专利名称:一种网络流量异常的检测方法及检测装置的制作方法
技术领域:
本发明涉及一种网络流量异常的检测方法及检测装置,尤其是一种利用小波包变换进行多尺度的网络流量异常的检测方法及检测装置。
背景技术:
网络流量异常指的是网络的流量行为偏离其正常行为的情形,引起网络流量异常的原因是多种多样的,例如网络设备的不良运行、网络操作异常、突发访问(flash crowd)、网络入侵等。异常流量的特点是发作突然,先兆特征未知,可以在短时间内给网络或网络上的计算机带来极大的危害(例如由特定的攻击程序或蠕虫爆发所引起的突发流量行为),因此准确、快速地检测网络流量的异常行为,并做出合理的响应是保证网络有效运行的前提之一。传统的网络安全技术侧重于企业用户网络的系统入侵检测、防病毒软件或防火墙,这类安全措施通常并不能检测运营商网络中的非正常流量和行为,对于企业用户网络的许多异常行为和流量也难以准确地检测和识别。为了及时地检测网络中的异常流量,减少或消除用户所遭受的各种网络危害,网络与路由交换设备需要具备对异常流量的检测与识别能力,并采用一定的干预规则,比如禁止某些端口的流量或者降低来自某一端口地址的带宽,对这些非法流量进行抑制或者拒绝。
通常情况下,路由器尤其是主干网络路由器数据流量都是很大的,并且处于不断变化中,而异常流量相对于正常流量来说是很小的,甚至相对于正常流量的变化来说也是很小的。流量异常检测算法的最终目标是要从相对很大且处于不断变化的正常流量中,检测到相对很小的异常流量(可以说是“大海捞针”),而且要满足实时性的要求,因而系统设计和实现的难度很大,也使异常流量检测成为目前学术界和工业界共同关注的前沿课题之一。
作为一种新兴的技术,近年来受到了国外理论界的高度重视,特别是从2002年以来,各种杂志和会议发表了大量的文章,其中绝大多数的讨论是针对DDoS攻击的检测。归纳起来有基于规则的方法(参见文献[1]L.Lewisand G.Dreo,“Extending trouble ticket systems to fault diagnosis,”IEEENetwork;文献[2],L.Lewis,“A case based reasoning approach to themanagement of faults in communication networks,”in Proc.IEEE INFOCOM,vol.3,SanFrancisco,CA,Mar.1993,pp.1422-1429.vol.7,pp.44-51,Nov.1993.)、有限状态机的方法(参见文献[3],I.Katzela and M.Schwarz,“Schemes for fault identification in communication networks,”IEEE/ACMTrans.Networking,vol.3,pp.753-764,Dec.1995;文献[4],I.Rouvellouand G.Hart,“Automatic alarm correlation for faultidentification,”in Proc.IEEE INFOCOM,Boston,MA,Apr.1995,pp.553-561.)、模式匹配的方法(参见文献[5],F.Feather and R.Maxion,“Fault detectionin an ethernet network using anomaly signature matching,”in Proc.ACMSIGCOMM,vol.23,SanFrancisco,CA,Sept.1993,pp.279-288;文献[6],S.Papavassiliou,M.Pace,A.Zawadzki,and L.Ho,“Implementingenhanced network maintenance for transaction access servicesToolsand applications,”Proc.IEEE Int.Contr.Conf.,vol.1,pp.2 11-215,2000.)