專利名稱:網絡流量異常檢測方法和裝置的制作方法
技術領域:
本發(fā)明涉及網絡技術領域�,尤其涉及一種網絡流量異常檢測方法和裝置。
背景技術:
對網絡流量異常進行檢測時��,通常先根據網絡流量的變化特性建立流量模型����,如果當前流量不符合流量模型,則判定網絡流量出現(xiàn)異常����。所以,建立合理的描述網絡流量的流量模型�,對于網絡流量異常檢測十分重要。
現(xiàn)有技術中���,根據網絡流量的自相似特性�����,采用自相似模型來描述網絡流量����。網絡流量發(fā)生變化時,會導致自相似模型中的H(Hurst)系數(shù)發(fā)生變化��。當H系數(shù)有明顯變化時���,判定網絡流量出現(xiàn)異常����。例如��,當網絡中出現(xiàn)分布式拒絕服務(Distributed Denial of Service��,DDoS)攻擊時��,造成網絡流量異常���,采用自相似模型進行網絡流量異常檢測時�,可利用小波方差法計算出當前流量的H系數(shù)�����,并使其與正常流量時H系數(shù)相比較�,若兩者之差大于預設閾值,則判定網絡流量出現(xiàn)異常���。
在實現(xiàn)本發(fā)明的過程中���,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術中至少存在如下問題自相似模型作為描述網絡流量的模型不夠準確。自相似模型通過單一的H系數(shù)對固定時間尺度的流量信號關系進行描述�����,只能從一個方面描述流量的異常特性���,不能完全描述復雜的網絡流量�����。并且����,正常網絡流量的H系數(shù)本身會隨時間波動,若異常流量強度較弱��,和正常流量聚合后����,H系數(shù)變化不明顯,就無法將其與正常情況下H系數(shù)的波動區(qū)分開來�����,無法檢測出網絡異常�。
發(fā)明內容
一方面,本發(fā)明的實施例提供了一種網絡流量異常檢測方法�����,能夠提高對網絡異常流量檢測的準確度�����。
本發(fā)明實施例采用的技術方案如下一種網絡流量異常檢測方法����,該方法包括 選取待檢測的流量檢測信號; 根據所述流量檢測信號生成層疊模型����; 利用所述層疊模型獲得所述流量檢測信號的異常判別統(tǒng)計量�; 將所述異常判別統(tǒng)計量與設定的閾值進行比較�,如果所述異常判別統(tǒng)計量超過所述閾值��,則網絡流量存在異常��。
另一方面�����,本發(fā)明實施例提供了一種網絡流量異常檢測裝置�����,能夠提高對網絡異常流量檢測的準確度��。
本發(fā)明實施例采用的技術方案如下一種網絡流量異常檢測裝置�,該裝置包括 信號選取單元,用于選取待檢測的流量檢測信號��; 模型生成單元��,用于根據所述流量檢測信號生成層疊模型�����; 判別統(tǒng)計量獲得單元,用于利用層疊模型獲得所述流量檢測信號的異常判別統(tǒng)計量��; 判斷單元�����,用于將所述異常判別統(tǒng)計量與設定的閾值進行比較���,如果所述異常判別統(tǒng)計量超過所述閾值���,則網絡流量存在異常。
本發(fā)明實施例首先選取當前的流量檢測信號�,為所述流量檢測信號生成層疊模型,采用所述層疊模型描述網絡流量的變化特性�,當所述流量檢測信號變化時,導致所述層疊模型發(fā)生相應的變化�����,根據所述層疊模型的這種變化計算網絡流量的異常判別統(tǒng)計量��。如果所述異常判別統(tǒng)計量超過所述設定的閾值��,則判定網絡流量異常。由于通過為所述流量檢測信號建立層疊模型����,能夠描述所述流量檢測信號在多個不同時間尺度上流量信號的關系,全面體現(xiàn)流量信號的變化特征�,對網絡流量的描述更加準確。根據所述層疊模型進行網絡流量異常檢測時�,即使網絡異常流較弱�����,也能由層疊模型的參數(shù)變化獲得判斷依據�����,有效檢測出較弱的網絡異常流量���,從而��,提高了對網絡異常流量檢測的準確度���。
