专利名称:一种动态环境下网络流量异常的多尺度侦测方法
技术领域:
本发明涉及网络异常检测及入侵检测技术领域,特别涉及一种动态环境下网络流量异常的多尺度侦测方法。
背景技术:
随着全球都进入互联网时代,网络大大缩短了信息发布和接受的时间,避免了许多不必要的资源浪费。但随着网络技术的进一步发展,一些附带的网络安全问题、网络性能问题也随之出现在人们的视线中。由于错误配置,恶意攻击引起的不当的网络使用,会占用过多的带宽,消耗宝贵资源,同时使网络的表现下降,导致合法的申请使用资源处于不利地位,因而迅速准确地检测出网络异常流量是目前研究的热门话题。网络异常行为包括网络故障、用户误操作、网络攻击、网络病毒传播等,这些异常行为常常引起网络中单条或多条链路上网络流量偏离正常的现象。相对于正常的网络背景流量而言,异常流量具有极强的隐蔽性,由于流量异常隐蔽性极强,发作突然,特征未知,可在极短时间内给网络或者网络上的运行设备带来极大的危害,因此准确而快速地侦测网络流量异常行为、判断引起流量异常的原因、并迅速采取正确的响应措施是保证网络安全高效运行的重要前提。流量异常检测的主要目的是能够准确地找到异常起始的时刻。利用时频分析方法对异常信号进行分析,将时频信号按频谱特性进行划分到时频域上,识别不同频率出现的时刻,在时频域上捕获流量的动态特征,突出异常点的特征,进而准确地侦测出异常出现的时刻。经过多年的研究,流量异常检测方法已取得了长足的进展。A. Ramanathan提出了一种基于小波分析的异常检测,将流量信号做小波变换,并对小波系数直接计算方差判断攻击点,但是该方法不具备实时检测能力。S. Kim等也提出了一种通过分析在边界路由器中出口流量的目的IP地址来进行流量异常检测的技术,该技术可以事后或实时的检测出口网络流量,但由于它是基于多分辨分析,因此它对所有频率的异常并不具有相同的检测能力。由于上述研究方法与日益增长的网络异常流量和业务量相比,仍然不能满足要求,仍存在着对流量信号的时频域特征研究不足、对流量异常检测的尺度自适应性缺乏、对检测算法的实时性研究不足等问题。综上可知目前的检测方法并不能很好的对异常流量进行检測。
发明内容
针对现有方法存在的不足,本发明提出ー种动态环境下网络流量异常的多尺度侦测方法,以达到确定异常起始时刻和持续时间,实现了对异常流量实时快速侦测的目的。本发明的技术方案是这样实现的ー种动态环境下网络流量异常的多尺度侦测方法,包括以下步骤、
步骤I :捕获流量数据信号;步骤2 :对流量数据信号在多尺度上进行连续小波变换,得到不同尺度上反映流量信号时频特征的小波系数矩阵,该矩阵的每一列数据代表ー个尺度上的小波系数,每列数据的长度为流量数据信号的长度,行数表示信号被分解的尺度;步骤3 :对小波系数进行主成分分析,方法为首先对小波系数进行零均值处理某一尺度的小波系数进行求和取均值,该尺度上小波系数的每个值与上述均值相减,得到该尺度上经零均值处理后的小波系数,经零均值处理后的各尺度上的小波系数再组成新的小波系数矩阵;利用主成分分析法,分析上述新的小波系数矩阵,得到三个矩阵,一个是表示小波系数矩阵的谱,ー个表示小波系数矩阵的谱系数,ー个表示小波系数矩阵的奇异值矩阵;计算小波系数的主成分,求取奇异值的平均值,并将该值作为门限值;奇异值矩阵中所有的奇异值分别与该门限值进行比较,得到大于该门限值的奇异值对应的谱和谱系数,将二者及与二者对应的奇异值相乘即为用于异常侦测的小波系数主成分。步骤4 :对得到的主成分进行异常侦测,根据步骤3获得的小波系数主成分绘制流量数据信号的异常特征曲线,其横坐标表示抽样时刻,纵坐标表示小波系数幅值,记录该特征曲线为增函数的部分所对应的时间间隔为N(j),其中j表示特征曲线中为增函数部分的个数,对N(j)进行归一化获得ー个矩阵,利用该矩阵的均值和方差计算判决门限值,该矩阵中的值若超过该门限值则表示在时间间隔N(j)内存在异常流量。本发明的优点本发明方法,利用连续小波变换能够在时频域上捕获到异常流量数据的动态时频特征,采用主成分分析法去除小波系数中的冗余部分,对原始数据进行降维,減少计算量,更好地保证了异常侦测的准确性。在对异常特征分量进行异常判定吋,确定了异常起始时刻和持续时间,实现了对异常流量实时快速侦测的目的。与単独使用主成分分析法进行异常侦测做对比发现,多尺度异常侦测的侦测效果更好,而且能够确定异常发生的时刻和异常持续的时间。
