專利名稱:一種動態(tài)環(huán)境下網(wǎng)絡(luò)流量異常的多尺度偵測方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)異常檢測及入侵檢測技術(shù)領(lǐng)域�����,特別涉及一種動態(tài)環(huán)境下網(wǎng)絡(luò)流量異常的多尺度偵測方法����。
背景技術(shù):
隨著全球都進入互聯(lián)網(wǎng)時代���,網(wǎng)絡(luò)大大縮短了信息發(fā)布和接受的時間���,避免了許多不必要的資源浪費����。但隨著網(wǎng)絡(luò)技術(shù)的進一步發(fā)展�����,一些附帶的網(wǎng)絡(luò)安全問題�、網(wǎng)絡(luò)性能問題也隨之出現(xiàn)在人們的視線中。由于錯誤配置����,惡意攻擊引起的不當(dāng)?shù)木W(wǎng)絡(luò)使用,會占用過多的帶寬��,消耗寶貴資源�,同時使網(wǎng)絡(luò)的表現(xiàn)下降,導(dǎo)致合法的申請使用資源處于不利地位�����,因而迅速準確地檢測出網(wǎng)絡(luò)異常流量是目前研究的熱門話題�。網(wǎng)絡(luò)異常行為包括網(wǎng)絡(luò)故障����、用戶誤操作���、網(wǎng)絡(luò)攻擊���、網(wǎng)絡(luò)病毒傳播等,這些異常行為常常引起網(wǎng)絡(luò)中單條或多條鏈路上網(wǎng)絡(luò)流量偏離正常的現(xiàn)象����。相對于正常的網(wǎng)絡(luò)背景流量而言,異常流量具有極強的隱蔽性���,由于流量異常隱蔽性極強��,發(fā)作突然,特征未知�����,可在極短時間內(nèi)給網(wǎng)絡(luò)或者網(wǎng)絡(luò)上的運行設(shè)備帶來極大的危害����,因此準確而快速地偵測網(wǎng)絡(luò)流量異常行為、判斷引起流量異常的原因、并迅速采取正確的響應(yīng)措施是保證網(wǎng)絡(luò)安全高效運行的重要前提���。流量異常檢測的主要目的是能夠準確地找到異常起始的時刻�����。利用時頻分析方法對異常信號進行分析��,將時頻信號按頻譜特性進行劃分到時頻域上��,識別不同頻率出現(xiàn)的時刻���,在時頻域上捕獲流量的動態(tài)特征,突出異常點的特征�,進而準確地偵測出異常出現(xiàn)的時刻。經(jīng)過多年的研究�����,流量異常檢測方法已取得了長足的進展��。A. Ramanathan提出了一種基于小波分析的異常檢測��,將流量信號做小波變換�,并對小波系數(shù)直接計算方差判斷攻擊點����,但是該方法不具備實時檢測能力����。S. Kim等也提出了一種通過分析在邊界路由器中出口流量的目的IP地址來進行流量異常檢測的技術(shù),該技術(shù)可以事后或?qū)崟r的檢測出口網(wǎng)絡(luò)流量�����,但由于它是基于多分辨分析��,因此它對所有頻率的異常并不具有相同的檢測能力�。由于上述研究方法與日益增長的網(wǎng)絡(luò)異常流量和業(yè)務(wù)量相比,仍然不能滿足要求���,仍存在著對流量信號的時頻域特征研究不足�、對流量異常檢測的尺度自適應(yīng)性缺乏��、對檢測算法的實時性研究不足等問題�����。綜上可知目前的檢測方法并不能很好的對異常流量進行檢測�����。
發(fā)明內(nèi)容
針對現(xiàn)有方法存在的不足����,本發(fā)明提出ー種動態(tài)環(huán)境下網(wǎng)絡(luò)流量異常的多尺度偵測方法,以達到確定異常起始時刻和持續(xù)時間���,實現(xiàn)了對異常流量實時快速偵測的目的��。本發(fā)明的技術(shù)方案是這樣實現(xiàn)的ー種動態(tài)環(huán)境下網(wǎng)絡(luò)流量異常的多尺度偵測方法�,包括以下步驟�����、