、统计分析的方法(参见文献[7],Marina Thottan and ChuanyiJi,“Anomaly Detection in IP Networks”IEEE TRANSACTIONS ON SIGNALPROCESSING,VOL.51,NO.8,AUGUST 2003;文献[8],Chen-Mou Cheng,H.T.Kung,Koan-Sin Tan,“Use of Spectral Analysis in Defense Against DoSAttacks”,Proceedings of IEEE GLOBECOM 2002.)、Hurst系数分析方法(参见文献[9],William H.Allen and Gerald A.Marin,“On theSelf-similarity of Synthetic Traffic for the Evaluation of IntrusionDetection Systems”,Proceedings of the 2003 Symposium onApplications and the Internet(SAINT’03);文献[10],向渝,“IP网络QoS和安全技术研究”,电子科技大学博士论文(2003年).)、子空间方法(参见文献[11],A.Lakhina,M.Crovella,and C.Diot.“DiagnosingNetwork-Wide Traffic Anomalies”.In ACM SIGCOMM,Portland,August2004;文献[12],A.Lakhina,K.Papagiannaki,M.Crovella,C.Diot,E.D.Kolaczyk,and N.Taft.“Structural Analysis of Network TrafficFlows”.In ACM SIGMETRICS,New York,June 2004;文献[13],A.Lakhina,M.Crovella,and C.Diot.Characterization of Network-Wide Anomaliesin Tfaffic Flows.Technical Report BUCS-2004-020,Boston University,2004.)和小波分析方法(参见文献[14],V.Alarcon-Aquino,J.A.Barria.“Anomaly Detection in Communication Networks Using Wavelets”.IEEEProc-Commun.Vol.148.No.6.December 2001;文献[15],P.Barford,J.Kline,D.Plonka,and A.Ron.“A signal analysis of networkt rafficanomalies”.In Proceedings of the ACM SIGCOMM Internet MeasurementWorkshop,Marseille,France,November 2002;文献[16],P.Barford andD.Plonka,“Characteristics of networkt raffic flow anomalies”.InInternet MeasurementWorkshop,2001;文献[17],Seong Soo Kim,A.L.Narasimha Reddy,”Detecting Traffic Anomalies at the Source throughaggregate analysis of packet header data”http://dropzone.tamu.edu/techpubs/2003/TAMU-ECE-2003-03.pdf;文献[18],Lan Li and Gyungho Lee,“DDoS Attack Detection and Wavelets”.Computer Communications andNetworks,2003.ICCCN 2003.Proceedings.The 12th InternationalConference on,20-22 Oct.2003 Pages421-427;Anu Ramanathan,“WADeSA Tool for Distributed Denial of Service Attack Detection”,TAMU-ECE-2002-02,Master of Science Thesis,August 2002.)