【技术实现步骤摘要】
本专利技术涉及一种分布式网络异常检测方法,特别是一种基于多变量序贯分析的分布式网络流量异常检测方法。
技术介绍
随着网络通信技术的快速发展,计算机网络改变了人们日常生活和工作方式,使得信息的获取、利用和处理更加高效,然而当我们在享受网络给我们带来便利的同时,还要时刻警惕网络异常行为给我们带来的危害。网络流量异常的特点是发作突然,先兆特征未知,大量消耗网络资源,导致网络拥塞、网络链路利用率下降、显著降低网络服务质量,有可能在短时间内给网络运营商和客户都产生极大的危害,此外,通常情况下,网络异常行为较正常行为相比,总量以及变化量都是很小的,因此如何准确、快速、实时地检测和响应流量异常是防范攻击、制定网络配置策略以实现合理利用网络资源的重要手段。近年来,研究人员将网络流行为的各种特征看作信号,采用信号处理的方法,探讨网络异常流行为在时域和频域中表现出的不同特性。基于信号处理的网络异常检测主要包括以下几种方法:基于时间的(Temporal)网络异常检测、基于谱分析(Spectrual Analysis)的网络异常检测以及基于空间(Spatial)的网络异常检 测。(1)基于时间的网络异常检测基于时间的网络异常检测方法主要采用应用时间序列分析方法进行分析。早期异常检测方法大多采用基于时间的方法,通过分析时间序列中偏离网络正常流行为的数据以检测网络异常。利用经典的时间序列预测模型,如AR[1]、ARMA[2]、ARIMA等,对网络流量进行预测,并根据预测值与实际观测值之间的偏差大小,通过设定一个阈值进行网络异常检测的目 ...
【技术保护点】
一种基于多变量序贯分析的分布式网络流量异常检测方法,其特征在于:包括以下步骤:a、获取分布式网络中链路的网络流量信息,并对网络流量信息进行预处理,得到网络流量的属性数据信息,提取其中的数据包大小值;b、构建网络流量新息序列:使用时间序列预测算法ARMA模型,对该链路数据包大小值进行预测,所得预测值和步骤a中提取的真实流量数据包大小值比对,将两个数据进行作差处理,得到新息序列;c、多变量序贯概率比检验方法:将步骤b中的新息序列通过多变量序贯概率比检验,得到似然比值;d、将后一个时刻的似然比值减去前一个时刻的似然比值,得到似然比突变值,构建似然比突变值序列;e、通过检测分布式网络2条以上的网络链路的似然比突变值序列的相关性来检测分布式网络异常的发生:当2条链路似然比突变值的皮尔逊相关系数≥0.8时,认为网络中流量发生异常;当2条链路似然比突变值的皮尔逊相关系数<0.8时,认为网络中流量没有发生异常。f、输出异常检测结果:根据步骤e中相关性变化,得出网络异常检测的结果。
【技术特征摘要】
1.一种基于多变量序贯分析的分布式网络流量异常检测方法,
其特征在于:包括以下步骤:
a、获取分布式网络中链路的网络流量信息,并对网络流量信息
进行预处理,得到网络流量的属性数据信息,提取其中的数据包大小
值;
b、构建网络流量新息序列:使用时间序列预测算法ARMA模型,
对该链路数据包大小值进行预测,所得预测值和步骤a中提取的真实
流量数据包大小值比对,将两个数据进行作差处理,得到新息序列;
c、多变量序贯概率比检验方法:将步骤b中的新息序列通过多变
量序贯概率比检验,得到似然比值;
d、将后一个时刻的似然比值减去前一个时刻的似然比值,得到
似然比突变值,构建似然比突变值序列;
e、通过检测分布式网络2条以上的网络链路的似然比突变值序列
的相关性来检测分布式网络异常的发生:当2条链路似然比突变值的
皮尔逊相关系数≥0.8时,认为网络中流量发生异常;当2条链路似然
比突变值的皮尔逊相关系数<0.8时,认为网络中流量没有发生异常。
f、输出异常检测结果:根据步骤e中相关性变化,得出网络异常
检测的结果。
2.根据权利要求1所述的基于多变量序贯分析的分布式网络流量
异常检测方法,其特征在于:步骤b为:分布式网络中链路的数据包
\t大小为数值xi,通过ARMA模型得到预测值将xi与进行作差处理,
得到新息序列3.根据权利要求1所述的基于多变...
【专利技术属性】
技术研发人员:陈利民,胡航宇,马涛,任阳阳,陆飙,王玮,张晓,于富财,李由,熊诚,刘毅,杨耀,龙诺亚,张猛,撒兴杰,张菡,郑元伟,
申请(专利权)人:贵州电网公司信息通信分公司,电子科技大学,
类型:发明
国别省市:贵州;52
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。