圖1為本發(fā)明實施例一提供的網絡流量異常檢測方法流程圖; 圖2為本發(fā)明實施例二提供的網絡流量異常檢測方法流程圖�����; 圖3為本發(fā)明實施例提供的網絡流量異常檢測方法中獲得流量檢測信號的累積偏移量的方法流程圖; 圖4為本發(fā)明實施例一提供的網絡流量異常檢測裝置結構圖���; 圖5為本發(fā)明實施例二提供的網絡流量異常檢測裝置結構圖����; 圖6為本發(fā)明實施例提供的網絡流量異常檢測裝置中偏移量獲得模塊的結構圖����; 圖7為本發(fā)明實施例提供的用NS2仿真的正常流量時與注入三種不同頻率異常流量時的網絡流量時域圖; 圖8為本發(fā)明實施例提供的用NS2進行仿真的拓撲圖���; 圖9為本發(fā)明實施例提供的用NS2仿真的正常流量時與異常流量時層疊模型的分析圖�; 圖10為本發(fā)明實施例提供的用NS2仿真的注入三種不同頻率流量異常的實驗結果比較圖��; 圖11為本發(fā)明實施例提供的注入FGN異常流量時的實驗結果比較圖��。
具體實施例方式 為使本發(fā)明實施例的技術方案的優(yōu)點更加清楚���,下面結合附圖對本發(fā)明的實施例作進一步的詳細說明���。
為了解決現(xiàn)有技術中對網絡異常流量進行檢測時����,無法檢測出較弱的網絡異常流量��,檢測結果不準確的問題�,本發(fā)明實施例提供了一種網絡流量異常檢測方法,能夠提高對網絡異常流量檢測的準確度���。
本發(fā)明實施例提供的技術方案一種網絡流量異常檢測方法�,如圖1所示�����,該方法包括 101�、選取待檢測的流量檢測信號�; 102、根據所述流量檢測信號生成層疊模型���; 103��、利用所述層疊模型獲得所述流量檢測信號的異常判別統(tǒng)計量����; 104、將所述異常判別統(tǒng)計量與設定的閾值進行比較��,如果所述異常判別統(tǒng)計量超過所述閾值�����,則網絡流量存在異常�。
本發(fā)明實施例首先選取當前的流量檢測信號,為所述流量檢測信號生成層疊模型��,采用所述層疊模型描述網絡流量的變化特性���,當所述流量檢測信號變化時���,導致所述層疊模型發(fā)生相應的變化,根據所述層疊模型的這種變化計算網絡流量的異常判別統(tǒng)計量���。如果所述異常判別統(tǒng)計量超過所述設定的閾值��,則判定網絡流量異常���。由于通過為所述流量檢測信號建立層疊模型,能夠描述所述流量檢測信號在多個不同時間尺度上流量信號的關系��,全面體現(xiàn)流量信號的變化特征,對網絡流量的描述更加準確��。根據所述層疊模型進行網絡流量異常檢測時��,即使網絡異常流較弱����,也能由層疊模型的參數(shù)變化獲得判斷依據,有效檢測出較弱的網絡異常流量�����,從而�,提高了對網絡異常流量檢測的準確度。
下面對本發(fā)明實施例提供的網絡流量異常檢測方法進行詳細說明�����,如圖2所示���。
選取待檢測的流量檢測信號。
201����、統(tǒng)計通過采集路由器的網絡流量包數(shù)�。
在本發(fā)明實施例中���,對通過采集路由器的原始網絡流量數(shù)據包數(shù)進行統(tǒng)計��,獲得單位時間內(即任兩個抽樣點之間)通過的流量數(shù)據包數(shù)�����,單位時間間隔為T0�����。
202���、根據所述網絡流量包數(shù)生成流量檢測信號。
所述流量檢測信號X[n]可以表示為 時間段內獲得的網絡流量包數(shù)�,n≠0,其中���,n為抽樣點數(shù)���,T0為單位時間。
203、根據所述流量檢測信號選取定長的流量檢測信號段���。
在本發(fā)明實施例中���,采用滑動時窗選取定長的流量檢測信號段。窗口每滑動一次����,對該窗口中所包括流量檢測信號段進行檢測。窗口每次滑動的步長和窗口的大小根據實際需要的安全級別預先設定���。如果實際需要的安全級別較高���,設定的滑動的步長較短,窗口也較小��。
204���、將所述的流量檢測信號段劃分為至少兩個子段����。
將滑動時窗中的流量檢測信號段等分為若干子段�,在本發(fā)明實施例中,將該滑動時窗中的流量檢測信號段等分為5個子段�。
205、獲得各子段中的待檢測的流量檢測信號��。
待檢測的流量檢測信號為各個子段中的流量檢測信號��。
根據所述流量檢測信號生成層疊模型�。
分別為所述各子段的流量檢測信號生成層疊模型,下面進行具體介紹����。
206、計算所述各子段中流量檢測信號的小波變換系數(shù)WX(u�,s),其中u為平移因子���,s為尺度因子���。
所述小波變換系數(shù)
其中,X為選取的子段中的流量檢測信號�,母小波
在本發(fā)明實施例中使用高斯(Gaussian)函數(shù)的導數(shù)作為母小波(高斯小波),取歸一化高斯函數(shù)則高斯小波為 207����、計算所述小波變換系數(shù)模|WX(u�,s)|在不同尺度下的局部極大值點��。
