專利名稱:一種檢測(cè)網(wǎng)絡(luò)攻擊行為的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)信息安全和數(shù)理統(tǒng)計(jì)相關(guān)理論,更具體地說(shuō),涉及一種檢測(cè)網(wǎng)絡(luò)
攻擊行為的方法,該方法基于相空間和超統(tǒng)計(jì)理論進(jìn)行網(wǎng)絡(luò)攻擊行為檢測(cè),可以及時(shí)發(fā)現(xiàn) 網(wǎng)絡(luò)故障和性能問(wèn)題,對(duì)提高網(wǎng)絡(luò)的可用性、可靠性和保證網(wǎng)絡(luò)服務(wù)質(zhì)量具有重要意義。
背景技術(shù):
已有的研究表明,多種網(wǎng)絡(luò)業(yè)務(wù)流量都具有混沌動(dòng)力學(xué)特性。相空間重構(gòu)是研究 和分析混沌動(dòng)力學(xué)系統(tǒng)的重要方法。含有攻擊行為網(wǎng)絡(luò)流量(異常網(wǎng)絡(luò)流量)序列往往是 有許多系統(tǒng)因子相互作用的綜合反映,它蘊(yùn)藏著參與運(yùn)動(dòng)的全部變量的痕跡,而非系統(tǒng)的 真實(shí)反映。Packard等人提出的相空間重構(gòu)理論認(rèn)為,由于觀測(cè)到的時(shí)間序列數(shù)據(jù)包含著 所有變量的痕跡,這樣在時(shí)間上先后得到的數(shù)據(jù)點(diǎn)彼此之間是相關(guān)的,用重構(gòu)到高維空間 的辦法,可以更好的把時(shí)間序列中蘊(yùn)涵的系統(tǒng)信息充分地顯示出來(lái)。已經(jīng)證明,當(dāng)嵌入維數(shù) m和時(shí)延t的選擇適當(dāng)時(shí),重構(gòu)的相空間可以具有與實(shí)際的動(dòng)力系統(tǒng)相同的幾何性質(zhì)和信 息性質(zhì),具有真實(shí)空間的所有特征。因此我們采用相空間的方法來(lái)研究和分析網(wǎng)絡(luò)異常流 量,重構(gòu)后相空間能保持與原來(lái)網(wǎng)絡(luò)流量動(dòng)力系統(tǒng)內(nèi)在結(jié)構(gòu)的不變性。 超統(tǒng)計(jì)理論屬于物理學(xué)的前沿領(lǐng)域并彌補(bǔ)了傳統(tǒng)統(tǒng)計(jì)方法的不足。超統(tǒng)計(jì)的含義
是指"統(tǒng)計(jì)之統(tǒng)計(jì)",用于描述多個(gè)動(dòng)力學(xué)子系統(tǒng)的復(fù)合。考慮到網(wǎng)絡(luò)流量的非平穩(wěn)性和突
發(fā)性,及其統(tǒng)計(jì)分布參數(shù)是隨機(jī)或者是復(fù)雜變化的,由此易于導(dǎo)致異常檢測(cè)所存在的問(wèn)題,
針對(duì)復(fù)雜問(wèn)題采用超統(tǒng)計(jì)理論,研究統(tǒng)計(jì)之統(tǒng)計(jì),統(tǒng)計(jì)參量的變化最為合適。 突變分析是時(shí)間序列研究的一個(gè)重要領(lǐng)域。20世紀(jì)60年代中期,以法國(guó)數(shù)學(xué)家
Thom的工作為先導(dǎo),逐步形成了突變理論。所謂突變就是指系統(tǒng)發(fā)生了突然的變化,是系統(tǒng)
對(duì)外界條件的光滑變化而做出的突然響應(yīng)。通常所說(shuō)的突變一般指初等突變,如均值突變、
頻率突變、趨勢(shì)突變和方差突變等。網(wǎng)絡(luò)流量往往受多個(gè)驅(qū)動(dòng)因子的控制,其行為將表現(xiàn)出
非線性、非平穩(wěn)和復(fù)雜的特性,其內(nèi)在的動(dòng)力結(jié)構(gòu)也可能隨著驅(qū)動(dòng)因子的改變而發(fā)生快速
的變化,即其內(nèi)在的演化方程發(fā)生了突變——?jiǎng)恿Y(jié)構(gòu)突變。 專利文獻(xiàn)"一種基于超統(tǒng)計(jì)理論的網(wǎng)絡(luò)流量異常檢測(cè)方法"(公開(kāi)號(hào)為 CN101286897,
