一种面向多媒体医疗设备组网通信的网络流量异常检测方法技术

该发明专利技术公开了一种面向多媒体医疗设备组网通信的网络流量异常检测方法，属于网络通信技术领域。本发明专利技术根据上述改进的经验模态分解方法，利用多样条函数克服了单样条函数的局限性。并根据上述经验模态分解过程得到最优固有模态函数分量。本发明专利技术方法解决实际上从实际信号分量中分离出来的包络的平均值不为零的问题。首先，本发明专利技术使用小波包变换来预处理网络流量。网络流量被分解为多个窄带信号，这些信号表现出更详细的网络流量特征。其次，利用经验模式分解方法将这些窄带信号划分为不同尺度，时间和时频域的固有模式函数。本发明专利技术计算了这些不同尺度下固有模函数的光谱峰度值，以去除经验模式分解的错误成分。

A network traffic anomaly detection method for network communication of multimedia medical equipment

【技术实现步骤摘要】
一种面向多媒体医疗设备组网通信的网络流量异常检测方法
本专利技术是属于网络通信
，特别涉及多媒体医疗设备组网通信的网络流量异常检测方法。
技术介绍
随着无线通信和可穿戴技术的发展，连接各种多媒体医疗设备的多媒体通信网络目前正用于临床和医疗问题，如智能医院，智能诊所，家庭智能康复等。多媒体医疗设备的广泛应用产生了巨大的网络流量。异常或不正常的多媒体医疗设备会产生异常网络流量并影响对医疗问题的诊断。如何找到异常网络流量对于多媒体医疗设备的正常应用非常重要。异常网络流量描述了大规模多媒体通信网络中存在的异常动作和行为。这些异常行为通常会对多媒体通信网络产生重要影响，例如降低网络性能甚至扰乱网络。这直接损害了诊所和医疗过程。目前，防火墙或防病毒软件在遭受网络攻击(如分布式拒绝服务(DistributedDenialofservice，DDoS)攻击和网络蠕虫)时，不足以保护网络数据的安全。入侵检测系统的错误和假阴性报警直接影响其检测可信度，导致网络攻击发生时网络中断和通信中断。因此，快速检测网络中的流量异常，估计异常流量的原因，快速采取正确的对策是网络管理和网络运行的重要前提。因此，用于医疗问题的大规模多媒体通信网络中的流量异常检测已成为一个重要的研究课题,必须有新方法来克服这个问题。正确识别网络流量非常困难，其较大的变化通常会导致网络的故障和拥塞；异常和异常流量通常比正常的后台网络流量小得多，并且被淹没在巨大的后台流量中，这使它隐藏起来并且难以发现；此外，一些异常流量也具有突发特性和分布特性。所有上述特征增加了检测异常网络流量的难度为了克服这些问题，已经提出了许多方法来检测通信网络中的异常业务。采用主成分分析法(PrincipalComponentAnalysis，PCA)来检测和诊断网络范围的异常流量；使用时间周期数据包采样来进行无监督总体异常检测；使用偏差分异常检测(DeviationScoreAnomalyDetection，DSAD)方法等。然而，由于异常网络流量的隐藏性质，这些方法难以准确地检测通信网络中的异常业务，需要不同于以往的新的技术的提出。本专利技术提出的一种面向多媒体医疗设备组网通信的网络流量异常检测方法，克服了上述大部分缺点，能够很好的检测医疗设备中的大规模通信网络中的流量异常。
技术实现思路