等。结合几乎所有来自实际网络中的数据,在本质上是具有多尺度性质的这一特性(参见文献[19],Bakshi.B.R.Multi-scale analysis and modeling usingwavelets.Journal of Chemometrics,13,(3),1999.),且正常网络流量的时变信号与异常网络流量的时变信号相比,其频带范围一定是有区别的,也就是说背景流量一般是宽频带的,异常流量的频带相对较窄。而小波变换就像是数学显微镜,能放大信号的细节,提取出任意时间、频率的信号特征,因此很适合于探测正常信号中夹带的瞬态反常现象并展示其成分。
在基于小波分析的异常网络流量检测方法中,2001年V.Alarcon-Aquino等就提出了一种基于UDWT(undecimated discrete wavelett ransform,无抽取离散小波变换)和贝叶斯分析的算法(参见文献[14])。该算法能够检测和定位给定的时间序列在方差和频率上微弱的改变,但是该算法选取的尺度有限并且算法思想复杂。随后Anu Ramanathan提出了一种基于小波分析的WADeS(Wavelet based Attack Detection Signatures)机制(参见文献[20])检测DDoS攻击,将流量信号做小波变换,并对小波系数直接计算方差判断攻击点。该方法不具备实时检测能力。与此同时,P.Barford等提出了一种把网络流量进行多尺度二进小波分解并重构综合成高、中、低三个频段分别用偏离分数(deviation score)进行检测的方法(参见文献[15])。在前两者的基础上,Seong Soo Kim等也提出了一种通过分析在边界路由器中出口流量的目的IP地址来进行流量异常检测的技术(参见文献[17]),该技术可以事后或者实时的检测出口网络流量,但是它不能对所有频率的异常具有相同检测能力因为它是基于多分辨分析的。其他的还包括Lan Li提出的一种基于小波分析的能量分布方法(参见文献[18])来检测DDoS攻击,研究发现当流量被DDoS攻击影响时能量分布的方差产生明显的“尖刺”。
下面着重介绍一下文献[15]中记载的技术方案,该技术方案主要分为二部分(1)小波分析模块使用一定的小波通过多分辨分析(Multi-Resolution Analysis,MRA)对该时间级数信号进行分解,再从中选取不同的尺度重构为高、中、低三个频段,然后将这分解出的三个频段的信号送入到检测模块中。其中高频、中频、低频部分分别代表持续时间、较短、一般、较长的异常流量信号。
(2)检测模块检测模块所使用的检测算法为偏离分数算法(deviation score)。
首先,归一化待检测的低频、中频和高频频段的方差为一。然后分别计算低频、中频和高频频段落在一个事先指定大小的滑动窗口内的数据的方差,从而得到对应频段的偏离分数。这些滑动窗的大小取决于想捕获的异常的时限大小。如果用t0表示异常持续的时限,t1表示滑动窗的大小,则在理想情况下q=t0/t1≈1。若比值q太小,则所检测的异常会模糊甚至丢失;若比值太大,我们可能会被不感兴趣的所谓“异常”给淹没掉,而不能找到真正感兴趣的异常。因此,在选择t1时,一般应使得比值q趋近于1。并且高频段、低频段和中频段滑动窗口的大小一般是不同的。然后,将上一步计算的三个频段的偏离分数使用一个加权和来进行结合,从而产生一个结合的偏离分数信号。最后,通过检测偏离分数是否超过一个给定的门限,来判断是否发生了异常。
上述技术方案存在以下几方面的缺点(1)该算法基于二进小波变换的多分辨分析,没有对细节的高频部分进一步分解,因此无法很好地检测到高频异常。
(2)该算法需要进行小波变换,而变换本身需要一定的系统开销,必然会影响检测算法的实时性。
(3)该算法中给出的选择滑动窗口大小的方法是基于异常信号持续时间,但在实际检测中,事先无法得知异常的持续时间,因此该算法所提出的取滑动窗口大小的方法在实际检测中,可操作性不强。
