本發明公開了基于流量數據樣本統計和平衡信息熵估計的網絡異常檢測方法，本發明屬于網絡安全技術領域，包括流量數據采集、統一數據格式、數據特征分析和網絡異常判斷步驟是一種基于集網絡流量小樣本數據特征，使用樣本信息熵的平衡方法來估計總體情況，識別網絡中的DoS和Port Scan攻擊拒的檢測方法。

技術領域

本發明屬于計算機網絡安全技術領域，具體涉及基于流量數據樣本統計和平衡信息熵估計的網絡異常檢測方法。

背景技術

網絡行為異常檢查(NBAD，network behavior anomaly detection)能連續監測專有網絡的不尋常事件或趨勢。網絡行為異常檢查是網絡行為分析(NBA)的主要部分。

網絡行為異常檢查(NBAD，network behavior anomaly detection)能連續監測專有網絡的不尋常事件或趨勢。網絡行為異常檢查是網絡行為分析(NBA)的主要部分，除了傳統反威脅應用程序(如防火墻、防病毒軟件和間諜軟件檢測軟件)提供的安全之外，網絡行為分析也提供安全保護。

網絡行為異常檢查(NBAD)程序實時跟蹤關鍵網絡特性，如果檢測到一個不尋常事件或趨勢，就生成顯示威脅存在的警報。網絡特性的例子有流量、帶寬使用和協議使用。

網絡行為異常檢查程序還可以監視個人網絡用戶的行為。為了使網絡行為異常檢查達到最佳效果，就必須在一段時間內建立正常網絡或用戶行為的基準。一旦某些參數被定義為是正常的，那么違背一個或多個參數就會被標記為異常。

除了使用傳統的防火墻和惡意軟件檢測軟件外，也應使用網絡行為異常檢查(NBAD)。一些廠商已開始認識到這一事實，并且將網絡行為分析或網絡行為異常檢查作為其網絡安全套件的主要組成部分。

熵是統計力學和信息論中衡量統計總體信息內容或隨機變量不確定度的重要函數，目前常見的熵家族包括香農信息熵、Rényi熵及Tsallis熵。一般給定隨機問題的全概率分布是未知的，大多數情況下是用小數據集來推斷總體的分布情況。理論上由于熵具有非線性特性，對于使用小數據樣本進行總體估計，不可能同時減小系統性偏差和統計方差，該問題在香農信息熵、Rényi熵及Tsallis熵中都同樣存在。香農信息熵是Rényi熵的特例，其使用范圍廣、接受度高且計算相對容易。

流量數據采集，廣播式以太網的特征是廣播數據，即在廣播域內某個位置部署采集點能獲取到該域所有數據流量。目前大多數基于IP的園區以太網屬于交換式以太網，采集點位置選擇、采集方式等很重要，否則無法獲取到感興趣的流量數據，具體需根據網絡類型、拓撲設計采集方案。以一般的三層交換式以太網絡為例，拒絕服務攻擊一般針對服務器等重要資源，采集點應部署服務器所在的核心層，可采用網絡端口鏡像方式；端口掃描攻擊應部署在靠近惡意終端所在的網絡接入層，采用端口鏡像方式，如果無法獲知惡意終端的分布，采集點可部署在網絡分布層。

網絡流量特征選擇，針對不同的網絡攻擊方式應選取不同的網絡流量特征：如數據包IP地址-源端口-目的IP地址-目的端口-協議、數據包間隔時間、流量的大小、包長的信息、協議的信息、端口流量的信息、TCP標志位的信息、SYN包的個數等，這些特征比較詳細地描述了網絡流量的運行狀態。

在總體分布未知的網絡流量數據中，通常由于數據采集的時間短，一般判斷采集到的數據屬于小樣本數據集，根據前面的統計理論背景知識，如果直接采用樣本信息熵公式估計總體存在偏離性，因此不能直接使用。

發明內容

本發明的目的在于提供一種基于集網絡流量小樣本數據特征，使用樣本信息熵的平衡方法來估計總體情況，識別網絡中的DoS和Port Scan攻擊拒的檢測方法。

本發明的目的是通過以下技術方案實現的：

基于流量數據樣本統計和平衡信息熵估計的網絡異常檢測方法，其特征在于，包括以下步驟：