一种网络流量异常检测方法、装置、终端及介质与流程

本发明涉及网络流量，尤其涉及一种网络流量异常检测方法、装置、终端及介质。

背景技术：

1、正常网络流量在时间大尺度下具有统计意义上的自相似性，一旦网络受到攻击(ddos、蠕虫等)后，网络流量的自相似性必然出现显著性降低，并趋向于泊松变化，这种变化使得衡量网络流量时间序列的自相关性的一个重要的性能指标——hurst参数趋向于0.5。于是有一些学者采用网络流量hurst参数与hurst参数基准值(通常设置在0.6-0.75之间)进行比较，如果两者之间的差值大于某个设定的阈值(0.1-0.15)之间，那么就认定网络流量存在异常。这种方法在网络流量波动性很小或者网络规模较小的情况下确实具有较高的检测率。但是，随着网络规模的变化，目前规模还在以一定数量级增大以及用户本身的随机行为对网络流量的影响，网络流量呈现出较大的动态变化性，网络流量hurst参数也在呈现很大的变化，因此，hurst参数基准值如果还以固定值来设定的话，必然带来较高的误报率，故，针对当前日趋变化的网络环境，如何调整hurst参数基准值，以降低网络流量异常的误报率是非常重要的。

技术实现思路

1、本发明提供一种网络流量异常检测方法、装置、终端及设备，采用常态的小波变化来求解hurst参数，引入带有网络流量波动变量控制值的修正因子来更新hurst参数基准值，当波动情况发生较大的变化时，波动变量控制值将随着网络变化波动规则进行取值，从而实现hurst参数基准值的动态调整，以降低网络流量异常的误报率。

2、为了实现上述目的，第一方面，本发明实施例提供了一种网络流量异常检测方法，包括：

3、实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数的方差和期望，从而算出网络流量hurst系数；

4、基于所述各尺度下小波系数的方差和期望计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值；

5、根据所述hurst系数与所述hurst系数基准值的差值，判断所述网络流量是否存在异常；

6、若所述网络流量存在异常，则查找所述网络流量的异常时间，进行网络攻击追溯。

7、作为上述方案的改进，所述实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数的方差和期望，从而算出网络流量hurst系数，具体包括：

8、实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数，得到所述小波系数的期望；

9、对任意两个不同尺度下小波系数进行相关性处理后进行傅里叶变换得到所述小波系数的相关性期望；

10、计算所述小波系数的方差和标准差，进而算出所述两个不同尺度下小波系数进行线性拟合所得到直线的拟合斜率；

11、基于hurst系数与所述拟合斜率的关系，获得网络流量hurst系数；

12、其中，所述各尺度下小波系数的表达式为

13、

14、式中，dj,k为j尺度下的小波系数，j是尺度因子，用于实现小波函数的缩小或放大；k表示所述j尺度下离散小波变换的平移参数，x(t)为t时刻的网络流量数据，是哈尔小波函数；

15、所述小波系数的期望表达式为

16、

17、式中，e[dj,k]为所述j尺度下的小波系数的期望，e[x(t)]为所述t时刻的网络流量数据的期望，

18、所述小波系数的相关性期望表达式为

19、

20、式中，为所述j和j1尺度下的小波系数的相关性期望，为所述j1尺度下的小波系数，k1表示所述j1尺度下离散小波变换的平移参数，为所述网络流量数据的方差，ω是频率，γ为所述网络流量的小波系数在最小方差意义下进行线性拟合所得到直线的拟合斜率，ψ(2jω)为所述j尺度下傅里叶变换后的哈尔小波函数，为所述j1尺度下傅里叶变换后的哈尔小波函数；

21、所述小波系数的方差表达式为

22、

23、式中，为所述j尺度下的小波系数的方差；

24、所述小波系数的标准差表达式为

25、var[dj,k]＝σx2jγ，

26、式中，var[dj,k]为所述j尺度下的小波系数的标准差，σx为所述网络流量数据的标准差；

27、所述拟合斜率的计算公式为

28、log2var[dj,k]＝log2σx+jγ，

29、所述网络流量hurst系数表达式为

30、

31、式中，h(t)为t时刻hurst系数。

32、作为上述方案的改进，所述基于所述各尺度下小波系数的方差和期望计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值，具体包括：

33、基于所述各尺度下小波系数的方差和期望计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值；

34、其中，所述网络流量波动变量控制值为

35、

36、所述hurst系数基准值的表达式为

37、h0,t+1＝h0,tξ，

38、式中，h0,t+1为t+1时刻的hurst系数基准值，h0,t为所述t时刻的hurst系数基准值，ε为修正因子。

39、作为上述方案的改进，所述根据所述hurst系数与所述hurst系数基准值的差值，判断所述网络流量是否存在异常，具体为：

40、根据所述hurst系数与所述hurst系数基准值的差值，判断所述网络流量是否存在异常，若所述差值大于预设阈值，则所述网络流量存在异常，若所述差值小于或等于预设阈值，则所述网络流量不存在异常。

