[发明专利]一种网络流量异常检测方法

说明书

本发明公开了一种网络流量异常检测方法，对网络空间安全态势的量化表达包括如下步骤：(1)流量特征采集与态势特征指标提取；(2)面向态势特征的自适应学习与异常分析；(3)网络异常态势检测与告警。本发明通过网络边界流量采集与特征刻画指标体系的方式实现，该方法从网络流量中连续不断地实时挖掘多个维度特征指标、实时刻画网络空间及其流量特征，一方面可保证网络态势实时或准实时的监控、预警、应急响应需求，另一方面可以通过少量的日志规模，实现对网络流量特征的细粒度刻画，为后续的流量异常分析检测、安全预警提供优质的基础信息来源；在实时性、刻画精确性、数据规模、数据优质性方面，与传统方法相比具有明显优势。

技术领域

本发明涉及一种网络流量异常检测方法，属于网络监测领域。

背景技术

面对当前网络规模的不断增长，网络结构的日趋复杂，加之接入网络设备的多样性和异构性，网络的安全问题越来越重要。网络安全事件流中异常检测作为一种主动性的检测检测技术，不仅可以检测来自外部的入侵行为，还可以检测出内部用户的非授权行为，这已经成为网络安全技术中一个非常重要的组成部分。现有网络异常检测的方法包括如下：

1、支持向量机(SVM)技术：

支持向量机方法是建立在统计学习理论VC维和结构风险最小原理基础上的机器学方法，根据有限的样本信息在模型的复杂性和学习能力之间寻求最佳折衷，以期获得最好的推广能力。支持向量机的本质是在低维空间线性不可分的点按照事先选择的方法映射到某个高维空间构造超平面达到高维线性可分效果。支持向量机是从低维空间映射到高维空间，这个映射是通过核函数实现的。核方法就是利用核函数表示最终的学习机器核函数的种类。经常使用的核函数有多项式核函数、径向基函数和Sigmoid核函数。

支持向量机方法分类有很多方法，可以按照用途和数据源以及分类个数的角度进行分类，具体如下：

(1)用途角度：

可分为分类SVM和回归SVM，其中用于分类的SVM主要有C-SVC和V-SVC，用于回归的SVM主要有￡-SVR和V-SVR。还有许多SVM的变形算法，主要有Scholkopf提出的V-SVM,One-class SVM,RSVM(reduced SVM),WSVM(weighted SVM)以LS-SVM(least-square SVM)等。

(2)数据源角度：

可分为线性SVM和非线性SVM，其中非线性SVM可以利用超曲面来代替超平面达到线性可分的目的。

(3)分类个数角度：

按分类的个数可分为两类SVM和多类SVM。多类SVM可直接转变为两类SVM，如构造k类分类问题，有如下两种实现机制：1对多和1对1分类机制。对于前者，需要构造k个SVM分类器，第i个子分类器就是将第i类实体与其它实体分开；1对1分类机制就是通过构建k(k-1)/2个两类分类器进行训练。多类SVM也可直接在目标函数上修改。

该类技术也存在以下缺点:

(1)SVM算法对大规模训练样本难以实施：由于SVM是借助二次规划来求解支持向量，而求解二次规划将涉及m阶矩阵的计算(m为样本的个数)，当m数目很大时该矩阵的存储和计算将耗费大量的机器内存和运算时间。

(2)基于SVM的传统流量建模仅考虑少量维度特征的建模，无法适应多种协议、多种应用、多类终端所构成的复杂网络流量环境。

2、基于统计的异常检测技术：

基于统计的异常检测技术相对于其他技术发展最早也最为成熟，在很多网络异常检测系统中该方法均被作为关键技术之一使用。统计学认为：“异常是与整体部分或完全不相关的数据，因为它不是由随机模型假设产生的”。该技术主要基于以下假设：随机模型中正常流量的产生概率很高，同时异常流量产生的概率极低。