本发明专利技术公开了一种网络异常流量监测方法,属于信息安全技术领域。所述方法包括:捕获流经的网络数据流;根据网络数据流的产生时间,选择与当前时间最接近的n条网络数据流数据;所述n根据系统的计算能力确定;将捕获的n条网络数据流数据作为相关向量机的输入进行训练,建立数据模型;根据所述数据模型对当前的网络流量数据进行监测。本发明专利技术能提高分类监测的精度,使异常流量监测能更快速有效,保证较低误检率和错检率。
【技术实现步骤摘要】
本专利技术涉及信息安全
,特别涉及一种网络异常流量监测方法及装置。
技术介绍
网络流量异常指网络中流量不规则的显著变化,如网络短暂拥塞、分布式拒绝服务攻击(DDoS,Distributed Denial ofService)、大范围扫描等本地事件或者网络路由异常等全局事件。网络流量异常的监测和分析对网络安全应急响应部门而言非常重要,但是由于宏观流量异常监测比较困难,需要从大量高维的富含噪声的数据中提取和解释异常模式,使得对于网络异常的监测和分析仍然是一个极大的挑战。为此,国内外的学术机构和企业提出了多种监测方法。其中,基于阈值的监测方法,通过分析历史数据,建立正常的参考范围,超出此范围即判断为异常。这种方法操作简单,计算复杂度小。然而,作为一种实用的监测手段时,它需要结合网络流量特点进行修正和改进。基于统计的监测方法,通过建立统计学模型产生相应的监测方法,如一般似然比(GLR,generalized Likelihood Ratio)监测方法,它考虑两个相邻的时间窗口以及由这两个窗口构成的合并窗口,每个窗口都用自回归模型拟合,并计算各窗口序列残差的联合似然比,然后与某个预先设定的阈值T进行比较,当超过阈值T时,则认定该窗口边界为异常点。这种监测方法对于流量的突变监测比较有效,但是它的阈值不是自动选取,并且当异常持续长度超过窗口长度时,将出现部分失效。基于变换域进行流量异常监测方法,将时域的流量信号变换到频域或者小波域,然后依据变换后的空间特征进行异常监测。该方法的计算过于复杂,不适于在高速骨干网上进行实时监测。此外,还有一些其它的监测方法,如主成分分析(PCA,Principal Component Analysis)方法,将源和目标之间的数据流高维结构空间进行PCA分解,归结到3个主成分上,以3个新的复合变量来重构网络流的特征,并以此发展出一套监测方法。基于Markov模型的网络状态转换概率监测方法,将每种类型的事件定义为系统状态,通过过程转换模型来描述所预测的正常的网络特征,当到来的流量特征与期望特征产生偏差时进行报警。LERAD监测方法基于网络安全特征的监测,通过对网络数据流进行分析得到流量属性之间的正常的关联规则,然后建立正常的规则集,在实际监测中对流量进行规则匹配,对违反规则的流量进行告警。这种方法能够对发生异常的地址进行定位,并对异常的程度进行量化,但需要大量正常模式下的纯净数据,因此在实际网络中不易实现。总体来看,基于流量异常的监测方法有很多,但它们主要存在以下问题:(1)准确度不高,特别是基于阈值的方法精确度比较差。由于网络入侵情况下的处理需要相当大的代价,所以漏检、错检的损失巨大。(2)输出结果没有置信度,对一个只有50%可能被攻击的状态和99%可能被攻击的状态进行相同处理的风险差别是巨大的。(3)无法应对在线采集所累计的海量网络数据流,日益增长的数据会使各种数据驱动方法的处理时间无限增长以至于无法实时地监测当前的网络情况。(4)网络监测系统各种参数不能根据历史网络情况自适应调整。人工干预设定不仅消耗大量人力,还降低了系统的稳定性,一旦出现差错,结果将难以预测。(5)处理高维数据效率低下。由于网络数据流一般由多种数据组合而成,对其进行分析的时间复杂度非常高,由此造成网络监测系统运行效率低下,不利于嵌入到各种硬件设备中。近年来,基于统计分析的机器学习方法被引入到网络异常监测中,并成为当前热点之一。支持向量机(SVM,Support Vector Machine)由于其坚实的理论基础以及核(Kernel)方法所带来的众多优点成为异常监测一种重要方法,它解决了准确度和处理高维数据效率低下问题。基于SVM的网络流量监测系统可描述如下:首先,使用数据预处理器对大量的审计数据进行处理或变换,其中包括数据采集、特征选择、数据转换功能,最终得到统一长度的数字向量。然后,SVM分类器对这些数字向量进行判别。最后输出判别结果,该结果可以作为最后的监测结果。