公開(kāi)日為2008. 10. 15)提出根據(jù)網(wǎng)絡(luò)流量的實(shí)際特性確定一種分布模型,并 根據(jù)此分布模型計(jì)算網(wǎng)絡(luò)流量時(shí)間序列的慢變量序列,即分布參數(shù)序列;根據(jù)慢變量序列 的異常波動(dòng)來(lái)檢測(cè)網(wǎng)絡(luò)流量異常。其方法直接對(duì)整個(gè)流量數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析,數(shù)據(jù)量大,難 以發(fā)現(xiàn)系統(tǒng)內(nèi)的信息,其次依靠單一慢變量序列的進(jìn)行檢測(cè),可靠性較弱,誤檢率高。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種檢測(cè)網(wǎng)絡(luò)攻擊行為的方法,該方法具有可靠性高,誤 檢率低的特點(diǎn)。
本發(fā)明提供的檢測(cè)網(wǎng)絡(luò)攻擊行為的方法,其步驟包括 第1步根據(jù)網(wǎng)絡(luò)流量的復(fù)雜非線性特性將待檢測(cè)的網(wǎng)絡(luò)流量時(shí)間序列重構(gòu)到多
4維相空間,并根據(jù)正常網(wǎng)絡(luò)流量時(shí)間序列建立統(tǒng)計(jì)分布模型; 第2步對(duì)待檢測(cè)的網(wǎng)絡(luò)流量時(shí)間序列進(jìn)行平穩(wěn)化處理,將其分成子窗; 第3步按照統(tǒng)計(jì)分布模型計(jì)算平穩(wěn)化處理后的網(wǎng)絡(luò)流量時(shí)間序列的各子窗的參
數(shù),得到一個(gè)參數(shù)序列,再根據(jù)該參數(shù)序列建立綜合判決模型,檢測(cè)異常。 本發(fā)明通過(guò)相空間重構(gòu)先將其擴(kuò)展到多維的相空間中,把原網(wǎng)絡(luò)流量序列蘊(yùn)藏的
信息充分的充分顯露出來(lái),同時(shí)降低了每個(gè)維度的計(jì)算復(fù)雜度。再針對(duì)網(wǎng)絡(luò)流量非平穩(wěn)復(fù)
雜過(guò)程這一特點(diǎn)運(yùn)用了超統(tǒng)計(jì)理論,通過(guò)尋找反映流量統(tǒng)計(jì)模型的參數(shù)序列,變換了研究
對(duì)象,將對(duì)復(fù)雜的網(wǎng)絡(luò)流量數(shù)據(jù)的研究集中到對(duì)某個(gè)決定系統(tǒng)本質(zhì)變化的參數(shù)序列的研
究,既考慮到系統(tǒng)整體的優(yōu)越性,又避免了傳統(tǒng)有統(tǒng)計(jì)模型參數(shù)檢驗(yàn)計(jì)算的復(fù)雜性更進(jìn)一
步降低的計(jì)算復(fù)雜度。經(jīng)過(guò)多次實(shí)驗(yàn)獲得良好的實(shí)驗(yàn)效果,并且與未進(jìn)過(guò)相空間重構(gòu)而直
接進(jìn)行超統(tǒng)計(jì)檢驗(yàn)的方法進(jìn)行對(duì)比,發(fā)現(xiàn)該方法能夠在保證檢出率的同時(shí)大大的降低誤檢率。 與對(duì)比文獻(xiàn)所提出的技術(shù)方案相比,本發(fā)明將網(wǎng)絡(luò)流量重構(gòu)到多維空間里,一方 面可以充分顯示其蘊(yùn)藏在一維空間的信息,另一方面由于重構(gòu)降低了每個(gè)維度空間的計(jì)算 復(fù)雜程度,提高運(yùn)行的速度;另外在對(duì)分布模型的參數(shù)序列的研究,不僅僅利用單一的慢變 量序列,綜合考慮多參數(shù)序列模型的綜合判決模型,提高的系統(tǒng)的魯棒性和準(zhǔn)確性。此外與 其他網(wǎng)絡(luò)流量異常檢測(cè)模型相比,該方法具有計(jì)算復(fù)雜度低,檢出率高和誤檢率低等特點(diǎn)。
圖1為本發(fā)明提供的檢測(cè)網(wǎng)絡(luò)攻擊行為方法的流程圖。
圖2為本發(fā)明提供的平穩(wěn)化處理網(wǎng)絡(luò)流量的方法圖釋
具體實(shí)施例方式
下面結(jié)合附圖和實(shí)例對(duì)本發(fā)明作進(jìn)一步詳細(xì)的說(shuō)明 (1)網(wǎng)絡(luò)流量時(shí)間序列的相空間重構(gòu),并根據(jù)正常網(wǎng)絡(luò)流量時(shí)間序列建立統(tǒng)計(jì)分 布模型。 (1. 1)根據(jù)網(wǎng)絡(luò)流量時(shí)間序列的復(fù)雜非線性特性選擇相空間重構(gòu)的方法,將網(wǎng)絡(luò) 流量時(shí)間序列重構(gòu)到多維相空間。已經(jīng)證明,當(dāng)確定嵌入維數(shù)m和時(shí)延t的時(shí),重構(gòu)的相空 間可以具有與實(shí)際的動(dòng)力系統(tǒng)相同的幾何性質(zhì)和信息性質(zhì),具有真實(shí)空間的所有特征。