首先固定某個尺度(一般是最小的尺度)�����,計算出該尺度下的所述小波變換系數(shù)模|WX(u�,s)|局部極大值點的位置,然后根據該尺度下局部極大值點的位置找出下一尺度的局部極大值點��,直到分析完所有尺度��,獲得不同尺度下的局部極大值點��。
208�����、根據所述小波變換模極大值點構造配分函數(shù)其中L(s)為在尺度s上|WX(u����,s)|所有局部極大值點,q為階矩數(shù)��。
209��、根據所述配分函數(shù)為所述各子段的流量檢測信號建立層疊模型��。所述層疊模型可以表示為lnZ(q���,s)=Hq����,plnZ(p�,s)+Kq,p����,其中,p���、q為階矩數(shù)����,Hq��,p為包含階矩數(shù)q和p的乘性因子��,Kq�,p為包含階矩數(shù)q和p的加性因子�。
為了詳細說明層疊模型���,將層疊模型通過所述乘性因子和加性因子具體表示為其中����,H″(q)=H(q)+q/2-1���。
上述層疊模型體現(xiàn)了當固定階矩p和q時�����,當尺度s變化時���,lnZ(p,s)與lnZ(q��,s)之間為線性關系�。通過對網絡流量的大量研究分析表明,即使當網絡流量中包含異常流量����,描述該網絡流量的層疊模型仍然滿足這種線性關系,但是所形成的層疊模型較正常情況下發(fā)生偏移�,根據該偏移檢測出異常流量�。
為了更進一步說明所述層疊模型��,下面對本發(fā)明實施例采用的H(q)函數(shù)進行說明��。
求取所述流量檢測信號小波系數(shù)絕對值的對數(shù)h(s)=ln|WX(u�����,s)|��; 對不同尺度下h(s)的概率密度函數(shù)ps(h)�,層疊模型滿足如下關系 ps(h)=Gs�����,s′(h)*ps′(h)�,其中,函數(shù)Gs��,s′(h)稱為層疊模型的核或者傳播因子����,不同的層疊模型取決于其核的不同形式。無窮可分層疊模型(infinitely divisiblecascadesIDC)的傳播因子可由一個基本核G0(h)多次自卷積而成�,卷積次數(shù)取決于尺度s和s′Gs����,s′(h)=[G0(h)]*(n(s)-n(s′)) 對Gs���,s′(h)做拉氏變換為
將尺度因素s和頻率因素q分離成兩個因子����, 可得 從而����,可以得到 利用所述層疊模型獲得所述流量檢測信號的異常判別統(tǒng)計量。
210���、利用所述層疊模型獲得所述各子段中流量檢測信號的計算模型�。
所述層疊模型的尺度s=2j�����,在本發(fā)明實施例中j的取值從1到16��,則尺度s的變化范圍為2到65536�����。該尺度變化范圍并不局限于此,可以選取更大的尺度變化范圍以提高檢測的準確度�����。
在所述尺度變化范圍內在上述的5個子段中��,獲得所述層疊模型中l(wèi)nZ(p�,s)與lnZ(q��,s)的數(shù)據點對集{(lnZ(q����,2j)lnZ(p,2j))}�����,j=1~16�。
在5個子段中根據所述數(shù)據點對集{(lnZ(q,2j)�,lnZ(p,2j))}�,采用最小二乘直線擬合的方法,得到各子段中流量檢測信號的計算模型y=kix+bi��,其中,x為第一參數(shù)����,y為第二參數(shù),ki為乘性因子����,bi為加性因子,i為子段數(shù)��。
211�����、根據所述計算模型獲得所述流量檢測信號的累積偏移量�。
如圖3所示,下面結合附圖對步驟211進行詳細說明���。
301��、根據所述計算模型獲得第一平均計算模型�; 對相同的第一參數(shù)xj在各子段中計算所述計算模型的第二參數(shù)yj�,其中,j為選取的第一參數(shù)的個數(shù); 計算所述第二參數(shù)yj的均值yj�,其中,j為選取的第一參數(shù)的個數(shù)�; 根據所述第一參數(shù)xj與第二參數(shù)的均值yj組成的點對集{xj,yj}采用最小二乘直線擬合的方法�,獲得第一平均計算模型。
302�、根據所述計算模型與所述第一平均計算模型計算最初累積偏移量; 對相同的第一參數(shù)xj在各子段中求取所述計算模型和所述第一平均計算模型分別對應的第二參數(shù)yj和第二參數(shù)的均值yj�,其中,j為選取的第一參數(shù)的個數(shù)�����; 根據所述的第二參數(shù)yj和第二參數(shù)的均值yj獲得各子段中的所述計算模型與所述第一平均計算模型的最初累積偏移量其中�,i為子段數(shù)�。
