一种通信网络中网络流量异常的实时检测方法技术

本发明专利技术提供一种通信网络中网络流量异常的实时检测方法，涉及通信网络技术领域。该方法包括如下步骤：把网络流量作为一个时间序列信号，构建流量矩阵；进行主成分分解，将网络流量分为主成分和非主成分，主成分表示网络流量的主要特征，非主成分表示网络流量的次要特征；进行经验模式分解，利用经验模式分解将网络流量划分为不同的固有模态函数分量，每个固有模态函数分量反映了网络流量中的真实隐藏信息，并且每个固有模态函数分量是相互正交的；根据主成分分析和经验模式分解的结果，进行异常流量检测。本发明专利技术结合了主成分分析与经验模态分解方法，能快速、准确、有效地检测网络流量中的异常成分，更全面，更符合实际。

Real time detection method for network traffic abnormity in communication network

The invention provides a real-time detection method for network traffic abnormity in a communication network, which relates to the technical field of communication network. The method comprises the following steps: the network traffic as a time series signal, construction of traffic matrix; principal component decomposition, the network traffic will be divided into the main component and the non principal components, principal components represent the main features of network traffic, non principal components representing secondary features of network traffic; empirical mode decomposition, the decomposition of network traffic divided into IMFs using different mode of experience, each IMFs reflects the true hidden information in network traffic, and each IMFs are mutually orthogonal; based on principal component analysis and empirical mode decomposition results of anomaly detection. The method combines principal component analysis and empirical mode decomposition method, and can rapidly, accurately and effectively detect abnormal components in network traffic, which is more comprehensive and more practical.

