【技术实现步骤摘要】
一种基于信息熵的网络异常检测方法、系统及电子设备
[0001]本专利技术涉及一种网络异常检测技术,特别是涉及一种基于信息熵的网络异常检测方法、系统及电子设备。
技术介绍
[0002]基于流量基线进行异常检测现在已经有很多研究成果,主要利用网络流量某方面的的特征,比如带宽速率bps、包速率pps、报文长度或者其他某个特征字段的值等,统计特征向量形成基线,设定容忍度区间,然后把当前的实际流量特征和基线值进行对比,计算实际值和基线值的差异,如果落在容忍度区间内,则认为是正常误差,否则认为流量异常。基于基线阈值的方法,通常按照百分比或绝对值设置阈值范围。
[0003]这种流量基线主要针对单台设备判断异常比较合适,计算方法简单,易于实施。但是流量基线不适用于整个网络,难以判断整个网络的连接态势是否异常。
技术实现思路
[0004]鉴于以上所述现有技术的缺点,本专利技术的目的在于提供一种基于信息熵的网络异常检测方法,用于解决现有技术中难以判断和评估整个网络连接状态的问题。
[0005]为实现上述目的及其他相关目的,本专利技术提供一种基于信息熵的网络异常检测方法,包括:
[0006]收集并分析所述网络的会话连接数据;
[0007]统计所述网络的连接特征,建立连接特征基线;
[0008]计算得到所述网络的基于所述连接特征基线的信息熵基线;
[0009]采集实时数据计算实时信息熵和所述实时信息熵与所述信息熵基线之间的偏差;
[0010]判断所述网络是否异常。 />[0011]于本专利技术的一实施例中,所述收集并分析所述网络的会话连接数据的步骤中,所述会话连接数据包括:源互联网协议(IP)地址、目的IP地址、目的端口和通信协议。
[0012]于本专利技术的一实施例中,所述收集并分析所述网络的会话连接数据的步骤中,所述统计所述网络的连接特征,建立连接特征基线的步骤中,所述连接特征包括安全权重和一个网络连接在整个网络连接集合中的比重。
[0013]于本专利技术的一实施例中,所述计算信息熵基线和实时信息熵的步骤中,所述信息熵由所述网络的连接特征计算得到,所述信息熵的公式为其中P(X
i
)为网络连接X
i
在整个网络连接集合中的比重。
[0014]于本专利技术的一实施例中,每一个所述网络连接X
i
包含4个元素:源IP地址、目的IP地址、目的端口和通信协议。
[0015]于本专利技术的一实施例中,为每一个所述网络连接赋予一个安全权重,标记为D(X
i
),并限定1≤D(X
i
)≤10;整个所述网络的逻辑拓扑的总权重标记为:所述P(X
i
)=D(X
i
)/D(X)。
[0016]于本专利技术的一实施例中,所述实时信息熵的计算规则包括:
[0017]所述整个所述网络的逻辑拓扑的所述总权重和所述信息熵基线保持不变;
[0018]如果某个第一网络连接消失,则减去所述第一网络连接对应的信息量;
[0019]如果增加新的第二网络连接,则所述整个网络连接集合中增加所述第二网络连接,计算所述第二网络连接对应的信息量时,所述安全权重被赋予最大值。
[0020]于本专利技术的一实施例中,所述采集实时数据计算实时信息熵和所述实时信息熵与所述信息熵基线之间的偏差的步骤中,选定一个预设长度的周期,缓存所述周期所有的连接数据,以避免短连接造成的波动。
[0021]于本专利技术的一实施例中,所述预设长度大于1分钟。
[0022]于本专利技术的一实施例中,所述偏差为所述实时信息熵与所述信息熵基线之差的绝对值。
[0023]于本专利技术的一实施例中,所述偏差大于阈值时,判定所述网络异常。
[0024]本专利技术还提供一种网络异常检测系统,使用上述任一项所述的基于信息熵的网络异常检测方法,包括连接特征收集模块、信息熵基线计算模块、实时数据采集模块、实时信息熵计算模块、比较模块和结果输出模块。
[0025]所述连接特征收集模块用于收集并分析网络的会话连接数据,统计所述网络的连接特征,并建立连接特征基线;
[0026]于本专利技术的一实施例中,
[0027]所述信息熵基线计算模块用于由所述连接特征基线计算得到信息熵基线;
[0028]所述实时数据采集模块用于采集实时的所述网络会话连接数据;
[0029]所述实时信息熵计算模块用于由所述实时网络会话连接数据计算得到实时信息熵;
[0030]所述比较模块根据所述信息熵基线和所述实时信息熵计算相应的偏差值,并根据所述偏差值判断所述网络是否正常工作;
[0031]所述结果输出模块用于输出所述网络的工作状态。