303、根據所述最初累積偏移量獲得第二平均計算模型�; 去除具有最大最初累積偏移量的子段中的流量檢測信號; 對相同的第一參數(shù)xj在剩余子段中計算所述計算模型的第二參數(shù)yj��,其中��,j為選取的第一參數(shù)的個數(shù)��; 計算所述第二參數(shù)yj的均值yj,其中�,j為選取的第一參數(shù)的個數(shù); 根據所述第一參數(shù)xj與第二參數(shù)的均值yj組成的點對集{xj�,yj},采用最小二乘直線擬合的方法���,獲得第二平均計算模型���。
304、根據所述計算模型與所述第二平均計算模型計算累積偏移量�。
對相同的第一參數(shù)xj在各子段中求取所述計算模型和所述第二平均計算模型分別對應的第二參數(shù)yj和第二參數(shù)的均值yj,其中���,j為選取的第一參數(shù)的個數(shù)�; 根據所述的第二參數(shù)yj和第二參數(shù)的均值yj獲得各子段中的所述計算模型與所述第二平均計算模型的累積偏移量其中�,i為子段數(shù)。
212�����、根據所述累積偏移量計算異常判別統(tǒng)計量���。
對各子段中所述流量檢測信號的累積偏移量求取均值�; 根據所述均值獲得異常判別統(tǒng)計量D為其中ε為所述累積偏移量的均值,ε1為第一個子段中所述流量檢測信號的累積偏移量��。
本發(fā)明實施例取當前滑動時窗中的第一個子段的異常判別統(tǒng)計量作為當前檢測的結果��,滑動步長與每個子段的長度相同�����。本發(fā)明實施例將滑動時窗分為5個子段�,所以,當滑動時窗按照步長連續(xù)移動5次����,就檢測出了當前滑動時窗中每一子段中流量檢測信號的異常判別統(tǒng)計量。
將所述異常判別統(tǒng)計量與設定的閾值進行比較���,如果所述異常判別統(tǒng)計量超過所述閾值�����,則網絡流量異常。
所述設定的閾值threhold為threhold=D+3σ�����,其中,D和σ分別為對正常網絡流量計算異常判別統(tǒng)計量的均值和方差��。
本發(fā)明實施例還提供了一種網絡流量異常檢測裝置�,能夠提高對網絡異常流量檢測的準確度。
本發(fā)明實施例提供的技術方案為一種網絡流量異常檢測裝置����,如圖4所示,該裝置包括 信號選取單元41�����,用于選取待檢測的流量檢測信號��; 模型生成單元42��,用于為所述流量檢測信號生成層疊模型�; 判別統(tǒng)計量獲得單元43,用于利用層疊模型獲得所述流量檢測信號的異常判別統(tǒng)計量����; 判斷單元44,用于將所述異常判別統(tǒng)計量與設定的閾值進行比較�,如果所述異常判別統(tǒng)計量超過所述閾值,則網絡流量異常���。
本發(fā)明實施例首先選取當前的流量檢測信號�,為所述流量檢測信號生成層疊模型,采用所述層疊模型描述網絡流量的變化特性���,當所述流量檢測信號變化時�,導致所述層疊模型發(fā)生相應的變化,根據所述層疊模型的這種變化計算網絡流量的異常判別統(tǒng)計量。如果所述異常判別統(tǒng)計量超過所述設定的閾值����,則判定網絡流量異常。由于通過為所述流量檢測信號建立層疊模型���,能夠描述所述流量檢測信號在多個不同時間尺度上流量信號的關系,全面體現(xiàn)流量信號的變化特征�,對網絡流量的描述更加準確。根據所述層疊模型進行網絡流量異常檢測時����,即使網絡異常流較弱,也能由層疊模型的參數(shù)變化獲得判斷依據��,有效檢測出較弱的網絡異常流量���,從而����,提高了對網絡異常流量檢測的準確度���。
如圖5所示�,本發(fā)明實施例提供的所述信號選取單元41包括 統(tǒng)計模塊411���,用于統(tǒng)計通過采集路由器的網絡流量包數(shù)�����; 信號生成模塊412�����,用于根據所述網絡流量包數(shù)生成流量檢測信號��; 信號段選取模塊413����,用于根據所述流量檢測信號選取定長的流量檢測信號段��; 子段劃分模塊414����,用于將所述的流量檢測信號段劃分為至少兩個子段��; 待檢測信號獲得模塊415�����,用于獲得各子段中的待檢測的流量檢測信號����。
在本發(fā)明實施例中�,采用滑動時窗選取定長的流量檢測信號段。窗口每滑動一次�����,對該窗口中所包括流量檢測信號段進行檢測�����。窗口每次滑動的步長和窗口的大小根據實際需要的安全級別預先設定����。如果實際需要的安全級別較高,設定的滑動的步長較短,窗口也較小�。
