本發明公開了一種基于循環預測和學習的網絡流量異常檢測方法，屬于網絡安全領域，解決現有技術中會提高算法的復雜度和預測誤報率的問題。本發明基于第一個連續時間段，采集各時間周期內特征指標的采樣值，對時間序列進行平滑修正；根據第一個連續時間段和平滑修正后的采樣值，通過預測算法，獲得第二個連續時間段內特征指標的預測值；基于預測值和采集的第二個連續時間段內特征指標的采樣值計算每個時間周期內指標的預測偏差率，根據所有預測偏差率得到的預測偏差率正負極值；根據待判斷的連續時間周期內特征指標的預測偏差率和預測偏差率正負極值進行異常判斷。本發明用于對網絡流量異常的檢測。

技術領域

一種基于循環預測和學習的網絡流量異常檢測方法，用于對網絡流量異常的檢測，屬于網絡安全領域。

背景技術

隨著Internet的不斷發展，網絡規模日益擴大，其承載的網絡業務逐漸增多。網絡安全已成為人們越來越關心的問題。網絡流量異常是指對網絡正常使用造成不良影響的網絡流量模式，網絡掃描、DDOS攻擊、網絡蠕蟲病毒、惡意下載、物理鏈路損壞等都會導致網絡流量異常。網絡流量異常往往伴隨嚴重后果，如占用網絡資源，網絡擁塞，造成丟包、延時增加；占用設備系統資源(CPU，內存等)，網絡設施面臨癱瘓。因此網絡異常流量的實時檢測及合理響應對于維護網絡安全、抑制惡意攻擊和合理分配網絡帶寬具有重要意義。

目前常見的網絡異常流量的檢測方法有以下幾種。

(1)基于數據挖掘的異常檢測。數據挖掘可以有效的從海量網絡流量數據中挖掘到潛在有用的信息。數據挖掘需要采集大量、真實有效的網絡流量數據，通過抽樣選取確定目標數據，對目標數據進行預處理及變換，然后應用數據挖掘中的算法，如分類、聚類分析、序列分析等，通過一定的判斷規則，對流量數據進行檢測。

(2)基于小波變換的異常檢測。對于非穩定的信號，小波變換通過有限長的會衰減的小波基進行時頻域變化，從而得到它的時頻譜。小波變換檢測流量的步驟通常為：對一個指標的全部采樣值進行分析，將其拆分為不同的分量，通過計算不同分量的方差，來按照一定的概率發現指標異常。小波變換對于信號的分解和重構是有效的，分解后的信號在頻域上具有專一性，并對信號進行了平滑處理，從而將處理方法從平穩時間序列擴展到了非平穩時間序列。通過分析不同的尺度下逼近信號和細節信號，可以方便的從中檢測到異常流量。

(3)基于神經網絡的異常檢測。通過對輸入信息的學習，構造輸入和輸出的關系模型，通過自動學習與更新，可以準確的表達非線性關系。因此當有新的輸入進入時，可以良好的預測輸出的情況。因此對于下一時間節點預測的錯誤概率一定程度上可以反過來代表該時間節點的行為異常程度。

上述中基于分類和神經網絡檢測模型對網絡流量異常檢測效果較好。其中，基于分類的方法主要包括有監督方法和無監督方法；而基于神經網絡的異常檢測方法分為多個變種，LSTM則是近年研究熱點。隨著新的網絡特征被不斷挖掘，網絡流量狀態已經成為了一個多維時間序列，大量的特征指標(專用網絡設備，如防火墻或流量分析系統對網絡流量進行統計獲得的某類流量統計特征指標，例如：“TCP報文數量”可以作為一個特征指標)和長時間周期(即為時間窗口，是指將一段連續時間劃分為固定長度的多個時間周期，每個時間周期稱為一個時間窗口)的跨度給分類和預測模型帶來難度，提高了算法復雜度，且造成預測誤報率偏高。原因是：現有基于神經網絡的異常檢測方法，基本上都基于一個基本假設，即：預測的結果一定是準確的，在網絡未發生異常的情況下，預測值和實際值相當接近。事實上，在實際網絡環境中，很難保證預測結果的準確性，因大規模網絡往往存在大量突發流量，導致預測值和實際值存在不同程度的偏差。而在何種程度偏差的情況下輸出異常告警，現有基于神經網絡的異常檢測方法普遍缺乏研究。如果單純以預測值與實際值的差異作為異常判定條件，則會導致大量的誤報和虛警。特別是在預測結果準確率不高的情況下，異常檢測結果幾乎不可用。

發明內容