本发明专利技术涉及一种网络流量异常的检测方法及检测装置,本发明专利技术提出的检测方法,考虑到流量异常信号具有多尺度特性,根据异常信号本身的频率特征,进行自适应分解,采用双门限判决机制,只对小于报警门限且大于分解门限的频带,继续分解,提高了检测的灵活性;另外可以对存在异常的分解频带进行自适应重构后的确认异常检测,提高了检测的可靠性。本发明专利技术还提出了基于异常流量频率特征的自适应窗口调整机制,克服了传统检测方法基于经验统计确定时窗大小的盲目性。本发明专利技术提出的检测装置包括:小波包变换模块、初期异常检测模块、还可以进一步包括小波包重构模块和确认异常检测模块。本发明专利技术对各个频段异常具有同样的检测能力,实现了全面、准确的检测。
【技术实现步骤摘要】
本专利技术涉及一种网络流量异常的检测方法及检测装置,尤其是一种利用小波包变换进行多尺度的网络流量异常的检测方法及检测装置。
技术介绍
网络流量异常指的是网络的流量行为偏离其正常行为的情形,引起网络流量异常的原因是多种多样的,例如网络设备的不良运行、网络操作异常、突发访问(flash crowd)、网络入侵等。异常流量的特点是发作突然,先兆特征未知,可以在短时间内给网络或网络上的计算机带来极大的危害(例如由特定的攻击程序或蠕虫爆发所引起的突发流量行为),因此准确、快速地检测网络流量的异常行为,并做出合理的响应是保证网络有效运行的前提之一。传统的网络安全技术侧重于企业用户网络的系统入侵检测、防病毒软件或防火墙,这类安全措施通常并不能检测运营商网络中的非正常流量和行为,对于企业用户网络的许多异常行为和流量也难以准确地检测和识别。为了及时地检测网络中的异常流量,减少或消除用户所遭受的各种网络危害,网络与路由交换设备需要具备对异常流量的检测与识别能力,并采用一定的干预规则,比如禁止某些端口的流量或者降低来自某一端口地址的带宽,对这些非法流量进行抑制或者拒绝。通常情况下,路由器尤其是主干网络路由器数据流量都是很大的,并且处于不断变化中,而异常流量相对于正常流量来说是很小的,甚至相对于正常流量的变化来说也是很小的。流量异常检测算法的最终目标是要从相对很大且处于不断变化的正常流量中,检测到相对很小的异常流量(可以说是“大海捞针”),而且要满足实时性的要求,因而系统设计和实现的难度很大,-->也使异常流量检测成为目前学术界和工业界共同关注的前沿课题之一。作为一种新兴的技术,近年来受到了国外理论界的高度重视,特别是从2002年以来,各种杂志和会议发表了大量的文章,其中绝大多数的讨论是针对DDoS攻击的检测。归纳起来有基于规则的方法(参见:文献[1]L.Lewisand G.Dreo,“Extending trouble ticket systems to fault diagnosis,”IEEENetwork;文献[2],L.Lewis,“A case based reasoning approach to themanagement of faults in communication networks,”in Proc.IEEE INFOCOM,vol.3,SanFrancisco,CA,Mar.1993,pp.1422-1429.vol.7,pp.44-51,Nov.1993.)、有限状态机的方法(参见:文献[3],I.Katzela and M.Schwarz,“Schemes for fault identification in communication networks,”IEEE/ACMTrans.Networking,vol.3,pp.753-764,Dec.1995;文献[4],I.Rouvellouand G.Hart,“Automatic alarm correlation for faultidentification,”in Proc.IEEE INFOCOM,Boston,MA,Apr.1995,pp.553-561.)、模式匹配的方法(参见:文献[5],F.Feather and R.Maxion,“Fault detectionin an ethernet network using anomaly signature matching,”in Proc.ACMSIGCOMM,vol.23,SanFrancisco,CA,Sept.1993,pp.279-288;文献[6],S.Papavassiliou,M.Pace,A.Zawadzki,and L.Ho,“Implementingenhanced network maintenance for transaction access services:Toolsand applications,”Proc.IEEE Int.Contr.Conf.,vol.1,pp.2 11-215,2000.)