本發明公開了一種基于在線特征選擇的網絡流異常檢測方法，包括網絡流特征選擇：采用在線特征選擇算法從網絡數據流特征中提取影響分類的關鍵特征；根據在線特征選擇算法提取的關鍵特征子集，對原始數據流進行特征提取，并將其作為網絡流異常檢測在線學習算法的輸入；建立一個在線學習分類模型，再使用數據集對模型進行訓練，模型穩定后，用于在線網絡流異常實時檢測，將原始數據流按照特征子集進行特征提取，然后輸入在線異常檢測模型，最后將檢測結果存于數據庫，用于預警。本發明能很好地將網絡流的時序性特點和在線學習的優點結合起來，并且能夠滿足網絡流異常檢測的實時性要求，系統最終能夠又快又準的對網絡流進行實時檢測。

技術領域

本發明涉及一種模式識別技術，特別是一種基于在線特征選擇的網絡流異常檢測方法。

背景技術

基于在線特征選擇的網絡流異常檢測方法是指將網絡流分為正常流量和異常流量的技術，該技術通過對網絡流進行特征提取，形成數據流樣本，然后建立在線特征選擇模型，對模型進行訓練，模型穩定后，用于在線網絡流異常實時檢測。

近年來，隨著信息技術和因特網的持續發展，大批新興網絡應用不斷涌現，這些網絡應用在極大豐富了互聯網內容的同時，不可避免地造成了網絡流量的激增，從而造成網絡擁塞，甚至對網絡安全造成潛在的威脅。如何快速而準確地將網絡流量進行分類對于因特網服務提供商(ISP)和網絡管理人員至關重要。通過判斷骨干網中網絡流量的成分對于提升網絡服務質量(QoS)具有實際的指導意義，同時，對異常網絡流量的監控也有助于確保網絡安全。

機器學習算法已經廣泛應用于網絡流分類和異常檢測中，并取得了很好的效果。為了提高計算效率和避免維數災難，人們提出了特征選擇算法，但大部分算法都是對樣本進行批處理，當面對大規模骨干網數據流時，該類方法存在時間和空間的限制。考慮到網絡流的時序性以及網絡流異常檢測的實時性要求，本發明提出基于在線特征選擇(OnlineFeature Selection OFS)的網絡流異常檢測方法，它能很好地利用網絡流的時序性特點，通過與批處理方法的對比，其檢測時間快且準確率與批處理方法相近，本發明為網絡流分類和異常檢測提供了一種全新的思路。

發明內容

1、本發明的目的

本發明利用在線學習特征選擇算法對網絡流進行特征選擇和異常網絡數據流進行分類標記，建立了一個根據分類效果不斷實時更新的在線模型，使對異常網絡數據流的監控能夠更加高效和實時，為保證網絡安全提供實時監控響應。

2、本發明所采用的技術方案

本發明對異常網絡流實時檢測，便于網絡安全維護，提出了一種基于在線特征選擇的網絡流異常檢測方法，包括兩個部分：

1)網絡流特征選擇：采用在線特征選擇算法從網絡數據流特征中提取影響分類的關鍵特征；

2)根據在線特征選擇算法提取的關鍵特征子集，對原始數據流進行特征提取，并將其作為網絡流異常檢測在線學習算法的輸入；建立一個在線學習分類模型，再使用數據集對模型進行訓練，模型穩定后，用于在線網絡流異常實時檢測，將原始數據流按照特征子集進行特征提取，然后輸入在線異常檢測模型，最后將檢測結果存于數據庫，用于預警。

更進一步，所述的步驟1)首先對原始網絡數據流進行特征提取，提取方法使用Moore特征提取方法。

更進一步，在網絡流特征選擇階段，主要包括以下步驟：

采用Moore數據流特征提取算法對數據流進行特征提取，得到數據流特征序列{x_i∈R²⁴⁸|i＝1,2,...,N}，處理后的每一個數據流樣本x_i包含248維特征，包括簡單特征、協議計數特征、分組頭部提取特征、雙向簡單統計量特征和連接統計特征。