本發(fā)明實施例提供的所述模型生成單元42包括 系數(shù)計算模塊421,用于計算所述流量檢測信號的小波變換系數(shù)WX(u���,s),其中u為平移因子�,s為尺度因子; 小波模極大值模塊422���,用于計算所述小波變換系數(shù)模|WX(u���,s)|在不同尺度下的局部極大值點; 配分函數(shù)構造模塊423����,用于根據所述小波變換模極大值點構造配分函數(shù)其中L(s)為在尺度s上|WX(u,s)|所有局部極大值點��,q為階矩數(shù)���。
模型建立模塊424����,用于根據所述配分函數(shù)建立層疊模型。
本發(fā)明實施例通過所述模型生成單元42�����,生成的層疊模型可以表示為lnZ(q����,s)=Hq,plnZ(p����,s)+Kq,p����,其中,p����、q為階矩數(shù),Hq�,p為包含階矩數(shù)q和p的乘性因子,Kq����,p為包含階矩數(shù)q和p的加性因子。當固定階矩p和q時,當尺度s變化時��,lnZ(p���,s)與lnZ(q��,s)之間為線性關系。通過對網絡流量的大量研究分析表明�,即使當網絡流量中包含異常流量,描述該網絡流量的層疊模型仍然滿足這種線性關系�,但是所形成的層疊模型較正常情況下發(fā)生偏移,根據該偏移檢測出異常流量��。
所述判別統(tǒng)計量獲得單元43包括 計算模型獲得模塊431�,用于利用所述層疊模型獲得所述各子段中流量檢測信號的計算模型; 偏移量獲得模塊432����,用于根據所述計算模型獲得所述流量檢測信號的累積偏移量; 判別統(tǒng)計量計算模塊433���,用于根據所述累積偏移量計算異常判別統(tǒng)計量���。
所述偏移量獲得模塊,如圖6所示,包括第一模型獲得模塊601���,用于根據所述計算模型獲得第一平均計算模型����; 最初偏移量計算模塊602����,用于根據所述計算模型與所述第一平均計算模型計算最初累積偏移量; 第二模型獲得模塊603�,用于根據所述最初累積偏移量獲得第二平均計算模型; 偏移量計算模塊604�,用于根據所述計算模型與所述第二平均計算模型計算累積偏移量。本發(fā)明裝置實施例中各單元與模塊的具體工作方法�,可以參照本發(fā)明的方法實施例,此處不再贅述�����。
下面結合實驗結果對本發(fā)明實施例的有益效果作進一步詳細說明���。
在本發(fā)明實施例中���,仿真實驗均在2.4GHz的Pentium 4計算機(內存512M)上分析����。正常網絡流量數(shù)據采用加州大學Berkeley分校Lawrence Berkeley實驗室采集的真實流量數(shù)據BC-pAug89���,如圖7中(a)所示�,BC-pAug89流量的采樣間隔為10ms�,采樣點收集的流量數(shù)據包的最大幅值為18,流量均值大小為9.234����。
異常網絡流量數(shù)據采用網絡環(huán)境模擬器(Network Simulator Version2NS2)仿真的不同頻率的DDoS攻擊���。根據DDoS攻擊的原理��,在NS2仿真拓撲中仿真大量的數(shù)據源作為攻擊源����,并讓這些攻擊源在較短的時間內同時向被攻擊方發(fā)送數(shù)據包��,如圖8所示�,B代表正常網絡流量數(shù)據源�����,即背景流量(在本發(fā)明實施例中為BC-pAug89流量)����,Ai(i=1~8)代表DDoS攻擊數(shù)據源主機�����,R代表受害者主機前的核心路由器,v代表受害者主機���。
因為對攻擊流量以及正常網絡流量頻域特性的研究表明����,正常流量的功率譜在各個頻段都比較均勻�����,而攻擊流量的功率譜主要集中在某些頻帶上�����,所以����,在本發(fā)明實施例中采用注入三種DDoS攻擊�,這三種DDoS攻擊在頻域中的頻帶分別對應低頻,中頻和高頻��。當每臺攻擊源主機每隔10ms按照指數(shù)分布(exponential)的規(guī)律發(fā)送數(shù)據包���,這種仿真攻擊是一種低頻攻擊����,本發(fā)明實施例取指數(shù)分布的參數(shù)λ=8��;當每臺攻擊源主機每隔10ms分別依次發(fā)送7、5���、2�、0、3個數(shù)據包���,則這種仿真攻擊是一種中頻攻擊�����;當每臺攻擊源主機每隔10ms分別依次發(fā)送2�����、10�、1、8��、5個數(shù)據包,則這種仿真攻擊是一種高頻攻擊���。
