一種網絡異常流量監測方法及裝置制造方法及圖紙

本發明專利技術公開了一種網絡異常流量監測方法，屬于信息安全技術領域。所述方法包括：捕獲流經的網絡數據流；根據網絡數據流的產生時間，選擇與當前時間最接近的n條網絡數據流數據；所述n根據系統的計算能力確定；將捕獲的n條網絡數據流數據作為相關向量機的輸入進行訓練，建立數據模型；根據所述數據模型對當前的網絡流量數據進行監測。本發明專利技術能提高分類監測的精度，使異常流量監測能更快速有效，保證較低誤檢率和錯檢率。

【技術實現步驟摘要】

本專利技術涉及信息安全
，特別涉及一種網絡異常流量監測方法及裝置。
技術介紹
網絡流量異常指網絡中流量不規則的顯著變化，如網絡短暫擁塞、分布式拒絕服務攻擊(DDoS，Distributed?Denial?ofService)、大范圍掃描等本地事件或者網絡路由異常等全局事件。網絡流量異常的監測和分析對網絡安全應急響應部門而言非常重要，但是由于宏觀流量異常監測比較困難，需要從大量高維的富含噪聲的數據中提取和解釋異常模式，使得對于網絡異常的監測和分析仍然是一個極大的挑戰。為此，國內外的學術機構和企業提出了多種監測方法。其中，基于閾值的監測方法，通過分析歷史數據，建立正常的參考范圍，超出此范圍即判斷為異常。這種方法操作簡單，計算復雜度小。然而，作為一種實用的監測手段時，它需要結合網絡流量特點進行修正和改進?；诮y計的監測方法，通過建立統計學模型產生相應的監測方法，如一般似然比(GLR，generalized?Likelihood?Ratio)監測方法，它考慮兩個相鄰的時間窗口以及由這兩個窗口構成的合并窗口，每個窗口都用自回歸模型擬合，并計算各窗口序列殘差的聯合似然比，然后與某個預先設定的閾值T進行比較，當超過閾值T時，則認定該窗口邊界為異常點。這種監測方法對于流量的突變監測比較有效，但是它的閾值不是自動選取，并且當異常持續長度超過窗口長度時，將出現部分失效?；谧儞Q域進行流量異常監測方法，將時域的流量信號變換到頻域或者小波域，然后依據變換后的空間特征進行異常監測。該方法的計算過于復雜，不適于在高速骨干網上進行實時監測。此外，還有一些其它的監測方法，如主成分分析(PCA，Principal?Component?Analysis)方法，將源和目標之間的數據流高維結構空間進行PCA分解，歸結到3個主成分上，以3個新的復合變量來重構網絡流的特征，并以此發展出一套監測方法?；贛arkov模型的網絡狀態轉換概率監測方法，將每種類型的事件定義為系統狀態，通過過程轉換模型來描述所預測的正常的網絡特征，當到來的流量特征與期望特征產生偏差時進行報警。LERAD監測方法基于網絡安全特征的監測，通過對網絡數據流進行分析得到流量屬性之間的正常的關聯規則，然后建立正常的規則集，在實際監測中對流量進行規則匹配，對違反規則的流量進行告警。這種方法能夠對發生異常的地址進行定位，并對異常的程度進行量化，但需要大量正常模式下的純凈數據，因此在實際網絡中不易實現?？傮w來看，基于流量異常的監測方法有很多，但它們主要存在以下問題：（1）準確度不高，特別是基于閾值的方法精確度比較差。由于網絡入侵情況下的處理需要相當大的代價，所以漏檢、錯檢的損失巨大。（2）輸出結果沒有置信度，對一個只有50%可能被攻擊的狀態和99%可能被攻擊的狀態進行相同處理的風險差別是巨大的。（3）無法應對在線采集所累計的海量網絡數據流，日益增長的數據會使各種數據驅動方法的處理時間無限增長以至于無法實時地監測當前的網絡情況。（4）網絡監測系統各種參數不能根據歷史網絡情況自適應調整。人工干預設定不僅消耗大量人力，還降低了系統的穩定性，一旦出現差錯，結果將難以預測。（5）處理高維數據效率低下。由于網絡數據流一般由多種數據組合而成，對其進行分析的時間復雜度非常高，由此造成網絡監測系統運行效率低下，不利于嵌入到各種硬件設備中。近年來，基于統計分析的機器學習方法被引入到網絡異常監測中，并成為當前熱點之一。支持向量機(SVM，Support?Vector?Machine)由于其堅實的理論基礎以及核(Kernel)方法所帶來的眾多優點成為異常監測一種重要方法，它解決了準確度和處理高維數據效率低下問題。基于SVM的網絡流量監測系統可描述如下：首先，使用數據預處理器對大量的審計數據進行處理或變換，其中包括數據采集、特征選擇、數據轉換功能，最終得到統一長度的數字向量。然后，SVM分類器對這些數字向量進行判別。最后輸出判別結果，該結果可以作為最后的監測結果。為了提高系統的監測正確率，SVM網絡流量監測系統還設計了決策響應功能，SVM分類器的結果輸出給決策響應，決策響應通過設定判決準則，如發生數目、事件的百分比等，進行最終的判定。在實現本專利技術的過程中，專利技術人發現現有技術至少存在以下問題：（1）進行監測時，SVM支持向量的個數隨著訓練樣本的增大成線性增長，當訓練樣本很大的時候，一方面可能造成過度擬合歷史數據而使泛化能力變弱，另一方面則浪費計算時間。（2）無法得到概率式的監測輸出，即預測結果沒有置信度，僅為某一標簽或者數值。（3）必須人工設定部分參數的變化范圍，設置不當會引起過擬合或者欠擬合等問題，該參數對結果有很大的影響。大部分的情況下，使用者都必須猜測各種可能值，才能找最好的結果。（4）SVM所使用的核函數必須符合Mercer條件，核函數的選擇范圍被限定在了比較小的空間。（5）支持向量機對噪聲是比較敏感的?，F有技術中，尚沒有一種低誤檢率、低錯檢率、帶結果置信度輸出、參數自動選擇、高效的網絡異常流量監測方案。
技術實現思路
為了解決現有技術的問題，本專利技術實施例提供了一種網絡異常流量監測方法及裝置。所述技術方案如下：一種網絡異常流量監測方法，所述方法包括：捕獲流經的網絡數據流；根據網絡數據流的產生時間，選擇與當前時間最接近的n條網絡數據流數據；所述n根據系統的計算能力確定；將捕獲的n條網絡數據流數據作為相關向量機的輸入進行訓練，建立數據模型；根據所述數據模型對當前的網絡流量數據進行監測。所述將捕獲的網絡數據流數據作為相關向量機的輸入進行訓練之前，還包括：將所述網絡數據流數據進行去噪處理。所述將捕獲的網絡數據流數據作為相關向量機的輸入進行訓練，建立數據模型，包括：為相關向量機選擇核函數，將捕獲的網絡數據流數據的特征向量映射到高維空間；在高維空間內，為所述核函數選擇相應參數，迭代求解最優的權重分布；根據所述權重分布，預測數據，建立數據模型。所述核函數包括但不限于高斯核函數或多項式核函數。所述為所述核函數選擇相應參數，包括：使用當前值x作為核函數參數，x取值0到無窮；通過核函數計算網絡數據流數據之間的相似性并記錄所有相似度；統計所有在預設區間內的相似度的個數，并記錄此個數n；增加核函數參數x＝x＋Δx，其中，所述Δx為核參數增量；增加迭代次數i=i+1；若在當前時間的n小于前一時間的n，則取前一時間的值x作為核函數參數；輸出所述本文檔來自技高網...