步驟I :捕獲流量數(shù)據(jù)信號��;步驟2 :對流量數(shù)據(jù)信號在多尺度上進行連續(xù)小波變換����,得到不同尺度上反映流量信號時頻特征的小波系數(shù)矩陣,該矩陣的每一列數(shù)據(jù)代表ー個尺度上的小波系數(shù)�,每列數(shù)據(jù)的長度為流量數(shù)據(jù)信號的長度,行數(shù)表示信號被分解的尺度�����;步驟3 :對小波系數(shù)進行主成分分析,方法為首先對小波系數(shù)進行零均值處理某一尺度的小波系數(shù)進行求和取均值��,該尺度上小波系數(shù)的每個值與上述均值相減�,得到該尺度上經(jīng)零均值處理后的小波系數(shù),經(jīng)零均值處理后的各尺度上的小波系數(shù)再組成新的小波系數(shù)矩陣����;利用主成分分析法,分析上述新的小波系數(shù)矩陣��,得到三個矩陣��,一個是表示小波系數(shù)矩陣的譜����,ー個表示小波系數(shù)矩陣的譜系數(shù),ー個表示小波系數(shù)矩陣的奇異值矩陣���;計算小波系數(shù)的主成分�,求取奇異值的平均值����,并將該值作為門限值;奇異值矩陣中所有的奇異值分別與該門限值進行比較�,得到大于該門限值的奇異值對應(yīng)的譜和譜系數(shù),將二者及與二者對應(yīng)的奇異值相乘即為用于異常偵測的小波系數(shù)主成分���。步驟4 :對得到的主成分進行異常偵測��,根據(jù)步驟3獲得的小波系數(shù)主成分繪制流量數(shù)據(jù)信號的異常特征曲線����,其橫坐標(biāo)表示抽樣時刻��,縱坐標(biāo)表示小波系數(shù)幅值�,記錄該特征曲線為增函數(shù)的部分所對應(yīng)的時間間隔為N(j),其中j表示特征曲線中為增函數(shù)部分的個數(shù)����,對N(j)進行歸一化獲得ー個矩陣,利用該矩陣的均值和方差計算判決門限值����,該矩陣中的值若超過該門限值則表示在時間間隔N(j)內(nèi)存在異常流量。本發(fā)明的優(yōu)點本發(fā)明方法��,利用連續(xù)小波變換能夠在時頻域上捕獲到異常流量數(shù)據(jù)的動態(tài)時頻特征�����,采用主成分分析法去除小波系數(shù)中的冗余部分,對原始數(shù)據(jù)進行降維����,減少計算量,更好地保證了異常偵測的準確性����。在對異常特征分量進行異常判定吋,確定了異常起始時刻和持續(xù)時間��,實現(xiàn)了對異常流量實時快速偵測的目的���。與単獨使用主成分分析法進行異常偵測做對比發(fā)現(xiàn)��,多尺度異常偵測的偵測效果更好�����,而且能夠確定異常發(fā)生的時刻和異常持續(xù)的時間��。
圖I為本發(fā)明的一種實施方式動態(tài)環(huán)境下網(wǎng)絡(luò)流量異常的多尺度偵測方法的整體流程圖�����;圖2為本發(fā)明的一種實施方式含有異常的網(wǎng)絡(luò)流量示意圖��;圖3為本發(fā)明的一種實施方式多尺度空間特征分析示意圖���,(a)表示尺度2,(b)表示尺度4, (c)表示尺度6, (d)表示尺度8, (e)表示尺度10, (f)表示尺度12, (g)表示尺度14, (h)表不尺度16 ����;圖4為本發(fā)明的一種實施方式多尺度空間上的累積尺度特征示意圖;圖5為本發(fā)明的一種實施方式多尺度空間上的異常特征提取示意圖�����,其中(a)表示干擾分量����;(b)表示異常特征分量;圖6為本發(fā)明的一種實施方式異常偵測結(jié)果示意圖���,(a)表示小波系數(shù)主成分���;(b)表示對小波系數(shù)主成分進行異常偵測的結(jié)果; 圖7為本發(fā)明的一種實施方式傳統(tǒng)主成分分析異常偵測示意圖,其中(a)表示異?�?臻g流量信息���;(b)表示正?��?臻g流量信息。
具體實施例方式下面結(jié)合附圖對實施方式做進ー步的詳細說明�。本發(fā)明的一種實施方式給出動態(tài)環(huán)境下網(wǎng)絡(luò)流量異常的多尺度偵測方法的整體流程圖,如圖I所示�����。該流程開始于步驟101����。在步驟102,捕獲流量數(shù)據(jù)信號��,當(dāng)捕捉到的流量信號帶有異常時�,將該信號作為待分析的時域信號,采用步驟103的方法對流量異常進行分析��,本實施方式中����,采集到的帶有流量異常的信號如圖2所示��。在步驟103���,連續(xù)的小波變換能將流量信號分解到多個連續(xù)尺度上,網(wǎng)絡(luò)流量的異常變化在不同尺度上將會表現(xiàn)為有突發(fā)變量的產(chǎn)生��,本實施方式中�,對流量信號在I到64尺度上進行連續(xù)小波變換���,本實施方式中給出8個尺度的小波系數(shù)�,如圖3所示��,由圖3可知�����,在時頻域上����,小波變換會使得突發(fā)變量不同尺度上特征表現(xiàn)的越來越明顯。本實施方式中�,定義ー個母小波為Ψ (t)���,如果它的傅里葉變換結(jié)果P(W)滿足