图I为本发明的一种实施方式动态环境下网络流量异常的多尺度侦测方法的整体流程图;图2为本发明的一种实施方式含有异常的网络流量示意图;图3为本发明的一种实施方式多尺度空间特征分析示意图,(a)表示尺度2,(b)表示尺度4, (c)表示尺度6, (d)表示尺度8, (e)表示尺度10, (f)表示尺度12, (g)表示尺度14, (h)表不尺度16 ;图4为本发明的一种实施方式多尺度空间上的累积尺度特征示意图;图5为本发明的一种实施方式多尺度空间上的异常特征提取示意图,其中(a)表示干扰分量;(b)表示异常特征分量;图6为本发明的一种实施方式异常侦测结果示意图,(a)表示小波系数主成分;(b)表示对小波系数主成分进行异常侦测的结果; 图7为本发明的一种实施方式传统主成分分析异常侦测示意图,其中(a)表示异常空间流量信息;(b)表示正常空间流量信息。
具体实施例方式下面结合附图对实施方式做进ー步的详细说明。本发明的一种实施方式给出动态环境下网络流量异常的多尺度侦测方法的整体流程图,如图I所示。该流程开始于步骤101。在步骤102,捕获流量数据信号,当捕捉到的流量信号带有异常时,将该信号作为待分析的时域信号,采用步骤103的方法对流量异常进行分析,本实施方式中,采集到的带有流量异常的信号如图2所示。在步骤103,连续的小波变换能将流量信号分解到多个连续尺度上,网络流量的异常变化在不同尺度上将会表现为有突发变量的产生,本实施方式中,对流量信号在I到64尺度上进行连续小波变换,本实施方式中给出8个尺度的小波系数,如图3所示,由图3可知,在时频域上,小波变换会使得突发变量不同尺度上特征表现的越来越明显。本实施方式中,定义ー个母小波为Ψ (t),如果它的傅里叶变换结果P(W)满足
权利要求
1.一种动态环境下网络流量异常的多尺度侦测方法,其特征在于包括以下步骤 步骤I:捕获流量数据信号; 步骤2 :对流量数据信号在多尺度上进行连续小波变换,得到不同尺度上反映流量信号时频特征的小波系数矩阵,该矩阵的每一列数据代表一个尺度上的小波系数,每列数据的长度为流量数据信号的长度,行数表示信号被分解的尺度; 步骤3 :对小波系数进行主成分分析,方法为 首先对小波系数进行零均值处理,再利用主成分分析法,确定用于异常侦测的小波系数主成分; 步骤4 :对得到的主成分进行异常侦测,根据步骤3获得的小波系数主成分绘制流量数据信号的异常特征曲线,其横坐标表示抽样时刻,纵坐标表示小波系数幅值,记录该特征曲线为增函数的部分所对应的时间间隔为N(j),其中j表示特征曲线中为增函数部分的个数,对N(j)进行归一化获得一个矩阵,利用该矩阵的均值和方差计算判决门限值,该矩阵中的值若超过该门限值则表示在时间间隔N(j)内存在异常流量。
2.根据权利要求I所述的动态环境下网络流量异常的多尺度侦测方法,其特征在于步骤3所述的对小波系数进行零均值处理,方法为某一尺度的小波系数进行求和取均值,该尺度上小波系数的每个值与上述均值相减,得到该尺度上经零均值处理后的小波系数,各尺度上的小波系数均进行零均值处理,构成经零均值处理后的小波系数矩阵。
3.根据权利要求I所述的动态环境下网络流量异常的多尺度侦测方法,其特征在于步骤3所述的主成分分析法,过程如下 分析经零均值处理后的小波系数矩阵,得到三个矩阵,一个是表示小波系数矩阵的谱,一个表示小波系数矩阵的谱系数,一个表示小波系数矩阵的奇异值矩阵;计算小波系数的主成分,求取奇异值的平均值,并将该值作为门限值;奇异值矩阵中所有的奇异值分别与该门限值进行比较,得到大于该门限值的奇异值对应的谱和谱系数,将二者及与二者对应的奇异值相乘即为用于异常侦测的小波系数主成分。
全文摘要
一种动态环境下网络流量异常的多尺度侦测方法,涉及网络异常检测及入侵检测技术领域。本发明利用连续小波变换能够在时频域上捕获到异常流量数据的动态时频特征,采用主成分分析法去除小波系数中的冗余部分,对原始数据进行降维,减少计算量,更好地保证了异常侦测的准确性。在对异常特征分量进行异常判定时,确定了异常起始时刻和持续时间,实现了对异常流量实时快速侦测的目的。与单独使用主成分分析法进行异常侦测做对比发现,多尺度异常侦测的侦测效果更好,而且能够确定异常发生的时刻和异常持续的时间。
文档编号H04L29/06GK102664772SQ20121012474
公开日2012年9月12日 申请日期2012年4月25日 优先权日2012年4月25日
发明者姚成, 秦文达, 蒋定德, 袁珍 申请人:东北大学