41、作为上述方案的改进，所述若所述网络流量存在异常，则查找所述网络流量的异常时间，进行网络攻击追溯，具体包括：

42、若所述网络流量存在异常，则获取所述网络流量数据的不同尺度下的极大值点，将所述极大值点两两相连，得到所述极大值线，并计算所述极大值线的斜率并根据所述极大值线的斜率和设定阈值，确定所述网络流量存在异常的时刻；

43、将所有所述网络流量存在异常的时刻按照时间顺序进行排序，得出不同位置网络流量存在异常的时间，从而得到整个网络攻击行为的时空分布图，以进行网络攻击追溯。

44、第二方面，本发明实施例提供了一种网络流量异常检测装置，包括：

45、实时采集模块，用于实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数的方差和期望，从而算出网络流量hurst系数；

46、计算调整模块，用于基于所述各尺度下小波系数的方差和期望计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值；

47、异常判断模块，用于根据所述hurst系数与所述hurst系数基准值的差值，判断所述网络流量是否存在异常；

48、查找追溯模块，用于若所述网络流量存在异常，则查找所述网络流量的异常时间，进行网络攻击追溯。

49、作为上述方案的改进，所述实时采集模块，具体用于：

50、实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数，得到所述小波系数的期望；

51、对任意两个不同尺度下小波系数进行相关性处理后进行傅里叶变换得到所述小波系数的相关性期望；

52、计算所述小波系数的方差和标准差，进而算出所述两个不同尺度下小波系数进行线性拟合所得到直线的拟合斜率；

53、基于hurst系数与所述拟合斜率的关系，获得网络流量hurst系数；

54、其中，所述各尺度下小波系数的表达式为

55、

56、式中，dj,k为j尺度下的小波系数，j是尺度因子，用于实现小波函数的缩小或放大；k表示所述j尺度下离散小波变换的平移参数，x(t)为t时刻的网络流量数据，是哈尔小波函数；

57、所述小波系数的期望表达式为

58、

59、式中，e[dj,k]为所述j尺度下的小波系数的期望，e[x(t)]为所述t时刻的网络流量数据的期望，

60、所述小波系数的相关性期望表达式为

61、

62、式中，为所述j和j1尺度下的小波系数的相关性期望，为所述j1尺度下的小波系数，k1表示所述j1尺度下离散小波变换的平移参数，为所述网络流量数据的方差，ω是频率，γ为所述网络流量的小波系数在最小方差意义下进行线性拟合所得到直线的拟合斜率，ψ(2jω)为所述j尺度下傅里叶变换后的哈尔小波函数，为所述j1尺度下傅里叶变换后的哈尔小波函数；

63、所述小波系数的方差表达式为

64、

65、式中，为所述j尺度下的小波系数的方差；

66、所述小波系数的标准差表达式为

67、var[dj,k]＝σx2jγ，

68、式中，var[dj,k]为所述j尺度下的小波系数的标准差，σx为所述网络流量数据的标准差；

69、所述拟合斜率的计算公式为

70、log2var[dj,k]＝log2σx+jγ，

71、所述网络流量hurst系数表达式为

72、

73、式中，h(t)为t时刻hurst系数。

74、作为上述方案的改进，所述计算调整模块，具体用于：

75、基于所述各尺度下小波系数的方差和期望计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值；

76、其中，所述网络流量波动变量控制值为

77、

78、所述hurst系数基准值的表达式为

79、h0,t+1＝h0,tξ，

80、式中，h0,t+1为t+1时刻的hurst系数基准值，h0,t为所述t时刻的hurst系数基准值，ε为修正因子。

81、第三方面，本发明实施例对应提供了一种终端设备，包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序，所述处理器执行所述计算机程序时实现上述网络流量异常检测方法。

82、此外，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述网络流量异常检测方法。

83、与现有技术相比，本发明实施例公开的一种网络流量异常检测方法、装置、终端及介质，通过实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数的方差和期望，从而算出网络流量hurst系数，计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值，根据所述hurst系数与所述hurst系数基准值的差值，判断所述网络流量是否存在异常，若所述网络流量存在异常，则查找所述网络流量的异常时间，进行网络攻击追溯。因此，本发明实施例能够衡量网络流量在各尺度下小波系数方差以及各尺度下小波系数期望值计算网络流量波动变量控制值，从而实现动态更新hurst系数的基准值降低网络流量异常的误报率，且通过对网络流量进行小波变换之后，对不同尺度的小波变换极大值点进行提取，然后将极大值点进行连接，从而计算极大值线，并借助极大值线的斜率来判断网络异常流量发生的时间，通过对网络异常流量发生的时间进行排序，从而实现了整个攻击行为在时空上的复现，从而得到整个网络攻击行为的时空分布图，从而实现网络攻击的追溯。