一种基于信息熵和滑动窗口的网络异常检测方法及系统的制作方法
【专利摘要】本发明公开了一种基于信息熵和滑动窗口的网络异常检测方法及系统,该方法包括如下步骤:定义时间窗口大小和时间窗口的滑动距离;按照滑动窗口设置依次递进计算每个时间窗口的熵值和熵比值;若计算时间窗口的熵值小于给定阈值或熵比值大于给定阈值,则判断此时间窗口内有数据突变或者不符合之前规律的情况发生,发生网络异常,本发明将信息熵模型和滑动窗口技术引入网络异常发现问题,能够较快地发现网络异常,在一定程度上简化了模型并可以快速发现网络异常。
【专利说明】一种基于信息熵和滑动窗口的网络异常检测方法及系统
【技术领域】
[0001]本发明涉及一种网络异常检测方法及系统,特别是涉及一种基于信息熵和滑动窗口的网络异常检测方法及系统。
【背景技术】
[0002]目前网络异常检测的方法主要是基于统计的方法,其中主要包括如下五种:1)阈值检测技术。例如,检测在短时间内口令错误的次数。2)均值与标准偏差模型技术。通过计算参数的均值和标准差,设定置信区间,当观测值超过置信区间的范围时表明可能有异常。3)建立多变量模型。它的检测是基于对两个或多个参数进行相关分析发现异常。4)马尔可夫模型。将审计事件的每个不同类型作为一个状态变量,使用一个状态转移矩阵描述状态变化,概率较小的状态矩阵转移可能是异常产生点。5)时间序列模型。考虑一系列观察发生的顺序、到达时间和取值来发现异常。
[0003]然而上述网络异常检测方法均各具有如下缺点:第一种方法的模型较为简单,然而其无法检测到更多的异常行为类型;对于第二种方法,由于置信区间需要通过经验人为设置,因此需要较多次数的失败和经验来生成可信的置信区间;第三种方法模型复杂,并且结果会随着参数不同而具有较大的变化;第四种发法适用于变量为连续参数的情况,对于采样为离散值得情况无法获取有效结果;第五种方法的结果依赖于时间窗设置的大小。
【发明内容】
[0004]为克服上述现有技术存在的不足,本发明之目的在于提供一种基于信息熵和滑动窗口的网络异常检测方法及系统,通过将信息熵模型和滑动窗口技术引入网络异常发现问题,能够较快地发现网络异常,在一定程度上简化了模型并可以快速发现网络异常。
[0005]为达上述及其它目的,本发明提出一种基于信息熵和滑动窗口的网络异常检测方法,包括如下步骤:
[0006]步骤一,定义时间窗口大小和时间窗口的滑动距离;
[0007]步骤二,按照滑动窗口设置依次递进计算每个时间窗口的熵值和熵比值;
[0008]步骤三,若计算获得的时间窗口的熵值小于给定阈值或熵比值大于给定阈值,则判断此时间窗口内有数据突变或者不符合之前规律的情况发生,发生网络异常。
[0009]进一步地,步骤二还包括如下步骤:
[0010]步骤2.1,计算时间窗口内各个时间点的比特数Xi和归一化值Zi ;
[0011]步骤2.2,根据比特数Xi和归一化值Zi计算各时间点上Zi的概率P(Zi);
[0012]步骤2.3,根据各时间点上&的概率p(Zi)计算时间窗口在Zi上的熵值和熵比值。
[0013]进一步地,于步骤2.1中,根据如下公式计算时间窗口内各个时间点的比特数Xi和归一化值Zi:
[0014]Xi =;[0015]
【权利要求】
1.一种基于信息熵和滑动窗口的网络异常检测方法,包括如下步骤: 步骤一,定义时间窗口大小和时间窗口的滑动距离; 步骤二,按照滑动窗口设置依次递进计算每个时间窗口的熵值和熵比值; 步骤三,若计算获得的时间窗口的熵值小于给定阈值或熵比值大于给定阈值,则判断此时间窗口内有数据突变或者不符合之前规律的情况发生,发生网络异常。
2.如权利要求1所述的一种基于信息熵和滑动窗口的网络异常检测方法,其特征在于,步骤二还包括如下步骤: 步骤2.1,计算时间窗口内各个时间点的比特数Xi和归一化值Zi ; 步骤2.2,根据比特数Xi和归一化值Zi计算各时间点上Zi的概率p (Zi); 步骤2.3,根据各时间点上Zi的概率p(Zi)计算时间窗口在Zi上的熵值和熵比值。
3.如权利要求2所述的一种基于信息熵和滑动窗口的网络异常检测方法,其特征在于,于步骤2.1中,根据如下公式计算时间窗口内各个时间点的比特数Xi和归一化值Zi:
4.如权利要求3所述的一种基于信息熵和滑动窗口的网络异常检测方法,其特征在于,于步骤2.2中,根据如下公式计算各时间点上Zi的概率p(Zi):
5.如权利要求4所述的一种基于信息熵和滑动窗口的网络异常检测方法,其特征在于,于步骤2.3中,根据如下公式计算时间窗口 TWk在Zi上的熵值E(TWk):
6.如权利要求5所述的一种基于信息熵和滑动窗口的网络异常检测方法,其特征在于,于步骤2.3中,第i个时间窗口的熵比值为前s个窗口的熵的平均值除以第i个时间窗口的熵。
7.如权利要求6所述的一种基于信息熵和滑动窗口的网络异常检测方法,其特征在于:该指标值选取自路由器管理信息库中的interfaces类。
8.一种基于信息熵和滑动窗口的网络异常检测系统,至少包括: 时间窗口设置模块,用于定义时间窗口大小n和时间窗口的滑动距离p ; 熵值与熵比值计算模块,按照滑动窗口设置依次递进计算每个时间窗口的熵值和熵比值; 判断模块,根据计算获得的时间窗口的熵值或熵比值与给定阈值的比较结果,判断是否发生网络异常。
9.如权利要求8所述的一种基于信息熵和滑动窗口的网络异常检测系统,其特征在于:若计算获得的时间窗口的熵值小于给定阈值或熵比值大于给定阈值,则该判断模块判断此时间窗口内有数据突变或者不符合之前规律的情况发生,发生网络异常。
10.如权利要求8所述的一种基于信息熵和滑动窗口的网络异常检测系统,其特征在于:该熵值与熵比值计算模块首先计算时间窗口内各个时间点的比特数Xi和归一化值Zi,然后根据获得的各个时间点的比特数Xi和归一化值Zi计算各时间点上Zi的概率P(Zi),最后根据Zi的概率P(Zi)计算时间窗口在Zi上的熵值和熵比值。
【文档编号】H04L12/26GK103618651SQ201310676371
【公开日】2014年3月5日 申请日期:2013年12月11日 优先权日:2013年12月11日
【发明者】赵雷, 苏庆刚 申请人:上海电机学院