技術領域

本發明涉及一種基于可調節分段Tsallis熵的網絡流量異常檢測方法。

背景技術

基于Tsallis熵進行網絡流量異常檢測是一種簡單有效的方法，但是由于Tsallis熵本身特性的影響，使其在網絡流量異常檢測中存在三大問題：一是不能克服樣本空間數量劇烈波動對熵值的影響，導致檢測不準確；二是需要計算全部樣本才能得到熵值，導致對大樣本空間的檢測不敏感；三是混合異常在熵值存在抵消問題，導致對有些混合攻擊不能夠檢測出來。因此，基于Tsallis熵的網絡流量異常檢測很難應用于終端數目巨大、流量波動明顯的網絡。而且目前隨著網絡規模、數據量的不斷增大，單機的流量異常檢測系統也遇到了網絡流量的處理能力的挑戰，尤其是對大量歷史流量數據的分析上存在困難。

發明內容

針對上述問題，本發明提供一種克服了傳統熵用于網絡流量異常檢測存在的問題，適應大規模網絡的異常檢測需求的基于可調節分段Tsallis熵的網絡流量異常檢測方法。

為達到上述目的，本發明基于可調節分段Tsallis熵的網絡流量異常檢測方法，所述方法包括：

獲取流量數據，將所述流量數據劃分為均勻的時間片，在所述的時間片內選取至少一個元素集合為參考樣本空間；

各參考樣本空間基于可調節分段Tsallis熵的方法，得到參考樣本空間對應的高概率熵值和低概率熵值；

判斷所述的時間片是否異常，

若所述的時間片內各參考樣本空間對應的高概率熵值和低概率熵值均正常，則該時間片為網絡正常時間片；

若所述的時間片內至少一個參考樣本空間對應的高概率熵值和/或低概率熵值為異常，則該時間片為網絡異常時間片；

其中，所述的可調節分段Tsallis熵的方法具體為：

對一個所述參考樣本空間內的元素按照概率閾值分為高概率集合和低概率集合，所述高概率集合和虛擬不重復元素集合組成高概率樣本空間，所述低概率集合組成低概率樣本空間；

對所述的高概率樣本空間用Tsallis熵計算得到高概率熵值，對所述的低概率樣本空間用Tsallis熵計算得到低概率熵值。

進一步地，所述的用Tsallis熵計算得到高概率熵值和低概率熵值的具體公式如下：

其中，S_-H為高概率熵值，S_-L為低概率熵值；

參考樣本空間A中有N_A個互不相同元素，A＝{a₁,a₂,...,a_i,...,a_NA}，任意元素a_i∈A且表示A中的第i個互不相同的元素，表示元素在參考樣本空間A中出現的次數；

虛擬的不重復元素集合E中有N個互不相同元素且E＝{e₁,e₂,...,e_i,...,e_N}，任意元素e_i∈E且表示E中的第i個互不相同的元素，1表示元素在虛擬的不重復元素集合E中出現的次數；

低概率樣本空間C中有N_C個互不相同元素，C＝{c₁,c₂,...,c_i,...,c_NC}，任意元素c_i∈C且表示C中的第i個互不相同的元素，表示元素在C中出現的次數；

高概率元素集合D中有N_D個互不相同元素，D＝{d₁,d₂,...,d_i,...,d_ND}，任意元素d_i∈D且表示D中的第i個互不相同的元素，表示元素在D中出現的次數；

表示高概率樣本空間B中第i個元素在高概率樣本空間B中出現的概率，表示低概率樣本空間C中第i個元素在低概率樣本空間C中出現的概率。

具體地，判斷參考樣本空間對應的高概率熵值和低概率熵值是否異常的方法為：

若所述的高概率熵值小于高概率熵閾值，則高概率熵值異常，否則，高概率熵值正常；

若所述的低概率熵值大于低概率熵閾值，則低概率熵值異常，否則，低概率熵值正常。

優選地，在所述時間片內選取的參考樣本空間具體為：源IP組成的源IP樣本空間、目的IP組成的目的IP樣本空間、源端口組成的源端口樣本空間和/或目的端口組成的目的端口樣本空間。