基于流量特征分布的全网络异常流识别方法与流程

文档序号:12278748阅读:来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术>基于流量特征分布的全网络异常流识别方法与流程

技术特征:

1.一种基于流量特征分布的全网络异常流识别方法,其特征在于,所述方法包括:

步骤S1,对全网络中的网络数据流进行粗粒度的异常识别,从所述全网络中提取出存在异常流量的节点对作为异常节点对,并确定所述异常流量的特征类别;

步骤S2,基于所述步骤S1提取的异常节点对以及所确定的异常流量特征类别进行细粒度的异常识别,确定所述异常节点对中的异常流量的特征值。

2.根据权利要求1所述的基于流量特征分布的全网络异常流识别方法,其特征在于,所述方法还包括:

步骤S3,基于所述步骤S2确定的异常流量特征值从所述步骤S1确定的异常节点对采集异常流集,并根据流量特征信息对所述异常流集中的异常流进行分类。

3.根据权利要求1或2所述的基于流量特征分布的全网络异常流识别方法,其特征在于,所述步骤S1包括以下步骤:

步骤S101,从所述全网络中测量任意两个节点之间的测度为流量特征熵的流量值,由所述流量特征熵建立多维流量特征熵矩阵;

步骤S102,根据所述多维流量特征熵矩阵检测并提取出异常节点对,并识别所述异常节点对中异常流量的特征类别。

4.根据权利要求3所述的基于流量特征分布的全网络异常流识别方法,其特征在于,

所述步骤S101中测量的流量特征熵包括网络数据流的源IP地址、目的IP地址、源端口号和目的端口号这四种流量特征的流量特征熵;

所述多维流量特征熵矩阵中包括源IP地址的熵的矩阵、目的IP地址的熵的矩阵、源端口号的熵的矩阵和目的端口号的熵的矩阵,并对所述多维流量特征熵矩阵降维及归一化处理,具体包括:将所述多维流量特征熵矩阵中的源IP地址的熵的矩阵、目的IP地址的熵的矩阵、源端口号的熵的矩阵和目的端口号的熵的矩阵这4个特征子矩阵依次排列合并成一个多元矩阵,所述多元矩阵的一个行向量作为一个样本;然后对所述多元矩阵中的所述4个特征子矩阵分别进行归一化处理。

5.根据权利要求4所述的基于流量特征分布的全网络异常流识别方法,其特征在于,采用多属性联合异常识别的方法在所述归一化处理后的多元矩阵中检测并确定异常流量的特征类别以及所述异常流量所对应的异常节点对,所述多属性联合异常识别的方法具体包括如下步骤:

步骤D1,建立用于计算所述多元矩阵中的一个样本的马氏距离的常态模型;

步骤D2,利用所述常态模型从所述多元矩阵中识别出异常样本;

步骤D3,采用重构分析的方法从所述异常样本中识别出异常流量特征类别和对应的异常节点对。

6.根据权利要求5所述的基于流量特征分布的全网络异常流识别方法,其特征在于,所述步骤D2中识别出所述异常样本的方法具体包括以下步骤:

步骤D201,计算所述多元矩阵中所有样本的马氏距离的均值;

步骤D202,依次将所述多元矩阵中的样本的马氏距离与所述均值进行比对,从所述多元矩阵中识别出所有的异常样本。

7.根据权利要求6所述的基于流量特征分布的全网络异常流识别方法,其特征在于,所述步骤D3中重构分析的方法包括以下步骤:

步骤D301,将异常样本中的任一元素进行修改;

步骤D302,计算重构误差,即计算所述异常样本中的元素被修改前后所述异常样本的马氏距离与所述均值的差值,通过所述差值判断所述被替换的元素是否为异常流量特征熵,并抽取出所述异常样本中的异常流量特征熵;

步骤D303,对所述异常样本中的元素依次修改,按照所述步骤D302的方法迭代的进行运算,不断抽取出所述异常样本中的异常流量特征熵,直至所述异常样本的马氏距离小于异常判别的阈值;

步骤D304,根据抽取出的所述异常流量特征熵在所述多元矩阵中对应的位置识别出所述异常流量特征熵的流量特征类别,以及所述异常流量特征熵对应的节点对。

8.根据权利要求7所述的基于流量特征分布的全网络异常流识别方法,其特征在于,所述步骤S2包括以下步骤:

步骤S201,根据所述异常流量特征类别从对应的异常节点对之间采集一个固定时间段内的网络数据流的流量特征值,所述固定时间段作为一个周期,所述固定时间段内采集的网络数据流的流量特征值作为一个样本;

步骤S202,根据所述步骤S201的方法采集多个样本建立流量特征分布矩阵,每个样本作为所述流量特征分布矩阵的一个行向量,并从所述流量特征分布矩阵中识别出异常流量特征值。

9.根据权利要求8所述的基于流量特征分布的全网络异常流识别方法,其特征在于,所述步骤S202中从确定异常流量特征值的方法具体包括以下步骤:

步骤F1,将所述流量特征分布矩阵中的每个样本中的一个元素替换为相邻的前一个样本的对应位置的元素,计算所述元素被替换前后对应的样本的马氏距离的差值;

步骤F2,判读所述被替换的元素是否异常;

步骤F3,迭代的计算抽取出所述流量特征分布矩阵中的一个样本中的异常流量特征值;

步骤F4,通过所述步骤F1、步骤F2和步骤F3对所述流量特征分布矩阵中的所有样本中的元素进行判断,抽取出所述流量特征分布矩阵中所有的所述异常流量特征值。

10.根据权利要求2所述的基于流量特征分布的全网络异常流识别方法,其特征在于,

所述步骤S3中具体通过采用流量特征图法对所述异常流集中的异常流进行分类,所述流量特征图法包括:

步骤一,将用于代表异常流的流量特征信息的标示符用线段连接起来建立数学模型;

步骤二,通过所述数学模型对所述异常流集中的异常流的流量特征信息进行统计和显示,所述线段采用两种不同的颜色代表具有所述线段两端流量特征信息的异常流的增加和减少,且所述线段的粗细表示网络异常发生时具有所述线段两端流量特征信息的异常流的变化量;

步骤三,通过对所述数学模型进行分析,推断造成网络异常的原因。

完整全部详细技术资料下载
当前第2页1 2 3 
    相关技术
    网友询问留言 已有0条留言
    • 还没有人留言评论。精彩留言会获得点赞!
    1
    精彩留言,会给你点赞!
    特征分析与异常检测相关技术
    如何提升流量相关技术
    异常行为识别的特征相关技术
    异常特征相关技术

    使用协议| 关于我们| 联系X技术

    © 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2