因為BC-pAug89流量采樣點上收集的數(shù)據包的最大幅值為18���,若直接在真實流量上注入上述方式產生的攻擊,異常流量幅值相對較大�����,十分容易檢測�,為了驗證本發(fā)明實施例提供的網絡流量異常檢測方法對較弱異常流量檢測的靈敏性,在注入攻擊時將攻擊流在保留原有頻譜特征的條件下將其幅值減小�����,即將NS2產生的攻擊大小歸一化到0~1之間后乘以其背景流量均值大小�,再乘以一個系數(shù)����,通過調整系數(shù)大小實現(xiàn)對攻擊流幅度的調整����。本發(fā)明實施例對所述系數(shù)取1.5�����。
本發(fā)明實施例對滑動時窗的長度取210*5=5120��,即該滑動時窗包括了5120個采樣點���。將該滑動時窗劃分為5個子段��,滑動的步長為210=1024���,即大約10s滑動一次窗口。
對正常網絡流量按照上述滑動時窗對當前檢測的流量檢測信號建立層疊模型����,如圖9(a)所示,正常網絡流量在5個子段中層疊模型的lnZ(p����,s)與lnZ(q�����,s)近似呈線性關系��,并且基本聚集在一起�����。
本發(fā)明實施例在第三子段的位置分別注入三種不同頻率的異常流量���,如圖7中的(b)、(c)�、(d)中箭頭所指處,注入的異常攻擊的位置對應采樣點2048到2448之間�����,對應的采樣起止時間為20s-24s���。對異常網絡流量按照上述滑動時窗建立層疊模型��,如圖9(b)所示,異常網絡流量在5個子段中層疊模型的lnZ(p,s)與lnZ(q����,s)也近似呈線性關系,但第三子段對應的線性關系偏離了其它四種線性關系�,根據這種偏離程度計算異常判別統(tǒng)計量,判斷是否存在網絡異常流量���。
如圖10所示���,記錄了對上述滑動時窗中5個子段異常判別統(tǒng)計量的計算結果,注入攻擊的位置對應該圖中第三個檢測結果點�,圖中的虛線表示閾值。從圖中顯示的實驗結果可以清晰的看到����,當異常流量進入檢測時窗時,即使在異常流量較弱的情況下���,異常判別統(tǒng)計量較正常流量的情況下均發(fā)生突變��,明顯超出閾值���,通過計算異常判別統(tǒng)計量可以檢測出高頻、中頻以及低頻的較弱異常流。
為了更進一步說明本發(fā)明實施例提供的網絡流量異常檢測方法的有益效果��,作為對比�,本發(fā)明實施例采用自相似模型,在上述同樣的實驗條件下���,對同樣的正常檢測流量���,在相同位置注入同樣的異常流量,通過對H系數(shù)的估計進行網絡異常流量檢測��。如圖10所示����,異常流量注入的位置對應圖中32~38的采樣點,圖中實線為在正常流量情況下H系數(shù)的估計結果�����。實驗結果表明��,注入異常流量后��,自相似模型H系數(shù)的變化并不明顯����,尚不及正常流量時H系數(shù)隨時間變化的抖動程度(如圖中75~100采樣點的位置)��,無法檢測出相對較小的弱異常流量,因此采用基于自相似模型的網絡異常流量檢測準確度低�����。
本發(fā)明實施例能夠檢測出的較弱異常流量并不局限于DDoS異常流量�����,下面以分形高斯噪聲(Fractal Gausssian NoiseFGN)為異常流量時�,對本發(fā)明實施例帶來的有益效果作進一步說明。
首先利用自相似模型對網絡異常流量進行檢測���,采用與上述相同的BC-pAug89流量作為背景流量����,BC-pAug89流量的H系數(shù)值為0.877��,生成與所述背景流量H系數(shù)值相近的FGN異常流量�����,該FGN異常流量H系數(shù)值近似為0.877。注入異常流量的位置在第2048到3048采樣點之間�,對應的采樣起止時間約為20s-30s。如圖11中(a)所示����,為采用自相似H系數(shù)對FGN異常流量進行檢測的實驗結果,注入異常流量的位置對應圖中32至47點的位置��,從圖中所示實驗結果可以看出異常流量注入以后H系數(shù)變化微小����,甚至不及正常流量情況下H系數(shù)自身的變化幅度,采用基于自相似H系數(shù)的方法無法檢測出這種與背景流量自相似性接近的異常流量�。
然后,利用本發(fā)明實施例提供的技術方案對所述FGN異常流量進行檢測����,采用上述相同的BC-pAug89流量作為背景流量,如圖11中(b)所示�����,注入異常流量的位置對應圖中第3個檢測點���,從圖中所示實驗結果可以看出異常流量對應的位置明顯超過閾值��,出現(xiàn)尖峰����,本發(fā)明實施例提供的技術方案可以有效的檢測出這種與背景流量自相似性接近的異常流量,提高了網絡異常流量檢測的準確度��。
