>[0036] 同樣的,在本實施例中各時間片內(nèi)相應(yīng)的各流特征數(shù)據(jù)分別各自對應(yīng)的Tsl、Tsh也 是分別計算得到的,也即將參數(shù)化為-1,qh為1. 5帶入雙參數(shù)Tsallis熵對,計算源IP的 Tsl熵值、TJ:商值,其他的流特征數(shù)據(jù)(目的IP、源端口、目的端口)亦然。
[0037] 將各時間片內(nèi)的流特征數(shù)據(jù)熵值Tsl與各流特征數(shù)據(jù)對應(yīng)的異常檢測閾值T1比 較,若Tsl>Tl,則判定在該時間片內(nèi)流量發(fā)生了異常,否則正常;例如源IP在參數(shù)qiS-i 時,計算得到的熵值Tsl與源IP對應(yīng)的異常檢測閾值T1進行比較,若Tsl>Tl,則判定在該時 間片內(nèi)流量發(fā)生了異常,否則正常。在本實施例中的其他流特征數(shù)據(jù)亦然,在此不再贅述。
[0038] 將各時間片內(nèi)的流特征數(shù)據(jù)熵值Tsh與各流特征數(shù)據(jù)對應(yīng)的異常檢測閾值T2比 較,若Tsh〈T2,則判定在該時間片內(nèi)流量發(fā)生了異常,否則正常。例如源端口在%為1. 5時, 計算得到的熵值Tsh與源端口對應(yīng)的異常檢測閾值T2進行比較,若Tsh〈T2,則判定在該時間 片內(nèi)流量發(fā)生了異常,否則正常。在本實施例中的其他流特征數(shù)據(jù)亦然,在此不再贅述。
[0039] 本實施例中,雙參數(shù)Tsallis熵對的定義如下:
[0040]
[0041] 雙參數(shù)Tsallis熵對是由一對Tsallis熵組成,TslSqi〈l時的Tsallis熵;Tsh為 qh>l時的Tsallis熵。
[0042] 雙參數(shù)Tsallis熵對包括兩部分,參數(shù)q小于1時的Tsallis熵Tsl和參數(shù)q大于 1時的Tsallis熵Tsh。其中,Tsl用于檢測具有低概率分布的網(wǎng)絡(luò)流量異常,效果較好,Tsh 用于檢測具有高概率分布的網(wǎng)絡(luò)流量異常,效果較好。當Tsl值大于從訓(xùn)練得來的上檢測閾 值T1時,或者Tsh值小于從訓(xùn)練得來的下閾值T2時,都判斷為發(fā)生了網(wǎng)絡(luò)流量異常。
[0043] 本實施例,利用雙參數(shù)Tsallis熵對進行各時間片內(nèi)的數(shù)據(jù)流量的雙重檢測,無 論該時間片為高概率分布的網(wǎng)絡(luò)流量或低概率分布的網(wǎng)絡(luò)流量,都能夠利用最合理、準確 性強的Tsallis熵表達式進行檢測,所以本實施例,簡單、有效,對檢測網(wǎng)絡(luò)流量異常具有 很好的效果。
[0044] 實施例2
[0045] 本實施例基于雙參數(shù)Tsallis熵對的網(wǎng)絡(luò)流量異常檢測方法,在實施例1的基礎(chǔ) 上更進一步的增加了異常數(shù)據(jù)檢測閾值Tl、T2以及參數(shù)qi、%的具體取值方法,其方法如 下:
[0046] 選取訓(xùn)練流量數(shù)據(jù),將所述訓(xùn)練流量數(shù)據(jù)流劃分為均勻時間片,提取時間片內(nèi)相 應(yīng)的流特征數(shù)據(jù),例如源IP、目的IP、源端口、目的端口形成一個元素樣本空間,對其中的 異常時間片進行標記;
[0047] 選取多個備選參數(shù)qp別根據(jù)雙參數(shù)Tsallis熵對每一個參數(shù)qpqh計算各 時間片內(nèi)的相應(yīng)的各流特征數(shù)據(jù)對應(yīng)的Tsl熵值和TJ:商值
[0048] 基于各訓(xùn)練時間片的熵值結(jié)果與標記的異常時間片的對比得到比較合理有效的 參數(shù)qh的取值,進而得到各流特征數(shù)據(jù)的異常檢測閾值Tl、T2。
[0049] 本發(fā)明實施例中僅僅以單個時間片內(nèi)的源IP、目的IP、源端口、目的端口為流特 征數(shù)據(jù)進行了舉例說明,也可以以其他流特征數(shù)據(jù)為組合的方式。