针对现有方法存在的不足，解决现有异常流量检测技术的不足，本专利技术提出一种面向多媒体医疗设备组网通信的网络流量异常检测方法，该方法可以克服上述缺点达到检测目的。本专利技术技术方案为一种面向多媒体医疗设备组网通信的网络流量异常检测方法，具体步骤如下：步骤1:初始化阈值α和阈值β；多媒体医疗设备的通信网络信号为x(t)；步骤2:根据由正交缩放函数φ(t)确定的一系列函数进行小波包变换，得到新序列；正交缩放函数φ(t)确定的一系列函数为：其中，W0(t)＝φ(t)，W1(t)＝ψ(t)，进而有n是抽样数量,k代表空间位置信息,k＝1,2,3,...,n，hk表示低通滤波器，gk表示高通滤波器，Z为小于等于n的任意整数，函数集{Wn(t)}n∈Z是由正交尺度函数W0(t)＝φ(t)决定的；通过小波包分解，多媒体医疗设备的通信网络信号x(t)在子空间中的系数为即：j表示信号x(t)的整个频带划分的带宽尺度，j一定时，信号x(t)的整个频带划分的带宽一定，选择不同的n值即相当于信号通过不同的带通滤波器，从而将不同频带的信号分离开；因此，在子空间和中存在如下等式：式(1)-(3)表示网络流量x(t)的小波包变换，其中和表示小波包系数；在小波包变换中，低频滤波器得到的尺度系数表示网络流量信号的轮廓信息，高频滤波器得到的小波系数表示网络流量信号的细节；基于小波包变换的网络流量重构；是x(t)的小波包系数，表示在范围j内的n小波包；根据和时频分析理论，推导出如下：其中，{hk}k∈Z∈l2(Z)为低通滤波器的系数，{gk}k∈Z∈l2(Z)为高通滤波器的系数；根据式(5)，重构网络流量新序列x(t)；步骤3:根据经验模态分解方法对每个新序列进行分解；从而获得固有模态函数分量；步骤4:计算各固有模态函数分量的谱峰态值，并得到其谱峰度值；步骤5:选择对应的固有模态函数分量，得到所选的固有模态函数分量集；步骤6:计算出时域信号步骤7:判断给定公式是否成立,则将时域信号中相应的部分标记为异常网络流量；确定是否有异常分量，采用3δ方法来确保检测阈值β；若以下方程成立：则中的对应部分是异常的。步骤8:判断是否按照上述步骤执行了所有小波包分量，则将结果保存到文件中并退出，否则回到步骤2。进一步的，所述步骤3的经验模态分解方法，具体过程如下：令r0(t)＝x(t)，i＝0，最大迭代步数K；令k＝0，hi+1,k(t)＝ri(t),v＝P，其中P为事先设定的大于等于0的实数，并令样条函数s(t)为三次样条；找出信号hi+1,k(t)的局部极大值和极小值，然后使用基于s(t)样条插值的方法来创建两个样条曲线，即上包络曲线xu(t)和下包络曲线xl(t)，两条包络线分别经过了所有局部最大值点和最小值点；用mi+1,k＝(xu(t)+xl(t))/2来计算上包络曲线和下包络曲线的平均值，然后设hi+1,k+1(t)＝hi+1,k(t)-mi+1,k；出现以下三种情况；若hi+1,k+1(t)满足作为固有函数模式分量的条件，则获得第i个固有模式函数分量gi+1(t)＝hi+1,k+1(t)，然后令ri+1(t)＝ri(t)-gi+1(t)；若v＞mi+1,k，则令v＝mi+1,k，h(t)＝hi+1,k+1(t)；若s_flag＝3，则令样条函数s(t)为B样条，s_flag＝b，并找出信号hi+1,k(t)的局部极大值和极小值，然后使用基于s(t)样条插值的方法来创建上包络曲线xu(t)和下包络曲线xl(t)；在执行上述经验模式分解过程后，将网络流量x(t)分解为一系列正交和独立的固有模式函数分量，如下所示：其中，rm是代表信号x(t)的平均趋势的残差分量，m表示函数的个数。进一步的，所述步骤4计算固有模态函数分量的谱峰态值分析，具体过程如下：对于一个信号y(t)，其在频域中的Wold-Cramer分解可表示为：其中，是时变传递函数，代表了信号y(t)在时刻t和频率f复包络,dX(f)是信号x(t)的光谱过程；当是一个随机函数,包络的形状取决于时变随机变量得到以下方程：其中，S2nY(t,f)是信号y(t)的2n阶时刻，表示在时间t和频率f的复包络中包含的能量，S2nX(t,f)是信号x(t)的2n阶时刻，H(t,f)表示当前选择的时变传递函数；信号y(t)的2n阶瞬时力矩S2nY(f)可以表示为：S2nY(f)＝E{S2nY(t,f)}本文档来自技高网...

