专利名称:一种检测网络流量异常的方法及装置的制作方法
技术领域:
本发明涉及网络技术领域,尤其是涉及一种检测网络流量异常的方法及 装置。
背景技术:
随着网络技术的迅速发展,网络流量成为网络通信的重要参数指标。 而网络流量异常在当今计算机网络中也是非常常见的,网络设备的不良运
行、网络操作异常、突发访问(flashcrowd)、网络入侵等都能引起网络流 量异常。有些网络流量异常能够引起网络的拥塞和路由器资源的消耗,有 些网络流量异常能对用户终端造成很大的影响。因此,在网络管理和网络 安全领域中,越来越需要准确、快速地;f企测网络流量异常。
对网络流量异常的检测是指先在用户、系统或者网络正常操作的一段时 间收集事件和行为的信息,再根据这些信息建立正常或者有效行为的模式。 在检测的时候,通过某种度量,对当前行为和正常行为进行比较,计算事件 的行为偏离正常行为的程度,如果偏离程度超过一定的范围,则认为网络流 量发生异常,并进行报警。
目前, 一般检测网络流量异常的方法都是在时域或频域中进行的。但是, 无论是在时域还是在频域中,对网络流量异常的检测只能得到信号的时域或 频域特征,而无法同时对信号的时域和频域特征进行分析。并且,网络流量 信号又是非平稳的,其统计量是时变的,因此,检测的有效性较低,误检率 和漏检率较大。
为了提高了检测的有效性,降低误检率和漏检率, 一种网络流量异常的 冲企测方法采用时频分析对时域和频域中的网络流量异常进行才全测,采用该方 法能够同时得到信号的时域和频域特征。该方法基于平滑WVD (WignerVille Distribution,魏格纳分布),首先对MIB (Management Information Base,管理
信息库)中的变量V进行时间间隔为At的采样,获得时间序列;再对该序列 进行差分处理,得到网络流量变化序列;然后利用希尔伯特变换,将该网络 流量变化序列转换为解析序列;再利用核函数法,将解析信号对应的WVD进 行时频平滑;最后,该方法用获取的不同网络服务的时频特性分布作为训练 样本,采用K最近邻分类器对网络流量异常进行一睹误分类。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题由于 希尔伯特变换本身对噪声比较敏感,因此不适宜直接应用于网络流量变化序 列。而且,由于WVD是一种二次型变换,当分析多频率成分的信号时,会出 现多个交叉项干扰,虽然采用核函数对WVD进行了时频平滑,但是该平滑过 程在消除交叉项干扰的同时也降低了分辨能力,使得对流量信号检测的准确 性降低。另外,该方法需要进行WVD计算,计算工作量很大,因而系统开销 也较大,会降低检测的实时性。
发明内容
本发明实施例提供一种检测网络流量异常的方法及装置,可以提高对流 量信号检测的准确性。
为达到上述目的,本发明的一个实施例的技术方案提供一种检测网络流 量异常的方法,包括以下步骤根据网络中的网络流量生成检测信号;对所 述检测信号进行广义希尔伯特变换,并获取所述网络流量的瞬时振幅和瞬时 频率;根据所述瞬时振幅和瞬时频率,获取方差偏离分数值;当所述偏离分 数值大于预警门限值时,则确定所述网络流量异常。
本发明的 一个实施例的技术方案提供一种检测网络流量异常的装置,包 括检测信号生成单元,用于根据网络中的网络流量生成检测信号;瞬时参 数获取单元,用于对所述检测信号进行广义希尔伯特变换,并获取所述网络 流量的瞬时振幅和瞬时频率;方差偏离分数值获取单元,用于根据所述瞬时 振幅和瞬时频率,获取方差偏离分数值;异常判别单元,用于当所述偏离分 数值大于预警门限值时,确定所述网络流量异常。
本发明实施例的一个技术方案通过广义希尔伯特变换计算检测信号的
瞬时参数,包括瞬时频率和瞬时振幅,以此进行网络流量的异常检测。由 于广义希尔波特变换计算瞬时参数的方法具有抗干扰能力强,更能突出主 要的异常变化的优点,所以提高了对流量信号检测的准确性,降低了误检
率和漏;险率。
图1是本发明实施例的一种^r测网络流量异常的方法流程图2是本发明实施例的滑动窗口的样本方差检测示意图3是本发明实施例的一种检测网络流量异常的装置的结构图。
具体实施例方式
下面结合附图和实施例,对本发明的具体实施方式