【技术实现步骤摘要】
一种通信网络中网络流量异常的实时检测方法
本专利技术涉及通信网络
，尤其涉及一种通信网络中网络流量异常的实时检测方法。
技术介绍
随着通信网络技术的快速发展，网络应用呈现出新的业务流量类型和新的应用模式，从而导致网络流量快速增长。同时，新的异常网络流量也迅速出现，并对网络性能和用户体验质量产生新的危害和影响。网络流量异常体现了用户和网络设备的异常行为模式，如用户滥用、网络攻击、设备故障等；通过检测异常的网络流量，可有效地主动防御异常的网络行为。因而，如何有效地检测和诊断通信网络中的流量异常是当前通信网络面对的重要挑战，特别是实时快速的流量异常侦测对解决当前的网络安全问题具有重要的意义。针对网络流量异常，已经进行了深入研究并提出了相应的检测方法，如时频域方法、信息度量、经验模态分解、主成分分析方法等。时频域方法利用时变变换的特征，将网络流量建模为时间序列信号，利用时频分析理论，将时间信号变换为时域信号，通过刻画网络流量的时频域特征、多尺度特征等，识别出隐藏在大背景流量中的微小异常流量分量；信息度量方法通过信息论分析理论，通过信息熵、信息流尺度等，刻画网络流量中的奇异分量，从而有效侦测异常网络流量；经验模态分解，通过经验模函数的信号刻画特征，将网络流量用经验模函数来进行分解和表示，并通过一系列的信号分析处理，从而提出异常的分量；主成分分析方法利用主成分分析的特点，通过将网络流量进行主成分分解，鉴于异常分量远远小于正常网络流量，则通过分析非主成分分量，并进行相应的处理和特征提取来识别异常的网络流量。另外，也有其他一些有效的检测方法，比如基于参数的检测方法、基于模型的检测方法、谱峭度分析法、动态异常检测方法等。尽管这些方法能有效的检测网络流量中的异常，但其检测误差较大，往往存在误侦测，而且这些方法多数采用离线侦测的方式，难以进行准确的、实时的网络流量异常检测。
技术实现思路
针对现有技术的缺陷，本专利技术提供一种通信网络中网络流量异常的实时检测方法，结合主成分分析与经验模态分解方法来检测网络流量中的异常成分，能实时准确地检测通信网络中的异常流量，更全面和符合实际需求。一种通信网络中网络流量异常的实时检测方法，包括以下步骤：步骤1：将网络流量作为一个时间序列信号，构建一个流量矩阵；步骤2：进行主成分分解，将网络流量分解为主成分和非主成分，其中主成分表示网络流量的主要特征，非主成分表示网络流量的次要特征；步骤3：利用经验模式分解将网络流量划分为不同的固有模态函数分量，每个固有模态函数分量反映了网络流量中的真实隐藏信息，并且每个固有模态函数分量是相互正交的，即通过经验模式分解将网络流量转换成正交的固有模式的功能组件；步骤4：根据主成分分析和经验模式分解的结果，进行异常流量检测。进一步地，所述步骤1中网络流量的时间序列信号为长度是N＝n2，n为一个整数，网络流量中含有K个主成分；将该网络流量构建成式(1)所示的流量矩阵；其中，u＝1，2，…，n，v＝1，2，…，n；所述步骤2中的主成分分解过程具体包括以下步骤：步骤2.1：根据主成分分析理论，对网络流量执行主成分分解，将式(1)所示矩阵分解为式(2)；Y＝{yuv}n×n＝UDVT(2)其中，U表示YYT的本征矢量矩阵，V表示YTY的本征矢量矩阵，D为n×n的非负对角矩阵；步骤2.2：选择网络流量中的K个主成分，将式(2)转化为式(3)，用来描述网络流量的特征；Yp＝{yuv，p}n×n＝V′D′U′(3)其中，Yp表示根据式(3)由K个主成分分量构成的网络流量矩阵Y的主成分分量，下标p代表principal的首字母而表示主成分分解结果；U′、V′和D′分别为选择K个主成分后U、V和D所对应的相应分量，V′和D′描述了网络流量的主要特征；步骤2.3：根据式(3)，对式(1)进行逆变换，得到如式(4)所示的新的时间序列；其中，表示网络流量中的主成分，体现网络流量中的主要特征；yuv，p表示的第(u-1)×n+v个元素；步骤2.4：另一个时间序列表示网络流量中的非主成分，体现网络流量中的次要特征，如式(5)所示；因此，网络流量被分解为两个部分和进一步地，所述步骤3中的经验模式分解具体方法如下：根据经验模态分解方法，对于网络流量的主要特征和非主要特征进行分解，分解后分别如式(6)和式(7)所示；其中，残余分量rm，p(t)表示时刻t的主成分平均趋势；gq，p(t)表示针对时刻t的主成分的经验模态函数；残余分量sm，np(t)表示时刻t的非主成分平均趋势；hq，np(t)表示针对时刻t的非主成分的经验模态函数；式(7)中的经验模态函数数目m由经验摸分解迭代过程确定。进一步地，所述步骤4中异常流量检测的具体方法为：步骤4.1：设置第一中间变量r0(t)，令令标识变量flag＝1，初始化第一循环变量i＝1，设定阈值a和最大迭代步数S；步骤4.2：初始化第二循环变量k＝0，设置第二中间变量ei+1，k(t)，并令ei+1，k(t)＝ri(t)，设置s(t)为一个三次样条函数，s＝3，v＝P，其中s表示样条函数类型，v表示门限变量，P表示门限初始值且P＞＞0；步骤4.3：确定第二中间变量ei+1，k(t)的局部最大值和最小值，使用s(t)一个基于样条插值的方法创建两条样条曲线su(t)和sl(t)，得到第三中间变量mi+1，k＝(su(t)+sl(t))/2；步骤4.4：令ei+1，k+1(t)＝ei+1，k(t)-mi+1，k，判断ei+1，k+1(t)是否满足本征模函数分量的条件，若满足，则执行步骤4.8；若不满足，则执行步骤4.5；步骤4.5：判断变量v是否大于中间变量mi+1，k，如果是，则令v＝mi+1，k，并令中间变量e(t)＝ei+1，k+1(t)，然后再执行步骤4.6；否则，直接执行步骤4.6；步骤4.6：判断是否s＝3，如果是，则设置样条函数s(t)为B样条，s＝0，然后返回步骤4.3；否则，执行步骤4.7；步骤4.7：判断是否k≤S，如果k≤S且满足则设置k＝k+1，s＝3，返回步骤4.3；否则，如果k＞S或不满足则令ei+1，k+1(t)＝e(t)，执行步骤4.8；步骤4.8：获取第i个固有的模式函数组件fi+1(t)＝ei+1，k+1(t)，其中fi+1(t)表示本征模函数分量，并且设置残余分量为ri+1(t)＝ri(t)-fi+1(t)；步骤4.9：如果flag＝1，则令主成分的经验模态函数为gi，p(t)＝fi(t)，残余分量为rm，p(t)＝ri+1(t)，否则令非主成分的经验模态函数hi，np(t)＝fi(t)，残余分量为sm，np(t)＝ri+1(t)；令i＝i+1；步骤4.10：判断残余分量ri+1(t)是否为一个单调函数，如果不是，返回到步骤4.2；否则，执行步骤4.11；步骤4.11：如果flag＝1，得到特征函数集合gp(t)＝{g1，p(t)，g2，p(t)，…}，其中的函数个数由迭代过程确定，令flag＝0，i＝1，返回到步骤4.2执行非主成分的经验模态分解过程；否则，执行步骤4.12；步骤4.12：得到特征函数集合hnp(t)＝{h1，np(t)，h2，np(t)，…}，其中的函数个数由迭代过程确定；步骤4.13：根据gp(t)本文档来自技高网...

