一种基于相对位置度量的网络异常检测方法
【技术领域】
[0001] 本发明属于网络检测领域,特别是一种基于相对位置度量的网络异常检测方法。
【背景技术】
[0002] 随着互联网的发展和业务量的不断增长,大规模通信网络正在向高速化,多样化, 复杂化方向发展,网络中交换的数据量越来越大,网络异常流量的危害也越来越大。
[0003] 网络流量异常的特点是发作突然,先兆特征未知,大量消耗网络资源,导致网络拥 塞、网络链路利用率下降、显著降低网络服务质量,有可能在短时间内给网络运营商和客户 都产生极大的危害,因此实时检测和响应流量异常是防范攻击、制定网络配置策略以实现 合理利用网络资源的重要手段。
[0004] 然而,在大型网络中,要进行实时统计的数据量是巨大的,由于测量、分析和存储 等计算机资源的限制,无法实现全部网络流量的分析。异常检测算法的最终目标是要从巨 大且处于不断变化的正常流量中,检测到相对娇小的异常流量,而且要满足实时性的要求, 因而系统设计和实现的难度很大。
[0005] 网络流量异常检测技术自提出以来,经过了几十年的不断发展,从最初的简单方 法迅速发展成种类繁多的各种算法,成为保证网络安全不可或缺的方法。近年来,常用的异 常检测方法主要有统计分析、神经网络、机器学习、数据挖掘等多种方法。
[0006] 现有的网络流量异常检测技术都有一些缺点,如报警意义不明确、可扩展性较差、 实时性和精确性依旧不高等。另外,在骨干通信网络高速、大数据量的环境下,相对于正常 数据,攻击及异常数据是相对较少的,往往是不会超过4 %这个限度。
【发明内容】
[0007] 为了解决上述问题,本发明提出了一种引入香农熵对网络数据进行预处理同时引 入Z得分来进行相对灵敏的一种基于相对位置度量的网络异常检测方法。
[0008] 本发明的基于相对位置度量的网络异常检测方法,包括以下步骤:
[0009] 步骤1、对骨干通信网络中的流量进行采样;
[0010] 步骤2、引入香农熵对采样数据进行预处理;
[0011] 步骤3、引入z得分的相对位置度量方法对预处理后的数据进行计算;
[0012] 步骤4、搭建基于香农熵值的z得分图谱;
[0013] 步骤5、利用香农熵变化结合z得分图谱分析网络是否异常。
[0014] 进一步地,所述步骤1中采样的数据有No.(数据包在该信息流中的编号)、 Time (与该信息流第一个数据包的截获时间的相对时间)、d〇ctetS(数据包中网络层字节 的总个数)、srcaddr (源IP地址)、dstaddr (目的IP地址)、srcport (TCP/UDP源头端口 号)、dstport (TCP/UDP 目的端口号)、prot (IP 协议类型)、tcp_f lags (TCP 标志位)。
[0015] 进一步地,所述步骤2中香农熵处理的数据有doctets (数据包中网络层字节的 总个数)、srcaddr (源IP地址)、dstaddr (目的IP地址)、和dstport (TCP/UDP目的端口 号)。
[0016] 进一步地,所述步骤2的具体流程如下:
[0017] 步骤21、以升序形式读取需要处理的四种数据;
[0018] 步骤22、设置计算次数和计算结束条件;
[0019] 步骤23、进行hash运算,将拥有相同关键字的四种数据记录下来,然后利用香农 熵公式计算出相应的香农熵值。
[0020] 进一步地,所述步骤3的流程如下:
[0021] 步骤31、按升序形式读取步骤23得出的香农熵值;
[0022] 步骤32、计算香农熵之和并求均值;
[0023] 步骤33、计算标准差;
[0024] 步骤34、计算z得分。
[0025] 进一步地,所述步骤4为用采样时间为横坐标,基于香农熵值的z得分为纵坐标建 立一个z得分随时间变化的折线图。
[0026] 进一步地,所述步骤5是利用网络异常相对应的香农熵值变化,加上z得分检验异 常值的经验法则结合分析,得出结果。
[0027] 本发明的有益效果:通过香农熵的引入,能够直接地、准确的将网络流量中属性的 聚合离散趋势进行表示,再通过引入相对位置的度量:z得分,根据其在统计学中的经验法 贝1J,进而搭建基于香农熵的z得分图谱,能够直观的判断是否有疑似异常发生,以及疑似异 常发生的时间和程度;通过对疑似异常的程度和相关属性的变化,对比网络中常见的异常 的特征,可以将疑似异常的检测范围进一步缩小,达到有效检测和提高检测效率的目的。
【附图说明】
[0028] 图1为本发明的流程图;
[0029] 图2为本发明实施例得出的正常数据的基于香农熵的z得分图谱;
[0030] 图3为本发明实施例非正常数据的基于香农熵的z得分图谱。
【具体实施方式】
[0031] 下面结合附图和具体的实施例对本发明作进一步的阐述。
[0032] 如图1所示,本发明的基于相对位置度量的网络异常检测方法,包括以下步骤:
[0033] 步骤1、对骨干通信网络中的流量进行采样;所述步骤1中采样的数据有No.(数 据包在该信息流中的编号)、Time(与该信息流第一个数据包的截获时间的相对时间)、 doctets (数据包中网络层字节的总个数)、srcaddr (源IP地址)、dstaddr (目的IP地址)、 srcport (TCP/UDP 源头端口号)、dstport (TCP/UDP 目的端口号)、prot (IP 协议类型)、tcp_ flags (TCP 标志位)。
[0034] 步骤2、引入香农熵对采样数据进行预处理;所述步骤2中香农熵处理的数据有 doctets (数据包中网络层字节的总个数)、srcaddr (源IP地址)、dstaddr (目的IP地址)、 和dstp〇rt(TCP/UDP目的端口号)。所述步骤2的具体流程如下:步骤21、以升序形式读取 需要处理的四种数据;步骤22、设置计算次数和计算结束条件;采用设置累积计算时间的 方法,本实施例使用30秒为一个单位进行累计计算;步骤23、进行hash运算,将拥有相同 关键字的四种数据记录下来,然后利用香农熵公式计算出相应的香农熵值。所以把测量数 据当作离散信息源,把测量数据中的各个属性看作是一组随机事件,就可以对它的信息熵 进行分析,X = {Xi,i = 1,…,N},(修改成Xi)表示在测量数据中属性i发生了叫次。那 么,香农熵公式如下所示: