一種基于信息熵和滑動(dòng)窗口的網(wǎng)絡(luò)異常檢測(cè)方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開(kāi)了一種基于信息熵和滑動(dòng)窗口的網(wǎng)絡(luò)異常檢測(cè)方法及系統(tǒng)����,該方法包括如下步驟:定義時(shí)間窗口大小和時(shí)間窗口的滑動(dòng)距離����;按照滑動(dòng)窗口設(shè)置依次遞進(jìn)計(jì)算每個(gè)時(shí)間窗口的熵值和熵比值;若計(jì)算時(shí)間窗口的熵值小于給定閾值或熵比值大于給定閾值�,則判斷此時(shí)間窗口內(nèi)有數(shù)據(jù)突變或者不符合之前規(guī)律的情況發(fā)生,發(fā)生網(wǎng)絡(luò)異常���,本發(fā)明將信息熵模型和滑動(dòng)窗口技術(shù)引入網(wǎng)絡(luò)異常發(fā)現(xiàn)問(wèn)題����,能夠較快地發(fā)現(xiàn)網(wǎng)絡(luò)異常,在一定程度上簡(jiǎn)化了模型并可以快速發(fā)現(xiàn)網(wǎng)絡(luò)異常���。
【專利說(shuō)明】一種基于信息熵和滑動(dòng)窗口的網(wǎng)絡(luò)異常檢測(cè)方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種網(wǎng)絡(luò)異常檢測(cè)方法及系統(tǒng)����,特別是涉及一種基于信息熵和滑動(dòng)窗口的網(wǎng)絡(luò)異常檢測(cè)方法及系統(tǒng)����。
【背景技術(shù)】
[0002]目前網(wǎng)絡(luò)異常檢測(cè)的方法主要是基于統(tǒng)計(jì)的方法,其中主要包括如下五種:1)閾值檢測(cè)技術(shù)����。例如,檢測(cè)在短時(shí)間內(nèi)口令錯(cuò)誤的次數(shù)�����。2)均值與標(biāo)準(zhǔn)偏差模型技術(shù)���。通過(guò)計(jì)算參數(shù)的均值和標(biāo)準(zhǔn)差���,設(shè)定置信區(qū)間�,當(dāng)觀測(cè)值超過(guò)置信區(qū)間的范圍時(shí)表明可能有異常��。3)建立多變量模型���。它的檢測(cè)是基于對(duì)兩個(gè)或多個(gè)參數(shù)進(jìn)行相關(guān)分析發(fā)現(xiàn)異常��。4)馬爾可夫模型���。將審計(jì)事件的每個(gè)不同類型作為一個(gè)狀態(tài)變量,使用一個(gè)狀態(tài)轉(zhuǎn)移矩陣描述狀態(tài)變化��,概率較小的狀態(tài)矩陣轉(zhuǎn)移可能是異常產(chǎn)生點(diǎn)�。5)時(shí)間序列模型?�?紤]一系列觀察發(fā)生的順序����、到達(dá)時(shí)間和取值來(lái)發(fā)現(xiàn)異常��。
[0003]然而上述網(wǎng)絡(luò)異常檢測(cè)方法均各具有如下缺點(diǎn):第一種方法的模型較為簡(jiǎn)單�,然而其無(wú)法檢測(cè)到更多的異常行為類型���;對(duì)于第二種方法�,由于置信區(qū)間需要通過(guò)經(jīng)驗(yàn)人為設(shè)置,因此需要較多次數(shù)的失敗和經(jīng)驗(yàn)來(lái)生成可信的置信區(qū)間����;第三種方法模型復(fù)雜��,并且結(jié)果會(huì)隨著參數(shù)不同而具有較大的變化�;第四種發(fā)法適用于變量為連續(xù)參數(shù)的情況����,對(duì)于采樣為離散值得情況無(wú)法獲取有效結(jié)果����;第五種方法的結(jié)果依賴于時(shí)間窗設(shè)置的大小。
