[發(fā)明專利]基于可調(diào)節(jié)分段Tsallis熵的網(wǎng)絡(luò)流量異常檢測(cè)方法有效
| 申請(qǐng)?zhí)枺?/td> | 201510031006.X | 申請(qǐng)日: | 2015-01-21 |
| 公開(kāi)(公告)號(hào): | CN104539488B | 公開(kāi)(公告)日: | 2017-12-29 |
| 發(fā)明(設(shè)計(jì))人: | 王之梁;田庚;尹霞;施新剛;李子木 | 申請(qǐng)(專利權(quán))人: | 清華大學(xué) |
| 主分類號(hào): | H04L12/26 | 分類號(hào): | H04L12/26 |
| 代理公司: | 北京中偉智信專利商標(biāo)代理事務(wù)所11325 | 代理人: | 張岱 |
| 地址: | 100084*** | 國(guó)省代碼: | 北京;11 |
| 權(quán)利要求書(shū): | 查看更多 | 說(shuō)明書(shū): | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 基于 調(diào)節(jié) 分段 tsallis 網(wǎng)絡(luò)流量 異常 檢測(cè) 方法 | ||
技術(shù)領(lǐng)域
本發(fā)明涉及一種基于可調(diào)節(jié)分段Tsallis熵的網(wǎng)絡(luò)流量異常檢測(cè)方法。
背景技術(shù)
基于Tsallis熵進(jìn)行網(wǎng)絡(luò)流量異常檢測(cè)是一種簡(jiǎn)單有效的方法,但是由于Tsallis熵本身特性的影響,使其在網(wǎng)絡(luò)流量異常檢測(cè)中存在三大問(wèn)題:一是不能克服樣本空間數(shù)量劇烈波動(dòng)對(duì)熵值的影響,導(dǎo)致檢測(cè)不準(zhǔn)確;二是需要計(jì)算全部樣本才能得到熵值,導(dǎo)致對(duì)大樣本空間的檢測(cè)不敏感;三是混合異常在熵值存在抵消問(wèn)題,導(dǎo)致對(duì)有些混合攻擊不能夠檢測(cè)出來(lái)。因此,基于Tsallis熵的網(wǎng)絡(luò)流量異常檢測(cè)很難應(yīng)用于終端數(shù)目巨大、流量波動(dòng)明顯的網(wǎng)絡(luò)。而且目前隨著網(wǎng)絡(luò)規(guī)模、數(shù)據(jù)量的不斷增大,單機(jī)的流量異常檢測(cè)系統(tǒng)也遇到了網(wǎng)絡(luò)流量的處理能力的挑戰(zhàn),尤其是對(duì)大量歷史流量數(shù)據(jù)的分析上存在困難。
發(fā)明內(nèi)容
針對(duì)上述問(wèn)題,本發(fā)明提供一種克服了傳統(tǒng)熵用于網(wǎng)絡(luò)流量異常檢測(cè)存在的問(wèn)題,適應(yīng)大規(guī)模網(wǎng)絡(luò)的異常檢測(cè)需求的基于可調(diào)節(jié)分段Tsallis熵的網(wǎng)絡(luò)流量異常檢測(cè)方法。
為達(dá)到上述目的,本發(fā)明基于可調(diào)節(jié)分段Tsallis熵的網(wǎng)絡(luò)流量異常檢測(cè)方法,所述方法包括:
獲取流量數(shù)據(jù),將所述流量數(shù)據(jù)劃分為均勻的時(shí)間片,在所述的時(shí)間片內(nèi)選取至少一個(gè)元素集合為參考樣本空間;
各參考樣本空間基于可調(diào)節(jié)分段Tsallis熵的方法,得到參考樣本空間對(duì)應(yīng)的高概率熵值和低概率熵值;
判斷所述的時(shí)間片是否異常,
若所述的時(shí)間片內(nèi)各參考樣本空間對(duì)應(yīng)的高概率熵值和低概率熵值均正常,則該時(shí)間片為網(wǎng)絡(luò)正常時(shí)間片;
若所述的時(shí)間片內(nèi)至少一個(gè)參考樣本空間對(duì)應(yīng)的高概率熵值和/或低概率熵值為異常,則該時(shí)間片為網(wǎng)絡(luò)異常時(shí)間片;
其中,所述的可調(diào)節(jié)分段Tsallis熵的方法具體為:
對(duì)一個(gè)所述參考樣本空間內(nèi)的元素按照概率閾值分為高概率集合和低概率集合,所述高概率集合和虛擬不重復(fù)元素集合組成高概率樣本空間,所述低概率集合組成低概率樣本空間;
