[发明专利]一种基于相对熵的入侵报警分析方法

权利要求书

1.一种基于相对熵的入侵报警分析方法，其特征在于包括以下几个步骤： 

（1）、选取报警特征 

通过分析入侵检测系统的报警数据，选取“源IP地址，目的IP地址，源端口，目的端口和报警类型”五个报警特征，针对这些报警特征的特征组合，识别网络异常； 

（2）、选择采样间隔 

选择采样间隔是指确定基于时间序列的连续入侵报警抽样的时间间隔，根据网络中时间间隔内实际的入侵报警数目、大多数攻击所持续的时间和所引起报警的数量，设置采样间隔t为连续t分钟不重合时间序列报警，构造报警流中各个特征参数的相对熵时间序列； 

（3）、确定参考分布 

对于时间间隔t，参考分布q_t(x)可表达为以下分布的高斯混合分布： 

公式中，p_t-1(x)为前一时间间隔的样本分布；p_t-n(x)为前一天同一时间间隔的样本分布， 为经管理员经验确定为正常时间间隔的样本分布；q_t-1(x)为前一时间间隔的参考分布，α₁，α₂，α₃为权重参数，且α₁+α₂+α₃＝1； 

（4）、计算相对熵 

在时间间隔t内，针对每个报警特征，计算当前时间段分布p(x)和参考分布q(x)之间的Kullback–Leibler distance，or divergence(简称KL距离)，对于每一个报警特征x_i，定义如下： 

公式中，p_t(x_i)为时间间隔t内报警特征x_i的分布，q_t(x_i)为时间间隔t内报警特征x_i的参考分布。 

由相对熵的公式，结合网络入侵检测中数据的实际意义，给出了下面两个约定： 

约定1：对于报警特征x_i，若时间间隔t内，p(x_i)和q(x_i)均为0，定义 为0；这说明针对某一特征，该时间间隔内的数据包在实际检测阶段和训练阶段都没有被捕获，从相似的角度来说是完全相似的，它们之间没有差距，所以约定其值为0； 

约定2：当p(x_i)和q(x_i)其中一个为0，即和时，分配β∈(0，1]到相应的0值项，保持另外一个分布的影响。当β很小（接近于0）时，即使对于较小数量的攻击行为也能检测到，这样计算结果将对报警中新出现的攻击类型更为敏感；对于相对较大的β，计算结果对于分布的变化更敏感，强调较大范围的攻击； 

（5）、进行阈值检测 

通过监测每个时间段内各入侵报警特征的相对熵，从周期性方差变化中识别波动，发现网络异常。若时间间隔t内，计算的入侵报警流量中包含k个报警特征{C_1，...，C_k}，对于每一报警特征C_j，{D_1，...，D_n}是实验数据中该报警特征的KL距离；当当前值D_i与历史值的平均值相 差n个标准方差时，就标记为异常，n的缺省值是3，此值可不断调整； 

其中是平均值，σ是标准差； 

（6）、分析异常类型 

应用基于特征分布的报警分析方法，选取“源IP地址，目的IP地址，源端口，目的端口和报警类型”作为特征参数，分析这五个参数的分布变化，对报警流量进行监测；同一时间间隔内，当有三个及以上特征参数相对熵超出阈值时，认为有异常情况发生，找到离群值。其中“分类”特征是指该时间间隔内报警流中起主要作用的分类，该“分类”的特征分布与参考分布具有最大距离max_i∈[1，N]|p_i-q_i|；结合表一和特征分布情况，分析这些离群值所在样本间隔内的报警信息，标记异常类型。