(4)该算法没有给出一种自适应的门限选择方法,只是以一个固定的经验值作为判决门限,其门限值大小不能随流量变化而自适应地改变。
总的说来,现有技术中的基于小波变换的异常检测方法大都存在以下三方面的缺陷(1)异常检测的全面性不足,即对低频异常检测效果较好,对高频异常检测效果较差;所有检测算法都是建立在多分辨分析的基础之上,多分辩分析可以检测出较小的高频异常,这是因为网络流量低频成分所占的比重较大。但是对很多中频异常就容易出现漏检;(2)异常检测的可靠性不足,一个异常可能分布在不相邻的多个频段内,对单一尺度的检测结果不十分可靠;(3)异常检测的时窗难以确定,通常各个尺度采用的检测时窗大小相同,没有根据异常信号本身的特性选择相应的时窗。
发明内容
本发明的目的是针对上述现有技术的不足,提供一种网络流量异常的检测方法及检测装置,通过双门限机制自适应的进行多尺度的小波包分解,以提高异常检测的全面性、灵活性和可靠性。
本发明的又一发明目的是提供一种网络流量异常的检测方法及检测装置,通过确认异常检测机制,进一步降低误检率。
为实现上述目的,本发明提供了一种网络流量异常的检测方法,包括如下步骤步骤1、对网络流量信号进行采样,生成流量信号;步骤2、对流量信号进行小波包分解,生成多个频段的小波包系数;步骤3、利用统计算法对分解后生成的各频段的小波包系数进行初期异常检测,生成检测参数,将检测参数与预先设定的报警门限和分解门限进行比较,如果存在检测参数大于报警门限,则确认为信号异常;如果存在检测参数小于报警门限,大于分解门限,则对该检测参数对应的频段进行小波包下一层分解,然后重复执行步骤3。
在上述方案中,如果存在检测参数大于报警门限,则确认为信号异常,可以具体为步骤4、对大于报警门限的检测参数对应频段的小波包系数序列进行重构;步骤5、将重构后生成的信号进行确认异常检测,将生成的检测参数与预先设定的所述报警门限进行比较,如果大于所述报警门限,则确认为信号异常。
本发明还提供了一种网络流量异常的检测装置,包括流量信号生成模块、小波包变换模块、初期异常检测模块;流量信号生成模块,用于对网络流量信号进行采样,生成流量信号;小波包变换模块,用于对流量信号生成模块流量信号和初期异常的小波包系数序列进行小波包分解;初期异常检测模块,用于对小波包变换模块生成的小波包系数序列进行初期异常检测,生成检测参数,将检测参数与预先设定的报警门限和分解门限进行比较,如果存在检测参数大于所述报警门限,则输出信号为信号异常的检测结果,如果存在检测参数小于所述报警门限,大于所述分解门限,则向所述小波包变换模块输出该检测参数对应的小波包系数序列。
本发明的装置还可以进一步包括小波包重构模块和确认异常检测模块小波包重构模块,用于对初期异常检测模块检测为信号异常的小波包系数序列进行重构;确认异常检测模块,用于对小波包重构模块重构后的生成的流量信号进行确认异常检测,将生成的检测参数与预先设定的所述报警门限进行比较,如果大于所述报警门限,则输出信号异常的检测结果。
由上述技术方案可知,本发明具有如下有益效果(1)根据每一层小波包系数的检测情况,通过双门限机制,灵活确定是否继续分解或下一层小波包分解的路径,解决了分解尺度的自适应选取的问题。避免了小波包分解的盲目性,提高了检测的灵活性;(2)通过采用小波包自适应分解、重构、检测,对各个频段的异常具有同样的检测能力,可以有效地检测出长时的持续异常流量和短时的突变异常流量,也可以有效地检测出基于多分辨分析的网络流量异常检测无法检测到的中频攻击流量,从而实现了全面检测。并且进一步确认异常,提高了检测的可靠性;(3)通过提出基于小波中心频率的自适应时窗选择方法,解决了每层各个尺度下的小波包系数检测窗口的选取问题。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
图1为本发明的网络流量异常的检测方法具体实施例1的流程图;图2为本发明的滑动时窗的偏离分数算法示意图;图3为本发明的小波包分解树示例;图4为本发明的网络流量异常的检测装置的结构示意图一;图5为本发明的网络流量异常的检测装置的结构示意图二。
具体实施例方式