因 此我們采用相空間的方法來(lái)研究和分析網(wǎng)絡(luò)異常流量,重構(gòu)后相空間能保持與原來(lái)網(wǎng)絡(luò)流 量動(dòng)力系統(tǒng)內(nèi)在結(jié)構(gòu)的不變性。計(jì)算時(shí)間延遲t的常用的方法有自關(guān)聯(lián)函數(shù)法、互信息 法、平均位移法等;計(jì)算嵌入維m可選擇假近鄰法、拉斯伯格(P. Grassberger)和普羅克西 婭(I. Procaccia)算法(簡(jiǎn)稱G_P算法)等方法來(lái)計(jì)算。 (1. 2)在每個(gè)維度上研究網(wǎng)絡(luò)流量的特征,并且根據(jù)網(wǎng)絡(luò)流量的實(shí)際特性研究符 合其分布特性的模型。針對(duì)正常網(wǎng)絡(luò)流量的具體特征均可以選取一種合適的分布模型擬 合局部網(wǎng)絡(luò)流量,該分布模型必須能夠描述局部網(wǎng)絡(luò)流量時(shí)間序列的特征并且分布模型 必須通過(guò)局部網(wǎng)絡(luò)流量的分布擬合檢驗(yàn),比如通用的皮爾遜擬合檢驗(yàn)法、柯?tīng)柲Z夫-斯 米爾諾夫檢驗(yàn)、相關(guān)系數(shù)檢驗(yàn)以及針對(duì)特定分布模型的檢驗(yàn)方法,例如正態(tài)分布的W檢 驗(yàn)、D檢驗(yàn)等。早期的網(wǎng)絡(luò)流量由于網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單,網(wǎng)絡(luò)業(yè)務(wù)較少,一些常用的分布模型例
5如Poisson分布模型、正態(tài)分布模型等都可以用來(lái)對(duì)局部網(wǎng)絡(luò)流量進(jìn)行擬合;離散廣義 Pareto分布模型,伽馬分布模型等則可以用來(lái)擬合晚期的網(wǎng)路流量。
步驟(1. 1)和步驟(1. 2)之間的順序可以互換,也可以同時(shí)進(jìn)行。
(2)網(wǎng)絡(luò)流量時(shí)間序列的平穩(wěn)化處理 統(tǒng)計(jì)分布模型的建立均需要序列滿足平穩(wěn)性的要求,但是已有的研究已經(jīng)表明網(wǎng)
絡(luò)流量時(shí)間序列是非平穩(wěn)復(fù)雜的序列,這時(shí)首先應(yīng)選擇適當(dāng)?shù)姆椒ㄆ椒€(wěn)化網(wǎng)絡(luò)流量時(shí)間序
列,將非平穩(wěn)的網(wǎng)絡(luò)流量時(shí)間序列變成平穩(wěn)至少是寬平穩(wěn)的子窗序列。
(3)計(jì)算子窗中統(tǒng)計(jì)分布模型參數(shù),根據(jù)參數(shù)序列建立綜合判決模型,檢測(cè)異常。 研究每個(gè)維度的分布模型參數(shù)的變化,根據(jù)其參數(shù)序列的變化確定綜合判決模型
來(lái)檢測(cè)網(wǎng)絡(luò)流量異常。在每個(gè)子窗序列研究計(jì)算符合網(wǎng)絡(luò)流量特性的分布模型的參數(shù),根
據(jù)前面得到的參數(shù)序列,確定控制變量個(gè)數(shù)(控制變量為其他的個(gè)數(shù)也可以,只是要采樣
的突變模型不一樣而已),狀態(tài)變量個(gè)數(shù)為網(wǎng)絡(luò)流量,那么就可以選擇適當(dāng)突變模型。計(jì)算
特征量P到分歧集的距離D,超過(guò)相應(yīng)的域值,即為有異常網(wǎng)絡(luò)行為發(fā)生。 下面結(jié)合一個(gè)實(shí)例對(duì)本發(fā)明方法作進(jìn)一步詳細(xì)的說(shuō)明。
(1)網(wǎng)絡(luò)流量時(shí)間序列的預(yù)處理 a)研究數(shù)據(jù)的獲取 麻省理工林肯實(shí)驗(yàn)室的信息系統(tǒng)技術(shù)組在美國(guó)國(guó)防部高級(jí)研究項(xiàng)目署(DARPA) 及空軍研究室贊助下,為計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)評(píng)估提供了測(cè)試用數(shù)據(jù)集合。該數(shù)據(jù)集 合包含了豐富的數(shù)據(jù)包流量和許多不同類型的入侵攻擊(主要有拒絕服務(wù)攻擊DoS ;分布 式拒絕服務(wù)攻擊DDoS ;遠(yuǎn)程攻擊R2L ;本地用戶非法提升權(quán)限的攻擊U2R和非法監(jiān)聽(tīng)和探 測(cè)等四類)。