作进一步详细描述 本发明实施例的一种检测网络流量异常的方法如图1所示,首先,根据 网络中的网络流量生成检测信号;然后,对所述检测信号进行广义希尔伯特 变换,并获取所述网络流量的瞬时振幅和瞬时频率;再根据所述瞬时振幅和 瞬时频率,获取方差偏离分数值;最后,判断所述方差偏离分数值是否大于 预警门限值,如果是,则判定所述网络流量异常。参照图1,本实施例包括以 下步骤
步骤s101,根据网络中的网络流量生成检测信号。本实施例中对路由器
收集的原始网络流量包信息进行统计后,采用单位时间内通过路由器的包数
作为检测信号,该检测信号由公式 |0, ( w=0)
l(ro-("-i) , ro-"]时间段内收集到的包数,(n〉o)
得到;其中,fln]为第n个釆样点的检测信号,To为单位时间。
步骤s102,对检测信号进行广义希尔伯特变换。根据所有正的频率成分 的和,及时间信号x0)在以t为中心的时窗内的傅立叶变换获取广义希尔伯特 变换的实部,例如对任一连续的时间信号x"),可4艮据爿^式
》K0 = {2*Zw{Re[W, w)]}" +Re[Z(/,0)]f 获:f又广义希尔伯特变换的实部;
根据所有正的频率成分的和,及时间信号xO)在以t为中心的时窗内的傅立叶 变换获取广义希尔伯特变换的虚部;例如可以根,公式
M0 = {2*SM;{Im[X(^)]}"^ 获取广义希尔伯特变换的虚部;
根据获取的广义希尔伯特变换的实部和虚部获取广义希尔伯特变换,例如 可以根据公式
柳=一)+ /*鄉)
获取广义希尔伯特变换;
其中,hr(t)为Ln阶广义希尔伯特变换的实部,hi(t)为"阶广义希尔伯特 变换的虚部,h(t)为Ln阶广义希尔伯特变换,Sw为对所有的正的频率成分
求和,X(f,w)为时间信号x(0在以t为中心的时窗内的傅立叶变换,如果釆用 高斯函数作为窗函数,则X(/,w)即为Gabor变换。
步骤s103,获取网络流量的瞬时振幅和瞬时频率。根据广义希尔伯特变 换的实部和虚部获取所述瞬时振幅,例如可以根据如下公式
"洲=#2(0+&2(0
获取所述瞬时振幅;其中,ag(t)为瞬时振幅,hr(t)为广义希尔伯特变换的 实部,hi(t)为广义希尔伯特变换的虚部。
根据广义希尔伯特变换的实部和虚部获取所述瞬时频率,例如可以根 据公式
d (arctan )
获耳又所述瞬时频率;其中,co(t)为瞬时频率,hr(t)为广义希尔伯特变换的 实部,hi(t)为广义希尔伯特变换的虚部。 步骤sl04,获取方差偏离分数值。
本实施例中,通过对网络的监测和对历史网络流量数据的分析,得到流 量的参数,该参数为检测信号的瞬时振幅和瞬时频率各自的方差。然后根据 该参数对当前时刻的网络流量信号进行检测,判断该信号是否出现异常,本 实施例采用基于滑动时窗的样本方差检测算法。本实施例的滑动窗口的样本
方差4企测示意图如图2所示,包括两个测量窗口历史窗口和才全测窗口。两 个窗口都随着时间的移动而移动,做到实时更新。其中,历史窗口越大,样 本方差就越接近与总体信号的方差,结果就会越准确,但是太大的历史窗口 会增大系统的存储及计算开销,所以取值时应该权衡这两方面的因素;检测 窗口的大小和待检测异常的持续时间相当时效果最理想,但是异常流量的持 续时间通常是有一个变化范围的,为了能够检测出流量中的所有异常,本实 施例中选取最长异常流量的时长作为检测窗口 。方差偏离分数值的获取过程 如下
首先,根据检测窗口 (t-DetWin, t)中的瞬时振幅和瞬时频率,获取当 前网络流量的瞬时4展幅和瞬时频率各自的第一方差VI;其中t为当前时刻, DetWin为检测窗口长度。
然后,根据历史窗口 (t-HisWin, t)中的瞬时振幅和瞬时频率,获取正 常网络流量的瞬时振幅和瞬时频率各自的第二方差V2;其中t为当前时刻, HisWin为历史窗口长度。
最后,根据公式
ratio = (Vl/V2) 2 获取两段窗口内的方差偏离分数值;其中,ratio为方差偏离分数值。 步骤sl05,判断方差偏离分数值是否大于预警门限值,如果是,则确定 网络流量异常,否则确定网络流量正常。其中,方差偏离分数值反映了检测 窗口中样本较历史窗口数据的偏离,如果当前时刻点上的信号有异常,则必
然会影响到检测窗的测量结果,该偏离值会有一个幅度值的增长。综合考虑 瞬时振幅及瞬时频率的偏离值,只要其中之一超过预警门限,则认为出现了 异常。而预警门限则根据网络的实际状况来设置,本实施例中根据公式