传统的异常检测方法都是属于单尺度的。对于突然的变化,这些方法都是有效的,但是现在的攻击手段为了逃避异常的检测,能非常灵活的组织进攻,它们可能会用比较缓慢渐进变化的信号流量来攻击目标,对于这些看似缓慢的变化,由于单尺度的测量效果相对不明显,就有可能漏检。如果可以在一定程度上放大信号的细节,那么缓慢的攻击信号也就会变得相对明显了。由此,用小波变换来实现异常检测的想法初步形成。
网络流量异常检测,先对网络流量进行采样,生成一维时变信号,称为流量信号。通过利用异常信号的数据统计特性与正常情况的偏差,也就是流量信号的异常变化(Abrupt Change)来检测异常。像流量信号这样的随机信号,我们通常用功率谱密度(Power Spectral Density,PSD)来表征它的统计平均谱特性,正常网络流量的功率谱和异常网络流量的功率谱是不同的,一般来说,正常流量的功率谱在每个频段范围内的能量比较均匀,异常流量的功率谱在某些频段范围内能量比较集中。前人利用小波分解进行检测正是利用正常和异常流量信号在频率域上的差异作为检测的依据。他们的检测算法都是建立在多分辨分析的基础之上,它可以对信号进行有效的时频分解,由于其尺度是按二进制变化的,在高频频段其频率分辨率较差。然而异常流量产生原因多种多样导致了异常有可能是低频的,也有可能是高频的。所以这些方法存在不能有效检测所有频段异常的不足。
本明提出了一个将小波包分析用于网络流量异常检测的新机制。小波包分析是多分辨分析的改进,它可以根据信号的特性,自动选取不同的时频分辨率进行分解。利用它能有效地进行时-频定位和微弱信号提取。
具体实施例1参见图1,其为本发明的网络流量异常的检测方法具体实施例1的流程图,包括如下步骤步骤1、检测信号生成用单位时间内通过路由器的包数作为流量信号,设采样时间间隔为T0秒。如果f(n)作为第n个抽样点的值,则有 具体的来说,在上述的采样过程中,f(n)是对第n个单位时间T0秒内通过路由器的包数进行统计的结果。与传统的意义上的,将时间、幅值上都连续的模拟信号,转换成时间上离散、但幅值上仍连续的离散模拟信号的“采样”过程不同。上述的采样过程仅是发明中的较优的采样方式,本发明也可以采用其他现有的采样方式生成流量信号。
步骤2、小波包分解对流量信号进行小波包分解,生成多个频段的小波包系数序列。研究发现,背景流量本身就是偏低频的信号,而异常信号一般为偏高频信号,即使很微弱的高频异常也可以从小波包分解后,可以归一角频率在(π,π/2)的高频段部分检测到,所以只需先多尺度分解到第1层,接着从归一角频率为(0,π/2)的频段开始小波包分解。通过2抽取离散小波包分析,输出为各个尺度的小波包系数序列。随着小波包分解层数的增加,输出的小波包系数的个数减半。如果检测序列的长度为N,那么在第j层上输出的小波包系数序列的长度就为N/2j。由于小波包分解是二叉树结构,随着层数的增加,每层树节点以2j增加,所以一般初始分解的层数都有限。以后将随检测情况自适应分解。
步骤3、初期异常检测进行小波包分解后,对分解后生成的各频段的小波包系数序列进行初期异常检测,生成检测参数ratio,将检测参数与预先设定的报警门限和分解门限进行比较,如果存在检测参数大于报警门限,则可以确认信号为异常,但为了进一步提高检测结果的可靠性,也可以在检测出检测参数大于报警门限后,执行步骤4,对大于报警门限的检测参数对应频段的小波包系数序列进行重构,然后进行确认异常的检测,这样可以排除一部分误检的结果;如果存在检测参数小于报警门限,大于分解门限,则对该检测参数对应的频段进行小波包分解,然后重复执行步骤3;如果生成的检测参数都小于分解门限,则确认为信号正常;在上述步骤3中,可以采用采用偏离分数检测的方式进行初期异常检测,偏离分数算法最初是被用于重构信号上的,在本发明中,不仅把它用于检测重构信号上,而且直接把它用于小波包系数上。信号在经过了小波包变换之后,得到的是一系列的小波包系数,异常检测算法实际上是在小波包系数上操作的,因为信号的突变点在小波包变换域上,常对应于小波包变换系数模的极值点或过零点,并且信号奇异性的大小同小波包变换系数的极值随尺度的变化规律相互对应。也就是说,可以认为信号经小波包变换后的小波包系数的统计特性和原信号的统计特性相符。于是对小波包系数的检测几乎等同于对原始信号的检测。