每一數(shù)據(jù)項(xiàng)包括數(shù)據(jù)包編號(hào)、數(shù)據(jù)包的頭件和正文。其中數(shù)據(jù)包的頭文件里 記錄了這個(gè)包的起始時(shí)間、與第一個(gè)包的時(shí)間間隔、源地址、目標(biāo)地址、數(shù)據(jù)包長(zhǎng)度、網(wǎng)絡(luò)協(xié) 議等信息。數(shù)據(jù)包主要由以下幾種類型組成IP,arp,netbeui。其中IP包的長(zhǎng)度(bytes) 為括號(hào)中的字節(jié)數(shù)加上40(IP包頭長(zhǎng)),netbeui為局域網(wǎng)的協(xié)議,符合該協(xié)議的數(shù)據(jù)包長(zhǎng) 度為14字節(jié),arp (地址解析協(xié)議)數(shù)據(jù)包的長(zhǎng)度28字節(jié)。
(b)網(wǎng)絡(luò)流量時(shí)間序列的產(chǎn)生 周期采樣方法指的是以固定頻率尺度對(duì)網(wǎng)絡(luò)流量進(jìn)行周期性采樣的方法,它表示 每單位時(shí)間到達(dá)的字節(jié)數(shù)或數(shù)據(jù)包數(shù)量。該方法按照固定的時(shí)間間隔對(duì)數(shù)據(jù)包進(jìn)行分組, 然后對(duì)該組數(shù)據(jù)包中的數(shù)據(jù)包的字節(jié)數(shù)或者包數(shù)量進(jìn)行累積,每組累積數(shù)據(jù)包字節(jié)數(shù)或者 包數(shù)量組成一個(gè)時(shí)間序列。 包緩沖區(qū)隊(duì)列排隊(duì)所構(gòu)成的時(shí)間序列指的是根據(jù)包緩沖區(qū)中的包的到來(lái)的先后 次序進(jìn)行分組,每組中的數(shù)據(jù)包的數(shù)量一定,然后對(duì)該組數(shù)據(jù)包中的數(shù)據(jù)包的字節(jié)數(shù)進(jìn)行 累積,每組累積的數(shù)據(jù)包字節(jié)數(shù)組成一個(gè)時(shí)間序列。
(2)網(wǎng)絡(luò)流量時(shí)間序列的相空間重構(gòu) 對(duì)于時(shí)間序列x(t),如果能確定嵌入維數(shù)m和時(shí)間延時(shí)t ,可以根據(jù)公式(1)重 構(gòu)相空間y(t)。重構(gòu)的相空間可以具有與原實(shí)際的動(dòng)力系統(tǒng)相同的幾何性質(zhì)和信息性質(zhì), 具有真實(shí)空間的所有特征。 y(t》=[x(ti),x(ti+t),…,x(ti+(m-l) t)]i = 1,2,…n (1) 其中,t表示時(shí)間序列的樣本點(diǎn),i為時(shí)間序列的個(gè)數(shù),n為正整數(shù)。下面給出時(shí)間延遲t和嵌入維數(shù)m的計(jì)算方法
A時(shí)間延遲t的計(jì)算方法 平均互信息方法是估計(jì)重構(gòu)相空間時(shí)間延遲的一種有效方法,它在相空間重構(gòu)中 有很廣泛的應(yīng)用?;バ畔⒑瘮?shù)法是由Shaw和Faster [FRASER A M, SWINNEY H L. Phys Rev A, 1986, 33 :1134-1140.]給出的,即選取表示一個(gè)時(shí)間序列相繼點(diǎn)之間一般依賴關(guān)系的互 信息函數(shù)的第一個(gè)局部極小值點(diǎn)所對(duì)應(yīng)的時(shí)間作為延遲時(shí)間。
Sk(k =
對(duì)于一個(gè)含有N個(gè)元素的變量S(l), 1 = 1,2, ...N,記Ps(Sk)為變量S處于狀態(tài)
1, 2, . . . , N)的概率,則變量S的信息熵定義為 ,N
變量S(l)的延時(shí)q(l) = S(1+t))對(duì)于S(l)的條件熵定義為
<formula>formula see original document page 7</formula>
其中Psq(Si, q》是變量S和q分別取Si和qi時(shí)的聯(lián)合概率,H(S, q)是變量S和q 的聯(lián)合熵。變量S和q的互信息為 I (q, S) = H (q) _H (q | S) = H (q) +H (S) _H (q, S) = I (S, q) 對(duì)于一般情況,時(shí)間序x (n)與其延時(shí)序列x (n+ t )互信息In( t )可表示為 In( t ) = H(x)+H(xT)-H(x, xT) (2) 如果向量是一個(gè)延遲時(shí)間重構(gòu),則In( t )第一次達(dá)到最小值的時(shí)間可作為相空間