【技术保护点】
1.一种面向多媒体医疗设备组网通信的网络流量异常检测方法，具体步骤如下：/n步骤1:初始化阈值α和阈值β；多媒体医疗设备的通信网络信号为x(t)；/n步骤2:根据由正交缩放函数φ(t)确定的一系列函数进行小波包变换，得到新序列；/n正交缩放函数φ(t)确定的一系列函数为：/n

【技术特征摘要】
1.一种面向多媒体医疗设备组网通信的网络流量异常检测方法，具体步骤如下：
步骤1:初始化阈值α和阈值β；多媒体医疗设备的通信网络信号为x(t)；
步骤2:根据由正交缩放函数φ(t)确定的一系列函数进行小波包变换，得到新序列；
正交缩放函数φ(t)确定的一系列函数为：



其中，W0(t)＝φ(t)，W1(t)＝ψ(t)，进而有



n是抽样数量,k代表空间位置信息,k＝1,2,3,...,n，hk表示低通滤波器，gk表示高通滤波器，Z为小于等于n的任意整数，函数集{Wn(t)}n∈Z是由正交尺度函数W0(t)＝φ(t)决定的；
通过小波包分解，多媒体医疗设备的通信网络信号x(t)在子空间中的系数为即：



j表示信号x(t)的整个频带划分的带宽尺度，j一定时，信号x(t)的整个频带划分的带宽一定，选择不同的n值即相当于信号通过不同的带通滤波器，从而将不同频带的信号分离开；因此，在子空间和中存在如下等式：



式(1)-(3)表示网络流量x(t)的小波包变换，其中和表示小波包系数；在小波包变换中，低频滤波器得到的尺度系数表示网络流量信号的轮廓信息，高频滤波器得到的小波系数表示网络流量信号的细节；
基于小波包变换的网络流量重构；是x(t)的小波包系数，表示在范围j内的n小波包；根据和时频分析理论，推导出如下：



其中，{hk}k∈Z∈l2(Z)为低通滤波器的系数，{gk}k∈Z∈l2(Z)为高通滤波器的系数；根据式(5)，重构网络流量新序列x(t)；
步骤3:根据经验模态分解方法对每个新序列进行分解；从而获得固有模态函数分量；
步骤4:计算各固有模态函数分量的谱峰态值，并得到其谱峰度值；
步骤5:选择对应的固有模态函数分量，得到所选的固有模态函数分量集；
步骤6:计算出时域信号
步骤7:判断给定公式是否成立,则将时域信号中相应的部分标记为异常网络流量；
确定是否有异常分量，采用3δ方法来确保检测阈值β；若以下方程成立：



则中的对应部分是异常的。
步骤8:判断是否按照上述步骤执行了所有小波包分量，则将结果保存到文件中并退出，否则回到步骤2。


2.如权利要求1所述的一种面向多媒体医疗设备组网通信的网络流量异常检测方法，其特征在于所述步骤3的经验模态分解方法，具体过程如下：
令r0(t)＝x(t)，i＝0，最大迭代步数K；令k＝0，hi+1,k(t)＝ri(t),v＝P，其中P为事先设定的大于等于0的实数，并令样条函数s(t)为三次样条；找出信号hi+1,k(t)的局部极大值和极小值，然后使用基于s(t)样条插值的方法来创建两个样条曲线，即上包络曲线xu(t)和下包络曲线xl(t)，两条包络线分别经过了所有局部最大值点和最小值点；用mi+1,k＝(xu(t)+xl(t))/2来计算上包络曲线和下包络曲线的平均值，然后设hi+1,k+1(t)＝hi+1,k(t)-mi+1,k；
出现以下三种情况；
若hi+1,k+1(t)满足作为固有函数模式分量的条件，则获得第i个固有模式函数分量gi+1(t)＝hi+1,k+1(t)，然后令ri+1(t)＝ri(t)-gi+...

【专利技术属性】
技术研发人员：蒋定德，刘恒，齐盛，王雨晴，
申请(专利权)人：电子科技大学，
类型：发明
国别省市：四川;51