本發明公開了一種基于態勢感知預測方法的網絡異常檢測方法，它包括步驟1、獲取骨干網的數據進行了提取分析以得到所需的鏈路數據；步驟2、用Ruby實現網絡流量屬性信息熵計算；步驟3、采用ARMA模型時間序列預測分析法作為熵值預測，通過預測值與實際值求差得到預測差序列以獲得異常空間；步驟4、得到異常空間后，通過對兩條鏈路的異常空間時間序列進行相關性分析，得到疑似網絡異常點的發生時間及位置；步驟5、通過疑似異常發生時間點上的鏈路流量數據文件，根據不同的異常具有不同特征分布以此識別網絡分布式隱蔽異常的種類；解決了現有技術不能有效地檢測出分布式網絡流量異常等技術問題。

技術領域

本發明屬于網絡異常檢測技術，尤其涉及一種基于態勢感知預測方法的網絡異常檢測方法。

背景技術

隨著通信網絡技術的不斷更新和飛速發展，骨干通信網絡作為連接多個區域的高速網絡，其也在經歷著不斷的變化。全面準確地掌握和理解網絡行為對網絡管理和維護有著至關重要的作用，網絡管理者通過收集盡可能多的網絡傳播數據，一方面骨干通信網絡及其承載的業務向高速化、多樣化、復雜化方向發展，骨干通信網絡中流的行為對通信網絡本身和用戶網絡的影響越來越大；另一方面人類社會生活的各種大事件也會影響骨干通信網絡中流的行為特征。為了更好地控制和管理通信網絡，構建可信的通信網絡環境，必須實時準確地對通信網絡中流的各種行為特征進行分析、提取，主動發現通信網絡中與流行為相關的異常事件，提高通信系統對網絡異常行為的應對能力。

然而，伴隨著網絡的蓬勃發展的是日益嚴峻的網絡安全形勢，由于Internet網絡是一個開放式的環境，加之其協議設計上存在的缺陷，成為不斷增加的黑客們的攻擊對象，不僅傳統的病毒以更快的速度在更廣的領域內傳播開來，而且針對特定協議缺陷而設計出來的新的攻擊手段也是層出不窮[1]。與此同時，隨著網絡承載流量的不斷擴充，網絡自身結構的日益復雜，網絡設備可靠性運轉面臨的風險也在加大。我們將各種病毒、攻擊及網絡設備故障等影響網絡正常運行的行為統稱為網絡異常事件。在日益嚴峻的安全形勢下，如何確保網絡，尤其是作為Internet網絡核心部分的骨干通信網絡的正常運轉，積極防御和抑制網絡異常事件的不利影響，成為重要的研究課題。

分布式網絡流量異常可能由惡意原因或非惡意原因引起，通常同時發生在網絡中多條鏈路上，單鏈路上異常不易察覺，尤其在大規模高速網絡中異常流十分隱蔽，難以檢測，然而來自多條鏈路的異常匯聚總量驚人，導致網絡性能迅速衰減，給網絡及端用戶造成嚴重后果。如何有效地檢測出分布式網絡流量異常成為網絡安全管理迫切需要解決的問題。

網絡分布式隱蔽異常是指在網絡中的多條鏈路上由同種原因引起的網絡流量異常，具有單條鏈路異常特征不明顯、而多條鏈路的異常總量大等特點。在單條鏈路上異常流量相對于巨大的正常背景流量極為網絡，因此傳統的單條流量檢測方法，即依靠判斷流量是否在時間模式上發生明顯改變，通常無法檢測。

發明內容

本發明要解決的技術問題是：提供一種基于態勢感知預測方法的網絡異常檢測方法，以解決現有技術不能有效地檢測出分布式網絡流量異常等技術問題。

本發明的技術方案是：

一種基于態勢感知預測方法的網絡異常檢測方法，其特征在于：

它包括：

步驟1、獲取骨干網的數據進行了提取分析以得到所需的鏈路數據；

步驟2、用Ruby實現網絡流量屬性信息熵計算；

步驟3、采用ARMA模型時間序列預測分析法作為熵值預測，通過預測值與實際值求差得到預測差序列以獲得異常空間；

步驟4、得到異常空間后，通過對兩條鏈路的異常空間時間序列進行相關性分析，得到疑似網絡異常點的發生時間及位置；

步驟5、通過疑似異常發生時間點上的鏈路流量數據文件，根據不同的異常具有不同特征分布以此識別網絡分布式隱蔽異常的種類。