【發(fā)明內(nèi)容】
[0004]為克服上述現(xiàn)有技術(shù)存在的不足,本發(fā)明之目的在于提供一種基于信息熵和滑動(dòng)窗口的網(wǎng)絡(luò)異常檢測(cè)方法及系統(tǒng)����,通過(guò)將信息熵模型和滑動(dòng)窗口技術(shù)引入網(wǎng)絡(luò)異常發(fā)現(xiàn)問(wèn)題�����,能夠較快地發(fā)現(xiàn)網(wǎng)絡(luò)異常,在一定程度上簡(jiǎn)化了模型并可以快速發(fā)現(xiàn)網(wǎng)絡(luò)異常���。
[0005]為達(dá)上述及其它目的�,本發(fā)明提出一種基于信息熵和滑動(dòng)窗口的網(wǎng)絡(luò)異常檢測(cè)方法�,包括如下步驟:
[0006]步驟一,定義時(shí)間窗口大小和時(shí)間窗口的滑動(dòng)距離�;
[0007]步驟二,按照滑動(dòng)窗口設(shè)置依次遞進(jìn)計(jì)算每個(gè)時(shí)間窗口的熵值和熵比值���;
[0008]步驟三,若計(jì)算獲得的時(shí)間窗口的熵值小于給定閾值或熵比值大于給定閾值�,則判斷此時(shí)間窗口內(nèi)有數(shù)據(jù)突變或者不符合之前規(guī)律的情況發(fā)生��,發(fā)生網(wǎng)絡(luò)異常。
[0009]進(jìn)一步地,步驟二還包括如下步驟:
[0010]步驟2.1��,計(jì)算時(shí)間窗口內(nèi)各個(gè)時(shí)間點(diǎn)的比特?cái)?shù)Xi和歸一化值Zi ��;
[0011]步驟2.2,根據(jù)比特?cái)?shù)Xi和歸一化值Zi計(jì)算各時(shí)間點(diǎn)上Zi的概率P(Zi);
[0012]步驟2.3�,根據(jù)各時(shí)間點(diǎn)上&的概率p(Zi)計(jì)算時(shí)間窗口在Zi上的熵值和熵比值�����。
[0013]進(jìn)一步地��,于步驟2.1中,根據(jù)如下公式計(jì)算時(shí)間窗口內(nèi)各個(gè)時(shí)間點(diǎn)的比特?cái)?shù)Xi和歸一化值Zi:
[0014]Xi =���;[0015]
【權(quán)利要求】
1.一種基于信息熵和滑動(dòng)窗口的網(wǎng)絡(luò)異常檢測(cè)方法,包括如下步驟: 步驟一���,定義時(shí)間窗口大小和時(shí)間窗口的滑動(dòng)距離; 步驟二�����,按照滑動(dòng)窗口設(shè)置依次遞進(jìn)計(jì)算每個(gè)時(shí)間窗口的熵值和熵比值����; 步驟三����,若計(jì)算獲得的時(shí)間窗口的熵值小于給定閾值或熵比值大于給定閾值���,則判斷此時(shí)間窗口內(nèi)有數(shù)據(jù)突變或者不符合之前規(guī)律的情況發(fā)生,發(fā)生網(wǎng)絡(luò)異常�。
2.如權(quán)利要求1所述的一種基于信息熵和滑動(dòng)窗口的網(wǎng)絡(luò)異常檢測(cè)方法�,其特征在于��,步驟二還包括如下步驟: 步驟2.1,計(jì)算時(shí)間窗口內(nèi)各個(gè)時(shí)間點(diǎn)的比特?cái)?shù)Xi和歸一化值Zi ����; 步驟2.2,根據(jù)比特?cái)?shù)Xi和歸一化值Zi計(jì)算各時(shí)間點(diǎn)上Zi的概率p (Zi); 步驟2.3��,根據(jù)各時(shí)間點(diǎn)上Zi的概率p(Zi)計(jì)算時(shí)間窗口在Zi上的熵值和熵比值。