當然��,本發(fā)明的實施例還可有很多種��,在不背離本發(fā)明的實施例精神及其實質的情況下�,本領域技術人員當可根據本發(fā)明的實施例做出各種相應的改變和變形�,但這些相應的改變和變形都應屬于本發(fā)明的實施例所附的權利要求的保護范圍。
權利要求
1. 一種網絡流量異常檢測方法�,其特征在于,該方法包括
選取待檢測的流量檢測信號��;
根據所述流量檢測信號生成層疊模型�;
利用所述層疊模型獲得所述流量檢測信號的異常判別統(tǒng)計量;
將所述異常判別統(tǒng)計量與設定的閾值進行比較�,如果所述異常判別統(tǒng)計量超過所述閾值,則網絡流量存在異常�����。
2. 根據權利要求1所述的網絡流量異常檢測方法,其特征在于����,所述選取待檢測的流量檢測信號的步驟包括
統(tǒng)計通過采集路由器的網絡流量包數(shù);
根據所述網絡流量包數(shù)生成流量檢測信號���;
根據所述流量檢測信號選取定長的流量檢測信號段����;
將所述的流量檢測信號段劃分為至少兩個子段���;
獲得各子段中的待檢測的流量檢測信號��。
3. 根據權利要求1或2所述的網絡流量異常檢測方法��,其特征在于��,根據所述流量檢測信號生成層疊模型的步驟包括
計算所述各子段中流量檢測信號的小波變換系數(shù)WX(u���,s),其中u為平移因子���,s為尺度因子����;
計算所述各小波變換系數(shù)的模|WX(u,s)|在不同尺度因子s下的局部極大值點�����;
根據所述小波變換系數(shù)模的局部極大值點構造所述各子段的配分函數(shù)����;
根據所述配分函數(shù)為所述各子段的流量檢測信號建立層疊模型。
4. 根據權利要求1所述的網絡流量異常檢測方法���,其特征在于,利用所述層疊模型獲得所述流量檢測信號的異常判別統(tǒng)計量的步驟包括
利用所述層疊模型獲得所述各子段中流量檢測信號的計算模型��;
根據所述計算模型獲得所述流量檢測信號的累積偏移量�����;
根據所述累積偏移量計算異常判別統(tǒng)計量�。
5. 根據權利要求4所述的網絡流量異常檢測方法,其特征在于�,利用所述層疊模型獲得所述各子段中流量檢測信號的計算模型的步驟包括
獲得所述各子段中層疊模型在不同尺度上的數(shù)據點對集;
根據所述數(shù)據點對集獲得所述各子段的計算模型����,所述計算模型為y=kix+bi�,其中�,x為第一參數(shù),y為第二參數(shù)����,ki為乘性因子,bi為加性因子���,i為子段數(shù)��。
6. 根據權利要求5所述的網絡流量異常檢測方法�,其特征在于���,根據所述計算模型獲得所述流量檢測信號的累積偏移量的步驟包括
根據所述計算模型獲得第一平均計算模型���;
根據所述計算模型與所述第一平均計算模型計算最初累積偏移量;
根據所述最初累積偏移量獲得第二平均計算模型�;
根據所述計算模型與所述第二平均計算模型計算累積偏移量。
7. 根據權利要求6所述的網絡流量異常檢測方法�,其特征在于,根據所述計算模型獲得第一平均計算模型的步驟包括
對相同的第一參數(shù)xj在各子段中計算所述計算模型的第二參數(shù)yj,其中�,j為選取的第一參數(shù)的個數(shù);
計算所述第二參數(shù)yj的均值yj����,其中,j為選取的第一參數(shù)的個數(shù)�����;
根據所述第一參數(shù)xj與第二參數(shù)的均值yj組成的點對集{xj����,yj}獲得第一平均計算模型。
8. 根據權利要求6所述的網絡流量異常檢測方法����,其特征在于�����,根據所述計算模型與所述第一平均計算模型計算最初累積偏移量的步驟包括
對相同的第一參數(shù)xj在各子段中求取所述計算模型和所述第一平均計算模型分別對應的第二參數(shù)yj和第二參數(shù)的均值yj�����,其中,j為選取的第一參數(shù)的個數(shù)�;
根據所述的第二參數(shù)yj和第二參數(shù)的均值yj獲得各子段中的所述計算模型與所述第一平均計算模型的最初累積偏移量其中,i為子段數(shù)���。
9. 根據權利要求6所述的網絡流量異常檢測方法��,其特征在于��,根據所述最初累積偏移量獲得第二平均計算模型的步驟包括
去除具有最大最初累積偏移量的子段中的流量檢測信號����;
對相同的第一參數(shù)xj在剩余子段中計算所述計算模型的第二參數(shù)yj�,其中,j為選取的第一參數(shù)的個數(shù)�;
計算所述第二參數(shù)yj的均值yj,其中�,j為選取的第一參數(shù)的個數(shù);
