[发明专利]一种基于态势感知预测方法的网络异常检测方法

说明书

本发明公开了一种基于态势感知预测方法的网络异常检测方法，它包括步骤1、获取骨干网的数据进行了提取分析以得到所需的链路数据；步骤2、用Ruby实现网络流量属性信息熵计算；步骤3、采用ARMA模型时间序列预测分析法作为熵值预测，通过预测值与实际值求差得到预测差序列以获得异常空间；步骤4、得到异常空间后，通过对两条链路的异常空间时间序列进行相关性分析，得到疑似网络异常点的发生时间及位置；步骤5、通过疑似异常发生时间点上的链路流量数据文件，根据不同的异常具有不同特征分布以此识别网络分布式隐蔽异常的种类；解决了现有技术不能有效地检测出分布式网络流量异常等技术问题。

技术领域

本发明属于网络异常检测技术，尤其涉及一种基于态势感知预测方法的网络异常检测方法。

背景技术

随着通信网络技术的不断更新和飞速发展，骨干通信网络作为连接多个区域的高速网络，其也在经历着不断的变化。全面准确地掌握和理解网络行为对网络管理和维护有着至关重要的作用，网络管理者通过收集尽可能多的网络传播数据，一方面骨干通信网络及其承载的业务向高速化、多样化、复杂化方向发展，骨干通信网络中流的行为对通信网络本身和用户网络的影响越来越大；另一方面人类社会生活的各种大事件也会影响骨干通信网络中流的行为特征。为了更好地控制和管理通信网络，构建可信的通信网络环境，必须实时准确地对通信网络中流的各种行为特征进行分析、提取，主动发现通信网络中与流行为相关的异常事件，提高通信系统对网络异常行为的应对能力。

然而，伴随着网络的蓬勃发展的是日益严峻的网络安全形势，由于Internet网络是一个开放式的环境，加之其协议设计上存在的缺陷，成为不断增加的黑客们的攻击对象，不仅传统的病毒以更快的速度在更广的领域内传播开来，而且针对特定协议缺陷而设计出来的新的攻击手段也是层出不穷[1]。与此同时，随着网络承载流量的不断扩充，网络自身结构的日益复杂，网络设备可靠性运转面临的风险也在加大。我们将各种病毒、攻击及网络设备故障等影响网络正常运行的行为统称为网络异常事件。在日益严峻的安全形势下，如何确保网络，尤其是作为Internet网络核心部分的骨干通信网络的正常运转，积极防御和抑制网络异常事件的不利影响，成为重要的研究课题。

分布式网络流量异常可能由恶意原因或非恶意原因引起，通常同时发生在网络中多条链路上，单链路上异常不易察觉，尤其在大规模高速网络中异常流十分隐蔽，难以检测，然而来自多条链路的异常汇聚总量惊人，导致网络性能迅速衰减，给网络及端用户造成严重后果。如何有效地检测出分布式网络流量异常成为网络安全管理迫切需要解决的问题。

网络分布式隐蔽异常是指在网络中的多条链路上由同种原因引起的网络流量异常，具有单条链路异常特征不明显、而多条链路的异常总量大等特点。在单条链路上异常流量相对于巨大的正常背景流量极为网络，因此传统的单条流量检测方法，即依靠判断流量是否在时间模式上发生明显改变，通常无法检测。

发明内容

本发明要解决的技术问题是：提供一种基于态势感知预测方法的网络异常检测方法，以解决现有技术不能有效地检测出分布式网络流量异常等技术问题。

本发明的技术方案是：

一种基于态势感知预测方法的网络异常检测方法，其特征在于：

它包括：

步骤1、获取骨干网的数据进行了提取分析以得到所需的链路数据；

步骤2、用Ruby实现网络流量属性信息熵计算；

步骤3、采用ARMA模型时间序列预测分析法作为熵值预测，通过预测值与实际值求差得到预测差序列以获得异常空间；

步骤4、得到异常空间后，通过对两条链路的异常空间时间序列进行相关性分析，得到疑似网络异常点的发生时间及位置；

步骤5、通过疑似异常发生时间点上的链路流量数据文件，根据不同的异常具有不同特征分布以此识别网络分布式隐蔽异常的种类。