一种基于信息熵和滑动窗口的网络异常检测方法及系统技术方案
【技术实现步骤摘要】
一种基于信息熵和滑动窗口的网络异常检测方法及系统
本专利技术涉及一种网络异常检测方法及系统,特别是涉及一种基于信息熵和滑动窗口的网络异常检测方法及系统。
技术介绍
目前网络异常检测的方法主要是基于统计的方法,其中主要包括如下五种:1)阈值检测技术。例如,检测在短时间内口令错误的次数。2)均值与标准偏差模型技术。通过计算参数的均值和标准差,设定置信区间,当观测值超过置信区间的范围时表明可能有异常。3)建立多变量模型。它的检测是基于对两个或多个参数进行相关分析发现异常。4)马尔可夫模型。将审计事件的每个不同类型作为一个状态变量,使用一个状态转移矩阵描述状态变化,概率较小的状态矩阵转移可能是异常产生点。5)时间序列模型。考虑一系列观察发生的顺序、到达时间和取值来发现异常。然而上述网络异常检测方法均各具有如下缺点:第一种方法的模型较为简单,然而其无法检测到更多的异常行为类型;对于第二种方法,由于置信区间需要通过经验人为设置,因此需要较多次数的失败和经验来生成可信的置信区间;第三种方法模型复杂,并且结果会随着参数不同而具有较大的变化;第四种发法适用于变量为连续参数的情况,对...
【技术保护点】
一种基于信息熵和滑动窗口的网络异常检测方法,包括如下步骤:?步骤一,定义时间窗口大小和时间窗口的滑动距离;?步骤二,按照滑动窗口设置依次递进计算每个时间窗口的熵值和熵比值;?步骤三,若计算获得的时间窗口的熵值小于给定阈值或熵比值大于给定阈值,则判断此时间窗口内有数据突变或者不符合之前规律的情况发生,发生网络异常。
【技术特征摘要】
1.一种基于信息熵和滑动窗口的网络异常检测方法,包括如下步骤:步骤一,定义时间窗口大小和时间窗口的滑动距离;步骤二,按照滑动窗口设置依次递进计算每个时间窗口的熵值和熵比值;步骤三,若计算获得的时间窗口的熵值小于给定阈值或熵比值大于给定阈值,则判断此时间窗口内有数据突变或者不符合之前规律的情况发生,发生网络异常;其中,所述步骤二还包括如下步骤:步骤2.1,计算时间窗口内各个时间点的比特数xi及其归一化值zi;步骤2.2,根据比特数xi和归一化值zi计算各时间点上zi的概率p(zi);步骤2.3,根据各时间点上zi的概率p(zi)计算时间窗口在zi上的熵值和熵比值。2.如权利要求1所述的一种基于信息熵和滑动窗口的网络异常检测方法,其特征在于,于步骤2.1中,根据如下公式计算时间窗口内各个时间点的比特数xi和归一化值zi:xi=bi-bi-1;当时;当时,其中bi为时间点i(i=k,k+1,...,k+n)处的指标值,3.如权利要求2所述的一种基于信息熵和滑动窗口的网络异常检测方法,其特征在于,于步骤2.2中,根据如下公式计算各时间点上zi的概率p(zi):其中为均值,为方差。4.如权利要求3所述的一种基于信息熵和滑动窗口的网络异常检测方法,其特征在于,于步骤2.3中,根...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。