重構(gòu)的時(shí)間延遲t 。 B嵌入維數(shù)m的計(jì)算 這里采用的方法就是由Grassberger和Procaccia (縮寫G_P算法)[Grassberger P and Procaccia I 1983 Phys. Rev. Lett. 50 346]提出的時(shí)間序列計(jì)算時(shí)間序列嵌入維的方法。 將一組測(cè)量時(shí)間序列{x(i) , i = 1,, n}嵌入到m維歐氏空間Rm中(n為正整 數(shù)),組成一個(gè)集合。主要步驟如下 1)先將時(shí)間序列{x(i) , i = 1,2, . , n}轉(zhuǎn)化為m維歐氏空間IT,一個(gè)重構(gòu)的相 空間,得到nm個(gè)樣本點(diǎn),其中nm = n- (m_l) t
2)計(jì)算關(guān)聯(lián)函數(shù) 從這nm個(gè)點(diǎn)中任選一個(gè)參考點(diǎn)x(i),根據(jù)公式(2)計(jì)算其余nm-l個(gè)點(diǎn)到x(i)的 距離ri,j
i/2
<formula>formula see original document page 7</formula>
對(duì)所有的x(i) (i = 1,2,…,nj重復(fù)該過(guò)程,得到關(guān)聯(lián)積分函數(shù)Cm(r) 公式(3)中H是Heaviside函數(shù),
當(dāng)r取充分小時(shí),關(guān)聯(lián)積分函數(shù)逼近下式,其中C為常數(shù)
lnCm(r) = lnC+d(m) lnr
因此,m維空間數(shù)據(jù)的關(guān)聯(lián)維數(shù) D(m) = lim
1 當(dāng)D (m)不隨維數(shù)m的升高而改變時(shí),就是該系統(tǒng)的維數(shù)dd = limm—①D (m)
在實(shí)際計(jì)算中為一段最光滑最佳擬合直線,直線的斜率就是d。
根據(jù)以上計(jì)算出來(lái)的時(shí)間延時(shí)和嵌入維,即可確定重構(gòu)后的相空間。
(3)根據(jù)正常網(wǎng)絡(luò)流量時(shí)間序列建立統(tǒng)計(jì)分布模型 A正常網(wǎng)絡(luò)流量在局部表現(xiàn)出很強(qiáng)的突發(fā)性,并且從直方圖中可以看出實(shí)際網(wǎng) 絡(luò)表現(xiàn)出明顯的重尾特性。因此基于正常網(wǎng)絡(luò)流量的上述特點(diǎn),在本例中選擇離散廣義 Pareto分布對(duì)局部網(wǎng)絡(luò)流量進(jìn)行分析。
B分布模型的檢驗(yàn) 對(duì)模型進(jìn)行分布檢驗(yàn),以驗(yàn)證其方法的準(zhǔn)確性和有效性。這里我們采用用圖檢驗(yàn) 方法和相關(guān)系數(shù)檢驗(yàn)方法進(jìn)行檢驗(yàn)。從圖檢驗(yàn)的結(jié)果直觀發(fā)現(xiàn)所有點(diǎn)基本上擬合在一條直 線上,說(shuō)明符合離散廣義Pareto分布的分布圖檢驗(yàn)。在進(jìn)一步計(jì)算出R"2檢驗(yàn)的結(jié)果,從
計(jì)算的結(jié)果也比較證明分布模型建立的準(zhǔn)確性。
(4)網(wǎng)絡(luò)流量時(shí)間序列的平穩(wěn)化處理 由于異常流量是一種復(fù)雜的非線性或隨機(jī)性的變化過(guò)程,簡(jiǎn)單差分轉(zhuǎn)平穩(wěn)方法一 般是無(wú)效的;根據(jù)微積分的思想——分窗處理可以有效降低其在子窗顯著性和復(fù)雜性,采 用非平穩(wěn)序列劃分成平穩(wěn)子窗,在根據(jù)流量的本身統(tǒng)計(jì)特性確定相應(yīng)的統(tǒng)計(jì)模型的基礎(chǔ)之 上,由保持統(tǒng)計(jì)模型的參數(shù)在子窗內(nèi)的寬平穩(wěn)性原則進(jìn)行分窗處理。 參考啟發(fā)式分割算法是一種能將非平穩(wěn)時(shí)間序列按照均值劃分為平穩(wěn)子序列的 有效方法(由Galvan在2001年提出),但其方法是按照整個(gè)序列統(tǒng)一來(lái)劃分窗口的,而不 是按照時(shí)間序列時(shí)間增長(zhǎng)的方向分割。我們采用的方法其主要思想介紹如下,參考附圖2 :