、统计分析的方法(参见:文献[7],Marina Thottan and ChuanyiJi,“Anomaly Detection in IP Networks”IEEE TRANSACTIONS ON SIGNALPROCESSING,VOL.51,NO.8,AUGUST 2003;文献[8],Chen-Mou Cheng,H.T.Kung,Koan-Sin Tan,“Use of Spectral Analysis in Defense Against DoSAttacks”,Proceedings of IEEE GLOBECOM 2002.)、Hurst系数分析方法(参见:文献[9],William H.Allen and Gerald A.Marin,“On theSelf-similarity of Synthetic Traffic for the Evaluation of Intrusion-->Detection Systems”,Proceedings of the 2003 Symposium onApplications and the Internet(SAINT’03);文献[10],向渝,“IP网络QoS和安全技术研究”,电子科技大学博士论文(2003年).)、子空间方法(参见:文献[11],A.Lakhina,M.Crovella,and C.Diot.“DiagnosingNetwork-Wide Traffic Anomalies”.In ACM SIGCOMM,Portland,August2004;文献[12],A.Lakhina,K.Papagiannaki,M.Crovella,C.Diot,E.D.Kolaczyk,and N.Taft.“Structural Analysis of Network TrafficFlows”.In ACM SIGMETRICS,New York,June 2004;文献[13],A.Lakhina,M.Crovella,and C.Diot.Characterization of Network-Wide Anomaliesin Tfaffic Flows.Technical Report BUCS-2004-020,Boston University,2004.)和小波分析方法(参见:文献[14],V.Alarcon-Aquino,J.A.Barria.“Anomaly Detection in Communication Networks Using Wavelets”.IEEEProc-Commun.Vol.148.No.6.December 2001;文献[15],P.Barford,J.Kline,D.Plonka,and A.Ron.“A signal analysis of networkt rafficanomalies”.In Proceedings of the ACM SIGCOMM Internet Measurem本文档来自技高网...
【技术保护点】
一种网络流量异常的检测方法,其特征在于包括如下步骤:步骤1、对网络流量进行采样,生成流量信号;步骤2、对流量信号进行小波包分解,生成多个频段的小波包系数序列;步骤3、对分解后生成的各频段的小波包系数序列进行初期异常检 测,生成检测参数,将检测参数与预先设定的报警门限和分解门限进行比较,如果存在检测参数大于所述报警门限,则确认为信号异常;如果存在检测参数小于所述报警门限,大于所述分解门限,则对该检测参数对应的频段进行下一层小波包分解,然后重复执行步骤3。
【技术特征摘要】
1、一种网络流量异常的检测方法,其特征在于包括如下步骤:步骤1、对网络流量进行采样,生成流量信号;步骤2、对流量信号进行小波包分解,生成多个频段的小波包系数序列;步骤3、对分解后生成的各频段的小波包系数序列进行初期异常检测,生成检测参数,将检测参数与预先设定的报警门限和分解门限进行比较,如果存在检测参数大于所述报警门限,则确认为信号异常;如果存在检测参数小于所述报警门限,大于所述分解门限,则对该检测参数对应的频段进行下一层小波包分解,然后重复执行步骤3。2、根据权利要求1所述的检测方法,其特征在于如果存在检测参数大于报警门限,则确认为信号异常,具体为:步骤4、对大于所述报警门限的检测参数对应频段的小波包系数序列进行重构;步骤5、将重构后生成的信号进行确认异常检测,将生成的检测参数与预先设定的所述报警门限进行比较,如果大于所述报警门限,则确认为信号异常。3、根据权利要求1或2所述的检测方法,其特征在于在所述步骤1中采样过程具体为:对单位时间内通过路由器的包数进行统计,生成流量信号。4、根据权利要求1或2所述的检测方法,其特征在于所述初期异常检测和/或确认异常检测采用偏离分数检测的方式。5、根据权利要求4所述的检测方法,其特征在于所述偏离分数检测采用历史方差窗口和检测窗口滑动检测的方式。6、根据权利要求5所述的检测方法,其特征在于在所述滑动检测过程中,所述检测窗口滑动检测生成检测窗口方差V1,所述历史方差窗口滑动检测生成历史窗口方差V2,所述检测参数为V1与V2的比值。7、根据权利...
【专利技术属性】
技术研发人员:胡光岷,高军,姚兴苗,杨松,李宗林,
申请(专利权)人:华为技术有限公司,电子科技大学,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。