權(quán)利要求
1.一種動態(tài)環(huán)境下網(wǎng)絡(luò)流量異常的多尺度偵測方法,其特征在于包括以下步驟 步驟I:捕獲流量數(shù)據(jù)信號�; 步驟2 :對流量數(shù)據(jù)信號在多尺度上進行連續(xù)小波變換,得到不同尺度上反映流量信號時頻特征的小波系數(shù)矩陣�����,該矩陣的每一列數(shù)據(jù)代表一個尺度上的小波系數(shù)���,每列數(shù)據(jù)的長度為流量數(shù)據(jù)信號的長度���,行數(shù)表示信號被分解的尺度; 步驟3 :對小波系數(shù)進行主成分分析��,方法為 首先對小波系數(shù)進行零均值處理�,再利用主成分分析法,確定用于異常偵測的小波系數(shù)主成分����; 步驟4 :對得到的主成分進行異常偵測,根據(jù)步驟3獲得的小波系數(shù)主成分繪制流量數(shù)據(jù)信號的異常特征曲線����,其橫坐標(biāo)表示抽樣時刻����,縱坐標(biāo)表示小波系數(shù)幅值�,記錄該特征曲線為增函數(shù)的部分所對應(yīng)的時間間隔為N(j),其中j表示特征曲線中為增函數(shù)部分的個數(shù)��,對N(j)進行歸一化獲得一個矩陣����,利用該矩陣的均值和方差計算判決門限值,該矩陣中的值若超過該門限值則表示在時間間隔N(j)內(nèi)存在異常流量�����。
2.根據(jù)權(quán)利要求I所述的動態(tài)環(huán)境下網(wǎng)絡(luò)流量異常的多尺度偵測方法���,其特征在于步驟3所述的對小波系數(shù)進行零均值處理,方法為某一尺度的小波系數(shù)進行求和取均值���,該尺度上小波系數(shù)的每個值與上述均值相減���,得到該尺度上經(jīng)零均值處理后的小波系數(shù),各尺度上的小波系數(shù)均進行零均值處理��,構(gòu)成經(jīng)零均值處理后的小波系數(shù)矩陣。
3.根據(jù)權(quán)利要求I所述的動態(tài)環(huán)境下網(wǎng)絡(luò)流量異常的多尺度偵測方法�����,其特征在于步驟3所述的主成分分析法���,過程如下 分析經(jīng)零均值處理后的小波系數(shù)矩陣��,得到三個矩陣���,一個是表示小波系數(shù)矩陣的譜,一個表示小波系數(shù)矩陣的譜系數(shù)����,一個表示小波系數(shù)矩陣的奇異值矩陣;計算小波系數(shù)的主成分���,求取奇異值的平均值�����,并將該值作為門限值���;奇異值矩陣中所有的奇異值分別與該門限值進行比較�����,得到大于該門限值的奇異值對應(yīng)的譜和譜系數(shù)���,將二者及與二者對應(yīng)的奇異值相乘即為用于異常偵測的小波系數(shù)主成分。
全文摘要
一種動態(tài)環(huán)境下網(wǎng)絡(luò)流量異常的多尺度偵測方法�����,涉及網(wǎng)絡(luò)異常檢測及入侵檢測技術(shù)領(lǐng)域����。本發(fā)明利用連續(xù)小波變換能夠在時頻域上捕獲到異常流量數(shù)據(jù)的動態(tài)時頻特征,采用主成分分析法去除小波系數(shù)中的冗余部分��,對原始數(shù)據(jù)進行降維�����,減少計算量��,更好地保證了異常偵測的準確性�。在對異常特征分量進行異常判定時�,確定了異常起始時刻和持續(xù)時間���,實現(xiàn)了對異常流量實時快速偵測的目的。與單獨使用主成分分析法進行異常偵測做對比發(fā)現(xiàn)��,多尺度異常偵測的偵測效果更好����,而且能夠確定異常發(fā)生的時刻和異常持續(xù)的時間。
文檔編號H04L29/06GK102664772SQ20121012474
公開日2012年9月12日 申請日期2012年4月25日 優(yōu)先權(quán)日2012年4月25日
發(fā)明者姚成, 秦文達, 蔣定德, 袁珍 申請人:東北大學(xué)