本发明专利技术公开了一种基于相对熵理论的多测度网络异常检测方法,本检测方法是通过对多个测度的相对熵加权得到综合相对熵进行网络异常判断,从而避免了单个测度检测在某种特定攻击下的单点失效问题,同时,基于相对熵的异常检测不同于流量异常检测,能够精确地反映测度的异常。该方法按照以下步骤具体实施:步骤1.异常检测测度的选择和量化;步骤2.数据预处理;步骤3.样本训练;步骤4.单测度相对熵检测;步骤5.多测度加权相对熵计算;步骤6.报警机制和检测结果显示。本发明专利技术方法提出的技术方案,有助于解决现有网络异常检测技术存在的检测攻击范围不够全面和检测率和降低误报率之间矛盾的问题,可提供主机、局域网、广域网等各种网络环境进行网路异常检测。
【技术实现步骤摘要】
【技术保护点】
一种基于相对熵理论的多测度网络异常检测方法,其特征在于,该方法按以下步骤具体实施: 步骤1、异常检测测度的选择和量化 异常检测测度选取的标准为:选择的测度对正常和异常区分度较高,且从网络流量中量化该特征值的计算量小; 步骤 2、数据预处理 多测度数据预处理是由多个单测度数据预处理来实现的,单测度统计分析的过程是,首先确定所测测度概率分布的项数为m,然后对捕获到的网络流量数据按照该测度进行统计分析,设m项对应数据包的个数分别为x↓[1],x↓[2],…,x ↓[m],总的数据包个数为*x↓[i],则每一项对应数据包占总数据包数的比率分别为p↓[1],p↓[2],…,p↓[m],其中p↓[i]=x↓[i]/*x↓[i](i=1,2,…,m) (2) 最后将p↓[1],p↓[2],…,p↓ [m]组成该测度的测度统计值库; 步骤3、样本训练 多测度的样本训练是由多个单测度的样本训练来实现的,单测度的样本训练过程包括数据预处理和数据均值化处理过程,样本训练数据一般都是由多个时间段的网络流量数据组成,这里时间段个数设为 N,对每一份进行数据预处理,就得到N个测度统计值库,然后对N个测度统计值库进行均值化处理,得到一个正常测度统计值库作为检测的标准,具体过程如下: P↓[1]={p↓[11],p↓[12],…,p↓[1m]}; P↓[2]={p↓ [21],p↓[22],…,p↓[2m]}; …… P↓[N]={p↓[N1],p↓[N2],…,p↓[Nm]}, P={*p↓[i1]/N,*p↓[i2]/N,…,*p↓[im]/N,} (3) 其中N表示捕获正 常网络流量数据的时间段数,m表示测度概率分布中的项数,P↓[1],P↓[2],…,P↓[N]表示每个时间段内正常网络流量数据的测度概率分布,该概率分布P就认为是通过样本训练得到的正常测度统计值库; 步骤4、单测度相对熵检测 设在 训练阶段取得的正常测度统计值库中的概率分布为P={p↓[1],p↓[2],…,p↓[n]}的概率值;在检测过程中,对采集的网络流量原始数据进行数据预处理,产生待检测测度统计值库的概率分布为Q={q↓[1],q↓[2],…,q↓[n]},则计算两个概率分布的相对熵距离为:L(P,Q)=*p↓[i]ln p↓[i]/q↓[i]; 步骤5、多测度加权相对熵计算 设存在k...
【技术特征摘要】
【专利技术属性】
技术研发人员:张亚玲,韩照国,
申请(专利权)人:西安理工大学,
类型:发明
国别省市:87[]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。