記待測(cè)的網(wǎng)絡(luò)流量時(shí)間序列為x(t),其包含的點(diǎn)數(shù)為N ;記初始窗口部分為L(zhǎng)s,初 始滑動(dòng)窗口為L(zhǎng)m, Ls+Lm的區(qū)域?yàn)楫?dāng)前窗口,設(shè)i為當(dāng)前窗口的截止位置,Ls+Lm的長(zhǎng)度N2(i), 其Ls的長(zhǎng)度為Nn分別計(jì)算Ls和(Ls+U部分的平均值丄(i) 、 2 (i),以及標(biāo)準(zhǔn)偏差Sl (i) 和sji),則當(dāng)前窗口的合并偏差SD(i)為 <formula>formula see original document page 8</formula>(5)
其中,用統(tǒng)計(jì)值T(i)來(lái)量化表示Ls, Ls+Lm的差異
第2.2步若3G^T(i) ^G,其中G為設(shè)定域值,G二0.5,則進(jìn)入第2.3步,否則, 按照以下規(guī)則調(diào)整Lm的長(zhǎng)度; 若T (i) < G,則進(jìn)一步縮放滑動(dòng)窗口 Lm = Lm+Lf (Lm初始值為10, Lf為滑動(dòng)增量, 范圍為大于0,小于Lm,初始可以取3 5),重復(fù)上面的步驟; 若T (i) > 3G,則進(jìn)一步縮放滑動(dòng)窗口 Lm = Lm_Lf (Lm初始值為10, Lf為滑動(dòng)增量,范圍為大于0,小于Lm,初始可以取2 3),重復(fù)上面的步驟; 第2. 3步,根據(jù)Lm最后一個(gè)點(diǎn)所在位置作為第一個(gè)子窗分割點(diǎn)W工后,從W工位置出
按照第2. 1步計(jì)算下一個(gè)T(i),得到第二個(gè)子窗分割點(diǎn)W2直到序列的結(jié)尾。 即可依次求出每個(gè)子窗的大小,用皿記作子窗總數(shù),即網(wǎng)絡(luò)流量由皿個(gè)子窗組
成,i己<formula>formula see original document page 9</formula>
(5)計(jì)算子窗中統(tǒng)計(jì)分布模型參數(shù),根據(jù)參數(shù)序列建立綜合判決模型檢測(cè)異常。
A參數(shù)估計(jì)方法 采用2001年Rasmussen提出了一種新的GPD參數(shù)估計(jì)方法廣義概率權(quán)重矩估計(jì) (GP麗)。GP麗方法 <formula>formula see original document page 9</formula> (x1:n《x2:n《...《xn:n)是經(jīng)過(guò)排序的樣本,v可以取任意實(shí)數(shù),GP麗方法通常 取Vi = 1, v2 = 1.5。 Pj:n是樣本累計(jì)分布函數(shù)的K即lan-Meier估計(jì),即經(jīng)驗(yàn)累計(jì)分布函 數(shù),尺度參數(shù)b和形狀參數(shù)k可以通過(guò)以下兩式計(jì)算。
<formula>formula see original document page 9</formula> 通過(guò)多次疊加運(yùn)算,即可計(jì)算出的離散廣義pareto分布的形狀參數(shù)和尺度參數(shù)。 根據(jù)公式(7)和(8)計(jì)算每一個(gè)子窗的參數(shù)值k和b,形成用于檢測(cè)的參數(shù)序列{knk2,..., km}和ftv b2, , bm}(皿為子窗總數(shù))。
B基于突變的綜合決策模型 因?yàn)榫W(wǎng)絡(luò)流量具有非線性、非平穩(wěn)性和復(fù)雜性的特點(diǎn),網(wǎng)絡(luò)流量的異常變化是一 種突變過(guò)程,根據(jù)控制變量以及狀態(tài)變量的個(gè)數(shù),就可以選擇適當(dāng)?shù)耐蛔兡P蛠?lái)描述網(wǎng)絡(luò) 流量的動(dòng)態(tài)特征。根據(jù)前面得到的參數(shù)序列{、, k2, . . . , km}和ftv b2, . . . , bm},控制變 量個(gè)數(shù)為2個(gè)(控制變量為其他的個(gè)數(shù)也可以,只是要采樣的突變模型不一樣而已),即離
散廣義pareto模型的形狀參數(shù)和尺度參數(shù),狀態(tài)變量為網(wǎng)絡(luò)流量x {XWl, xw2,......, xwm},
那么就可以選擇尖點(diǎn)突變模型。尖點(diǎn)突變模型是由兩組狀態(tài)變量(u,v)來(lái)描述系統(tǒng)x的一 組狀態(tài)變量(u, v)所組成的參數(shù)空間也稱為控制空間,其勢(shì)函數(shù)可以表示如下
