本發明涉及一種基于熵和動態線性關系的多級流量異常檢測方法；通過分析大量的數據發現屬性間的線性關系，對熵值變化程度處于一級閾值和二級閾值之間的時間點進行動態線性關系的檢測，降低了實時檢測的時延，而分析熵值的變化方向可以識別異常的種類。

技術領域

本發明涉及數據傳輸的技術領域，特別是涉及一種基于熵和動態線性關系的多級流量異常檢測方法。

背景技術

目前，分析傳輸系統中傳輸的流量，及時檢測出系統中存在的異常流量是保障系統安全穩定運行的基礎，對流量異常檢測進行了大量的研究，現有技術為兩種：一是通過歷史數據訓練并建立網絡異常的行為模式，通過分析實時網絡流量是否與異常行為模式相匹配來判定網絡中是否發生了異常；二是從時間序列的角度出發，觀察預先定義的網絡流量異常指標的是否在時空域上超過了正常的范圍來判定異常的是否發生。由于使用第一種建立的方法只能檢測到現有的異常類型，當新異常類型出現時無法檢測出，因此局限性較大。

由于網絡中的數據量巨大，保證流量異常檢測方法的實時性和準確性是研究的重點和難點，而傳輸系統對實時性的要求比其他系統更高，此外，準確的判定異常的種類也是異常檢測方法的要求之一；基于第二種方法，在提高流量異常檢測方法的實時性和準確性方面做了大量的研究，忽略了異常種類的判定。

發明內容

本發明為克服上述所述的不足，提供一種提高了異常檢測方法的實時性和準確性的基于熵和動態線性關系的多級流量異常檢測方法。

為解決上述技術問題，本發明采用的技術方案是：

一種基于熵和動態線性關系的多級流量異常檢測方法，包括以下步驟：

S1.設定時間片大小T和時間窗口大小N；計算時間窗口和當前時間點t的流量集合熵值四元組H_t；

S2.對熵值序列進行一階差分計算，差分處理序列定義為H′_t；

S3.基于步驟S2，設定一級閾值和二級閾值；

S4.判斷熵值四元組相對于時間窗口內的N個差分熵值四元組的差值是否超過一級閾值；若是，則進行步驟S8，否則進行步驟S5；

S5.判斷熵值四元組相對于時間窗口內的N個差分熵值四元組的差值是否超過二級閾值；若是，則進行步驟S6，否則進行步驟S7；

S6.動態建立四元組之間的線性關系，并判斷時間點t時熵值是否偏離線性關系，若是，則進行步驟S8，否則進行步驟S7；

S7.檢測當前時間無異常，進行步驟S9；

S8.根據熵值四元組中的分量變化方向識別出異常類型；

S9.滑動時間窗口，進行下一個時間點檢測。

在上述方案中，首先設定時間片大小T和時間窗口大小N；計算時間窗口和當前時間點t的流量集合熵值四元組；對熵值序列進行一階差分計算；如何，設定一級閾值和二級閾值；判斷熵值四元組相對于時間窗口內的N個差分熵值四元組的差值是否超過一級閾值；再進一步判斷熵值四元組相對于時間窗口內的N個差分熵值四元組的差值是否超過二級閾值；接下來，動態建立四元組之間的線性關系，并判斷時間點t時熵值是否偏離線性關系；再檢測當前時間無異常，并根據熵值四元組中的分量變化方向識別出異常類型；通過滑動時間窗口，進行下一個時間點檢測；通過設定兩級動態閾值來提高檢測率，降低誤檢率，并通過分析大量的數據發現屬性間的線性關系，對熵值變化程度處于一級閾值和二級閾值之間的時間點進行動態線性關系的檢測，降低了實時檢測的時延，而分析熵值的變化方向可以識別異常的種類。

優選的，所述的熵值四元組為IP報頭中的四種屬性的熵值，包括源地址、源端口、目的地址、目的端口的熵值；

所述的步驟S1詳細如下：