偏离分数检测可以采用基于滑动时窗的偏离分数算法实现,如图2所示,其为滑动时窗的偏离分数算法示意图,这里用到两个测量窗口,一个是基于历史方差的窗口HisWin,一个是检测窗口DetWin。两个窗口都随着时间的移动而移动,做到实时更新。随着时间的变化,在当前时刻t,我们计算出(t-DetWin,t)这个检测窗口中的方差V1,(t-HisWin,t)这个历史窗口的方差V2。令ratio=V1V2---(3-1)]]>参数ratio在一定程度上反映了检测窗口中样本较历史正常数据的偏离,如果当前时刻点上信号有异常,那么它必然会影响到检测窗的测量结果,反映在ratio这个参数上,就必然有一个幅度值的增长。在时刻t的初期异常检测阶段,把(t-HisWin,t)时间段内的网络流量信号做小波包分解,我们得到各个尺度下的小波包系数,对其采用偏离分数算法进行检测,并将生成的ratio与预先设定的报警门限Ta和分解门限Td进行比较,这样存在三种情况1、如果ratio>Ta,则认为出现了异常状态,并进行确认异常检测,在时刻t的确认异常阶段,把发现可能异常的各个尺度下的小波包系数重构,在重构信号上再进行一次检测。如果对重构的信号的检测结果仍超过报警门限Ta,则确定为异常,反之认为是误检,即信号为正常。
2、如果ratio<Ta,ratio>Td,则认为出现了疑似异常的状态,则要把出现疑似状态的频段进一步进行小波包分解,然后重复进行初期异常检测,直至检测结果为信号出现了异常状态或信号处于正常状态为止。
3、如果ratio<Td,则认为信号正常。
如果仅仅依靠偏离分数,那么对持续时间较长的低频异常就会失效。原因是低频异常在增加到一定幅度时就稳定下来,当检测窗口大大小于异常持续时间时,只能够在异常开始和结束时偏离分数才会有突变,中间异常平稳的时候偏离分数基本保持不变。这时,一个持续时间较长的异常就被当作了两个持续时间较短的异常。为了解决这个问题,本发明对偏离分数算法作了第二个改进,定义了一个均值偏移分数ratioE。在当前时刻t,计算出(t-DetWin,t)内检测窗口的均值E1,(t-HisWin,t)内历史窗口的均值E2,则令均值偏移分数为ratioE=E1E2---(3-2)]]>它反映了检测窗口中的样本平均较历史正常数据的变化。一般来说,在低频异常开始后它的值就会较稳定的大于1,于是结合它,可以准确检测出持续时间较长的低频异常。对于均值分数ratioE的来说,相应的报警门限为TEa,相应的分解门限为TEd,具体的检测方法,与上述的偏移分数的检测方法相同,在此不在赘述。
从步骤3中可以看出,小波包的分解层数及分解路径是不固定的,是根据检测到的异常状态或疑似异常状态而灵活确定是否进行进一步分解或下一层小波包分解的路径,完全是自适应的。
步骤4、对大于报警门限的检测参数对应频段的小波包系数序列进行重构,异常信号的能量大概分布在步骤3中检测到的出现异常的频段上,把这些频段上的小波包系数序列进行重构,这样重构出的信号可以更大程度在原始信号上突出异常信号。
由于信号异常的复杂性,在初期异常检测中发现的异常很有可能分布在不同的小波域中,把这些小波域的小波包系数进行重构,这样重构出的信号可以更大程度在原始信号上突出异常信号。对重构信号的进一步检测可以确认异常。另外通过有选择性的重构小波包系数序列,可以更准确的在时间域上定位这些异常。
步骤5、确认异常检测将生成的检测参数与预先设定的报警门限进行比较,如果大于所述报警门限,则确认为信号异常,否则,认为是误检,即确认信号正常。由于在初期异常检测模块中检测出的疑似异常有可能是误检。所以最后我们要对重构信号序列再次检测,减小误检率。而且2抽取小波包分析时域定位性模糊,对重构后信号的检测可以增加异常时域定位的精确性。
另外,在上述实施例中,检测时窗也可以通过自适应的方式确定,一般来讲,异常检测时窗难以确定,如果随便选择一个时窗就无法保证很好的检测效果。所以本发明提出了一个根据每个频带的中心频率大致确定时窗的方法。