【技術保護點】
一種網絡異常流量監測方法，其特征在于，所述方法包括：捕獲流經的網絡數據流；根據網絡數據流的產生時間，選擇與當前時間最接近的n條網絡數據流數據；所述n根據系統的計算能力確定；將捕獲的n條網絡數據流數據作為相關向量機的輸入進行訓練，建立數據模型；根據所述數據模型對當前的網絡流量數據進行監測。

【技術特征摘要】
1.一種網絡異常流量監測方法，其特征在于，所述方法包括：
捕獲流經的網絡數據流；
根據網絡數據流的產生時間，選擇與當前時間最接近的n條網絡數據流數據；所述n根
據系統的計算能力確定；
將捕獲的n條網絡數據流數據作為相關向量機的輸入進行訓練，建立數據模型；
根據所述數據模型對當前的網絡流量數據進行監測。
2.如權利要求1所述的方法，其特征在于，所述將捕獲的網絡數據流數據作為相關向量
機的輸入進行訓練之前，還包括：
將所述網絡數據流數據進行去噪處理。
3.如權利要求1所述的方法，其特征在于，所述將捕獲的網絡數據流數據作為相關向量
機的輸入進行訓練，建立數據模型，包括：
為相關向量機選擇核函數，將捕獲的網絡數據流數據的特征向量映射到高維空間；
在高維空間內，為所述核函數選擇相應參數，迭代求解最優的權重分布；
根據所述權重分布，預測數據，建立數據模型。
4.如權利要求3所述的方法，其特征在于，所述核函數包括但不限于高斯核函數或多項
式核函數。
5.如權利要求3所述的方法，其特征在于，所述為所述核函數選擇相應參數，包括：
使用當前值x作為核函數參數，x取值0到無窮；通過核函數計算網絡數據流數據之間
的相似性并記錄所有相似度；
統計所有在預設區間內的相似度的個數，并記錄此個數n；
增加核函數參數x＝x＋Δx，其中，所述Δx為核參數增量；
增加迭代次數i=i+1；
若在當前時間的n小于前一時間的n，則取前一時間的值x作為核函數參數；
輸出所述x作為核函數參數。

【專利技術屬性】
技術研發人員：魯松，鄒昕，周立，張良，關建峰，許長橋，張能，張宏科，
申請(專利權)人：北京郵電大學，國家計算機網絡與信息安全管理中心，
類型：發明
國別省市：