[0050] 以上,僅為本發(fā)明的較佳實施例,但本發(fā)明的保護范圍并不局限于此,任何熟悉本 技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換,都應(yīng)涵蓋在 本發(fā)明的保護范圍之內(nèi)。因此,本發(fā)明的保護范圍應(yīng)該以權(quán)利要求所界定的保護范圍為準。
【主權(quán)項】
1. 一種基于雙參數(shù)Tsai1is熵對的網(wǎng)絡(luò)流量異常檢測方法,其特征在于,包括:將 網(wǎng)絡(luò)流量數(shù)據(jù)劃分為均勻多個時間片,采用雙參數(shù)Tsallis熵對計算各時間片內(nèi)各流 特征數(shù)據(jù)對應(yīng)的Tsallis熵值,其中所述的雙參數(shù)Tsallis熵對為:Tsallis熵公式中的參數(shù)q分別取大于1、小于1兩個參數(shù)值,組成的公式對,具體表達 式如下:其中,TslSqi〈l時的Tsallis熵;TshSqh>l時的Tsallis熵; 設(shè)定各時間片內(nèi)相應(yīng)的各流特征數(shù)據(jù)分別對應(yīng)的異常檢測閾值Tl、T2, 將各時間片內(nèi)的各流特征數(shù)據(jù)的熵值Tsl與T1比較,若Tsl>Tl,則判定在該時間片內(nèi)流 量發(fā)生了異常,否則正常; 將各時間片內(nèi)的各流特征數(shù)據(jù)熵值Tsh與T2比較,若Tsh〈T2,則判定在該時間片內(nèi)流量 發(fā)生了異常,否則正常。2. 根據(jù)權(quán)利要求1所述的基于雙參數(shù)Tsallis熵對的網(wǎng)絡(luò)流量異常檢測方法,其特征 在于,所述的異常數(shù)據(jù)檢測閾值Tl、T2以及參數(shù)qi、qh的取值通過對數(shù)據(jù)訓(xùn)練得到,數(shù)據(jù)訓(xùn) 練的方法具體包括: 選取訓(xùn)練流量數(shù)據(jù),將所述訓(xùn)練流量數(shù)據(jù)流劃分為均勻時間片,提取時間片內(nèi)相應(yīng)的 流特征數(shù)據(jù),對其中的異常時間片進行標記; 選取多個備選參數(shù)qpqh分別根據(jù)雙參數(shù)Tsallis熵對公式對每一個參數(shù)qpqh計算 各時間片內(nèi)的相應(yīng)的各流特征數(shù)據(jù)對應(yīng)的Tsl熵值和TJ:商值; 基于各訓(xùn)練時間片的熵值結(jié)果、標記的異常時間片得到參數(shù)qh的取值以及各時間 片內(nèi)相應(yīng)的各流特征數(shù)據(jù)分別對應(yīng)的異常檢測閾值Tl、T2。3. 根據(jù)權(quán)利要求1所述的基于雙參數(shù)Tsallis熵對的網(wǎng)絡(luò)流量異常檢測方法,其特征 在于,所述的參數(shù)取值為所述的參數(shù)qh取值為:l〈qh〈2。4. 根據(jù)權(quán)利要求1所述的基于雙參數(shù)Tsallis熵對的網(wǎng)絡(luò)流量異常檢測方法,其特征 在于,各時間片內(nèi)的流特征數(shù)據(jù)至少包括源IP、目的IP、源端口和/或目的端口。
【專利摘要】本發(fā)明公開一種基于雙參數(shù)Tsallis熵對的網(wǎng)絡(luò)流量異常檢測方法,所述方法:由于Tsallis熵:中,不同的參數(shù)q取值可以突出不同的流量特征分布。當q>1時,Tsallis熵對具有高概率分布的流特征異常具有很好的突出效果;當q<1時,Tsallis熵對具有低概率分布的流特征異常具有很好的突出效果。這一特點,因此,根據(jù)Tsallis熵的這個特點,分別取q>1時的最佳q值和q<1時的最佳q值,并根據(jù)計算組成Tsallis熵對,就可以同時很好的檢測具有高概率和低概率流量特征的網(wǎng)絡(luò)流量異常。本發(fā)明所述的方法用于網(wǎng)絡(luò)流量異常的檢測:簡單、有效,對檢測網(wǎng)絡(luò)流量異常具有很好的效果。
【IPC分類】H04L29/06, H04L12/26
【公開號】CN105306297
【申請?zhí)枴緾N201510695454
【發(fā)明人】王之梁, 田庚, 尹霞, 施新剛, 李子木
【申請人】清華大學(xué)
【公開日】2016年2月3日
【申請日】2015年10月22日