基于可調(diào)節(jié)分段熵的網(wǎng)絡(luò)流量異常檢測(cè)方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種基于可調(diào)節(jié)分段熵的網(wǎng)絡(luò)流量異常檢測(cè)方法。
【背景技術(shù)】
[0002] 基于熵進(jìn)行網(wǎng)絡(luò)流量異常檢測(cè)是一種簡(jiǎn)單有效的方法,但是由于熵本身特性的影 響,使其在網(wǎng)絡(luò)流量異常檢測(cè)中存在諸多問(wèn)題:不能克服樣本空間數(shù)量劇烈波動(dòng)對(duì)熵值的 影響,導(dǎo)致檢測(cè)不準(zhǔn)確;需要計(jì)算全部樣本才能得到熵值,導(dǎo)致對(duì)大樣本空間的檢測(cè)不敏 感;混合異常在熵值存在抵消問(wèn)題,導(dǎo)致對(duì)有些混合攻擊不能夠檢測(cè)出來(lái)等。因此,基于傳 統(tǒng)熵(Shannon熵、Tsallis熵等等)的網(wǎng)絡(luò)流量異常檢測(cè)很難應(yīng)用于終端數(shù)目巨大、流量 波動(dòng)明顯的網(wǎng)絡(luò)。
【發(fā)明內(nèi)容】
[0003] 針對(duì)上述問(wèn)題,本發(fā)明提供一種克服了傳統(tǒng)熵用于網(wǎng)絡(luò)流量異常檢測(cè)存在的問(wèn) 題,適應(yīng)大規(guī)模網(wǎng)絡(luò)的異常檢測(cè)需求的基于可調(diào)節(jié)分段熵的網(wǎng)絡(luò)流量異常檢測(cè)方法。
[0004] 為達(dá)到上述目的,本發(fā)明基于可調(diào)節(jié)分段熵的網(wǎng)絡(luò)流量異常檢測(cè)方法,所述方法 包括:
[0005] 獲取流量數(shù)據(jù),將所述流量數(shù)據(jù)劃分為均勻的時(shí)間片,在所述的時(shí)間片內(nèi)選取至 少一個(gè)元素集合為參考樣本空間;
[0006] 各參考樣本空間基于可調(diào)節(jié)分段熵的方法,得到參考樣本空間對(duì)應(yīng)的高概率熵值 和低概率熵值;
[0007] 判斷所述的時(shí)間片是否異常,
[0008] 若所述的時(shí)間片內(nèi)各參考樣本空間對(duì)應(yīng)的高概率熵值和低概率熵值均正常,則該 時(shí)間片為網(wǎng)絡(luò)正常時(shí)間片;
[0009] 若所述的時(shí)間片內(nèi)至少一個(gè)參考樣本空間對(duì)應(yīng)的高概率熵值和/或低概率熵值 為異常,則該時(shí)間片為網(wǎng)絡(luò)異常時(shí)間片;
[0010] 其中,所述的可調(diào)節(jié)分段熵的方法具體為:
[0011] 對(duì)一個(gè)所述參考樣本空間內(nèi)的元素按照概率閾值分為高概率集合和低概率集合, 所述高概率集合和虛擬不重復(fù)元素集合組成高概率樣本空間,所述低概率集合組成低概率 樣本空間;
[0012] 分別計(jì)算所述的高概率樣本空間熵值和低概率樣本空間熵值得到該參考樣本空 間對(duì)應(yīng)的高概率熵值和低概率熵值。
[0013] 進(jìn)一步地,判斷參考樣本空間對(duì)應(yīng)的高概率熵值和低概率熵值是否異常的方法 為:
[0014] 若所述的高概率熵值小于高概率熵閾值,則高概率熵值異常,否則,高概率熵值正 常;
[0015] 若所述的低概率熵值大于低概率熵閾值,則低概率熵值異常,否則,低概率熵值正 常。
[0016] 優(yōu)選地,在所述時(shí)間片內(nèi)選取的參考樣本空間具體為:源IP組成的源IP樣本空 間、目的IP組成的目的IP樣本空間、源端口組成的源端口樣本空間和/或目的端口組成的 目的端口樣本空間。
[0017] 進(jìn)一步地,所述的概率閾值、虛擬不重復(fù)元素的數(shù)目、高概率熵閾值、低概率熵閾 值均為用戶設(shè)定值。
[0018] 為達(dá)到上述目的,本發(fā)明實(shí)現(xiàn)可調(diào)節(jié)分段熵的方法,所述方法包括:
[0019] 對(duì)樣本空間內(nèi)的元素按照概率閾值分為高概率集合和低概率集合,在所述高概率 集合和虛擬不重復(fù)元素集合組成概率樣本空間,所述低概率集合組成低概率樣本空間;
[0020] 計(jì)算所述的高概率空間樣本的熵得到高概率熵值,計(jì)算所述的低概率空間樣本的 熵得到低概率熵值;
[0021] 其中,分段熵通過(guò)所述的概率閾值和虛擬不重復(fù)元素的數(shù)目實(shí)現(xiàn)可調(diào)節(jié)。
[0022] 本發(fā)明克服了傳統(tǒng)熵用于網(wǎng)絡(luò)流量異常檢測(cè)存在的三大問(wèn)題,適應(yīng)了大規(guī)模網(wǎng)絡(luò) 的異常檢測(cè)需求,可以根據(jù)網(wǎng)絡(luò)流量的實(shí)際情況實(shí)現(xiàn)參數(shù)的設(shè)定與調(diào)節(jié)。
