The invention discloses an adaptive network traffic anomaly detection method, which belongs to the field of network security, and solves the problems of poor self-adaptability, high overhead and poor timeliness of existing detection methods. The invention includes the first stage and the second stage; if it is the initial learning, the first stage is the first stage, otherwise the second stage is carried out; the first stage is the initial learning stage, in which the maximum learning value is used as the warning threshold of the network traffic index to trigger the warning, the jump proportional learning value and the jump learning value are used as the common warning threshold to trigger the warning, the jump proportional learning value and the steep drop proportional learning value. In the second stage, the updated maximum learning value is used as the warning threshold of the network traffic index to trigger the warning, the jump proportion learning value and the jump value learning value are used as the common warning threshold to trigger the warning, and the jump proportion learning value and the jump proportion learning value are used as the common warning threshold to trigger the warning. The invention is used for adaptive learning to detect abnormal network traffic.
【技术实现步骤摘要】
一种自适应的网络流量异常检测方法
一种自适应的网络流量异常检测方法,用于自适应学习对网络流量异常检测,属于网络安全领域。
技术介绍
随着Internet的不断发展,网络规模日益扩大,其承载的网络业务逐渐增多。网络安全已成为人们越来越关心的问题。网络流量异常是指对网络正常使用造成不良影响的网络流量模式,网络扫描、DDOS攻击、网络蠕虫病毒、恶意下载、物理链路损坏等都会导致网络流量异常。网络流量异常往往伴随严重后果,如占用网络资源,网络拥塞,造成丢包、延时增加;占用设备系统资源(CPU,内存等),网络设施面临瘫痪。因此网络异常流量的实时检测及合理响应对于维护网络安全、抑制恶意攻击和合理分配网络带宽具有重要意义。目前常见的网络异常流量的检测方法有以下几种。(1)基于数据挖掘的异常检测。数据挖掘可以有效的从海量网络流量数据中挖掘到潜在有用的信息。数据挖掘需要采集大量、真实有效的网络流量数据,通过抽样选取确定目标数据,对目标数据进行预处理及变换,然后应用数据挖掘中的算法如聚类分析、序列分析等,通过一定的判断规则,对流量数据进行检测。(2)基于小波变换的异常检测。对于非稳定的信号,小波变换通过有限长的会衰减的小波基进行时频域变化,从而得到它的时频谱。小波变换检测流量的步骤通常为:对一个指标的全部采样值进行分析,将其拆分为不同的分量,通过计算不同分量的方差,来按照一定的概率发现指标异常。小波变换对于信号的分解和重构是有效的,分解后的信号在频域上具有专一性,并对信号进行了平滑处理,从而将处理方法从平稳时间序列扩展到了非平稳时间序列。通过分析不同的尺度下逼近信号和细节信号, ...
【技术保护点】
1.一种自适应的网络流量异常检测方法,其特征在于,包括第一阶段和第二阶段;若为初始学习则执行第一阶段,否则执行第二阶段;第一阶段为初始学习阶段,包括如下步骤:S1、基于n个时间周期,获取每个时间周期内一个或多个网络流量指标的采样值,采样值表示该网络流量指标在该时间周期内的数值,某一个网络流量指标在n个时间周期得到n个采样值;S2、基于每个网络流量指标得到的n个采样值,得到最终最大学习值X_MAX_learn,并将X_MAX_learn*3作为该网络流量指标的预警阈值触发告警;S3、基于小于等于最终最大学习值X_MAX_1earn的该网络流量指标的所有采样值,得到突跳比例学习值X_INC_RATIO_learn和突跳值学习值X_CHANGE_learn作为共同预警阈值触发告警;S4、针对每个网络流量指标的所有采样值,获得陡降比例学习值X_DEC_RATIO_learn,将突跳值学习值X_CHANGE_learn和陡降比例学习值X_DEC_RATIO_learn作为该网络流量指标的共同预警阈值触发告警;S5、将步骤S2‑S4得到的某网络流量指标的结果,对步骤S1获取的对应网络流量指标的n个 ...
