本发明属于信息安全技术领域,涉及到一种基于网络流量的软件异常检测方法。
背景技术:
随着计算机和互联网络技术的快速发展与广泛应用,计算机网络系统的安全受到严重的挑战,来自计算机病毒和黑客攻击及其他方面的威胁越来越大,因此在用户上网时检测异常是困难的。首先,网络中存在各种各样的异常可能来自具有恶意企图的网络活动,也可能是用户误操作和网络故障。其次,存在高维流量特征异常的现象。且当软件被窥探、入侵时,网络上传输的流量在某些特性,如流量大小、数据包长以及数据包特定区域的内容等特性会表现出与正常流量的相异性,若能够尽早检测这些异常流量,就可以提前采取行动来保护网络安全。研究对这些异常流量的检测、定位造成异常的主机,进而对异常主机进行处理,对于避免网络拥塞、保证网络性能、避免网络资源的滥用以及保护网络信息安全,具有重要意义。
目前软件异常的检测方法通过对网络流量的消耗进行检测,异常检测方法主要有统计分析,数据挖掘,机器学习等多种方法,但是现有的网络流量的异常检测方法存在检测复杂度高、检测准确度低以及效率低的问题,大大增加了异常检测的工作量。
技术实现要素:
本发明的目的在于提供的一种基于网络流量的软件异常检测方法,解决了现有技术中存在的网络流量的检测复杂度高、检测效率低以及准确度低的问题。
本发明的目的可以通过以下技术方案实现:
一种基于网络流量的软件异常检测方法,包括以下步骤:
s1、以固定时间段t获取软件的网络流量信息,并将获取的网络流量信息进行数据预处理;
s2、经数据预处理的初始特征值进行构建,构建时间段特征集合,同时设置网络流量的初始特征集合,所述时间段特征集合和初始特征集合中的组成元素的数量相同;
s3、将该时间段内的时间段特征集合中各元素进行求平均,获得各时间段内平均流量特征,即每个时间段对应一个平均流量特征;
s4、提取步骤s5中平均流量特征,并提取该时间段内最大流量特征和最小流量特征,根据获取的平均流量特征、最大流量特征和最小流量特征,统计该时间段内的流量特征偏离度,并将统计的各时间段内的流量特征偏离度建立时间段特征偏离集合;
s5、将该时间段内的各时间间隔对应的流量特征偏离度与预设的流量特征偏离度阈值进行对比,提取大于流量特征偏离度阈值的流量特征偏离度对应的时间间隔;
s6、累计大于流量特征偏离度阈值的流量特征偏离度之和,构成流量特征偏离度总和,并将统计的流量偏离度总和与设定的时间段的流量特征偏离度累计和阈值进行对比,若大于设定的时间段的流量特征偏离度累计和阈值,则表明该软件出现异常,并执行步骤s7,否则,则该时间段内软件网络流量正常,并对下一时间段的网络流量进行统计,执行步骤s8,且重复执行步骤s3-s6;
s7、提取异常时间段内的网络流量,并提取该时间段内各时间间隔对应的流量特征偏离度以及统计大于流量特征偏离度阈值的流量特征偏离度之和,构建异常流量样本库;
s8、提取正常时间段内的网络流量,并提取该时间段内各时间间隔对应的流量特征偏离度,构建正常流量样本库。
进一步地,所述数据预处理用于对获取的网络流量以相同时间间隔s提取网络的初始特征值,所述固定时间段t大于时间间间隔s。
进一步地,所述预设的流量特征的偏离度阈值为初始特征集合中各流量特征统计的流量特征偏离度中最大的流量特征偏离度。
进一步地,各时间段内的流量特征偏离度的计算公式为
本发明的有益效果:
本发明提供的一种基于网络流量的软件异常检测方法,通过对软件在各时间段的网络流量进行获取,并对获取的网络流量进行数据处理,以统计各时间段内各时间间隔对应的流量特征偏离度,将统计的流量特征偏离度与预设的流量特征偏离度阈值进行对比筛选,统计大于流量特征偏离度阈值的流量特征偏离度之和,根据各时间间隔的流量特征偏离度以及流量特征偏离度之和判断该时间段内的网络流量是否异常,简化网络流量异常检测的程序,大大提高了检测的准确性和检测效率,为软件安全运行提供可靠的检测。
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
一种基于网络流量的软件异常检测方法,包括以下步骤:
s1、以固定时间段t获取软件的网络流量信息,并将获取的网络流量信息进行数据预处理,所述数据预处理用于对获取的网络流量以相同时间间隔s提取网络的初始特征值,所述固定时间段t大于时间间间隔s;
s2、经数据预处理的初始特征值进行构建,构建时间段特征集合,同时设置网络流量的初始特征集合,所述时间段特征集合和初始特征集合中的组成元素的数量相同;
s3、将该时间段内的时间段特征集合中各元素进行求平均,获得各时间段内平均流量特征,即每个时间段对应一个平均流量特征;
s4、提取步骤s5中平均流量特征,并提取该时间段内最大流量特征和最小流量特征,根据获取的平均流量特征、最大流量特征和最小流量特征,统计该时间段内的流量特征偏离度,各时间段内的流量特征偏离度的计算公式为
s5、将该时间段内的各时间间隔对应的流量特征偏离度与预设的流量特征偏离度阈值进行对比,提取大于流量特征偏离度阈值的流量特征偏离度对应的时间间隔,所述预设的流量特征的偏离度阈值为初始特征集合中各流量特征统计的流量特征偏离度中最大的流量特征偏离度;
s6、累计大于流量特征偏离度阈值的流量特征偏离度之和,构成流量特征偏离度总和,并将统计的流量偏离度总和与设定的时间段的流量特征偏离度累计和阈值进行对比,若大于设定的时间段的流量特征偏离度累计和阈值,则表明该软件出现异常,并执行步骤s7,否则,则该时间段内软件网络流量正常,并对下一时间段的网络流量进行统计,执行步骤s8,且重复执行步骤s3-s6;
s7、提取异常时间段内的网络流量,并提取该时间段内各时间间隔对应的流量特征偏离度以及统计大于流量特征偏离度阈值的流量特征偏离度之和,构建异常流量样本库;
s8、提取正常时间段内的网络流量,并提取该时间段内各时间间隔对应的流量特征偏离度,构建正常流量样本库。
通过对软件在各时间段的网络流量进行获取,并对获取的网络流量进行数据处理,以统计各时间段内各时间间隔对应的流量特征偏离度,将统计的流量特征偏离度与预设的流量特征偏离度阈值进行对比筛选,统计大于流量特征偏离度阈值的流量特征偏离度之和,根据各时间间隔的流量特征偏离度以及流量特征偏离度之和判断该时间段内的网络流量是否异常,简化网络流量异常检测的程序,大大提高了检测的准确性和检测效率,为软件安全运行提供可靠的检测。
以上内容仅仅是对本发明的构思所作的举例和说明,所属本技术领域的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要不偏离发明的构思或者超越本权利要求书所定义的范围,均应属于本发明的保护范围。