[發明專利]一種基于態勢感知預測方法的網絡異常檢測方法有效
| 申請號: | 201910864115.8 | 申請日: | 2019-09-12 |
| 公開(公告)號: | CN110460622B | 公開(公告)日: | 2021-11-16 |
| 發明(設計)人: | 袁舒;王穎舒;劉晴;左宇;張娟娟;黃韜;徐拓之;李易;韋倩 | 申請(專利權)人: | 貴州電網有限責任公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L12/24 |
| 代理公司: | 貴陽中新專利商標事務所 52100 | 代理人: | 商小川 |
| 地址: | 550002 貴*** | 國省代碼: | 貴州;52 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 態勢 感知 預測 方法 網絡 異常 檢測 | ||
1.一種基于態勢感知預測方法的網絡異常檢測方法,其特征在于:它包括:
步驟1、獲取骨干網的數據進行了提取分析以得到所需的鏈路數據;
步驟2、用Ruby實現網絡流量屬性信息熵計算;
步驟3、采用ARMA模型時間序列預測分析法作為熵值預測,通過預測值與實際值求差得到預測差序列以獲得異常空間;
步驟3所述采用ARMA模型時間序列預測分析法作為熵值預測,通過預測值與實際值求差得到預測差序列以獲得異常空間的方法包括:
首先對所要預測的數據進行平穩性檢驗,平穩性檢驗包括參數檢驗法和非參數檢驗法,經過檢驗,若數據是平穩時間序列,則繼續下一步分析,如果是非平穩序列,則進行差分處理,并且繼續進行平穩性檢驗,直到滿足平穩性條件為止;
然后計算時間序列的樣本自相關系數和偏自相關系數,根據樣本自相關系數和偏自相關系數的拖尾或截尾性質,進而確定采用的時間序列模型及階數p,q;
設x1,x2,…,xn為網絡熵值時間序列,為網絡熵值時間序列的平均值,則樣本自相關系數和偏自相關系數的計算公式如下:
計算出樣本自相關系數和偏自相關系數后,確定時間序列的數學模型和階數:如果拖尾,而為p階截尾,則采用AR(p)模型;如果為q階截尾,而拖尾,則采用MA(q)模型;如果和均拖尾,則采用ARMA(p,q)模型;
將模型確定好后,再利用參數估計的方法計算模型的各個參數,參數估計方法采用有矩估計、極大似然估計或最小二乘估計;計算出模型參數后,就得到了安全態勢值時間序列預測模型的表達式;
利用所得到的預測模型表達式進行計算和預測;
最后根據預測值與實際值求差得到預測差序列以獲得異常空間;
步驟4、得到異常空間后,通過對兩條鏈路的異常空間時間序列進行相關性分析,得到疑似網絡異常點的發生時間及位置;
步驟4所述通過對兩條鏈路的異常空間時間序列進行相關性分析的方法包括:
任意兩條鏈路熵值異常空間的相關性,由相關系數來衡量,數學定義如下:設X和Y為隨機變量,X和Y的協方差為:
Cov(X,Y)=E{[X-E(X)][Y-E(Y)]}
其中E(X)為X的均值,E(Y)為Y的均值;則X與Y間的相關系數為:
D(X)與D(Y)分別為X和Y的方差,相關系數反映了兩個向量在不同時刻狀態之間的統計關聯程度,若ρxy=0,則X和Y不相關;|ρxy|越接近1則X與Y的關聯程度越大,當P{Y=aX+b}=1,a和b是常數,p{}是概率;即X與Y線性相關的概率為1時,|ρxy|=1,即X與Y完全相關;
引入兩個滑動時窗,考慮鄰近時間段內鏈路流異常空間的相關性,Oi和Oj分別為兩條不同的鏈路流異常空間,以時刻點t為起始點,截取鏈路流熵值預測差時間序列Oi中長度為w1的子段,作為一個向量;Oj序列中截取的子段的起始位置點在(t-w2,t+w2)中滑動,同樣截取長度為w1的子段為另一個向量;在Oj中的截取向量的起始位置點每滑動一次,可得到一個相關系數corrcoef,取這2w2個相關系數中最大值作為Oi和Oj在時間點t上的相關系數:
tj為Oj中的截取向量起始位置點的滑動范圍;定義t時刻全局熵值相關系數為網絡中兩條鏈路流在該時刻點相關系數的均值;Ti(t)、Tj(tj)分別表示的第i條和第j條鏈路鏈路流異常空間的相關系數;
m為i≠j時coff(i,j,t)的總個數;
每條鏈路流熵值異常空間序列RTt中都包含兩種成分:預測誤差et以及異常At,RTt=et+At,當鏈路流熵值不存在異常流量時,At=0;由于預測算法的結果與實際值之間總有差異,異常空間提取誤差,即由預測算法產生的誤差組成,任意兩條鏈路流瞬時參數預測差值序列RT1t、RT2t,由于分別對兩條鏈路流進行獨立預測,故兩條鏈路流的預測誤差e1t與e2t相互獨立,不同鏈路流瞬時參數間的預測誤差與異常流量之間,如e1t與A2t,e2t與A1t也相互獨立,因此有Cov(RT1t,RT2t)=Cov(e1t+A1t,e2t+A2t)=Cov(A1t,A2t),假設完全不存在預測誤差的情況下,即e1t=0,e2t=0,兩條鏈路流預測差之間的相關系數可以寫為:
存在預測誤差時,相關系數:
其中Δ=D(e1)D(e2)+D(e1)D(A2)+D(e2)D(A1)為非負實數;
步驟5、通過疑似異常發生時間點上的鏈路流量數據文件,根據不同的異常具有不同特征分布以此識別網絡分布式隱蔽異常的種類;
步驟5所述通過疑似異常發生時間點上的鏈路流量數據文件,根據不同的異常具有不同特征分布以此識別網絡分布式隱蔽異常的種類的方法為:通過分析各個疑似異常時間點所在的鏈路流,然后根據不同異常的發生會引起不同特征屬性的變化這個特點,以識別所檢測到的疑似網絡分布式隱蔽異常;具體包括:
第一步、先統計所有目的IP出現過的次數;
第二步、統計目的IP出現次數大于總流量0.05%的目的IP;
第三步、將第二步得到的目的IP放入擴展時間窗內,求出擴展時間窗內得到的目的IP的流數量、包數量以及字節數量的絕對均值;
第四步、在所有目的IP中尋找是否有在整個擴展時間窗內,選擇時間點的流數量突然變化的疑似異常目的IP段。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于貴州電網有限責任公司,未經貴州電網有限責任公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201910864115.8/1.html,轉載請聲明來源鉆瓜專利網。
