本发明专利技术公开一种基于可调节分段Shannon熵的网络流量异常检测方法,主要提供一种可适应大规模网络的异常检测需求的基于可调节分段熵的网络流量异常检测方法。本发明专利技术所述的检测方法包括如下具体步骤:选取原样本空间;基于可调节分段熵的实现方法,得到高概率样本空间的高概率熵值和低概率样本空间低概率熵值;分别判断高概率熵值和低概率熵值的是否异常,若高概率熵值小于预定的高概率熵阈值,则高概率熵值异常,否则,高概率熵值正常;若低概率熵值大于预定的低概率熵阈值,则低概率熵值异常,否则,低概率熵值正常;确定异常熵值对应的样本空间即为网络流量异常样本空间,即判定此时发生了网络流量异常。
【技术实现步骤摘要】
本专利技术涉及一种。
技术介绍
基于Shannon熵进行网络流量异常检测是一种简单有效的方法,但是由于Shannon熵本身特性的影响,使其在网络流量异常检测中存在三大问题:一是不能克服样 本空间数量剧烈波动对熵值的影响,导致检测不准确;二是需要计算全部样本才能得到熵 值,导致对大样本空间的检测不敏感;三是混合异常在熵值存在抵消问题,导致对有些混合 攻击不能够检测出来。因此,基于Shannon熵的网络流量异常检测很难应用于终端数目巨 大、流量波动明显的网络。
技术实现思路
针对上述问题,本专利技术提供一种克服了传统熵用于网络流量异常检测存在的问 题,适应大规模网络的异常检测需求的基于可调节分段Shannon熵的网络流量异常检测方 法。 为达到上述目的,本专利技术, 所述方法包括: 获取流量数据,将所述流量数据划分为均匀的时间片,在所述的时间片内选取至 少一个元素集合为参考样本空间; 各参考样本空间基于可调节分段Shannon熵的方法,得到参考样本空间对应的高 概率熵值和低概率熵值; 判断所述的时间片是否异常, 若所述的时间片内各参考样本空间对应的高概率熵值和低概率熵值均正常,则该 时间片为网络正常时间片; 若所述的时间片内至少一个参考样本空间对应的高概率熵值和/或低概率熵值 为异常,则该时间片为网络异常时间片; 其中,所述的可调节分段Shannon熵的方法具体为: 对一个所述参考样本空间内的元素按照概率阈值分为高概率集合和低概率集合, 所述高概率集合和虚拟不重复元素集合组成高概率样本空间,所述低概率集合组成低概率 样本空间; 对所述的高概率样本空间用Shannon熵计算得到高概率熵值,对所述的低概率样 本空间用Shannonj:商计算得到低概率j:商值。 进一步地,所述的用Shannonj:商计算得到高概率j:商值和低概率j:商值的具体公式如 下:【主权项】1. 一种,其特征在于,所述方法 包括: 获取流量数据,将所述流量数据划分为均匀的时间片,在所述的时间片内选取至少一 个元素集合为参考样本空间; 各参考样本空间基于可调节分段Shannon熵的方法,得到参考样本空间对应的高概率 熵值和低概率熵值; 判断所述的时间片是否异常, 若所述的时间片内各参考样本空间对应的高概率熵值和低概率熵值均正常,则该时间 片为网络正常时间片; 若所述的时间片内至少一个参考样本空间对应的高概率摘值和/或低概率摘值为异 常,则该时间片为网络异常时间片; 其中,所述的可调节分段Shannon j:商的方法具体为: 对一个所述参考样本空间内的元素按照概率阈值分为高概率集合和低概率集合,所述 高概率集合和虚拟不重复元素集合组成高概率样本空间,所述低概率集合组成低概率样本 空间; 对所述的高概率样本空间用Shannon熵计算得到高概率熵值,对所述的低概率样本空 间用Shannon j:商计算得到低概率j:商值。2. 根据权利要求1所述的基于可调节分段熵的网络流量异常检测方法,其特征在于, 所述的用Shannon熵计算得到高概率熵值和低概率熵值的具体公式如下:其中,S_H为高概率熵值,S 4为低概率熵值; 参考样本空间A中有Na个互不相同元素,3 = "?