[发明专利]一种网络异常流量的时频域快速侦测方法

说明书

技术领域

本发明是属于大规模网络环境下网络异常侦测领域，特别涉及一种网络异常流量的时频域快速侦测方法。

背景技术

随着网络的发展，网络异常行为包括网络故障、用户误操作、网络攻击和网络病毒传播等，这些异常行为常常引起网络中单条或多条链路上网络流量偏离正常的现象。尽管异常流量在单条或多条链路上不表现出明显的异常特征，但网络中多条链路的异常流量总和较大。因而流量异常对网络及其运行于网络上的各种设备具有极大的危害性和破坏性。由于流量异常隐蔽性极强，发作突然，特征未知，可在极短时间内给网络或网络上的运行设备带来极大的危害（例如由特定的网络攻击程序或网络蠕虫病毒爆发所引起的突发流量导致网络瘫痪，通信中断），因此准确而快速地侦测网络流量异常行为、判断引起流量异常的原因并迅速采取正确的响应措施是保证网络安全高效运行的重要前提，且已成为目前国内外学术界和工业界共同关注的前沿科学问题。

随着信息技术的发展，网络流量异常隐蔽性越来越强。从相对很大且处于不断变化的正常流量中，检测到相对很小的异常流量，如同“大海捞针”，必须采用新的侦测技术、方法与机制。

流量异常检测的困难主要体现在对异常侦测的时间精确性上。只有对异常信号采用时频方法进行分析，突出异常点的特征，才能准确地侦测出异常出现的时刻。

Chen-Mou Cheng等提出了一种频谱分析方法来识别正常的TCP流量，他们发现了在与RTT（round-trip time）相关的包传递中正常TCP流一定会显示出周期性，而攻击流却通常不具有这一特性；2001年V.Alarcon-Aquino等提出了一种基于检测和定位给定的时间序列在方差和频率上微弱的改变，但是该算法选取的尺度有限并且算法思想复杂；P.Barford等提出了一种把网络流量进行多尺度二进小波分解并重构综合成高、中、低三个频段分别用偏离分数进行检测的方法，该算法能够很好的检测出过去一段时间内发生的Flash Crowds和Short-time Anomalies等，但是没有很好的解决小波检测尺度的自适应选取和实时监测的问题。因此现阶段，网络流量异常侦测方法仍然面临侦测方法的自适应问题、实时侦测问题和侦测精度等问题。

发明内容

针对现有方法存在的不足，本发明提出一种网络异常流量的时频域快速侦测方法，以达到实时侦测、提高侦测精度的目的。

本发明的技术方案是这样实现的：一种网络异常流量的时频域快速侦测方法，包括以下步骤：

步骤1：在网络拓扑结构中，捕获含有异常的流量数据，作为待分析的时域信号；

步骤2：提取时域信号中具有相同目的节点的OD流上的流量数据，进行相关性分析，计算每个OD流和与他具有相同目的节点的OD流之间的相关系数，将所计算出的若干相关系数取平均值作为该OD流的平均相关系数；将所有OD流的平均相关系数之和作为相关系数的累积特征；

步骤3：对步骤2的累积特征进行联合时频分析：采用短时傅里叶变换，确定时域信号在某个时间窗下的时频特征参数；改变时间窗大小，计算不同时间窗下的时频特征参数，将上述计算出的时频特征参数叠加，得到突出异常信号特征的累积时频特征参数；

步骤4：设定判决门限，若累积时频特征参数超过该判决门限，则确定该处存在异常流量。

其中，步骤4所述的判决门限，确定方法为：计算累积时频特征参数的均值和方差，取方差乘以一个系数，再与均值相加得到门限值。

所述的系数是1-10范围内的一个自然数。

本发明优点：本发明网络异常流量的时频域快速侦测方法，提出采用相关系数的处理的方法提取异常特征，提高了侦测的准确度；同时利用短时傅里叶变换对异常特征进行时频域分析，更准确地侦测出异常并实现对异常发生时刻的判断。本发明方法在时频域上对数据进行分析，理论上分解的层数越多，对频率的划分越精确，最后得到的效果将会越好。

附图说明

图1为给出本发明网络异常流量的时频域快速侦测方法的实施方式总流程图；

图2为本发明一种实施方式目的节点为6的OD流抽样数据包示意图，其中，(a)表示源节点为1；(b)表示源节点为2；(c)表示源节点为3；(d)表示源节点为4；(e)表示源节点为5；(f)表示源节点为6；(g)表示源节点为7；(h)表示源节点为8；(i)表示源节点为9；(j)表示源节点为10；(k)表示源节点为11；(l)表示源节点为12；