[0032]本专利技术还提供一种电子设备,包括如权利要求前述的网络异常检测系统。
[0033]如上所述,本专利技术的一种基于信息熵的网络异常检测方法,具有以下有益效果:通过对整个控制网的网络连接数据结合业务重要性建立信息熵基线,做一个量化指标衡量网络的连接稳定性,检测发现整个网络的连接异常情况,而且计算方式简单,对CPU消耗极少,易于工程化实施。
附图说明
[0034]图1显示为本专利技术一种基于信息熵的网络异常检测方法的步骤示意图。
[0035]图2显示为本专利技术一种网络异常检测系统的示意图。
具体实施方式
[0036]以下通过特定的具体实例说明本专利技术的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本专利技术的其它优点与功效。本专利技术还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离
本专利技术的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。还应当理解,本专利技术实施例中使用的术语是为了描述特定的具体实施方案,而不是为了限制本专利技术的保护范围。下列实施例中未注明具体条件的试验方法,通常按照常规条件,或者按照各制造商所建议的条件。
[0037]请参阅图1和图2。须知,本说明书所附图式所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本专利技术可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本专利技术所能产生的功效及所能达成的目的下,均应仍落在本专利技术所揭示的
技术实现思路
所能涵盖的范围内。同时,本说明书中所引用的如“上”、“下”、“左”、“右”、“中间”及“一”等的用语,亦仅为便于叙述的明了,而非用以限定本专利技术可实施的范围,其相对关系的改变或调整,在无实质变更
技术实现思路
下,当亦视为本专利技术可实施的范畴。
[0038]信息熵是用于衡量不确定性的指标,也就是离散随机事件出现的概率,简单地说,情况越混乱,信息熵就越大,反之则越小。
[0039]本专利技术对信息熵概念进行具体化,具体的信息熵由具体网络的连接特征计算而得。
[0040]本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于信息熵的网络异常检测方法,其特征在于,包括:收集并分析所述网络的会话连接数据;统计所述网络的连接特征,建立连接特征基线;计算得到所述网络的基于所述连接特征基线的信息熵基线;采集实时数据计算实时信息熵和所述实时信息熵与所述信息熵基线之间的偏差;判断所述网络是否异常。2.根据权利要求1所述的基于信息熵的网络异常检测方法,其特征在于,所述收集并分析所述网络的会话连接数据的步骤中,所述会话连接数据包括:源互联网协议(IP)地址、目的IP地址、目的端口和通信协议。3.根据权利要求1所述的基于信息熵的网络异常检测方法,其特征在于,所述统计所述网络的连接特征,建立连接特征基线的步骤中,所述连接特征包括安全权重和一个网络连接在整个网络连接集合中的比重。4.根据权利要求1所述的基于信息熵的网络异常检测方法,其特征在于,所述信息熵由所述网络的连接特征计算得到,所述信息熵的公式为其中P(X
i
)为网络连接X
i
在整个网络连接集合中的比重。5.根据权利要求4所述的基于信息熵的网络异常检测方法,其特征在于,每一个所述网络连接X
i
包含4个元素:源IP地址、目的IP地址、目的端口和通信协议。6.根据权利要求4所述的基于信息熵的网络异常检测方法,其特征在于,为每一个所述网络连接赋予一个安全权重,标记为D(X
i
),并限定1≤D(X
i
)≤10;整个所述网络的逻辑拓扑的总权重标记为:所述P(X
i
)=D(X
i
)/D(X)。7.根据权利要求6所述的基于信息熵的网络异常检测方法,其特征在于,所述实时信息熵的计算规则包括:所述整个所述网络的逻辑拓扑的所述总权重和所述信息熵基线保...
【专利技术属性】
技术研发人员:李明钢,张宏亮,褚瑞,李若兰,刘元,李红霞,姚红云,刘德备,颜元超,李启凌,邹宇嘉,张焕欣,刘泽林,孙鑫,石凌志,权小康,
申请(专利权)人:上海中广核工程科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。