技術領域

本發明涉及計算機網絡安全技術領域，尤其涉及一種基于聯合AR模型的病毒態勢異常檢測方法及系統。?

背景技術

現在的互聯網環境中，每天都發生著各種各樣的病毒傳播事件，這些病毒傳播事件往往都淹沒在浩瀚的網絡洪流中，提取和發現這些病毒傳播事件，并對這些病毒傳播事件規律進行深度分析，從而捕捉突發病毒疫情，是網絡安全技術領域急需解決的難題。

現有的網絡流量異常檢測方法，包括：基于閾值的方法，即當網絡流量超過預設閾值時立即告警。但是，這種方法只能發現嚴重的網絡故障或性能問題，并且，如果閾值設定的過小，則系統可能出現告警風暴，誤報的可能性很大；如果閾值設定的過大，則不易發現網絡中存在的細微流量突變，不能及時地進行網絡流量管理。基于統計的檢測方法，在網絡正常運行時建立一套網絡參數，當網絡參數出現偏差不符合正常運行情況時告警。基于小波的檢測方法，小波變換可得到低頻系數和高頻系數，其中低頻系數反映原始信號的輪廓，而高頻系數反映信號的細節，網絡流量異常可以通過分析細節系數檢測出來。

以上檢測方法仍然存在很多問題：只是針對總體病毒傳播事件進行網絡異常檢測是不合理的，雖然從網絡傳輸角度看病毒傳播事件都是IP流，與其他網絡流量無區別，但是病毒本身是有類別特征的，如果只是將它們視為一個整體，則必然會遺漏很多信息。例如，某類病毒出現疫情，傳播次數驟增，但是由于它在所有病毒傳播事件中比例較小，其驟增的態勢在總體病毒傳播事件中凸顯不出，所以受到忽視；也有可能存在兩個病毒傳播事件，其態勢是一增一減，效果相互抵消，總體病毒傳播事件中檢測不到所述的異常；并且即使發現病毒傳播事件在某個時間點增加較多，很有可能是由于在相同時間網絡流量也增加較多，所以這種情況就不能判定為網絡病毒態勢異常。

發明內容

針對上述技術問題，本發明提供了一種基于聯合AR模型的病毒態勢異常檢測方法及系統，該方法利用自回歸模型獲取網絡流量數據和病毒傳播事件的異常統計量，接著利用公式判定所述網絡中是否存在病毒態勢異常。該方法克服了傳統方法無法察覺微小異常的缺點，并且可以給出病毒態勢異常趨勢。?

本發明采用如下方法來實現：一種基于聯合AR模型的病毒態勢異常檢測方法，包括：

針對網絡流量數據生成大小為N+1的時間窗，并利用自回歸模型，基于前N個時刻的網絡流量數據得到第N+1時刻的網絡流量數據的預測值；

基于所述第N+1時刻的網絡流量數據的預測值與第N+1時刻的網絡流量數據的真實值之間的差距，得到第N+1時刻的網絡流量數據的異常統計量，以????????????????????????????????????????????????表示；

對檢測到的病毒傳播事件按照預設的方式進行分類，并且將所述病毒傳播事件用數值序列表示；將檢測到的病毒傳播事件進行所述分類后，不僅可以保證細小異常不漏檢，又可以輔助定位異常原因，比如，當病毒運行環境為win32和病毒類型為Trojan的病毒傳播事件在同一時刻出現病毒異常態勢，則可以推斷病毒態勢異常由病毒家族“Trojan.win32.XXX”導致。

例如所述病毒名中可以包括Trojan、Virus、Worm，或者更為精細的分類。

針對所述分類中的各類別下的所有病毒傳播事件的數值序列生成大小為N+1的時間窗，并利用自回歸模型，基于前N個時刻的數值序列的值得到第N+1時刻的數值序列的預測值；

基于所述第N+1時刻的數值序列的預測值與第N+1時刻的數值序列的真實值之間的差距，得到第N+1時刻的病毒傳播事件的異常統計量，以表示；所述tag為取自于所述分類中的各類別下的病毒傳播事件的標識；

計算病毒傳播事件的總異常統計量，以表示，方法為，并判斷所述是否大于預設閾值，若是，則出現病毒態勢異常，否則沒有出現病毒態勢異常；所述是指所述分類中各類別下的病毒傳播事件數量之和。宏觀上病毒傳播事件的趨勢與網絡流量趨勢是基本吻合的，利用如上計算方法，可以排除掉由于網絡流量的大幅波動導致的病毒傳播事件趨勢的變化，使得檢測結果更加準確，不會導致誤報。

方法中所述時間窗可以依據時間的更新向后滑動，以便求得最新時間點的預測值情況。

方法中在判斷出現病毒態勢異常之后，還包括：針對分類中的各類別下的所有異常統計量計算值，并將所述值按照大小進行排序，認為排序中值較大的病毒傳播事件為病毒態勢異常的主要貢獻者；進行這樣的排序之后可以更精確地定位異常發生原因，可以分析出病毒態勢異常是由哪個病毒，哪個文件導致，進而確定病毒傳播源和主要感染者。