初期异常检测时,待检测的信号是各层小波包系数。把流量信号小波包分解到第j层后,共有2j个等带宽的频带序列,每个频带内信号的长度降为流量信号的1/2j,采样间隔增为流量信号的2j倍。如果流量信号的最高频率是f,则2j个频带的频率范围为2-j(i-1)f~2-jif(3-3)式中i=1,2,…,2j表示分解信号的频带序列。我们可以大致估算出每个频带的中心频率(center frequency)为fcji=2-(j+1)(2i-1)f---(3-4)]]>如果第0层(对流量信号)的采样间隔Δ,则第j层的采样间隔为2jΔ。我们取2j倍周期对应的数据长度为检测窗口的大小DetWinji=2j·2(j+1)/[(2i-1)f·2jΔ]=2(j+1)/[(2i-1)f·Δ]---(3-5)]]>可以看出,通过中心频率计算出的检测窗口在每一层的各个频段下都有不同的大小低频时检测窗口较大,高频时检测窗口较小。
在确认异常时,待检测信号为重构信号。为了确保所有频段范围内的异常都能够有效检测,所以检测窗口设为被重构的小波包系数序列检测窗口的最大值。
另外,本发明的又一个改进之处在于,本发明中的检测方法,将在线检测和滑动时窗技术结合,由图2可以清楚看出,前后滑动窗截取的数据有一部分将会重叠,尤其对历史窗口,冗余数据量非常大。在相邻的两个检测时刻,小波包变换将会重复的对冗余数据进行两次计算,这将会导致耗费大量的运算时间,导致整个检测器的实时性能下降。为了满足实时检测的要求,在实际的应用中,可以采用基于滑动时窗的小波包变换快速算法。
另外,门限Ta、Td、TEa、TEd可以通过对正常网络的监测和历史网络流量的数据分析来确定。为了使小波包分解到达自适应,其中的初期异常检测中使用双门限判决机制设有两个门限,分别是报警门限(Ta和TEa)和分解门限(Td和TEd),其中(Ta>Td,TEa>TEd),门限Ta、Td可以根据统计检测算法中的偏离分数值ratio得到,通过对历史正常流量的检测,得到各个尺度流量正常的ratio的门限值,取Ta=ratio‾+3σ,]]>Td=ratio‾+6σ.]]>门限TEa、TEd可以根据均值分数ratioE得到,通过对历史流量的研究,得到各个尺度流量正常的ratioE的门限值,取TEa=ratioE‾+3σ,]]>TEd=ratioE‾+6σ,]]>上述公式中的σ是对历史正常流量检测的过程中,检测窗口内的数据方差,3σ和6σ均为经验值,也可以根据实际情况取其他数值。
下面结合小波包分解树来进一步说明本发明,参见图3,其为本发明的小波包分解树示例,首先对流量信号进行1层多尺度分解,然后对[1,0]节点的系数进行小波包分解到第3层,用基于滑动时窗的统计检测算法检测各个尺度下系数的异常,如果在前n层某个尺度的某个频段达到报警门限,则立即重构检测,若仍是异常则报警;如果在第n层某个尺度达到分解门限则进一步分解到n+1层进行检测,若第n+1层的小波包系数小于分解门限则可判断为非异常;若大于分解门限而小于报警门限则继续深入分解;大于报警门限则直接进行重构,再对重构信号进行判断。图3中深色为一种可能的分解路径。
本发明还提供了一种网络流量异常的检测装置,如图4所示,其为本发明的网络流量异常的检测装置的结构示意图一,包括流量信号生成模块11、小波包变换模块12、初期异常检测模块13;流量信号生成模块11,用于对网络流量信号进行采样,生成流量信号;小波包变换模块12,用于对流量信号和初期异常检测模块输出小波包系数序列进行小波包分解;初期异常检测模块13,用于对小波包变换模块生成的小波包系数序列进行初期异常检测,生成检测参数,将检测参数与预先设定的报警门限和分解门限进行比较,如果存在检测参数大于所述报警门限,则输出信号为信号异常的检测结果,如果存在检测参数小于所述报警门限,大于所述分解门限,则向所述小波包变换模块12输出该检测参数对应的小波包系数序列。
另外,如图5所示,其为本发明的网络流量异常的检测装置的结构示意图二,为了进一步提高检测的可靠性,在该装置中加入了小波包重构模块14和确认异常检测模块15;小波包重构模块14,用于对初期异常检测模块检测为异常的小波包系数序列进行重构。
确认异常检测模块15,用于对小波包重构模块重构后的生成的流量信号进行确认异常检测,将生成的检测参数与预先设定的所述报警门限进行比较,如果大于所述报警门限,则输出信号异常的检测结果。
