基于雙參數(shù)Tsallis熵對的網(wǎng)絡流量異常檢測方法
【技術領域】
[0001] 本發(fā)明涉及一種基于雙參數(shù)Tsallis熵對的網(wǎng)絡流量異常檢測方法。
【背景技術】
[0002] 利用熵對網(wǎng)絡流量異常進行檢測被證明是一種簡單有效的方法,而Tsallis熵被 證明比香農(nóng)熵和Renyi熵在網(wǎng)絡流量異常檢測中具有更好的效果。但是現(xiàn)有的使用單一q 值Tsallis熵的檢測方法不能很好的挖掘網(wǎng)絡流量中的異常。
【發(fā)明內(nèi)容】
[0003] 針對上述問題,本發(fā)明提供一種簡單、有效,對檢測網(wǎng)絡流量異常具有較好的效果 的基于雙參數(shù)Tsallis熵對的網(wǎng)絡流量異常檢測方法。
[0004] 為達到上述目的,本發(fā)明基于雙參數(shù)Tsallis熵對的網(wǎng)絡流量異常檢測方法,包 括:將網(wǎng)絡流量數(shù)據(jù)劃分為均勻多個時間片,采用雙參數(shù)Tsallis熵對計算各時間片內(nèi) 各流特征數(shù)據(jù)對應的Tsallis熵值,其中所述的雙參數(shù)Tsallis熵對為:Tsallis熵公式
戶的參數(shù)q分別取大于1、小于1兩個參數(shù)值,組成的公式對,具體表達 式如下:
[0005]
[0006] 其中,TslSqi〈l時的Tsallis熵;TshSqh>l時的Tsallis熵;
[0007] 設定各時間片內(nèi)相應的各流特征數(shù)據(jù)分別對應的異常檢測閾值Tl、T2,
[0008] 將各時間片內(nèi)的各流特征數(shù)據(jù)的熵值Tsl與T1比較,若Tsl>Tl,則判定在該時間 片內(nèi)流量發(fā)生了異常,否則正常;
[0009] 將各時間片內(nèi)的各流特征數(shù)據(jù)熵值Tsh與T2比較,若Tsh〈T2,則判定在該時間片內(nèi) 流量發(fā)生了異常,否則正常。
[0010] 進一步地,所述的異常數(shù)據(jù)檢測閾值Tl、T2以及參數(shù)qi、qh的取值通過對數(shù)據(jù)訓 練得到,數(shù)據(jù)訓練的方法具體包括:
[0011] 選取訓練流量數(shù)據(jù),將所述訓練流量數(shù)據(jù)流劃分為均勻時間片,提取時間片內(nèi)相 應的流特征數(shù)據(jù),對其中的異常時間片進行標記;
[0012] 選取多個備選參數(shù)別根據(jù)雙參數(shù)Tsallis熵對公式對每一個參數(shù) 算各時間片內(nèi)的相應的各流特征數(shù)據(jù)對應的Tsl熵值和TJ:商值;
[0013] 基于各訓練時間片的熵值結果、標記的異常時間片得到參數(shù)qi、qh的取值以及各 時間片內(nèi)相應的各流特征數(shù)據(jù)分別對應的異常檢測閾值Tl、T2。
[0014] 3、根據(jù)權利要求1所述的基于雙參數(shù)Tsallis熵對的網(wǎng)絡流量異常檢測方法,其 特征在于,所述的參數(shù)qi取值為:-2〈q'1,所述的參數(shù)qh取值為:l〈qh〈2。
[0015] 優(yōu)選地,所述的參數(shù)qi取值為:-2〈qi〈l,所述的參數(shù)qh取值為:l〈qh〈2。
[0016] 于一具體實施例中,各時間片內(nèi)的流特征數(shù)據(jù)至少包括源IP、目的IP、源端口和/ 或目的端口。
[0017] 本發(fā)明基于雙參數(shù)Tsallis熵對的網(wǎng)絡流量異常檢測方法,在Tsallis 熵:
,不同的參數(shù)q取值可以突出不同的流量特征分布。當q>l時, Tsallis熵對具有高概率分布的流特征異常具有很好的突出效果;當q〈l時,Tsallis熵對 具有低概率分布的流特征異常具有很好的突出效果。本發(fā)明,分別取q>l時的最佳q值和 q〈l時的最佳q值,并根據(jù)計算組成Tsallis熵對,就可以同時很好的檢測具有高概率和低 概率流量特征的網(wǎng)絡流量異常。此方法簡單、有效,對檢測網(wǎng)絡流量異常具有很好的效果。
