【技术实现步骤摘要】
基于直觉模糊时间序列图挖掘的网络流量异常检测方法
本专利技术属于数据挖掘
,具体涉及一种网络流量异常检测方法。
技术介绍
网络流量异常是指网络中流量的行为偏离其正常行为的情形。为了保证网络的安全和稳定,维持其高效运行,网络管理者需要采取适当的技术对网络中可能出现的异常进行描述和分析,并作出预警,这就是网络流量异常检测。随着互联网技术的迅猛发展和广泛应用,各种网络攻击技术层出不穷,新的网络安全问题不断涌现,因此流量异常检测技术也成为一个始终被关注和研究的热点,各种信的技术和手段不断被应用到这个领域。目前常用的方法主要有应用异常子结构的网络流量异常检测、基于异常子图的网络流量异常检测以及结合信息熵理论建立单汇接点的时间序列图的方法。前两种方法没有考虑到图中顶点之间的关系,第三种方法对图中顶点之间的关系考虑不够全面。综上所述,目前现有的方法大都是基于一维网络流量预测实施的,预测结果不够准确,与实际流量之间存在较大偏差,获得的网络理论检测报告精度不高。
技术实现思路
为有效解决现有技术中存在的上述问...
【技术保护点】
1.基于直觉模糊时间序列图挖掘的网络流量异常检测方法,其特征在于,包括如下步骤:/n步骤一:IFTS图构建;/n步骤二:IFTS图挖掘;/n步骤三:确定异常判定准则。/n
【技术特征摘要】
1.基于直觉模糊时间序列图挖掘的网络流量异常检测方法,其特征在于,包括如下步骤:
步骤一:IFTS图构建;
步骤二:IFTS图挖掘;
步骤三:确定异常判定准则。
2.如权利要求1所述的基于直觉模糊时间序列图挖掘的网络流量异常检测方法,其特征在于,所述的步骤一包括如下步骤:
(1)计算历史数据信息熵值;
(2)利用IFTS预测模型进行预测;
(3)建立IFTS图。
3.如权利要求2所述的基于直觉模糊时间序列图挖掘的网络流量异常检测方法,其特征在于,所述的步骤一中的步骤(1)包括,
根据公式(1)进行信息熵H(X)的计算
其中,p(xi)为随机事件xi发生的概率;
计算得到历史流量数据的源IP、目的IP、源端口、目的端口和数据包长度5个属性的信息熵值,分别为{H1(SIP),H2(SIP),...,Ht(SIP)}(2)
{H1(DIP),H2(DIP),...,Ht(DIP)}(3)
{H1(SPT),H2(SPT),...,Ht(SPT)}(4)
{H1(DPT),H2(DPT),...,Ht(DPT)}(5)
{H1(LEN),H2(LEN),...,Ht(LEN)}(6)
其中,Hi(SIP)、Hi(DIP)、Hi(SPT)、Hi(DPT)和Hi(LEN)分别表示第i时刻源IP的信息熵、目的IP的信息熵、源端口的信息熵、目的端口的信息熵和数据包长度的信息熵,时刻i=1,2,…,t。
4.如权利要求3所述的基于直觉模糊时间序列图挖掘的网络流量异常检测方法,其特征在于,所述的步骤一中的步骤(2)包括,
对步骤(1)中的5个属性的信息熵值建立各自的启发式变阶IFTS预测模型,采用阶数随序列实时变化的高阶预测规则对t+1时刻5个属性的信息熵值进行预测,分别得到t+1时刻的源IP预测值目的IP预测值源端口预测值目的端口预测值和数据包长度预测值
5.如权利要求2所述的基于直觉模糊时间序列图挖掘的网络流量异常检测方法,其特征在于,所述的步骤一中的步骤(3)包括,
建立历史数据各时刻上的五顶点完全图Gi(Vi,Ei),Vi为顶点的集合,Ei为边的集合,i=1,2,…,t,得到整个时间序列上的IFTS图,然后根据预测数据建立t+1时刻的预测图
6.如权利要求5所述的基于直觉模糊时间序列图挖掘的网络流量异常检测方法,其特征在于,所述的五顶点完全图的建立方法如下:
记t时刻得到的5顶点完全图为Gt(Vt,Et),其中顶点vp∈Vt(p=1,2,3,4,5)和边em∈Et(m=1,2,...,10)的表示方法分别为:
顶点的计算方法如下:
利用t-1时刻到t时刻之间从网络中获...
【专利技术属性】
技术研发人员:王亚男,宋亚飞,王坚,路艳丽,权文,
申请(专利权)人:中国人民解放军空军工程大学,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。