基于可調節(jié)分段Shannon熵的網絡流量異常檢測方法
【技術領域】
[0001] 本發(fā)明涉及一種基于可調節(jié)分段Shannon熵的網絡流量異常檢測方法。
【背景技術】
[0002] 基于Shannon熵進行網絡流量異常檢測是一種簡單有效的方法���,但是由于Shannon熵本身特性的影響��,使其在網絡流量異常檢測中存在三大問題:一是不能克服樣 本空間數量劇烈波動對熵值的影響����,導致檢測不準確����;二是需要計算全部樣本才能得到熵 值,導致對大樣本空間的檢測不敏感�;三是混合異常在熵值存在抵消問題,導致對有些混合 攻擊不能夠檢測出來�。因此,基于Shannon熵的網絡流量異常檢測很難應用于終端數目巨 大��、流量波動明顯的網絡。
【發(fā)明內容】
[0003] 針對上述問題���,本發(fā)明提供一種克服了傳統(tǒng)熵用于網絡流量異常檢測存在的問 題�����,適應大規(guī)模網絡的異常檢測需求的基于可調節(jié)分段Shannon熵的網絡流量異常檢測方 法。
[0004] 為達到上述目的�����,本發(fā)明基于可調節(jié)分段Shannon熵的網絡流量異常檢測方法��, 所述方法包括:
[0005] 獲取流量數據���,將所述流量數據劃分為均勻的時間片�����,在所述的時間片內選取至 少一個元素集合為參考樣本空間����;
[0006] 各參考樣本空間基于可調節(jié)分段Shannon熵的方法��,得到參考樣本空間對應的高 概率熵值和低概率熵值;
[0007] 判斷所述的時間片是否異常�����,
[0008] 若所述的時間片內各參考樣本空間對應的高概率熵值和低概率熵值均正常���,則該 時間片為網絡正常時間片���;
[0009] 若所述的時間片內至少一個參考樣本空間對應的高概率熵值和/或低概率熵值 為異常,則該時間片為網絡異常時間片����;
[0010] 其中,所述的可調節(jié)分段Shannon熵的方法具體為:
[0011] 對一個所述參考樣本空間內的元素按照概率閾值分為高概率集合和低概率集合����, 所述高概率集合和虛擬不重復元素集合組成高概率樣本空間,所述低概率集合組成低概率 樣本空間�;
[0012] 對所述的高概率樣本空間用Shannon熵計算得到高概率熵值,對所述的低概率樣 本空間用Shannonj:商計算得到低概率j:商值�。
[0013] 進一步地,所述的用Shannonj:商計算得到高概率j:商值和低概率j:商值的具體公式如 下:
[0014]
【主權項】
1. 一種基于可調節(jié)分段Shannon熵的網絡流量異常檢測方法�����,其特征在于,所述方法 包括: 獲取流量數據�,將所述流量數據劃分為均勻的時間片,在所述的時間片內選取至少一 個元素集合為參考樣本空間����; 各參考樣本空間基于可調節(jié)分段Shannon熵的方法,得到參考樣本空間對應的高概率 熵值和低概率熵值��; 判斷所述的時間片是否異常�, 若所述的時間片內各參考樣本空間對應的高概率熵值和低概率熵值均正常,則該時間 片為網絡正常時間片��; 若所述的時間片內至少一個參考樣本空間對應的高概率摘值和/或低概率摘值為異 常���,則該時間片為網絡異常時間片; 其中�����,所述的可調節(jié)分段Shannon j:商的方法具體為: 對一個所述參考樣本空間內的元素按照概率閾值分為高概率集合和低概率集合�,所述 高概率集合和虛擬不重復元素集合組成高概率樣本空間,所述低概率集合組成低概率樣本 空間�����; 對所述的高概率樣本空間用Shannon熵計算得到高概率熵值,對所述的低概率樣本空 間用Shannon j:商計算得到低概率j:商值��。
2. 根據權利要求1所述的基于可調節(jié)分段熵的網絡流量異常檢測方法��,其特征在于��, 所述的用Shannon熵計算得到高概率熵值和低概率熵值的具體公式如下:
其中����,S_H為高概率熵值,S 4為低概率熵值�����; 參考樣本空間A中有Na個互不相同元素��,3 = "?Ωι����,Ω2,…,4�����,…����,任意元素 aie A且 =<<�,nf >�,<表示A中的第i個互不相同的元素,表示元素;^在參考樣本空間A中 出現的次數���; 虛擬的不重復元素集合E中有N個互不相同元素且= 0��,E = {ei��,e2,. . .�����,ei,. . .��,eN}�����,任意元素 ei e E且f < X), I >�����,xf表示E中的第i個互不相同的 元素,1表示元素< 在虛擬的不重復元素集合E中出現的次數��; 低概率樣本空間C中有Nc個互不相同元素 �,C = …,�,任意元素 CiG c且 >,xf表示C中的第i個互不相同的元素�,表示元素;cf在C中出現的次數�; 高概率元素集合D中有Nd個互不相同元素 ,_D = IiK�����,…��,…���,任意元素(IiE D 且<=<xf����,nf >�����,<表示D中的第i個互不相同的元素,彳表示元素#在D中出現的次 數���; A,表示高概率樣本空間B中第i個元素在高概率樣本空間B中出現的概率��,八表示 低概率樣本空間C中第i個元素在低概率樣本空間C中出現的概率�����。
3. 根據權利要求1所述的基于可調節(jié)分段熵的網絡流量異常檢測方法����,其特征在于�����, 判斷參考樣本空間對應的高概率熵值和低概率熵值是否異常的方法為: 若所述的高概率熵值小于高概率熵閾值�����,則高概率熵值異常��,否則�����,高概率熵值正常��; 若所述的低概率熵值大于低概率熵閾值����,則低概率熵值異常,否則���,低概率熵值正常�。
4. 根據權利要求1所述的基于可調節(jié)分段熵的網絡流量異常檢測方法�,其特征在于, 在所述時間片內選取的參考樣本空間具體為:源IP組成的源IP樣本空間����、目的IP組成的 目的IP樣本空間、源端口組成的源端口樣本空間和/或目的端口組成的目的端口樣本空 間�����。
5. 根據權利要求1所述的基于可調節(jié)分段熵的網絡流量異常檢測方法�����,其特征在于, 所述的概率閾值��、虛擬不重復元素集合中元素的數目����、高概率熵閾值、低概率熵閾值均為用 戶設定值��。
6. -種實現可調節(jié)分段Shannon j:商的方法��,其特征在于���,所述方法包括: 對樣本空間內的元素按照概率閾值分為高概率集合和低概率集合���,在所述高概率集合 和虛擬不重復元素集合組成概率樣本空間,所述低概率集合組成低概率樣本空間�����; 對所述的高概率樣本空間用Shannon熵計算得到高概率熵值��,對所述的低概率樣本空 間用Shannon j:商計算得到低概率j:商值���; 其中,分段熵通過所述的概率閾值和虛擬不重復元素的數目實現可調節(jié)。
【專利摘要】本發(fā)明公開一種基于可調節(jié)分段Shannon熵的網絡流量異常檢測方法��,主要提供一種可適應大規(guī)模網絡的異常檢測需求的基于可調節(jié)分段熵的網絡流量異常檢測方法��。本發(fā)明所述的檢測方法包括如下具體步驟:選取原樣本空間���;基于可調節(jié)分段熵的實現方法���,得到高概率樣本空間的高概率熵值和低概率樣本空間低概率熵值;分別判斷高概率熵值和低概率熵值的是否異常�����,若高概率熵值小于預定的高概率熵閾值�,則高概率熵值異常,否則����,高概率熵值正常;若低概率熵值大于預定的低概率熵閾值����,則低概率熵值異常,否則��,低概率熵值正常;確定異常熵值對應的樣本空間即為網絡流量異常樣本空間�,即判定此時發(fā)生了網絡流量異常。
【IPC分類】H04L12-26
【公開號】CN104539489
【申請?zhí)枴緾N201510031010
【發(fā)明人】尹霞, 田庚, 王之梁, 施新剛, 李子木
【申請人】清華大學
【公開日】2015年4月22日
【申請日】2015年1月21日