ratioth = x+3cj
来设置预警门限值;其中ratioth为预警门限值,;为正常流量情况下瞬时 频率或者瞬时振幅r。,/。值的均值,o"为正常流量情况下瞬时频率或者瞬时才展幅 值的方差。
本实施例通过广义希尔伯特变换计算检测信号的瞬时参数,包括瞬时
频率和瞬时振幅,以此进^f亍网络流量的异常4企测,提高了对流量信号纟企测 的准确性,降低了误检率和漏检率。并且,本实施例采用基于滑动时窗的 样本方差检测算法,运算简单,对网络流量处理时间短,提高了对流量信 号;f全测的实时性。
本发明实施例的一种检测网络流量异常的装置的结构如图3所示,包括
检测信号生成单元31、瞬时参数获取单元32、方差偏离分数值获取单元33、
异常判别单元34和预警门限值设置单元35;其中,瞬时参数获取单元32分
别与检测信号生成单元31和方差偏离分数值获取单元33连接,异常判别单
元34分别与方差偏离分数值获取单元33和预警门限值设置单元35连接。
检测信号生成单元31用于根据网络中的网络流量生成检测信号,该检测 信号为单位时间内通过路由器的网络流量的包数。
瞬时参数获取单元32用于对检测信号生成单元31中生成的检测信号进 行广义希尔伯特变换,并获取网络流量的瞬时振幅和瞬时频率。
方差偏离分数值获取单元33用于根据瞬时参数获取单元32获取的瞬时 振幅和瞬时频率,计算两段窗口内的方差偏离分数值。方差偏离分数值获取 单元33进一步包括当前检测窗口网络流量方差获取子单元331、历史窗口方 差获取子单元332和方差偏离分数值计算子单元333;其中,方差偏离分数 值计算子单元333分别与当前检测窗口网络流量方差获取子单元331和历史 窗口方差获取子单元332连接。当前检测窗口网络流量方差获取子单元331 用于根据图2中4全测窗口 (t-DetWin, t)中的瞬时振幅和瞬时频率(该瞬时 振幅和瞬时频率由瞬时参数获取单元32得到),获取瞬时振幅和瞬时频率各 自的第一方差V1;其中t为当前时刻,DetWin为检测窗口长度。历史窗口方 差获^f又子单元332用于根据图2中历史窗口 (t-HisWin, t)中的瞬时振幅和 瞬时频率(该瞬时振幅和瞬时频率由瞬时参数获取单元32得到),获取瞬时 振幅和瞬时频率各自的第二方差V2;其中t为当前时刻,HisWin为历史窗口 长度。方差偏离分数值计算子单元333用于根据当前检测窗口网络流量方差 获取子单元获取的第一方差VI和所述历史窗口方差获取子单元获取的第二 方差V2,计算对网络流量的方差偏离分数值,并将所述方差偏离分数值发
送到异常判别单元34。
预警门限值设置单元35用于根据网络的实际状况,设置预警门限值,并 将该预警门限值发送到异常判别单元34。
异常判别单元34用于根据方差偏离分数值获取单元33获取到的方差偏 离分数值和预警门限值设置单元35设置的预警门限值,确定网络流量是否异 常。如果该方差偏离分数值大于预警门限值,则确定网络流量发生异常,否 则确定网络流量正常。
本实施例通过广义希尔伯特变换计算检测信号的瞬时参数,包括瞬时 频率和瞬时振幅,以此进行网络流量的异常;f企测,提高了对流量信号;j佥测 的准确性,降低了误检率和漏检率。并且,本实施例采用基于滑动时窗的 样本方差检测算法,运算简单,对网络流量处理时间短,提高了对流量信 号检测的实时性。
以上所述仅是本发明的实施方式,应当指出,对于本技术领域的普通技 术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰, 这些改进和润饰也应视为本发明的保护范围。
权利要求
1、一种检测网络流量异常的方法,其特征在于,包括以下步骤根据网络中的网络流量生成检测信号;对所述检测信号进行广义希尔伯特变换,并获取所述网络流量的瞬时振幅和瞬时频率;根据所述瞬时振幅和瞬时频率,获取方差偏离分数值;当所述偏离分数值大于预警门限值时,则确定所述网络流量异常。
2、 如权利要求1所述检测网络流量异常的方法,其特征在于,所述根据 网络中的网络流量生成检测信号的步骤具体为所述检测信号由公式i(『() ( , ro-"]时间段内收集到的包数,(n > 0 ) 得到;其中,f[n]为检测信号,To为单位时间。