Ωι,Ω2,…,4,…,任意元素 aie A且 =<<,nf >,<表示A中的第i个互不相同的元素,表示元素;^在参考样本空间A中 出现的次数; 虚拟的不重复元素集合E中有N个互不相同元素且= 0,E = {ei,e2,. . .,ei,. . .,eN},任意元素 ei e E且f < X), I >,xf表示E中的第i个互不相同的 元素,1表示元素< 在虚拟的不重复元素集合E中出现的次数; 低概率样本空间C中有Nc个互不相同元素 ,C = …,,任意元素 CiG c且 >,xf表示C中的第i个互不相同的元素,表示元素;cf在C中出现的次数; 高概率元素集合D中有Nd个互不相同元素 ,_D = IiK,…,…,任意元素(IiE D 且<=<xf,nf >,<表示D中的第i个互不相同的元素,彳表示元素#在D中出现的次 数; A,表示高概率样本空间B中第i个元素在高概率样本空间B中出现的概率,八表示 低概率样本空间C中第i个元素在低概率样本空间C中出现的概率。3. 根据权利要求1所述的基于可调节分段熵的网络流量异常检测方法,其特征在于, 判断参考样本空间对应的高概率熵值和低概率熵值是否异常的方法为: 若所述的高概率熵值小于高概率熵阈值,则高概率熵值异常,否则,高概率熵值正常; 若所述的低概率熵值大于低概率熵阈值,则低概率熵值异常,否则,低概率熵值正常。4. 根据权利要求1所述的基于可调节分段熵的网络流量异常检测方法,其特征在于, 在所述时间片内选取的参考样本空间具体为:源IP组成的源IP样本空间、目的IP组成的 目的IP样本空间、源端口组成的源端口样本空间和/或目的端口组成的目的端口样本空 间。5. 根据权利要求1所述的基于可调节分段熵的网络流量异常检测方法,其特征在于, 所述的概率阈值、虚拟不重复元素集合中元素的数目、高概率熵阈值、低概率熵阈值均为用 户设定值。6. -种实现可调节分段Shannon j:商的方法,其特征在于,所述方法包括: 对样本空间内的元素按照概率阈值分为高概率集合和低概率集合,在所述高概率集合 和虚拟不重复元素集合组成概率样本空间,所述低概率集合组成低概率样本空间; 对所述的高概率样本空间用Shannon熵计算得到高概率熵值,对所述的低概率样本空 间用Shannon j:商计算得到低概率j:商值; 其中,分段熵通过所述的概率阈值和虚拟不重复元素的数目实现可调节。【专利摘要】本专利技术公开一种,主要提供一种可适应大规模网络的异常检测需求的基于可调节分段熵的网络流量异常检测方法。本专利技术所述的检测方法包括如下具体步骤:选取原样本空间;基于可调节分段熵的实现方法,得到高概率样本空间的高概率熵值和低概率样本空间低概率熵值;分别判断高概率熵值和低概率熵值的是否异常,若高概率熵值小于预定的高概率熵阈值,则高概率熵值异常,否则,高概率熵值正常;若低概率熵值大于预定的低概率熵阈值,则低概率熵值异常,否则,低概率熵值正常;确定异常熵值对应的样本空间即为网络流量异常样本空间,即判定此时发生了网络流量异常。【IPC分类】H04L12-26【公开号】CN104539489【申请号】CN201510031010【专利技术人】尹霞, 田庚, 王之梁, 施新刚, 李子木 【申请人】清华大学【公开日】2015年4月22日【申请日】2015年1月21日本文档来自技高网...
【技术保护点】
一种基于可调节分段Shannon熵的网络流量异常检测方法,其特征在于,所述方法包括:获取流量数据,将所述流量数据划分为均匀的时间片,在所述的时间片内选取至少一个元素集合为参考样本空间;各参考样本空间基于可调节分段Shannon熵的方法,得到参考样本空间对应的高概率熵值和低概率熵值;判断所述的时间片是否异常,若所述的时间片内各参考样本空间对应的高概率熵值和低概率熵值均正常,则该时间片为网络正常时间片;若所述的时间片内至少一个参考样本空间对应的高概率熵值和/或低概率熵值为异常,则该时间片为网络异常时间片;其中,所述的可调节分段Shannon熵的方法具体为:对一个所述参考样本空间内的元素按照概率阈值分为高概率集合和低概率集合,所述高概率集合和虚拟不重复元素集合组成高概率样本空间,所述低概率集合组成低概率样本空间;对所述的高概率样本空间用Shannon熵计算得到高概率熵值,对所述的低概率样本空间用Shannon熵计算得到低概率熵值。
【技术特征摘要】
【专利技术属性】
技术研发人员:尹霞,田庚,王之梁,施新刚,李子木,
申请(专利权)人:清华大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。