【技术实现步骤摘要】
基于流量数据样本统计和平衡信息熵估计的网络异常检测方法
本专利技术属于计算机网络安全
,具体涉及基于流量数据样本统计和平衡信息熵估计的网络异常检测方法。
技术介绍
网络行为异常检查(NBAD,networkbehavioranomalydetection)能连续监测专有网络的不寻常事件或趋势。网络行为异常检查是网络行为分析(NBA)的主要部分。网络行为异常检查(NBAD,networkbehavioranomalydetection)能连续监测专有网络的不寻常事件或趋势。网络行为异常检查是网络行为分析(NBA)的主要部分,除了传统反威胁应用程序(如防火墙、防病毒软件和间谍软件检测软件)提供的安全之外,网络行为分析也提供安全保护。网络行为异常检查(NBAD)程序实时跟踪关键网络特性,如果检测到一个不寻常事件或趋势,就生成显示威胁存在的警报。网络特性的例子有流量、带宽使用和协议使用。网络行为异常检查程序还可以监视个人网络用户的行为。为了使网络行为异常检查达到最佳效果,就必须在一段时间内建立正常网络或用户行为的基准。一旦某些参数被定义为是正常的,那么违背一个或多个...
【技术保护点】
1.基于流量数据样本统计和平衡信息熵估计的网络异常检测方法,其特征在于,包括以下步骤:流量数据采集,采集核心层进出端口和恶意终端所在接入层进出端口的流量数据,同时采集公开基准数据;统一数据格式,将采集流量数据获取的数据统一为JSON格式;数据特征分析,对数据格式统一后的流量数据特征,采用信息熵的平衡估计方法来估计总体分布信息;网络异常判断,基于网络流量数据特征分析得到的信息,采取K‑S统计检验的方法计算出流量数据采集时得到的实际流量数据所构成的数据集的平衡信息熵估计值,并对其进行归一化处理得到相对系数用于判断流量数据的聚合程度并判断网络是否存在异常。
【技术特征摘要】
1.基于流量数据样本统计和平衡信息熵估计的网络异常检测方法,其特征在于,包括以下步骤:流量数据采集,采集核心层进出端口和恶意终端所在接入层进出端口的流量数据,同时采集公开基准数据;统一数据格式,将采集流量数据获取的数据统一为JSON格式;数据特征分析,对数据格式统一后的流量数据特征,采用信息熵的平衡估计方法来估计总体分布信息;网络异常判断,基于网络流量数据特征分析得到的信息,采取K-S统计检验的方法计算出流量数据采集时得到的实际流量数据所构成的数据集的平衡信息熵估计值,并对其进行归一化处理得到相对系数用于判断流量数据的聚合程度并判断网络是否存在异常。2.如权利要求1所述的基于流量数据样本统计和平衡信息熵估计的网络异常检测方法,其特征在于:所述流量数据采集,是使用开源工具TCPtrace、Wireshark、Ethereal、Snort或商业软硬件系统CiscoNetflow、网络时间机器NTM、华为Netstream中的一种或多种,用串联、旁挂或端口镜像的方式采集获取得到核心层进出端口和恶意终端所在接入层进出端口的流量数据以及公开基准数据。3.如权利要求1或2所述的基于流量数据样本统计和平衡信息熵估计的网络异常检测方法,其特征在于:所述公开基准数据为覆盖了Probe,DoS,R2L,U2R和Data攻击方式的DARPA入侵数据集。4.如权利要求1所述的基于流量数据样本统计和平衡信息熵估计的网络异常检测方法,其特征在于:所述统一数据格式,采集到的流量数据包括IP数据包的header包头和payload载荷,只选取Header包头的特征在离线状态下转换为JSON格式。5.如权利要求1所述的基于流量数据样本统计和平衡信息熵估计的网络异常检测方法,其特征在于,所述数据特征分析,信息熵的平衡估计方法估计总体分布信息的具体方法如下:设离散随机变量X的取值范围为字母表A、集合大小为N,则使用香农信息熵带入得到信息熵平衡估计初值随机变量X在字母表A和集合N相等时取得,信息熵平衡估计值最大值用公式(1)得到的信息熵平衡估计初...
【专利技术属性】
技术研发人员:周琨,汪文勇,唐勇,黄鹂声,张骏,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。