本发明专利技术公开一种基于双参数Tsallis熵对的网络流量异常检测方法,所述方法:由于Tsallis熵:中,不同的参数q取值可以突出不同的流量特征分布。当q>1时,Tsallis熵对具有高概率分布的流特征异常具有很好的突出效果;当q<1时,Tsallis熵对具有低概率分布的流特征异常具有很好的突出效果。这一特点,因此,根据Tsallis熵的这个特点,分别取q>1时的最佳q值和q<1时的最佳q值,并根据计算组成Tsallis熵对,就可以同时很好的检测具有高概率和低概率流量特征的网络流量异常。本发明专利技术所述的方法用于网络流量异常的检测:简单、有效,对检测网络流量异常具有很好的效果。
【技术实现步骤摘要】
本专利技术涉及一种。
技术介绍
利用熵对网络流量异常进行检测被证明是一种简单有效的方法,而Tsallis熵被 证明比香农熵和Renyi熵在网络流量异常检测中具有更好的效果。但是现有的使用单一q 值Tsallis熵的检测方法不能很好的挖掘网络流量中的异常。
技术实现思路
针对上述问题,本专利技术提供一种简单、有效,对检测网络流量异常具有较好的效果 的。 为达到上述目的,本专利技术,包 括:将网络流量数据划分为均匀多个时间片,采用双参数Tsallis熵对计算各时间片内 各流特征数据对应的Tsallis熵值,其中所述的双参数Tsallis熵对为:Tsallis熵公式户的参数q分别取大于1、小于1两个参数值,组成的公式对,具体表达 式如下: 其中,TslSqi〈l时的Tsallis熵;TshSqh>l时的Tsallis熵; 设定各时间片内相应的各流特征数据分别对应的异常检测阈值Tl、T2, 将各时间片内的各流特征数据的熵值Tsl与T1比较,若Tsl>Tl,则判定在该时间 片内流量发生了异常,否则正常; 将各时间片内的各流特征数据熵值Tsh与T2比较,若Tsh〈T2,则判定在该时间片内 流量发生了异常,否则正常。 进一步地,所述的异常数据检测阈值Tl、T2以及参数qi、qh的取值通过对数据训 练得到,数据训练的方法具体包括: 选取训练流量数据,将所述训练流量数据流划分为均匀时间片,提取时间片内相 应的流特征数据,对其中的异常时间片进行标记; 选取多个备选参数别根据双参数Tsallis熵对公式对每一个参数 算各时间片内的相应的各流特征数据对应的Tsl熵值和TJ:商值; 基于各训练时间片的熵值结果、标记的异常时间片得到参数qi、qh的取值以及各 时间片内相应的各流特征数据分别对应的异常检测阈值Tl、T2。 3、根据权利要求1所述的,其 特征在于,所述的参数qi取值为:-2〈q'1,所述的参数qh取值为:l〈qh〈2。 优选地,所述的参数qi取值为:-2〈qi〈l,所述的参数qh取值为:l〈qh〈2。 于一具体实施例中,各时间片内的流特征数据至少包括源IP、目的IP、源端口和/ 或目的端口。 本专利技术,在Tsallis 熵:,不同的参数q取值可以突出不同的流量特征分布。当q>l时, Tsallis熵对具有高概率分布的流特征异常具有很好的突出效果;当q〈l时,Tsallis熵对 具有低概率分布的流特征异常具有很好的突出效果。本专利技术,分别取q>l时的最佳q值和 q〈l时的最佳q值,并根据计算组成Tsallis熵对,就可以同时很好的检测具有高概率和低 概率流量特征的网络流量异常。此方法简单、有效,对检测网络流量异常具有很好的效果。【具体实施方式】 下面结合附图对本专利技术做进一步的描述。 本专利技术基于双参数Tsallis熵的网络流量异常检测方法,具体包括训练阶段和检 测阶段。在训练阶段,需要得到在实际检测中所使用的q1和q、直以及检测阈值T1和T2。 在检测阶段,需要判断在哪一个时间片内发生了网络流量异常。具体步骤如下: 训练阶段: 步骤1 :选取样本空间:选取流量数据,将流量数据划分为均匀时间片并提取时间 片内相应的流量数据,如所有源IP/目的IP/源端口 /目的端口形成一个元素样本空间,也 可使用其它元素进行组合的方式形成元素样本空间; 步骤2 :针对训练数据,选取多个值qi和多个q邋作为备选q挪q逍,并根据公 式1,分别对每一个备选的&和qh值计算Tsl熵值和TJ:商值; 步骤3 :通过将得到的熵值与训练数据中的已事先标识出的异常进行对比,找出 最合理有效的qjPqh值及检测阈值Tl、T2 ; 检测阶段: 步骤1 :对被检测数据,使用通过训练得到的^和9^直,根据公式1进行熵值计 算; 步骤2 :熵值异常判定:对被检测的数据计算熵值,若Tsl>Tl,或者Tsh〈T2,则判定 在时间片内流量发生了异常。 实施例1 本实施例,包括: 提取网络流量数据:将网络流量数据划分为均匀多个时间片; 双参数Tsallis熵对计算:采用双参数Tsallis熵对计算各时间片内相应的各 流特征数据对应的Tsallis熵值,其中所述的双参数Tsallis熵对为:Tsallis熵公式 戸的参数q分别取大于1、小于1两个参数值,组成的公式对,具体表达 式如下: 其中,TslSqi〈l时的Tsallis熵;TshSqh>l时的Tsallis熵; 本实施例中,根据实验数据得到当所述的参数qi取值为:-2〈q'1,所述的参数qh 取值为:l〈qh〈2时,能够得到较为准确的异常网络数据判断结果,则根据经验在本实施例 中,参数qi为-1,qh为1.5。 设定各时间片内相应的各流特征数据对应的异常检测阈值Tl、T2,具体为:提取 流量数据各时间片内相应的各流特征数据,例如在本实施例中为源IP、目的IP、源端口、目 的端口,共四个流特征数据,对各所述流特征数据分别设定对应的异常检测阈值Tl、T2。 说明:在本专利技术以及本实施例中对于T1代表对应与Tsl进行对比判断网络异常的 异常检测阈值的总称,T2代表对应与Tsh进行对比判断网络异常的异常检测阈值的总称; 各时间片内相应的各流特征数据分别各自对应一个异常检测阈值T1、一个异常检测阈值 T2,也即Tl、T2的取值根据实际情况确定,也即在本实施例中有四个数值不尽相同的T1以 及四个数值不尽相同的T2;...
【技术保护点】
一种基于双参数Tsallis熵对的网络流量异常检测方法,其特征在于,包括:将网络流量数据划分为均匀多个时间片,采用双参数Tsallis熵对计算各时间片内各流特征数据对应的Tsallis熵值,其中所述的双参数Tsallis熵对为:Tsallis熵公式中的参数q分别取大于1、小于1两个参数值,组成的公式对,具体表达式如下:其中,Tsl为ql<1时的Tsallis熵;Tsh为qh>1时的Tsallis熵;设定各时间片内相应的各流特征数据分别对应的异常检测阈值T1、T2,将各时间片内的各流特征数据的熵值Tsl与T1比较,若Tsl>T1,则判定在该时间片内流量发生了异常,否则正常;将各时间片内的各流特征数据熵值Tsh与T2比较,若Tsh<T2,则判定在该时间片内流量发生了异常,否则正常。
【技术特征摘要】
【专利技术属性】
技术研发人员:王之梁,田庚,尹霞,施新刚,李子木,
申请(专利权)人:清华大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。