【技术实现步骤摘要】
网络流量曲线分析方法和装置
本专利技术涉及信息安全领域,尤其涉及一种网络流量曲线分析方法和装置。
技术介绍
流量曲线(数据包个数、数据包体积等,能够表现流量特征的数值序列)是网络态势分析的常用工具,通过分析流量曲线可以在第一时间获取特定时期内的网络负载情况、负载变化情况,直观地评估网络环境的健康程度,特别是对于DDos洪泛攻击、Smurf攻击、Arp攻击等网络安全事件的发现具有比较实际、高效的指导作用。流量曲线建模本质上是以历史流量曲线为样本的数据挖掘过程,是对历史流量曲线在形态上的概括总结。在分析网络状态或评估网络健康情况时,一般采用基于指标的态势感知分析方法,这种方法根据对比前后两个状态的差异程度来判断网络状态的迁移,区别于态势感知,曲线模型往往包含着在时间维度上的前后关联信息,这种关联信息不仅可以回答态势是否发生了迁移,还可以更近一步分析这种迁移以历史的角度,是否发生过,变化幅度是否是正常的。网络流量的变化规律是由网络环境决定的,本质上是网络中各个节点的使用者(自然人或程序)行为规律的体现,因此当我们假设一个曲线样本在历史中发生过,本质上是在讨论产生这一曲线的行为是否曾经发生过。流量曲线中最重要的因素是时间,然而,通常情况下网络行为并不由时间唯一确定,特别是办公网络、社区网络等,网络行为主要由人引起,因此随机性很强,在小粒度时间点上基本没有普遍规律能够总结。
技术实现思路
本专利技术提供了一种网络流量曲线分析方法和装置,解决了对网络流量变化规律分析的问题。一种网络流量曲线分析方法和装置,包括:根据待评估流量曲线,从历史数据中选取建模样本;以所述建模样本作 ...
【技术保护点】
一种网络流量曲线分析方法,其特征在于,包括:根据待评估流量曲线,从历史数据中选取建模样本;以所述建模样本作为训练样本,构造模型;根据所述模型,评估所述待评估流量曲线的偏离度。
【技术特征摘要】
1.一种网络流量曲线分析方法,其特征在于,包括:根据待评估流量曲线,从历史数据中选取建模样本;以所述建模样本作为训练样本,构造模型;根据所述模型,评估所述待评估流量曲线的偏离度;根据待评估流量曲线,从历史数据中选取样本包括:从历史数据中选择与所述待评估流量曲线的时间相吻合的历史曲线段作为候选样本,所述候选样本符合以下表达式的定义;根据GoalCurve遍历所有CandidateCurve,同时获得它们与GoalCurve的距离distance(C_(b1,e1),C_(b2,e2)),所述distance(C_(b1,e1),C_(b2,e2))根据以下表达式计算:根据距离从小到大排序,从中选取距离最小的N个候选样本作为后续建模样本其中,CandidateCurve为候选样本,GoalCurve为待评估曲线,SampleCurve为建模样本,distance为曲线距离,dayinterval为24小时对应的时间点个数,ε为放松时延,b1表示第1个曲线C_(b1,e1)的起始时间,e1表示第1个曲线C_(b1,e1)的终止时间,b2表示第2个曲线的起始时间,e2表示第2个曲线C_(b2,e2)的终止时间,vb1表示第1个曲线C_(b1,e1)在b1时间点的元素值,vb2表示第2个曲线C_(b2,e2)在b2时间点的元素值,gbegin、gend是GoalCurve的起始、终止时间点。2.根据权利要求1所述的网络流量曲线分析方法,其特征在于,当N的取值增加时,对网络流量异常的敏感度也增加。3.根据权利要求1所述的网络流量曲线分析方法,其特征在于,所述以所述建模样本作为训练样本,构造模型包括:根据以下表达式获取曲线数据:ModelCurve={Cb,e|b=gbegin,e=gend};进行曲线建模,其中,x采用1至length的整数作为模型的输入,length是待评估流量曲线的长度,输出为样本曲线的元素值vt,其中x与t一一对应,x是vt在曲线中的序号,ModelCurve与GoalCurve在时间上一一对应,ModelCurve由模型以x为输入产出;t即为最大偏离时间点,x从1计。4.根据权利要求1所述的网络流量曲线分析方法,其特征在于,所述模型的中间层节点的数量取length/2,中间层节点的位置依x间隔选取。5.根据权利要求1所述的网络流量曲线分析方法,其特征在于,所述模型的激发函数选用高斯函数,其扩展常数σ设为2。6.根据权利要求1所述的网络流量曲线分析方法,其特征在于,根据所述模型,评估所述待评估流量曲线的偏离度包括:将值域[0,1]平均分为N份,确定总体偏离距离的分位数,第N个建模样本曲线的偏离度设为1,其余各个建模样本的偏离度设为Deviation(Cs)=i/N,i是依distance(Cs,ModelCurve从小到大的排序序号;根据以下表达式,计算待评估流量曲线GoalCurve总体的偏离度:其中,Cn使得distance(Cn,ModelCurve)与distance(Cs,ModelCurve)最接近;对于曲线C它的单点最大偏离距离为maxdistance(Cb,e,ModelCurvemb,me)=maxb≤t≤e(vt-(vt+mb-b)′)2,其中(vt+mb-b)′为ModelCurve的元素值,t即为最大偏离时间点maxbiaspoint;依maxdistance从小到大的序号i,设置各个样本的单点偏离度为MaxDeviation(Cs)=i/N,确定单点偏离距离的分位数;根据以下表达式计算待评估流量曲线GoalCurve总体的偏离度:其中,Cn使得maxdistance(Cn,ModelCurve)与maxdistance(Cs,ModelCurve)的距离最接近,mb为模型的起始时间,me为模型的终止时间;max(b≤t≤e),即在目标曲线的起始时间b和终止时间e中找到的一个时间点t,即该...
【专利技术属性】
技术研发人员:侯伟,周涛,
申请(专利权)人:北京启明星辰信息技术股份有限公司,北京启明星辰信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。