基于访问请求路径分析的网络节点异常识别方法与流程

本发明涉及数据处理，具体涉及一种基于访问请求路径分析的网络节点异常识别方法。

背景技术：

1、由于数据中心网络的数据流具有延迟性、多样性与同步性等特点，其容易受到隐蔽的低速率l-ddos攻击（distributed denial of service，分布式拒绝攻击）。l-ddos攻击的攻击源分散，攻击者利用多个攻击源可以降低服务器或链路的体验。当攻击的攻击速率较小时，源ip（internet protocol，互联网协议）的分布会发生变化，当攻击的攻击速率较大时，源ip的分布会发生剧烈的变化，导致源ip的信息量增加。因此，为了降低l-ddos攻击对数据流的影响，需要实现网络节点的异常识别，即识别发出l-ddos攻击的网络节点。

2、l-ddos攻击的攻击速率低，但受l-ddos攻击的ip分布信息会发生变化，l-ddos攻击的攻击方式是从低频低速率的攻击状态逐渐转变为高频高速率的攻击状态，攻击频率从低到高也就是从缓慢变化到快速变化。

3、现有识别发出l-ddos攻击的网络节点的方法，通过hmm（hidden markov model，隐马尔可夫模型）中隐藏状态序列与特征观测序列的对应关系，将不同速率l-ddos攻击的状态视为隐藏状态，将预处理后的数据特征作为特征观测序列，预处理后的数据特征也就是发起网络访问的节点与被请求的节点的雷尼熵特征。用概率模型来刻画攻击的可能性，使用雷尼熵提取数据特征，利用状态之间的转移关系对发出l-ddos攻击的网络节点进行自适应检测。但是，该方法在利用hmm检测网络节点异常状态时，通过一维数据实现特征降维聚类，其容易造成l-ddos攻击的数据信息丢失，导致l-ddos攻击识别不准确，出现漏检的情况，使网络节点异常识别准确性降低。

技术实现思路

1、为了解决上述网络节点异常识别准确性低的技术问题，本发明的目的在于提供一种基于访问请求路径分析的网络节点异常识别方法。

2、本发明提供了一种基于访问请求路径分析的网络节点异常识别方法，包括以下步骤：

3、获取待检测请求访问路径在状态观测空间中的雷尼熵特征值时间序列，将雷尼熵特征值时间序列作为观测状态序列；

4、根据观测状态序列中的雷尼熵特征值之间的差异，确定差分序列中的每个差分值，将差分序列作为局部趋势序列；

5、根据观测状态序列和局部趋势序列，确定二维聚类空间，进而确定二维聚类空间中每个数据点的inflo值；

6、根据每个数据点的inflo值，确定每个数据点对应的聚类影响因子；

7、根据二维聚类空间中每个数据点的位置和聚类影响因子，确定优化聚类目标函数，利用优化聚类目标函数对二维聚类空间中每个数据点进行聚类处理，获得待检测请求访问路径对应的各个簇类；

8、根据观测状态序列、各个簇类和预先构建并训练好的隐马尔可夫模型，确定待检测请求访问路径的网络节点异常状态。

9、进一步地，根据每个数据点的inflo值，确定每个数据点对应的聚类影响因子，包括：

10、计算每个数据点的inflo值与其对应的簇类中心的inflo值的差值绝对值，将归一化处理后的差值绝对值作为数据点对应的聚类影响因子。

11、进一步地，所述优化聚类目标函数的计算公式为：

12、

13、其中，为优化聚类目标函数，k为二维聚类空间中所有簇类中心的个数，c为二维聚类空间中每个簇类中心的序号，n为二维聚类空间中所有数据点的个数，i为二维聚类空间中每个数据点的序号，为二维聚类空间中第i个数据点的聚类影响因子，d为欧式距离函数，为二维聚类空间中第i个数据点的位置，为二维聚类空间中第c个簇类中心的位置，为二维聚类空间中第i个数据点与第c个簇类中心之间的欧式距离。

14、进一步地，根据观测状态序列和局部趋势序列，确定二维聚类空间，包括：

15、舍弃观测状态序列中的第一个雷尼熵特征值，对舍弃后的观测状态序列中的每个雷尼熵特征值、局部趋势序列中的每个差分值进行序号标记处理，将两个序列中相同序号位置处的雷尼熵特征值和差分值组成二维数据，获得二维聚类空间。