<formula>formula see original document page 9</formula>
其中a, b為系數(shù),x為狀態(tài)變量即網(wǎng)絡(luò)流量x{xWl, xw2,......, xwm} , u, v為控制
變量是前面計(jì)算出來(lái)的形狀參數(shù){、, k2, . . . , km}和尺度參數(shù)ftv b2, . . . , bm}。不同控制 參數(shù)的數(shù)值組合會(huì)形成不同結(jié)構(gòu)的勢(shì)函數(shù),要求出這些勢(shì)函數(shù)的穩(wěn)定解只需要對(duì)其微分便 可以得到他們的穩(wěn)定曲面如下式。根據(jù)前面已計(jì)算的所有(x,u,v),計(jì)算公式lO和公式ll 的平方和,使得這個(gè)和最的a、 b,即為系數(shù)a、 b的值 <formula>formula see original document page 9</formula> 消去狀態(tài)變量可以得到由(u, v)組成的分叉集S,如下
8a3u3+27b2v2 = 0 (11) 根據(jù)已經(jīng)建立的突變模型,設(shè)定一個(gè)閾值l ,,利用新觀測(cè)到的網(wǎng)絡(luò)流量數(shù)據(jù),應(yīng) 用相空間重構(gòu)方法,可以計(jì)算出對(duì)應(yīng)的特征量P(u, v),根據(jù)公式11計(jì)算P到分叉集S的距 離D,當(dāng)D《l,則檢測(cè)出網(wǎng)絡(luò)流量的異常?!堕撝档挠?jì)算可以根據(jù)最開(kāi)始5個(gè)子窗的特征 量P到分叉集的距離的平均值,在實(shí)際計(jì)算中可以做相應(yīng)的縮放。 以上所述為本發(fā)明的較佳實(shí)施例而已,但本發(fā)明不應(yīng)該局限于該實(shí)施例和附圖所 公開(kāi)的內(nèi)容。所以凡是不脫離本發(fā)明所公開(kāi)的精神下完成的等效或修改,都落入本發(fā)明保 護(hù)的范圍。
權(quán)利要求
一種檢測(cè)網(wǎng)絡(luò)攻擊行為的方法,其步驟包括第1步根據(jù)網(wǎng)絡(luò)流量的復(fù)雜非線性特性將待檢測(cè)的網(wǎng)絡(luò)流量時(shí)間序列重構(gòu)到多維相空間,并根據(jù)正常網(wǎng)絡(luò)流量時(shí)間序列建立統(tǒng)計(jì)分布模型;第2步對(duì)待檢測(cè)的網(wǎng)絡(luò)流量時(shí)間序列進(jìn)行平穩(wěn)化處理,將其分成子窗;第3步按照統(tǒng)計(jì)分布模型計(jì)算平穩(wěn)化處理后的網(wǎng)絡(luò)流量時(shí)間序列的各子窗的參數(shù),得到一個(gè)參數(shù)序列,再根據(jù)該參數(shù)序列建立綜合判決模型,檢測(cè)異常。
2. 根據(jù)權(quán)利要求1所述的檢測(cè)網(wǎng)絡(luò)攻擊行為的方法,其特征在于第1步包括下述過(guò)程(1. 1)先計(jì)算時(shí)間延時(shí)和嵌入維,再根據(jù)時(shí)間延時(shí)和嵌入維將待檢的網(wǎng)絡(luò)流量時(shí)間序列重構(gòu)到多維空間;(1.2)根據(jù)正常網(wǎng)絡(luò)流量時(shí)間序列的統(tǒng)計(jì)特性,確定一種分布模型擬合局部網(wǎng)絡(luò)流量,該分布模型能夠描述局部網(wǎng)絡(luò)流量時(shí)間序列的特征并且該分布模型能夠通過(guò)柯?tīng)柲Z夫_斯米爾諾夫檢驗(yàn)、相關(guān)系數(shù)檢驗(yàn)分布擬合檢驗(yàn)。
3. 根據(jù)權(quán)利要求2所述的檢測(cè)網(wǎng)絡(luò)攻擊行為的方法,其特征在于第2步具體包括下述過(guò)程第2. 1步,記待測(cè)的網(wǎng)絡(luò)流量時(shí)間序列為X(t),其包含的點(diǎn)數(shù)為N ;記初始窗口部分為L(zhǎng)s, Ls取值范圍100 300,初始滑動(dòng)窗口的長(zhǎng)度為L(zhǎng)m, Lm初始值為8 15, Ls+Lm的區(qū)域?yàn)樽哟埃O(shè)i為子窗的序號(hào),i為從1開(kāi)始的正整數(shù),k+Lm的長(zhǎng)度N&),其Ls的長(zhǎng)度為K,分別計(jì)算Ls和(Ls+Lm)部分的平均值h(i)、 i^(i),以及標(biāo)準(zhǔn)偏差Sl(i)和S2(i),則當(dāng)前窗口的合并偏差S。