對(duì)所述的高概率樣本空間用Tsallis熵計(jì)算得到高概率熵值,對(duì)所述的低概率樣本空間用Tsallis熵計(jì)算得到低概率熵值。
進(jìn)一步地,所述的用Tsallis熵計(jì)算得到高概率熵值和低概率熵值的具體公式如下:
其中,S-H為高概率熵值,S-L為低概率熵值;
參考樣本空間A中有NA個(gè)互不相同元素,A={a1,a2,...,ai,...,aNA},任意元素ai∈A且表示A中的第i個(gè)互不相同的元素,表示元素在參考樣本空間A中出現(xiàn)的次數(shù);
虛擬的不重復(fù)元素集合E中有N個(gè)互不相同元素且E={e1,e2,...,ei,...,eN},任意元素ei∈E且表示E中的第i個(gè)互不相同的元素,1表示元素在虛擬的不重復(fù)元素集合E中出現(xiàn)的次數(shù);
低概率樣本空間C中有NC個(gè)互不相同元素,C={c1,c2,...,ci,...,cNC},任意元素ci∈C且表示C中的第i個(gè)互不相同的元素,表示元素在C中出現(xiàn)的次數(shù);
高概率元素集合D中有ND個(gè)互不相同元素,D={d1,d2,...,di,...,dND},任意元素di∈D且表示D中的第i個(gè)互不相同的元素,表示元素在D中出現(xiàn)的次數(shù);
表示高概率樣本空間B中第i個(gè)元素在高概率樣本空間B中出現(xiàn)的概率,表示低概率樣本空間C中第i個(gè)元素在低概率樣本空間C中出現(xiàn)的概率。
具體地,判斷參考樣本空間對(duì)應(yīng)的高概率熵值和低概率熵值是否異常的方法為:
若所述的高概率熵值小于高概率熵閾值,則高概率熵值異常,否則,高概率熵值正常;
若所述的低概率熵值大于低概率熵閾值,則低概率熵值異常,否則,低概率熵值正常。
優(yōu)選地,在所述時(shí)間片內(nèi)選取的參考樣本空間具體為:源IP組成的源IP樣本空間、目的IP組成的目的IP樣本空間、源端口組成的源端口樣本空間和/或目的端口組成的目的端口樣本空間。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于清華大學(xué),未經(jīng)清華大學(xué)許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買(mǎi)此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201510031006.X/2.html,轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專利網(wǎng)。
- 調(diào)節(jié)板風(fēng)量調(diào)節(jié)裝置
- 調(diào)節(jié)腳及調(diào)節(jié)裝置
- 調(diào)節(jié)腳及調(diào)節(jié)裝置
- 配置文件的調(diào)節(jié)方法、調(diào)節(jié)裝置、調(diào)節(jié)系統(tǒng)以及記錄介質(zhì)
- 調(diào)節(jié)裝置、調(diào)節(jié)系統(tǒng)、調(diào)節(jié)方法和調(diào)節(jié)控制裝置
- 調(diào)節(jié)板及調(diào)節(jié)總成
- 調(diào)節(jié)機(jī)構(gòu)及調(diào)節(jié)系統(tǒng)
- 調(diào)節(jié)裝置和調(diào)節(jié)系統(tǒng)
- 調(diào)節(jié)裝置和調(diào)節(jié)系統(tǒng)
- 調(diào)節(jié)裝置及其調(diào)節(jié)方法
- 基于灰度-梯度二維對(duì)稱Tsallis交叉熵的快速閾值分割方法
- 基于雙參數(shù)Tsallis熵對(duì)的網(wǎng)絡(luò)流量異常檢測(cè)方法
- MMC換流站運(yùn)行狀態(tài)模糊綜合評(píng)判方法
- 基于熵冗余度和克隆選擇的高光譜波段選擇方法
- MMC-HVDC暫態(tài)擾動(dòng)交互影響狀態(tài)的評(píng)價(jià)方法
- 一種基于Tsallis熵選擇的疑似肺結(jié)節(jié)檢測(cè)方法
- 一種滾動(dòng)軸承退化狀態(tài)階段確定方法
- 基于交叉熵和滑動(dòng)時(shí)間窗的航班進(jìn)場(chǎng)排序方法
- 一種基于二維Tsallis灰度熵快速迭代的閾值分割方法
- 一種基于Otsu和Tsallis熵的二次圖像分割方法