为了提高系统的监测正确率,SVM网络流量监测系统还设计了决策响应功能,SVM分类器的结果输出给决策响应,决策响应通过设定判决准则,如发生数目、事件的百分比等,进行最终的判定。在实现本专利技术的过程中,专利技术人发现现有技术至少存在以下问题:(1)进行监测时,SVM支持向量的个数随着训练样本的增大成线性增长,当训练样本很大的时候,一方面可能造成过度拟合历史数据而使泛化能力变弱,另一方面则浪费计算时间。(2)无法得到概率式的监测输出,即预测结果没有置信度,仅为某一标签或者数值。(3)必须人工设定部分参数的变化范围,设置不当会引起过拟合或者欠拟合等问题,该参数对结果有很大的影响。大部分的情况下,使用者都必须猜测各种可能值,才能找最好的结果。(4)SVM所使用的核函数必须符合Mercer条件,核函数的选择范围被限定在了比较小的空间。(5)支持向量机对噪声是比较敏感的。现有技术中,尚没有一种低误检率、低错检率、带结果置信度输出、参数自动选择、高效的网络异常流量监测方案。
技术实现思路
为了解决现有技术的问题,本专利技术实施例提供了一种网络异常流量监测方法及装置。所述技术方案如下:一种网络异常流量监测方法,所述方法包括:捕获流经的网络数据流;根据网络数据流的产生时间,选择与当前时间最接近的n条网络数据流数据;所述n根据系统的计算能力确定;将捕获的n条网络数据流数据作为相关向量机的输入进行训练,建立数据模型;根据所述数据模型对当前的网络流量数据进行监测。所述将捕获的网络数据流数据作为相关向量机的输入进行训练之前,还包括:将所述网络数据流数据进行去噪处理。所述将捕获的网络数据流数据作为相关向量机的输入进行训练,建立数据模型,包括:为相关向量机选择核函数,将捕获的网络数据流数据的特征向量映射到高维空间;在高维空间内,为所述核函数选择相应参数,迭代求解最优的权重分布;根据所述权重分布,预测数据,建立数据模型。所述核函数包括但不限于高斯核函数或多项式核函数。所述为所述核函数选择相应参数,包括:使用当前值x作为核函数参数,x取值0到无穷;通过核函数计算网络数据流数据之间的相似性并记录所有相似度;统计所有在预设区间内的相似度的个数,并记录此个数n;增加核函数参数x=x+Δx,其中,所述Δx为核参数增量;增加迭代次数i=i+1;若在当前时间的n小于前一时间的n,则取前一时间的值x作为核函数参数;输出所述本文档来自技高网...
【技术保护点】
一种网络异常流量监测方法,其特征在于,所述方法包括:捕获流经的网络数据流;根据网络数据流的产生时间,选择与当前时间最接近的n条网络数据流数据;所述n根据系统的计算能力确定;将捕获的n条网络数据流数据作为相关向量机的输入进行训练,建立数据模型;根据所述数据模型对当前的网络流量数据进行监测。
【技术特征摘要】
1.一种网络异常流量监测方法,其特征在于,所述方法包括:
捕获流经的网络数据流;
根据网络数据流的产生时间,选择与当前时间最接近的n条网络数据流数据;所述n根
据系统的计算能力确定;
将捕获的n条网络数据流数据作为相关向量机的输入进行训练,建立数据模型;
根据所述数据模型对当前的网络流量数据进行监测。
2.如权利要求1所述的方法,其特征在于,所述将捕获的网络数据流数据作为相关向量
机的输入进行训练之前,还包括:
将所述网络数据流数据进行去噪处理。
3.如权利要求1所述的方法,其特征在于,所述将捕获的网络数据流数据作为相关向量
机的输入进行训练,建立数据模型,包括:
为相关向量机选择核函数,将捕获的网络数据流数据的特征向量映射到高维空间;
在高维空间内,为所述核函数选择相应参数,迭代求解最优的权重分布;
根据所述权重分布,预测数据,建立数据模型。
4.如权利要求3所述的方法,其特征在于,所述核函数包括但不限于高斯核函数或多项
式核函数。
5.如权利要求3所述的方法,其特征在于,所述为所述核函数选择相应参数,包括:
使用当前值x作为核函数参数,x取值0到无穷;通过核函数计算网络数据流数据之间
的相似性并记录所有相似度;
统计所有在预设区间内的相似度的个数,并记录此个数n;
增加核函数参数x=x+Δx,其中,所述Δx为核参数增量;
增加迭代次数i=i+1;
若在当前时间的n小于前一时间的n,则取前一时间的值x作为核函数参数;
输出所述x作为核函数参数。
【专利技术属性】
技术研发人员:鲁松,邹昕,周立,张良,关建峰,许长桥,张能,张宏科,
申请(专利权)人:北京邮电大学,国家计算机网络与信息安全管理中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。