(i)為<formula>formula see original document page 2</formula>其中,用統(tǒng)計(jì)值T(i)來(lái)量化表示Ls, Ls+Lm的差異<formula>formula see original document page 2</formula>第2. 2步若3G > T(i) > G,其中G為域值,取值范圍為0. 3 0. 6,則進(jìn)入第2. 3步,否則,根據(jù)T(i)的值按照以下規(guī)則調(diào)整Lm的長(zhǎng)度;若T (i) < G,令Lm = Lm+Lf,其中,Lf為滑動(dòng)增量,取值范圍為大于0且小于0. 5L邁,轉(zhuǎn)入第2. 1步;若T(i) 〉3G,則令Lm二Lm-Lf,其中,Lf為滑動(dòng)增量,取值范圍為大于0且小于0.5Lm,轉(zhuǎn)入第2. 1步;第2. 3步,根據(jù)Lm最后一個(gè)點(diǎn)所在位置作為第i個(gè)子窗分割點(diǎn)W工后,從W工位置出按照第2. 1步計(jì)算下一個(gè)T(i),得到第i+1個(gè)子窗分割點(diǎn)W2直到序列的結(jié)尾;依次求出每個(gè)子窗的大小。
4.根據(jù)權(quán)利要求3所述的檢測(cè)網(wǎng)絡(luò)攻擊行為的方法,其特征在于第3步具體包括下述過(guò)程是第3. 1步采用廣義概率權(quán)重矩估計(jì)法或者概率權(quán)重矩法,根據(jù)第1步得到的統(tǒng)計(jì)分布模型對(duì)所有子窗依次進(jìn)行參數(shù)估計(jì),得到尺度和形狀參數(shù)序列{kn k2, ... , km}和ftvb2, , bm} , nn表示子窗總數(shù);第3. 2步采用尖點(diǎn)突變模型進(jìn)行異常檢測(cè);利用尖點(diǎn)突變模型,設(shè)形狀參數(shù)和尺度參數(shù)為狀態(tài)變量,狀態(tài)變量為網(wǎng)絡(luò)流量,由此計(jì)算得到由狀態(tài)變量和控制變量形成的勢(shì)函數(shù)的系數(shù)值,再計(jì)算由控制變量和系數(shù)形成的分叉集;根據(jù)已經(jīng)建立的突變模型,以及第3. 1步計(jì)算出來(lái)的形狀參數(shù){kpk^. . . ,km}和尺度參數(shù)ftv b2, , bm}記為u, v,即u = {、, k2, , km} , v = {b" b2, , bm},由u, v組成特征量P(u,v);設(shè)定一個(gè)閾值l,閾值《取值為最開(kāi)始3 IO個(gè)子窗的特征量P到分叉集的距離的平均值,計(jì)算特征量P到所述分叉集的距離D,當(dāng)D《I ,則檢測(cè)出網(wǎng)絡(luò)流量的異常。
全文摘要
本發(fā)明公開(kāi)了一種檢測(cè)網(wǎng)絡(luò)攻擊行為的方法,步驟為①根據(jù)網(wǎng)絡(luò)流量的復(fù)雜非線性特性將待檢測(cè)的網(wǎng)絡(luò)流量時(shí)間序列重構(gòu)到多維相空間,并根據(jù)正常網(wǎng)絡(luò)流量時(shí)間序列建立統(tǒng)計(jì)分布模型;②對(duì)待檢測(cè)的網(wǎng)絡(luò)流量時(shí)間序列進(jìn)行平穩(wěn)化處理,將其分成子窗;③按照統(tǒng)計(jì)分布模型計(jì)算平穩(wěn)化處理后的網(wǎng)絡(luò)流量時(shí)間序列的各子窗的參數(shù),得到一個(gè)參數(shù)序列,再根據(jù)該參數(shù)序列建立綜合判決模型,檢測(cè)異常。本發(fā)明將網(wǎng)絡(luò)流量重構(gòu)到多維空間里,充分顯示其蘊(yùn)藏在一維空間的信息,并降低了每個(gè)維度空間的計(jì)算復(fù)雜程度,提高運(yùn)行的速度,本發(fā)明提高了系統(tǒng)的魯棒性和準(zhǔn)確性,具有計(jì)算復(fù)雜度低,檢出率高和誤檢率低的特點(diǎn)。
文檔編號(hào)H04L12/56GK101753381SQ20091027337
公開(kāi)日2010年6月23日 申請(qǐng)日期2009年12月25日 優(yōu)先權(quán)日2009年12月25日
發(fā)明者丁帆, 楊越, 熊偉, 胡漢平 申請(qǐng)人:華中科技大學(xué)