【技术特征摘要】
1.一种自适应的网络流量异常检测方法,其特征在于,包括第一阶段和第二阶段;若为初始学习则执行第一阶段,否则执行第二阶段;第一阶段为初始学习阶段,包括如下步骤:S1、基于n个时间周期,获取每个时间周期内一个或多个网络流量指标的采样值,采样值表示该网络流量指标在该时间周期内的数值,某一个网络流量指标在n个时间周期得到n个采样值;S2、基于每个网络流量指标得到的n个采样值,得到最终最大学习值X_MAX_learn,并将X_MAX_learn*3作为该网络流量指标的预警阈值触发告警;S3、基于小于等于最终最大学习值X_MAX_1earn的该网络流量指标的所有采样值,得到突跳比例学习值X_INC_RATIO_learn和突跳值学习值X_CHANGE_learn作为共同预警阈值触发告警;S4、针对每个网络流量指标的所有采样值,获得陡降比例学习值X_DEC_RATIO_learn,将突跳值学习值X_CHANGE_learn和陡降比例学习值X_DEC_RATIO_learn作为该网络流量指标的共同预警阈值触发告警;S5、将步骤S2-S4得到的某网络流量指标的结果,对步骤S1获取的对应网络流量指标的n个采样值进行检测,若满足任意一结果,则触发告警,否则不触发告警。第二阶段为持续学习与告警阶段,包括如下步骤:步骤1、基于m个时间周期,再次获取每个时间周期内某网络流量指标的采样值;步骤2、基于新获取的某网络流量指标的m个采样值对上一次得到的最终的最大值学习值X_MAX_learn、突跳值学习值X_CHANGE_learn、突跳比例学习值X_INC_RATIO_learn和陡降比例学习值X_DEC_RATIO_learn进行更新;步骤3、基于更新后的某网络流量指标的结果,再对步骤1中新获取的对应的网络流量指标的n个采样值进行检测,若满足任意一结果,则触发告警,否则不触发告警。2.根据权利要求1所述的一种自适应的网络流量异常检测方法,其特征在于,所述步骤S2的具体步骤为:S2.1、基于每个网络流量指标的n个采样值,n个采样值记录序列为(X1,X2,......Xn);S2.2、对n个采样值从小到大排序,重新记录该网络流量指标的采样值序列为(S1,S2,......Sn);S2.3、取n的中值,即k=n/2,若有小数位,去掉小数位取整,在排序后的采样值序列中取采样值Sk作为该网络流量指标的最大学习值X_MAX_learn;S2.4、基于排序后的采样值序列,选择采样值Si判断其是否小于X_MAX_learn*3,其中i=k+1,k+2,......n,若满足,则令X_MAX_learn=Si作为最大学习值X_MAX_learn,若该网络流量指标的采样值已检测完,得到最终最大学习值X_MAX_learn,X_MAX_learn*3则作为该网络流量指标的预警阈值,用于采样值超过预警预值触发该网络流量指标告警,否则,再次执行步骤S2.4对该网络流量指标的下一个采样值进行检测。3.根据权利要求1或2所述的一种自适应的网络流量异常检测方法,其特征在于,所述步骤S3的具体步骤为:S3.1、基于小于等于最终最大学习值X_MAX_learn的该网络...
【专利技术属性】
技术研发人员:段军红,闫晓斌,张小敏,张华峰,张驯,袁晖,赵博,张小东,赵金雄,杨波,李方军,宋曦,李志茹,党倩,卫祥,尚闻博,魏峰,杨凡,高丽娜,
申请(专利权)人:国网甘肃省电力公司电力科学研究院,国网甘肃省电力公司,国网甘肃省电力公司信息通信公司,
类型:发明
国别省市:甘肃,62
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。