技術領域

本發明是屬于大規模網絡環境下網絡異常偵測領域，特別涉及一種網絡異常流量的時頻域快速偵測方法。

背景技術

隨著網絡的發展，網絡異常行為包括網絡故障、用戶誤操作、網絡攻擊和網絡病毒傳播等，這些異常行為常常引起網絡中單條或多條鏈路上網絡流量偏離正常的現象。盡管異常流量在單條或多條鏈路上不表現出明顯的異常特征，但網絡中多條鏈路的異常流量總和較大。因而流量異常對網絡及其運行于網絡上的各種設備具有極大的危害性和破壞性。由于流量異常隱蔽性極強，發作突然，特征未知，可在極短時間內給網絡或網絡上的運行設備帶來極大的危害（例如由特定的網絡攻擊程序或網絡蠕蟲病毒爆發所引起的突發流量導致網絡癱瘓，通信中斷），因此準確而快速地偵測網絡流量異常行為、判斷引起流量異常的原因并迅速采取正確的響應措施是保證網絡安全高效運行的重要前提，且已成為目前國內外學術界和工業界共同關注的前沿科學問題。

隨著信息技術的發展，網絡流量異常隱蔽性越來越強。從相對很大且處于不斷變化的正常流量中，檢測到相對很小的異常流量，如同“大海撈針”，必須采用新的偵測技術、方法與機制。

流量異常檢測的困難主要體現在對異常偵測的時間精確性上。只有對異常信號采用時頻方法進行分析，突出異常點的特征，才能準確地偵測出異常出現的時刻。

Chen-Mou?Cheng等提出了一種頻譜分析方法來識別正常的TCP流量，他們發現了在與RTT（round-trip?time）相關的包傳遞中正常TCP流一定會顯示出周期性，而攻擊流卻通常不具有這一特性；2001年V.Alarcon-Aquino等提出了一種基于檢測和定位給定的時間序列在方差和頻率上微弱的改變，但是該算法選取的尺度有限并且算法思想復雜；P.Barford等提出了一種把網絡流量進行多尺度二進小波分解并重構綜合成高、中、低三個頻段分別用偏離分數進行檢測的方法，該算法能夠很好的檢測出過去一段時間內發生的Flash?Crowds和Short-time?Anomalies等，但是沒有很好的解決小波檢測尺度的自適應選取和實時監測的問題。因此現階段，網絡流量異常偵測方法仍然面臨偵測方法的自適應問題、實時偵測問題和偵測精度等問題。

發明內容

針對現有方法存在的不足，本發明提出一種網絡異常流量的時頻域快速偵測方法，以達到實時偵測、提高偵測精度的目的。

本發明的技術方案是這樣實現的：一種網絡異常流量的時頻域快速偵測方法，包括以下步驟：

步驟1：在網絡拓撲結構中，捕獲含有異常的流量數據，作為待分析的時域信號；

步驟2：提取時域信號中具有相同目的節點的OD流上的流量數據，進行相關性分析，計算每個OD流和與他具有相同目的節點的OD流之間的相關系數，將所計算出的若干相關系數取平均值作為該OD流的平均相關系數；將所有OD流的平均相關系數之和作為相關系數的累積特征；

步驟3：對步驟2的累積特征進行聯合時頻分析：采用短時傅里葉變換，確定時域信號在某個時間窗下的時頻特征參數；改變時間窗大小，計算不同時間窗下的時頻特征參數，將上述計算出的時頻特征參數疊加，得到突出異常信號特征的累積時頻特征參數；

步驟4：設定判決門限，若累積時頻特征參數超過該判決門限，則確定該處存在異常流量。

其中，步驟4所述的判決門限，確定方法為：計算累積時頻特征參數的均值和方差，取方差乘以一個系數，再與均值相加得到門限值。

所述的系數是1-10范圍內的一個自然數。

本發明優點：本發明網絡異常流量的時頻域快速偵測方法，提出采用相關系數的處理的方法提取異常特征，提高了偵測的準確度；同時利用短時傅里葉變換對異常特征進行時頻域分析，更準確地偵測出異常并實現對異常發生時刻的判斷。本發明方法在時頻域上對數據進行分析，理論上分解的層數越多，對頻率的劃分越精確，最后得到的效果將會越好。

附圖說明

圖1為給出本發明網絡異常流量的時頻域快速偵測方法的實施方式總流程圖；

圖2為本發明一種實施方式目的節點為6的OD流抽樣數據包示意圖，其中，(a)表示源節點為1；(b)表示源節點為2；(c)表示源節點為3；(d)表示源節點為4；(e)表示源節點為5；(f)表示源節點為6；(g)表示源節點為7；(h)表示源節點為8；(i)表示源節點為9；(j)表示源節點為10；(k)表示源節點為11；(l)表示源節點為12；