【附圖說(shuō)明】
[0023] 圖1是可調(diào)節(jié)分段熵模式原理圖;
[0024] 圖2是基于可調(diào)節(jié)分段熵的異常檢測(cè)判別方法。
【具體實(shí)施方式】
[0025] 下面結(jié)合說(shuō)明書(shū)附圖對(duì)本發(fā)明做進(jìn)一步的描述。
[0026] 如圖1所示,可調(diào)節(jié)分段熵模式是一種將傳統(tǒng)熵進(jìn)行分段的通用模式,不同的傳 統(tǒng)熵均可以根據(jù)此模式得到其對(duì)應(yīng)的可調(diào)節(jié)分段熵。首先,按照用戶設(shè)定的概率閾值(T) 將原樣本空間(A)內(nèi)元素分成高概率元素集合和低概率元素集合;然后將高概率元素集合 和用戶設(shè)定數(shù)目(N)的虛擬的不重復(fù)元素集合結(jié)合形成新的高概率樣本空間(B),將低概 率元素集合單獨(dú)形成低概率樣本空間(C);最后對(duì)高概率樣本空間和低概率樣本空間分別 用傳統(tǒng)的熵計(jì)算熵值,高概率樣本空間得到高概率熵值(E_H),低概率樣本空間得到低概率 熵值(E_L)。可調(diào)節(jié)分段熵通過(guò)T和N兩個(gè)參數(shù)實(shí)現(xiàn)可調(diào)節(jié)的目的。
[0027] 可調(diào)節(jié)分段熵模式的定義如下:
[0028] 傳統(tǒng)熵對(duì)原樣本空間(A)的計(jì)算熵值可表示為E = f (A),則可調(diào)節(jié)分段熵E_APE =<E_H, E_L>,其中,E_H = f (B),E_L = f (C)。
[0029] 步驟I :選取樣本空間:選取流量數(shù)據(jù),將流量數(shù)據(jù)劃分為均勻時(shí)間片并提取時(shí)間 片內(nèi)相應(yīng)的流量數(shù)據(jù),如所有源IP/目的IP/源端口 /目的端口形成一個(gè)元素樣本空間,也 可使用其它元素進(jìn)行組合的方式形成元素樣本空間;
[0030] 步驟2 :計(jì)算可調(diào)節(jié)分段熵:對(duì)此樣本空間按照如圖1所示的可調(diào)節(jié)分段熵模式進(jìn) 行計(jì)算得到高概率熵E_H和低概率熵E_L ;
[0031] 步驟3 :如圖2所示,熵異常判定:若E_H小于預(yù)先設(shè)定的閾值T1,則判定E_H值為 異常,若E_L大于預(yù)先設(shè)定的閾值T2,則判定E_L值為異常;
[0032] 步驟4 :流量異常判定:判定存在異常熵值的樣本空間即為網(wǎng)絡(luò)流量異常樣本空 間,即判定此時(shí)發(fā)生了網(wǎng)絡(luò)流量異常。
[0033] 實(shí)施例1
[0034] 本實(shí)施例基于可調(diào)節(jié)分段熵的網(wǎng)絡(luò)流量異常檢測(cè)方法,所述方法包括:
[0035] 獲取流量數(shù)據(jù),將所述流量數(shù)據(jù)劃分為均勻的時(shí)間片,在所述的時(shí)間片內(nèi)選取源 IP元素集合為參考樣本空間也即為源IP樣本空間;
[0036] 對(duì)所述的源IP樣本空間內(nèi)的元素按照概率閾值分為高概率集合和低概率集合, 在所述高概率集合和虛擬不重復(fù)元素集合組成概率樣本空間,所述低概率集合組成低概率 樣本空間;
[0037] 計(jì)算所述的高概率樣本空間熵值得到高概率熵值,計(jì)算所述的低概率樣本空間熵 值得到低概率熵值;
[0038] 判斷所述的高概率熵值、低概率熵值是否異常,
[0039] 所述的高概率熵值小于設(shè)定的高概率熵閾值,則所述的高概率熵值異常;
[0040] 所述的低概率熵值小于設(shè)定的低概率熵閾值,則所述的低概率熵值正常;
[0041] 判斷所述的時(shí)間片是否異常,
[0042] 所述的時(shí)間片內(nèi)有至少一個(gè)高概率樣本空間熵值異常,則所述的時(shí)間片為網(wǎng)絡(luò)異 常時(shí)間片。
[0043] 實(shí)施例2
[0044] 本實(shí)施例基于可調(diào)節(jié)分段熵的網(wǎng)絡(luò)流量異常檢測(cè)方法,所述方法包括:
[0045] 獲取流量數(shù)據(jù),將所述流量數(shù)據(jù)劃分為均勻的時(shí)間片,在所述的時(shí)間片內(nèi)選取目 的IP元素集合為參考樣本空間也即為目的IP樣本空間;
[0046] 對(duì)所述的目的IP樣本空間內(nèi)的元素按照概率閾值分為高概率集合和低概率集 合,在所述高概率集合和虛擬不重復(fù)元素集合組成概率樣本空間,所述低概率集合組成低 概率樣本空間;
[0047] 計(jì)算所述的高概率樣本空間熵值得到高概率熵值,計(jì)算所述的低概率樣本空間熵 值得到低概率熵值;
[0048