最后应说明的是以上实施例仅用以说明本发明的技术方案而非对其进行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。
权利要求
1.一种网络流量异常的检测方法,其特征在于包括如下步骤步骤1、对网络流量进行采样,生成流量信号;步骤2、对流量信号进行小波包分解,生成多个频段的小波包系数序列;步骤3、对分解后生成的各频段的小波包系数序列进行初期异常检测,生成检测参数,将检测参数与预先设定的报警门限和分解门限进行比较,如果存在检测参数大于所述报警门限,则确认为信号异常;如果存在检测参数小于所述报警门限,大于所述分解门限,则对该检测参数对应的频段进行下一层小波包分解,然后重复执行步骤3。
2.根据权利要求1所述的检测方法,其特征在于如果存在检测参数大于报警门限,则确认为信号异常,具体为步骤4、对大于所述报警门限的检测参数对应频段的小波包系数序列进行重构;步骤5、将重构后生成的信号进行确认异常检测,将生成的检测参数与预先设定的所述报警门限进行比较,如果大于所述报警门限,则确认为信号异常。
3.根据权利要求1或2所述的检测方法,其特征在于在所述步骤1中采样过程具体为对单位时间内通过路由器的包数进行统计,生成流量信号。
4.根据权利要求1或2所述的检测方法,其特征在于所述初期异常检测和/或确认异常检测采用偏离分数检测的方式。
5.根据权利要求4所述的检测方法,其特征在于所述偏离分数检测采用历史方差窗口和检测窗口滑动检测的方式。
6.根据权利要求5所述的检测方法,其特征在于在所述滑动检测过程中,所述检测窗口滑动检测生成检测窗口方差V1,所述历史方差窗口滑动检测生成历史窗口方差V2,所述检测参数为V1与V2的比值。
7.根据权利要求6所述的方法,其特征在于在所述滑动检测过程中,所述检测窗口滑动检测生成检测窗口的均值E1,所述历史方差窗口滑动检测生成历史窗口的均值E2,所述检测参数为E1与E2的比值。
8.根据权利要求5、6或7所述的检测方法,其特征在于所述检测窗口的大小是根据各频段的中心频率确定的。
9.根据权利要求1或2所述的检测方法,其特征在于在所述步骤1之前还包括通过对正常网络的监测和历史网络流量的数据分析,确定所述报警门限和分解门限。
10.一种网络流量异常的检测装置,其特征在于包括流量信号生成模块、小波包变换模块、初期异常检测模块;流量信号生成模块,用于对网络流量信号进行采样,生成流量信号;小波包变换模块,用于对流量信号生成模块流量信号和初期异常输出的的小波包系数序列进行小波包分解;初期异常检测模块,用于对小波包变换模块生成的小波包系数序列进行初期异常检测生成检测参数,将检测参数与预先设定的报警门限和分解门限进行比较,如果存在检测参数大于所述报警门限,则输出信号为信号异常的检测结果,如果存在检测参数小于所述报警门限,大于所述分解门限,则向所述小波包变换模块输出该检测参数对应的小波包系数序列。
11.根据权利要求10所述的检测装置,其特征在于还包括小波包重构模块,用于对初期异常检测模块检测为信号异常的小波包系数序列进行重构;确认异常检测模块,用于对小波包重构模块重构后的生成的流量信号进行确认异常检测,将生成的检测参数与预先设定的所述报警门限进行比较,如果大于所述报警门限,则输出信号异常的检测结果。
全文摘要
本发明涉及一种网络流量异常的检测方法及检测装置,本发明提出的检测方法,考虑到流量异常信号具有多尺度特性,根据异常信号本身的频率特征,进行自适应分解,采用双门限判决机制,只对小于报警门限且大于分解门限的频带,继续分解,提高了检测的灵活性;另外可以对存在异常的分解频带进行自适应重构后的确认异常检测,提高了检测的可靠性。本发明还提出了基于异常流量频率特征的自适应窗口调整机制,克服了传统检测方法基于经验统计确定时窗大小的盲目性。本发明提出的检测装置包括小波包变换模块、初期异常检测模块、还可以进一步包括小波包重构模块和确认异常检测模块。本发明对各个频段异常具有同样的检测能力,实现了全面、准确的检测。
文档编号H04L12/24GK1996888SQ20061016817
公开日2007年7月11日 申请日期2006年12月15日 优先权日2006年12月15日
发明者胡光岷, 高军, 姚兴苗, 杨松, 李宗林 申请人:华为技术有限公司, 电子科技大学