【具體實施方式】
[0018] 下面結合附圖對本發(fā)明做進一步的描述。
[0019] 本發(fā)明基于雙參數(shù)Tsallis熵的網(wǎng)絡流量異常檢測方法,具體包括訓練階段和檢 測階段。在訓練階段,需要得到在實際檢測中所使用的q1和q、直以及檢測閾值T1和T2。 在檢測階段,需要判斷在哪一個時間片內(nèi)發(fā)生了網(wǎng)絡流量異常。具體步驟如下:
[0020] 訓練階段:
[0021] 步驟1 :選取樣本空間:選取流量數(shù)據(jù),將流量數(shù)據(jù)劃分為均勻時間片并提取時間 片內(nèi)相應的流量數(shù)據(jù),如所有源IP/目的IP/源端口 /目的端口形成一個元素樣本空間,也 可使用其它元素進行組合的方式形成元素樣本空間;
[0022] 步驟2 :針對訓練數(shù)據(jù),選取多個值qi和多個q邋作為備選q挪q逍,并根據(jù)公 式1,分別對每一個備選的&和qh值計算Tsl熵值和TJ:商值;
[0023] 步驟3 :通過將得到的熵值與訓練數(shù)據(jù)中的已事先標識出的異常進行對比,找出 最合理有效的qjPqh值及檢測閾值Tl、T2 ;
[0024] 檢測階段:
[0025] 步驟1 :對被檢測數(shù)據(jù),使用通過訓練得到的^和9^直,根據(jù)公式1進行熵值計 算;
[0026] 步驟2 :熵值異常判定:對被檢測的數(shù)據(jù)計算熵值,若Tsl>Tl,或者Tsh〈T2,則判定 在時間片內(nèi)流量發(fā)生了異常。
[0027] 實施例1
[0028] 本實施例基于雙參數(shù)Tsallis熵對的網(wǎng)絡流量異常檢測方法,包括:
[0029] 提取網(wǎng)絡流量數(shù)據(jù):將網(wǎng)絡流量數(shù)據(jù)劃分為均勻多個時間片;
[0030] 雙參數(shù)Tsallis熵對計算:采用雙參數(shù)Tsallis熵對計算各時間片內(nèi)相應的各 流特征數(shù)據(jù)對應的Tsallis熵值,其中所述的雙參數(shù)Tsallis熵對為:Tsallis熵公式 戸的參數(shù)q分別取大于1、小于1兩個參數(shù)值,組成的公式對,具體表達 式如下:
[0031]
[0032] 其中,TslSqi〈l時的Tsallis熵;TshSqh>l時的Tsallis熵;
[0033] 本實施例中,根據(jù)實驗數(shù)據(jù)得到當所述的參數(shù)qi取值為:-2〈q'1,所述的參數(shù)qh 取值為:l〈qh〈2時,能夠得到較為準確的異常網(wǎng)絡數(shù)據(jù)判斷結果,則根據(jù)經(jīng)驗在本實施例 中,參數(shù)qi為-1,qh為1.5。
[0034] 設定各時間片內(nèi)相應的各流特征數(shù)據(jù)對應的異常檢測閾值Tl、T2,具體為:提取 流量數(shù)據(jù)各時間片內(nèi)相應的各流特征數(shù)據(jù),例如在本實施例中為源IP、目的IP、源端口、目 的端口,共四個流特征數(shù)據(jù),對各所述流特征數(shù)據(jù)分別設定對應的異常檢測閾值Tl、T2。
[0035] 說明:在本發(fā)明以及本實施例中對于T1代表對應與Tsl進行對比判斷網(wǎng)絡異常的 異常檢測閾值的總稱,T2代表對應與Tsh進行對比判斷網(wǎng)絡異常的異常檢測閾值的總稱; 各時間片內(nèi)相應的各流特征數(shù)據(jù)分別各自對應一個異常檢測閾值T1、一個異常檢測閾值 T2,也即Tl、T2的取值根據(jù)實際情況確定,也即在本實施例中有四個數(shù)值不盡相同的T1以 及四個數(shù)值不盡相同的T2;