【技术保护点】
一种通信网络中网络流量异常的实时检测方法，其特征在于：包括以下步骤：步骤1：将网络流量作为一个时间序列信号，构建一个流量矩阵；步骤2：进行主成分分解，将网络流量分解为主成分和非主成分，其中主成分表示网络流量的主要特征，非主成分表示网络流量的次要特征；步骤3：利用经验模式分解将网络流量划分为不同的固有模态函数分量，每个固有模态函数分量反映了网络流量中的真实隐藏信息，并且每个固有模态函数分量是相互正交的，即通过经验模式分解将网络流量转换成正交的固有模式的功能组件；步骤4：根据主成分分析和经验模式分解的结果，进行异常流量检测。

【技术特征摘要】
1.一种通信网络中网络流量异常的实时检测方法，其特征在于：包括以下步骤：步骤1：将网络流量作为一个时间序列信号，构建一个流量矩阵；步骤2：进行主成分分解，将网络流量分解为主成分和非主成分，其中主成分表示网络流量的主要特征，非主成分表示网络流量的次要特征；步骤3：利用经验模式分解将网络流量划分为不同的固有模态函数分量，每个固有模态函数分量反映了网络流量中的真实隐藏信息，并且每个固有模态函数分量是相互正交的，即通过经验模式分解将网络流量转换成正交的固有模式的功能组件；步骤4：根据主成分分析和经验模式分解的结果，进行异常流量检测。2.根据权利要求1所述的通信网络中网络流量异常的实时检测方法，其特征在于：所述步骤1中网络流量的时间序列信号为长度是N＝n2，n为一个整数，网络流量中含有K个主成分；将该网络流量构建成式(1)所示的流量矩阵；其中，u＝1，2，…，n，v＝1，2，…，n；所述步骤2中的主成分分解过程具体包括以下步骤：步骤2.1：根据主成分分析理论，对网络流量执行主成分分解，将式(1)所示矩阵分解为式(2)；Y＝{yuv}n×n＝UDVT(2)其中，U表示YYT的本征矢量矩阵，V表示YTY的本征矢量矩阵，D为n×n的非负对角矩阵；步骤2.2：选择网络流量中的K个主成分，将式(2)转化为式(3)，用来描述网络流量的特征；Yp＝{yuv，p}n×n＝V′D′U′(3)其中，Yp表示根据式(3)由K个主成分分量构成的网络流量矩阵Y的主成分分量，下标p代表principal的首字母而表示主成分分解结果；U′、V′和D′分别为选择K个主成分后U、V和D所对应的相应分量，V′和D′描述了网络流量的主要特征；步骤2.3：根据式(3)，对式(1)进行逆变换，得到如式(4)所示的新的时间序列；其中，表示网络流量中的主成分，体现网络流量中的主要特征；yuv，p表示的第(u-1)×n+v个元素；步骤2.4：另一个时间序列表示网络流量中的非主成分，体现网络流量中的次要特征，如式(5)所示；因此，网络流量被分解为两个部分和3.根据权利要求2所述的通信网络中网络流量异常的实时检测方法，其特征在于：所述步骤3中的经验模式分解具体方法如下：根据经验模态分解方法，对于网络流量的主要特征和非主要特征进行分解，分解后分别如式(6)和式(7)所示；

【专利技术属性】
技术研发人员：孟凡博，赵宏昊，董宏宇，康爱民，杜春辉，孙昕宇，齐智刚，
申请(专利权)人：国网辽宁省电力有限公司阜新供电公司，国网辽宁省电力有限公司，辽宁邮电规划设计院有限公司，国家电网公司，
类型：发明
国别省市：辽宁,21