根據所述第一參數(shù)xj與第二參數(shù)的均值yj組成的點對集{xj����,yj}獲得第二平均計算模型。
10. 根據權利要求6所述的網絡流量異常檢測方法���,其特征在于�,根據所述計算模型與所述第二平均計算模型計算累積偏移量的步驟包括
對相同的第一參數(shù)xj在各子段中求取所述計算模型和所述第二平均計算模型分別對應的第二參數(shù)yj和第二參數(shù)的均值yj,其中���,j為選取的第一參數(shù)的個數(shù)�����;
根據所述的第二參數(shù)yj和第二參數(shù)的均值yj獲得各子段中的所述計算模型與所述第二平均計算模型的累積偏移量其中�,i為子段數(shù)��。
11. 根據權利要求4所述的網絡流量異常檢測方法����,其特征在于,根據所述累積偏移量計算異常判別統(tǒng)計量的步驟包括
對所述各子段中流量檢測信號的累積偏移量求取均值����;
根據所述均值獲得異常判別統(tǒng)計量D為其中ε為所述累積偏移量的均值,ε1為第一個子段中所述流量檢測信號的累積偏移量�。
12. 一種網絡流量異常檢測裝置,其特征在于���,該裝置包括
信號選取單元,用于選取待檢測的流量檢測信號�;
模型生成單元��,用于根據所述流量檢測信號生成層疊模型���;
判別統(tǒng)計量獲得單元,用于利用所述層疊模型獲得所述流量檢測信號的異常判別統(tǒng)計量��;
判斷單元���,用于將所述異常判別統(tǒng)計量與設定的閾值進行比較�����,如果所述異常判別統(tǒng)計量超過所述閾值���,則網絡流量存在異常。
13. 根據權利要求12所述的網絡流量異常檢測裝置���,其特征在于��,所述信號選取單元包括
統(tǒng)計模塊����,用于統(tǒng)計通過采集路由器的網絡流量包數(shù)����;
信號生成模塊����,用于根據所述網絡流量包數(shù)生成流量檢測信號����;
信號段選取模塊,用于根據所述流量檢測信號選取定長的流量檢測信號段����;
子段劃分模塊,用于將所述的流量檢測信號段劃分為至少兩個子段�;
待檢測信號獲得模塊,用于獲得各子段中的待檢測的流量檢測信號����。
14. 根據權利要求12所述的網絡流量異常檢測裝置,其特征在于�,所述模型生成單元包括
系數(shù)計算模塊,用于計算所述流量檢測信號的小波變換系數(shù)WX(u����,s),其中u為平移因子���,s為尺度因子���;
小波模極大值模塊,用于計算所述小波變換系數(shù)模|WX(u�,s)|在不同尺度下的局部極大值點;
配分函數(shù)構造模塊��,用于根據所述小波變換模極大值點構造配分函數(shù)����;
模型建立模塊,用于根據所述配分函數(shù)建立層疊模型��。
15. 根據權利要求12所述的網絡流量異常檢測裝置�,其特征在于,所述判別統(tǒng)計量獲得單元包括
計算模型獲得模塊�����,用于利用所述層疊模型獲得所述各子段中流量檢測信號的計算模型����;
偏移量獲得模塊,用于根據所述計算模型獲得所述流量檢測信號的累積偏移量��;
判別統(tǒng)計量計算模塊,用于根據所述累積偏移量計算異常判別統(tǒng)計量��。
16. 根據權利要求12所述的網絡流量異常檢測裝置�,其特征在于,所述偏移量獲得模塊包括
第一模型獲得模塊����,用于根據所述計算模型獲得第一平均計算模型;
最初偏移量計算模塊��,用于根據所述計算模型與所述第一平均計算模型計算最初累積偏移量���;
第二模型獲得模塊����,用于根據所述最初累積偏移量獲得第二平均計算模型����;
偏移量計算模塊,用于根據所述計算模型與所述第二平均計算模型計算累積偏移量�����。
全文摘要
本發(fā)明公開了一種網絡流量異常檢測方法,涉及網絡技術領域�,解決了對網絡異常流量進行檢測時,無法檢測出較弱異常流量��,檢測準確度不高的問題���。本發(fā)明實施例提供的網絡流量異常檢測方法包括選取待檢測的流量檢測信號;根據所述流量檢測信號生成層疊模型�����;利用所述層疊模型獲得所述流量檢測信號的異常判別統(tǒng)計量����;將所述異常判別統(tǒng)計量與設定的閾值進行比較,如果所述異常判別統(tǒng)計量超過所述閾值�����,則網絡流量存在異常�。
文檔編號H04L12/56GK101252482SQ20081010345
公開日2008年8月27日 申請日期2008年4月7日 優(yōu)先權日2008年4月7日
發(fā)明者李宗林, 松 楊, 周汝強, 胡光岷, 姚興苗 申請人:華為技術有限公司