[發明專利]一種基于熵和動態線性關系的多級流量異常檢測方法有效
| 申請號: | 201711385042.1 | 申請日: | 2017-12-20 |
| 公開(公告)號: | CN109951420B | 公開(公告)日: | 2020-02-21 |
| 發明(設計)人: | 姜文婷;陳燕;亢中苗;王婉婷;施展;蘇卓;王遠豐;廖穎茜 | 申請(專利權)人: | 廣東電網有限責任公司電力調度控制中心 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 廣州粵高專利商標代理有限公司 44102 | 代理人: | 林麗明 |
| 地址: | 510000 廣*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 動態 線性 關系 多級 流量 異常 檢測 方法 | ||
1.一種基于熵和動態線性關系的多級流量異常檢測方法,其特征在于:包括以下步驟:
S1.設定時間片大小T和時間窗口大小N;計算時間窗口和當前時間點t的流量集合熵值四元組,分別記為Hi和Ht;其中,所述的熵值四元組為IP報頭中的四種屬性的熵值,包括源地址、源端口、目的地址、目的端口的熵值;
S2.分別對流量集合熵值四元組進行一階差分計算,差分處理序列定義為Hi′、Ht′;
S3.計算時間窗口內N個差分熵值四元組Hi′的平均值和標準差,將三倍標準差設置為一級閾值,將兩倍標準差設置為二級閾值;
S4.判斷當前時間點t的流量集合熵值四元組的一階差分處理序列Ht′相對于時間窗口內的N個差分熵值四元組Hi′的平均值的差值是否超過一級閾值;若是,則進行步驟S8,否則進行步驟S5;
S5.判斷當前時間點t的流量集合熵值四元組的一階差分處理序列Ht′相對于時間窗口內的N個差分熵值四元組Hi′的平均值的差值是否超過二級閾值;若是,則進行步驟S6,否則進行步驟S7;
S6.計算四元組對應的線性關系,得到線性預測值;當觀測值與預測值之差的平方和為最小值時,得到最佳的線性模型;設定判斷偏離線性關系的閾值,根據時間點t時四元組熵值與根據最佳的線性模型的線性關系得出的預測值之間的差異是否超過所設定的閾值范圍,對四元組熵值是否偏離線性關系進行判斷,若是,則進行步驟S8,否則進行步驟S7;
S7.檢測當前時間無異常,進行步驟S9;
S8.根據熵值四元組的熵值變化方向,對熵值四元組不同的異常類型進行識別;
S9.滑動時間窗口,進行下一個時間點檢測。
2.根據權利要求1所述的基于熵和動態線性關系的多級流量異常檢測方法,其特征在于:所述的步驟S1詳細如下:設定時間片大小T和時間窗口大小N,在時間點t上,聚合流St上的熵值四元組定義為:
Ht=(Hsa,t,Hsp,t,Hda,t,Hdp,t);
其中,Hsa,t、Hsp,t、Hda,t、Hdp,t分別表示源地址、源端口、目的地址、目的端口的熵值。
3.根據權利要求2所述的基于熵和動態線性關系的多級流量異常檢測方法,其特征在于:所述的源地址的熵值定義為:
其中,nsa為聚合流中流量的總數,Pisa,t為相應源地址出現的概率;
所述的源端口的熵值定義為:
其中,nsp為聚合流中流量的總數,Pisp,t為相應源端口出現的概率;
所述的目的地址的熵值定義為:
其中,nda為聚合流中流量的總數,Pida,t為相應目的地址出現的概率;
所述的目的端口的熵值定義為:
其中,ndp為聚合流中流量的總數,Pidp,t為相應目的端口出現的概率。
4.根據權利要求3所述的基于熵和動態線性關系的多級流量異常檢測方法,其特征在于:所述的步驟S2具體如下:
對時間點t的熵值序列進行一階差分處理,處理后的序列表示為Ht′,其表達式如下:
Ht′=Ht-Ht-1;
其中,Ht表示時間點t的流量集合熵值四元組,Ht-1表示時間點t-1的流量集合熵值四元組;同理,得到時間窗口的差分處理序列Hi′。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于廣東電網有限責任公司電力調度控制中心,未經廣東電網有限責任公司電力調度控制中心許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201711385042.1/1.html,轉載請聲明來源鉆瓜專利網。