16、进一步地，根据观测状态序列、各个簇类和预先构建并训练好的隐马尔可夫模型，确定待检测请求访问路径的网络节点异常状态，包括：

17、对各个簇类进行编号处理，将观测状态序列中每个雷尼熵特征值标记上其所属簇类的编号，将观测状态序列中每个雷尼熵特征值的簇类编号作为模型输入数据，输入到预先构建并训练好的隐马尔可夫模型中，输出待检测请求访问路径的网络节点异常状态，所述网络节点异常状态包括正常访问和l-ddos攻击。

18、进一步地，根据观测状态序列中的雷尼熵特征值之间的差异，确定差分序列中的每个差分值，包括：

19、计算观测状态序列中的前一个雷尼熵特征值与后一个雷尼熵特征值的差值，将差值作为差分值，将各个差分值构成的序列作为差分序列。

20、本发明具有如下有益效果：

21、本发明提供了一种基于访问请求路径分析的网络节点异常识别方法，该方法通过对待检测请求访问路径在状态观测空间中的观测状态序列进行数据处理，获得局部趋势序列，局部趋势序列可以表征数据点的趋势性信息，趋势性信息有助于对观测状态序列的状态空间降维进行校正，使观测状态序列划分呈现出更多的趋势变化信息，进而使隐马尔可夫模型能够感知到更多的状态转移信息，提升隐马尔可夫模型对于l-ddos攻击的检测性能，增强网络节点异常识别的准确度；为了提高观测状态序列的划分精度，基于观测状态序列和局部趋势序列，确定二维聚类空间，二维聚类空间使得观测状态序列中的状态转移更加能够说明攻击状态的转变，进而可以提高l-ddos攻击的异常识别准确度；为了明确二维聚类空间中数据点的分布信息，获取每个数据点的inflo值，inflo值有助于提高聚类影响因子的参考价值，基于inflo值可以确定每个数据点对应的聚类影响因子，聚类影响因子可以使后续的聚类处理过程考虑到数据点在观测状态序列中的出现频率，便于后续对观测状态序列的聚类目标函数进行优化，再次提高观测状态序列的划分精度；基于二维聚类空间中每个数据点的位置和聚类影响因子，确定优化聚类目标函数，实现聚类降维处理，获得待检测请求访问路径的网络节点异常状态，计算优化聚类目标函数时考虑到三个方面的影响因素，分别为趋势信息、源ip地址雷尼熵以及观测状态出现频率，其可以使聚类降维处理后的状态转移信息更加符合l-ddos攻击的数据特征，达到提高网络节点异常识别准确性的目的，主要应用于网络节点异常识别领域。

技术特征：

1.一种基于访问请求路径分析的网络节点异常识别方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种基于访问请求路径分析的网络节点异常识别方法，其特征在于，根据每个数据点的inflo值，确定每个数据点对应的聚类影响因子，包括：

3.根据权利要求1所述的一种基于访问请求路径分析的网络节点异常识别方法，其特征在于，所述优化聚类目标函数的计算公式为：

4.根据权利要求1所述的一种基于访问请求路径分析的网络节点异常识别方法，其特征在于，根据观测状态序列和局部趋势序列，确定二维聚类空间，包括：

5.根据权利要求1所述的一种基于访问请求路径分析的网络节点异常识别方法，其特征在于，根据观测状态序列、各个簇类和预先构建并训练好的隐马尔可夫模型，确定待检测请求访问路径的网络节点异常状态，包括：

6.根据权利要求1所述的一种基于访问请求路径分析的网络节点异常识别方法，其特征在于，根据观测状态序列中的雷尼熵特征值之间的差异，确定差分序列中的每个差分值，包括：

技术总结
本发明涉及数据处理技术领域，具体涉及一种基于访问请求路径分析的网络节点异常识别方法，包括：对待检测请求访问路径在状态观测空间中的观测状态序列进行数据处理，获得局部趋势序列，基于观测状态序列和局部趋势序列，确定二维聚类空间以及二维聚类空间中每个数据点的INFLO值，进而确定每个数据点对应的聚类影响因子，利用聚类影响因子确定优化聚类目标函数；基于优化聚类目标函数获得待检测请求访问路径对应的各个簇类，进而识别网络节点异常状态。本发明提高了网络节点异常状态识别的准确性，解决了现有方法L‑DDoS攻击信息丢失所导致的漏检缺陷，可应用于数据中心网络的网络节点异常识别领域。

技术研发人员：米存照
受保护的技术使用者：北京特立信电子技术股份有限公司
技术研发日：
技术公布日：2024/1/12