本發(fā)明屬于網(wǎng)絡(luò)信息處理領(lǐng)域，具體是一種基于模糊熵的IP會話序列周期性評估方法，其包括如下步驟：計算T天的IP會話的統(tǒng)計量形成T個高頻矩陣；設(shè)置采樣窗口W₁和W₂進行采樣，分別獲得兩組T個高頻采樣矩陣和T個低頻采樣矩陣；針對兩組高頻采樣矩陣計算形成高頻和低頻采樣歐式距離數(shù)值矩陣；分別計算高頻和低頻采樣歐式距離數(shù)值矩陣的整體平均隸屬度；求每個IP會話序列的模糊熵FuzzyEn，根據(jù)模糊熵周期性進行評估。本發(fā)明對IP會話的序列進行合理的量化處理。增加了窗口參數(shù)，保留了前后IP會話序列的上下文關(guān)系。使用歐式距離評估了不同窗口的數(shù)據(jù)差異，可以通過計算模糊熵來評估序列的周期性。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)信息處理領(lǐng)域，具體是一種基于模糊熵的IP會話序列周期性評估方法。

背景技術(shù)

隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)通信變得異常方便和簡單，日常活動如工作、生活、休閑娛樂等都不可避免伴隨著大量的信息交互，同樣網(wǎng)絡(luò)中各類異常行為也會產(chǎn)生信息交互，并與正常流量交叉在一起。研究發(fā)現(xiàn)，雖然人類活動舉動是隨意的不可預(yù)測的，但人類活動總會遵循簡單的重復(fù)模式，進而在人類行動過程中產(chǎn)生的網(wǎng)絡(luò)交互也會遵循潛在的規(guī)律性。

目前經(jīng)常被使用的網(wǎng)絡(luò)應(yīng)用包括，web網(wǎng)頁服務(wù)、郵件服務(wù)、文件傳輸服務(wù)、遠程訪問服務(wù)等，這類網(wǎng)絡(luò)行為都有周期性，訪問的網(wǎng)站序列都具有較高的重復(fù)性和相似性，如上班開機、關(guān)機，上網(wǎng)尋找資料、發(fā)送郵件、下載文件等。在正常行為過程中可能存在行為異常的網(wǎng)絡(luò)交互流量，這類流量往往是突發(fā)性或者沒有規(guī)律性的，其獨特的行為邏輯可能破壞周期性，所以能通過方法分析并從海量數(shù)據(jù)中抽取到該異常行為數(shù)據(jù)，則該方法是具有很高價值的。

理論上分析可以使用傳統(tǒng)特征進行研究，如通信時間、業(yè)務(wù)關(guān)系、通信內(nèi)容等指標(biāo)，事實上，人類行為在較小尺度下具有很高的隨機性，且行為分布是長尾分布，存在長時間的靜默和短期的高頻率爆發(fā)，時間間隔分布同樣具有長尾特性。將人們交互的IP作為分析對象，不論是正常還是異常的IP會話序列都將是混亂的，很難直接分析出規(guī)律。針對IP的會話分析，現(xiàn)在常見的都是通過統(tǒng)計訪問頻率、活躍度，基于時間統(tǒng)計方式來判斷其網(wǎng)絡(luò)活動是否具有周期性。可是周期性判斷方式并非系統(tǒng)的方法，很多都是基于經(jīng)驗來設(shè)定閾值規(guī)則，容易產(chǎn)生漏報或誤報。

網(wǎng)絡(luò)流量是網(wǎng)絡(luò)參與者交互作用后的流量記錄，網(wǎng)絡(luò)行為與網(wǎng)絡(luò)參與者的目的有較高的關(guān)聯(lián)度，然而由于影響網(wǎng)絡(luò)流量行為長期變化的因素比較多，使得流量周期行為屬于非嚴(yán)格周期，是基于統(tǒng)計與模糊概念上的周期，因此很難有一個線性方法能描述流量行為的周期性。研究分析網(wǎng)絡(luò)流量的周期性，能為網(wǎng)絡(luò)行為管理、異常分析和處置提供基本依據(jù)，對網(wǎng)絡(luò)運行的質(zhì)量和安全保障有重大意義。

在網(wǎng)絡(luò)流量周期性分析過程中，現(xiàn)有的主要方法是通過統(tǒng)計流經(jīng)目標(biāo)系統(tǒng)的各類統(tǒng)計指標(biāo)值，最后得到眾多特征數(shù)據(jù)，再經(jīng)過運算加工生成如平均值、方差、概率等指標(biāo)，然后檢測當(dāng)前網(wǎng)絡(luò)流量中的各個IP會話序列是否滿足各類指標(biāo)，進而判斷會話序列是否在正常范圍內(nèi)。這種方法簡單、容易實現(xiàn)，卻沒有形成一個普遍適用的分析方法。另一方面，因為整個統(tǒng)計分析過程沒有考慮到不同時段的網(wǎng)絡(luò)情況，忽略了不同時間段的作用關(guān)系，導(dǎo)致統(tǒng)計值只體現(xiàn)一個時間窗口內(nèi)統(tǒng)計，并沒有體現(xiàn)前后實際IP會話的上下文關(guān)系。

發(fā)明內(nèi)容

為解決現(xiàn)有技術(shù)存在的上述問題，現(xiàn)提出一種基于模糊熵的IP會話序列周期性評估方法，該方法能夠普遍使用，可以量化IP會話序列的周期性，并且可以量化不同時間段IP會話序列的數(shù)據(jù)差異。

為實現(xiàn)上述技術(shù)效果，本發(fā)明的技術(shù)方案如下：

一種基于模糊熵的IP會話序列周期性評估方法，包括如下步驟：

步驟一，計算T天的IP會話的統(tǒng)計量形成T個高頻矩陣H₁、…、H_T和T個低頻矩陣L₁、…、L_T；T為正整數(shù)。