3、 如权利要求1所述检测网络流量异常的方法,其特征在于,所述对检 测信号进行广义希尔伯特变换,具体包括根据所有正的频率成分的和,及时间信号x(O在以t为中心的时窗内的傅 立叶变换获:f又广义希尔伯特变换的实部;根据所有正的频率成分的和,及时间信号JC(/)在以t为中心的时窗内的傅 立叶变换获ft广义希尔伯特变换的虚部;根据获取的广义希尔伯特变换的实部和虚部获取广义希尔伯特变换。
4、 如权利要求3所述检测网络流量异常的方法,其特征在于,所述获取 网络流量的瞬时振幅,具体为才艮据广义希尔伯特变换的实部和虚部获取所 述瞬时纟展幅。
5、 如权利要求3所述检测网络流量异常的方法,其特征在于,所述获取 网络流量的瞬时频率,具体为根据广义希尔伯特变换的实部和虚部获取所 述瞬时频率。
6、 如权利要求1所述检测网络流量异常的方法,其特征在于,获取方差 偏离分数值,具体包括获取当前检测窗口内网络流量的瞬时振幅和瞬时频率各自的第一方差; 获取历史窗口内网络流量的瞬时振幅和瞬时频率各自的第二方差; 根据所述第 一方差和所述第二方差获取所述方差偏离分数值。
7、 如权利要求6所述检测网络流量异常的方法,其特征在于,所述获取 当前网络流量的瞬时振幅和瞬时频率各自的第一方差具体为根据;险测窗口中的瞬时振幅和瞬时频率,获取所述瞬时振幅和瞬时频率 各自的第一方差。
8、 如权利要求6所述检测网络流量异常的方法,其特征在于,所述获取 正常网络流量的瞬时振幅和瞬时频率各自的第二方差具体为才艮据历史窗口中的瞬时:派幅和瞬时频率,获耳又所述瞬时4展幅和瞬时频率 各自的第二方差。
9、 如权利要求1所述检测网络流量异常的方法,其特征在于,在所述判 断偏离分数值是否大于预警门限值之前,还包括根据历史网络中,瞬时频 率或者瞬时振幅的方差偏离分数值的均值和瞬时频率或者瞬时振幅的方差 偏离分数值的方差设置预警门限值。
10、 一种检测网络流量异常的装置,其特征在于,包括 检测信号生成单元,用于根据网络中的网络流量生成检测信号; 瞬时参数获取单元,用于对所述检测信号进行广义希尔伯特变换,并获耳又所述网络流量的瞬时振幅和瞬时频率;方差偏离分数值获取单元,用于4艮据所述瞬时振幅和所述瞬时频率,获 取方差偏离分数值;异常判别单元,用于当所述偏离分数值大于预警门限值时,确定所述网 络流量异常。
11、 如权利要求IO所述检测网络流量异常的装置,其特征在于,所述方 差偏离分数值获取单元,包括当前检测窗口网络流量方差获取子单元,用于根据检测窗口中的瞬时振 幅和瞬时频率,获取所述瞬时振幅和瞬时频率各自的第一方差;历史窗口方差获取子单元,用于根据历史窗口中的瞬时振幅和瞬时频率, 获取所述瞬时振幅和瞬时频率各自的第二方差;方差偏离分数值计算子单元,用于根据所述当前^r测窗口网络流量方差 获取子单元获取的所述第一方差和所述历史窗口方差获取子单元获取的所述第二方差,计算两段窗口内的方差偏离分数值。
12、 如权利要求IO所述检测网络流量异常的装置,其特征在于,还包括 预警门限值设置单元,用于根据网络的实际状况,设置预警门限值,并将所 述预警门限值发送到所述异常判别单元。
13、 如权利要求IO所述检测网络流量异常的装置,其特征在于,所述检 测信号为单位时间内通过路由器的网络流量的包数。
全文摘要
本发明公开了一种检测网络流量异常的方法,包括以下步骤根据网络中的网络流量生成检测信号;对所述检测信号进行广义希尔伯特变换,并获取所述网络流量的瞬时振幅和瞬时频率;根据所述瞬时振幅和瞬时频率,获取方差偏离分数值;当所述方差偏离分数值大于预警门限值时,则确定所述网络流量异常。本发明还公开了一种检测网络流量异常的装置。本发明通过广义希尔伯特变换计算检测流量信号的瞬时参数,包括瞬时频率和瞬时振幅,以此进行网络流量的异常检测,广义希尔伯特变换具有抗干扰能力强,且能突出主要的异常变化等优点;同时对流量异常信号进行时域和频域分析,提高了对流量信号检测的准确性,降低了误检率和漏检率。
文档编号H04L12/56GK101106487SQ20071014593
公开日2008年1月16日 申请日期2007年8月31日 优先权日2007年8月31日
发明者姚兴苗, 李宗林, 松 杨, 胡光岷, 洁 高 申请人:华为技术有限公司