[发明专利]网络流量异常检测方法及检测系统

说明书

本发明公开了网络流量异常检测方法及检测系统，属于网络异常流量检测技术领域，要解决的技术问题为如何快速准确的识别在线流量异常。包括如下步骤：对于待检测的网络流量，按照时间对数据包进行排序，得到数值序列形式的长序列包；对于长序列包，通过设置的滑动窗口提取具有一定长度的子序列；基于小波分析对每个滑动窗口内子序列进行不同尺度的能量特征提取，并将能量特征融合为最终特征；通过训练后检测模型对最终特征进行分析，得到检测结果，所述训练后检测模型用于通过均值漂移聚类对最终特征进行学习。

技术领域

本发明涉及网络异常流量检测技术领域，具体地说是网络流量异常检测方法及检测系统。

背景技术

异常检测的主要类型包括：基于信号的网络异常检测方法、基于机器学习的异常检测方法、基于统计分析的异常检测方法和基于数据挖掘的异常检测方法等。

最早被提出的异常流量检测方法是基于统计分析的异常检测方法，其主要思想是建立准确而合适的统计模型，将当前流量的参数和模型中正常流量的参数进行对比，根据计算后的偏差程度来判断网络中是否存在异常。但这类统计分析的方法依赖于统计模型的数据，检测效果的高准确性需要对统计模型中正常流量的行为进行不断地更新以及改进。

基于信号的异常流量检测方法是目前较为通用的检测方法，研究人员通常用随机序列来描述网络流量，在对随机序列进行分析时使用信号处理中常用的方法，小波分析法是一种较为典型的技术。在Barford等人提出的小波分析法中，网络数据通过小波变换分为三部分，分别是低频、中频和高频信号，当网络中发生异常时，中频和高频部分分布的流量就会非常集中，接着计算中频和高频部分频率的偏差值，对比预先假设的阈值，若是网络中出现异常情况，则偏差值要高于阈值。

基于机器学习的异常检测方法在以前的检测分类结果和实时更新的信息基础上，来提高检测的性能。其中常用的技术包括马尔可夫模型、贝叶斯网络、基于系统调用的序列分析等。

基于数据挖掘的异常检测技术用来从海量的网络信息数据中挖掘出正常或遭受攻击时异常的模式，这些信息是不能被直观感受到的，而是潜在于正常流量之下，所以可以利用聚类等方法将流量数据映射到二维的平面数据中。这种方法更加直观，但是获取潜在信息的时候需要进行大量的数据训练过程才能够获得正常流量的模型。

异常检测方法应用到实际中时仍然存在以下几个问题：

(1)需要不断更新模型中的特征库。在当前复杂多变的网络环境下，遭受网络攻击时的攻击手段也在不断进步，所以必须不断地更新当前的特征库，重构检测模型，才能提高异常检测的准确率；

(2)实时性要求高。处在一个网络互联的时代中，各种信息密切相关。在异常检测方面，异常流量检测系统需要在发现风险情况时，及时确定攻击的类型，做到实时的处理；

(3)难以对未知攻击做到精确的检测。当前大多是根据异常流量特征码来检测异常，能够有效地识别出已知的网络攻击类型，但是对于当前阶段未知的网络攻击手段难以做到有效的检测和防范；

(4)异常检测方法的检测率不断得到提高，但是针对不同的具体攻击方面有着较高的误报率。

如何快速准确的识别在线流量异常，是需要解决的技术问题。

发明内容

本发明的技术任务是针对以上不足，提供网络流量异常检测方法及检测系统，来解决如何快速准确的识别在线流量异常的技术问题。

第一方面，本发明的网络流量异常检测方法，基于小波分析对网络流量数据进行特征提取，通过均值漂移聚类对异常流量进行学习，并对在线的网络流量进行异常识别，所述方法包括如下步骤：

对于待检测的网络流量，按照时间对数据包进行排序，得到数值序列形式的长序列包；

对于长序列包，通过设置的滑动窗口提取具有一定长度的子序列；