技術領域

本發明是一種異常流量的檢測方法，提供一種方便的通過計算自相似指數的變化的異常流量檢測方法，屬于計算機應用技術和入侵檢測交叉領域。

背景技術

在網絡中除了正常的網絡流量以外，還包括很多惡意的攻擊流量，經常造成網絡的擁塞甚至癱瘓，我們稱這種流量為異常流量?，F有網絡中的兩種危害性較大的異常流量是DDoS(分布式拒絕服務)和Viruses?and?Worms(病毒和蠕蟲)。

網絡病毒和網絡攻擊給網絡的正常運行帶來了極大的危害，但是目前還沒有方法能從根本上消除DDoS攻擊和蠕蟲病毒。但通過一些技術手段，如檢測和過濾，能在一定程度上減輕這些攻擊帶來的危害。

異常檢測是發現網絡中的異常，在網絡中出現異常流量時提供告警信息，是解決網絡異常的起點。異常檢測的算法有很多種：如預測的方法、GLR算法，通過檢測管理信息庫變量的異常的方法、迭代統計的方法等。

目前的異常流量檢測算法基本上都是通過設定流量范圍來檢測異常，或者建立行為分類引擎，通過訓練和不斷地更新引擎來檢測異常。它們的主要缺點主要是：

(1)不能將繁忙流量與異常流量區分出來，造成誤報或者漏報。

(2)流量閾值的設定與具體的網絡相關，缺乏通用性，而且需要技術人員的支持。

(3)只能在攻擊大規模爆發時才能檢測出來，檢測時間較長。

通過對Witty?Worm病毒爆發和DDOS攻擊時的網絡流量進行Hurst指數的計算并分析發現，當網絡中存在異常流量時，網絡流量序列的Hurst指數會發生跳躍性的變化。因此，網絡流量的Hurst指數是網絡流量是否正常的一個指標。

發明內容

技術問題：本發明的目的是本發明是一種異常流量的檢測方法，提供一種方便的通過計算自相似指數的變化的異常流量檢測方法，這種方法能夠區分正常流量與異常流量，并縮減檢測時間。

技術方案：本發明提出了HIDS異常流量檢測方法，并設計了檢測的算法。本方法通過Hurst指數的變化來區分正常流量和異常流量，方法如下：

步驟1)：初始化樣本隊列FQueue，初始化Hurst隊列和用于保存Hurst指數的HQueue，初始化Hurst指數變化隊列DHQueue；

步驟2)：計算樣本隊列FQueue的Hurst指數，保存Hurst指數至HQueue隊列，加入新節點至樣本隊列FQueue，延遲10秒鐘；

步驟3)：對于HQueue隊列中的所有Hurst的值，計算deltaH＝H(m)-H(m-1)，并加入DHQueue隊列；

步驟4)：循環讀取DHQueue隊列的最后一個值H(last)，在deltaH(last)＞0.2的情況下，如果H(last)-2＞0，報警wittyworm病毒，如果H(last)＜0.3，報警DDOS攻擊。

附圖說明

圖1是流量回放實驗原理。

圖2是流量回放程序的界面。

具體實施方式

流量文件來自于www.caida.org提供的backscatter-20040301-0000-clean.pcap(DDoS流量)和wittyworm-20040201.pcap(病毒流量)，通過流量回放機制將攻擊數據包回放到局域網中模擬攻擊事件，通過流量采集程序，如WinPcap，獲取包含攻擊流量的樣本序列，通過我們的實際運行和測試，HIDS異常流量檢測方法對于DDoS和wittyworm病毒流量能基本實現100％的檢測成功率，檢測時間也比傳統檢測算法大大縮減。