3.如權(quán)利要求2所述的一種基于信息熵和滑動(dòng)窗口的網(wǎng)絡(luò)異常檢測(cè)方法�,其特征在于��,于步驟2.1中����,根據(jù)如下公式計(jì)算時(shí)間窗口內(nèi)各個(gè)時(shí)間點(diǎn)的比特?cái)?shù)Xi和歸一化值Zi:
4.如權(quán)利要求3所述的一種基于信息熵和滑動(dòng)窗口的網(wǎng)絡(luò)異常檢測(cè)方法�,其特征在于����,于步驟2.2中��,根據(jù)如下公式計(jì)算各時(shí)間點(diǎn)上Zi的概率p(Zi):
5.如權(quán)利要求4所述的一種基于信息熵和滑動(dòng)窗口的網(wǎng)絡(luò)異常檢測(cè)方法,其特征在于�,于步驟2.3中,根據(jù)如下公式計(jì)算時(shí)間窗口 TWk在Zi上的熵值E(TWk):
6.如權(quán)利要求5所述的一種基于信息熵和滑動(dòng)窗口的網(wǎng)絡(luò)異常檢測(cè)方法���,其特征在于�,于步驟2.3中���,第i個(gè)時(shí)間窗口的熵比值為前s個(gè)窗口的熵的平均值除以第i個(gè)時(shí)間窗口的熵�����。
7.如權(quán)利要求6所述的一種基于信息熵和滑動(dòng)窗口的網(wǎng)絡(luò)異常檢測(cè)方法��,其特征在于:該指標(biāo)值選取自路由器管理信息庫(kù)中的interfaces類��。
8.一種基于信息熵和滑動(dòng)窗口的網(wǎng)絡(luò)異常檢測(cè)系統(tǒng)�,至少包括: 時(shí)間窗口設(shè)置模塊�����,用于定義時(shí)間窗口大小n和時(shí)間窗口的滑動(dòng)距離p ; 熵值與熵比值計(jì)算模塊���,按照滑動(dòng)窗口設(shè)置依次遞進(jìn)計(jì)算每個(gè)時(shí)間窗口的熵值和熵比值�; 判斷模塊�,根據(jù)計(jì)算獲得的時(shí)間窗口的熵值或熵比值與給定閾值的比較結(jié)果,判斷是否發(fā)生網(wǎng)絡(luò)異常����。
9.如權(quán)利要求8所述的一種基于信息熵和滑動(dòng)窗口的網(wǎng)絡(luò)異常檢測(cè)系統(tǒng)��,其特征在于:若計(jì)算獲得的時(shí)間窗口的熵值小于給定閾值或熵比值大于給定閾值���,則該判斷模塊判斷此時(shí)間窗口內(nèi)有數(shù)據(jù)突變或者不符合之前規(guī)律的情況發(fā)生��,發(fā)生網(wǎng)絡(luò)異常�����。
10.如權(quán)利要求8所述的一種基于信息熵和滑動(dòng)窗口的網(wǎng)絡(luò)異常檢測(cè)系統(tǒng)��,其特征在于:該熵值與熵比值計(jì)算模塊首先計(jì)算時(shí)間窗口內(nèi)各個(gè)時(shí)間點(diǎn)的比特?cái)?shù)Xi和歸一化值Zi,然后根據(jù)獲得的各個(gè)時(shí)間點(diǎn)的比特?cái)?shù)Xi和歸一化值Zi計(jì)算各時(shí)間點(diǎn)上Zi的概率P(Zi),最后根據(jù)Zi的概率P(Zi)計(jì)算時(shí)間窗口在Zi上的熵值和熵比值����。
【文檔編號(hào)】H04L12/26GK103618651SQ201310676371
【公開(kāi)日】2014年3月5日 申請(qǐng)日期:2013年12月11日 優(yōu)先權(quán)日:2013年12月11日
【發(fā)明者】趙雷, 蘇慶剛 申請(qǐng)人:上海電機(jī)學(xué)院