[发明专利]基于相对熵理论的多测度网络异常检测方法

摘要

本发明公开了一种基于相对熵理论的多测度网络异常检测方法，本检测方法是通过对多个测度的相对熵加权得到综合相对熵进行网络异常判断，从而避免了单个测度检测在某种特定攻击下的单点失效问题，同时，基于相对熵的异常检测不同于流量异常检测，能够精确地反映测度的异常。该方法按照以下步骤具体实施：步骤1.异常检测测度的选择和量化；步骤2.数据预处理；步骤3.样本训练；步骤4.单测度相对熵检测；步骤5.多测度加权相对熵计算；步骤6.报警机制和检测结果显示。本发明方法提出的技术方案，有助于解决现有网络异常检测技术存在的检测攻击范围不够全面和检测率和降低误报率之间矛盾的问题，可提供主机、局域网、广域网等各种网络环境进行网路异常检测。

主权项

1、一种基于相对熵理论的多测度网络异常检测方法，其特征在于，该方法按以下步骤具体实施：步骤1、异常检测测度的选择和量化异常检测测度选取的标准为：选择的测度对正常和异常区分度较高，且从网络流量中量化该特征值的计算量小；步骤2、数据预处理多测度数据预处理是由多个单测度数据预处理来实现的，单测度统计分析的过程是，首先确定所测测度概率分布的项数为m，然后对捕获到的网络流量数据按照该测度进行统计分析，设m项对应数据包的个数分别为x₁，x₂，…，x_m，总的数据包个数为则每一项对应数据包占总数据包数的比率分别为p₁，p₂，…，p_m，其中pi=xi/Σi=1mxi(i=1,2,...,m)---(2)]]>最后将p₁，p₂，…，p_m组成该测度的测度统计值库；步骤3、样本训练多测度的样本训练是由多个单测度的样本训练来实现的，单测度的样本训练过程包括数据预处理和数据均值化处理过程，样本训练数据一般都是由多个时间段的网络流量数据组成，这里时间段个数设为N，对每一份进行数据预处理，就得到N个测度统计值库，然后对N个测度统计值库进行均值化处理，得到一个正常测度统计值库作为检测的标准，具体过程如下：P₁＝{p₁₁，p₁₂，…，p_1m}；P₂＝{p₂₁，p₂₂，…，p_2m}；......P_N＝{p_N1，p_N2，…，p_Nm}，P={Σi=1Npi1/N,Σi=1Npi2/N,...,Σi=1Npim/N,}---(3)]]>其中N表示捕获正常网络流量数据的时间段数，m表示测度概率分布中的项数，P₁，P₂，…，P_N表示每个时间段内正常网络流量数据的测度概率分布，该概率分布P就认为是通过样本训练得到的正常测度统计值库；步骤4、单测度相对熵检测设在训练阶段取得的正常测度统计值库中的概率分布为P＝{p₁，p₂，…，p_n}的概率值；在检测过程中，对采集的网络流量原始数据进行数据预处理，产生待检测测度统计值库的概率分布为Q＝{q₁，q₂，…，q_n}，则计算两个概率分布的相对熵距离为：L(P,Q)=Σi=1npilnpiqi;]]>步骤5、多测度加权相对熵计算设存在k个测度的相对熵值λ₁，λ₂，…，λ_k，其中λ_i＝L(P_i，Q_i)为第i个测度的概率分布相对熵，则加权相对熵为α₁λ₁+α₂λ₂+…+α_kλ_k，其中α₁，α₂，…，α_k为加权系数；步骤6、报警机制和检测结果显示在预先定义好的偏移量阈值H的基础上，再引进两个值a和b(a＝H，b＝3H)，相对熵用λ来表示，当H＜λ≤H+a时，发出轻量级的轻度异常报警，当H+a＜λ≤H+b时，发出一般异常报警，当H+b＜λ时，发出严重异常报警。