测值与实际值求差得到预测差序列以获得异常空间;
步骤4、得到异常空间后,通过对两条链路的异常空间时间序列进行相关性分析,得到疑似网络异常点的发生时间及位置;
步骤4所述通过对两条链路的异常空间时间序列进行相关性分析的方法包括:
任意两条链路熵值异常空间的相关性,由相关系数来衡量,数学定义如下:设X和Y为随机变量,X和Y的协方差为:
Cov(X,Y)=E{[X-E(X)][Y-E(Y)]}
其中E(X)为X的均值,E(Y)为Y的均值;则X与Y间的相关系数为:
D(X)与D(Y)分别为X和Y的方差,相关系数反映了两个向量在不同时刻状态之间的统计关联程度,若ρxy=0,则X和Y不相关;|ρxy|越接近1则X与Y的关联程度越大,当P{Y=aX+b}=1,a和b是常数,p{}是概率;即X与Y线性相关的概率为1时,|ρxy|=1,即X与Y完全相关;
引入两个滑动时窗,考虑邻近时间段内链路流异常空间的相关性,Oi和Oj分别为两条不同的链路流异常空间,以时刻点t为起始点,截取链路流熵值预测差时间序列Oi中长度为w1的子段,作为一个向量;Oj序列中截取的子段的起始位置点在(t-w2,t+w2)中滑动,同样截取长度为w1的子段为另一个向量;在Oj中的截取向量的起始位置点每滑动一次,可得到一个相关系数corrcoef,取这2w2个相关系数中最大值作为Oi和Oj在时间点t上的相关系数:
tj为Oj中的截取向量起始位置点的滑动范围;定义t时刻全局熵值相关系数为网络中两条链路流在该时刻点相关系数的均值;Ti(t)、Tj(tj)分别表示的第i条和第j条链路链路流异常空间的相关系数;
m为i≠j时coff(i,j,t)的总个数;
每条链路流熵值异常空间序列RTt中都包含两种成分:预测误差et以及异常At,RTt=et+At,当链路流熵值不存在异常流量时,At=0;由于预测算法的结果与实际值之间总有差异,异常空间提取误差,即由预测算法产生的误差组成,任意两条链路流瞬时参数预测差值序列RT1t、RT2t,由于分别对两条链路流进行独立预测,故两条链路流的预测误差e1t与e2t相互独立,不同链路流瞬时参数间的预测误差与异常流量之间,如e1t与A2t,e2t与A1t也相互独立,因此有Cov(RT1t,RT2t)=Cov(e1t+A1t,e2t+A2t)=Cov(A1t,A2t),假设完全不存在预测误差的情况下,即e1t=0,e2t=0,两条链路流预测差之间的相关系数可以写为:
存在预测误差时,相关系数:
其中Δ=D(e1)D(e2)+D(e1)D(A2)+D(e2)D(A1)为非负实数;
步骤5、通过疑似异常发生时间点上的链路流量数据文件,根据不同的异常具有不同特征分布以此识别网络分布式隐蔽异常的种类;
步骤5所述通过疑似异常发生时间点上的链路流量数据文件,根据不同的异常具有不同特征分布以此识别网络分布式隐蔽异常的种类的方法为:通过分析各个疑似异常时间点所在的链路流,然后根据不同异常的发生会引起不同特征属性的变化这个特点,以识别所检测到的疑似网络分布式隐蔽异常;具体包括:
第一步、先统计所有目的IP出现过的次数;
第二步、统计目的IP出现次数大于总流量0.05%的目的IP;
第三步、将第二步得到的目的IP放入扩展时间窗内,求出扩展时间窗内得到的目的IP的流数量、包数量以及字节数量的绝对均值;
第四步、在所有目的IP中寻找是否有在整个扩展时间窗内,选择时间点的流数量突然变化的疑似异常目的IP段。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于贵州电网有限责任公司,未经贵州电网有限责任公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910864115.8/1.html,转载请声明来源钻瓜专利网。
