[发明专利]一种基于交叉熵联合马氏距离的网络异常流量检测方法

权利要求书

1.一种基于交叉熵联合马氏距离的网络异常流量检测方法，其特征在于，包括如下步骤：

步骤1，采集网络会话多元组数据；

步骤2，从步骤1采集的每类数据中均任意选取N条数据，放在一个观测刻度内；重复选取M次，构建出M个观测刻度内的样本单元；

步骤3，计算第i个观测刻度内的网络会话多元组数据中同类数据之间的交叉熵值，将观测刻度i内的各类数据的交叉熵值组成交叉熵向量L_i；其中i＝1,2,3…M，得到M个观测刻度内所有的交叉熵向量L₁,L₂...L_i...L_M；

步骤4，利用步骤3得到的M个观测刻度内的网络会话多元组交叉熵向量，组成判定矩阵ξ_train，ξ_train＝[L₁L₂ ... L_i ...L_M]^T；

步骤5，计算交叉熵向量L_i到步骤4所得到的判定矩阵ξ_train的类中心C的马氏距离d_i，遍历M个观测刻度内所有的交叉熵向量，得到M个马氏距离d₁,d₂,…d_M；

步骤6，确定网络异常流量判定的阈值

其中MEAN(d₁,d₂,…d_M)表示对d₁,d₂,…d_M求平均；

步骤7，采集网络会话多元组数据作为待检测数据，从采集的每类待检测数据中均任意选取N条数据，放在观测刻度j内；利用所述步骤3的方式计算观测刻度j内的网络会话多元组数据的交叉熵向量L_j，利用所述步骤5的方式计算向量L_j到判定矩阵ξ_train的类中心C的马氏距离d_j，比较d_j与阈值的大小，当时流量异常，发出报警信息。

2.如权利要求1所述的一种基于交叉熵联合马氏距离的网络异常流量检测方法，其特征在于，步骤1采集的网络会话多元组数据为：

{SIP,SPORT,DIP,DPORT,IN,OUT,VEL}，其中SIP表示网络会话源地址，SPORT表示网络会话源端口，DIP表示网络会话目的地址，DPORT表示网络会话目的端口，IN表示网络会话中连接到被观测节点的其它不同节点的数量即入度，OUT表示网络会话中被观测节点连接其它不同节点的数量即出度，VEL表示网络会话中不同连接的流速。

3.如权利要求1或2所述的一种基于交叉熵联合马氏距离的网络异常流量检测方法，其特征在于，所述步骤3中交叉熵向量L_i中D类数据的交叉熵值计算公式为：

其中为统计D类数据的前半部分中不同特征的概率分布得到的序列；为统计D类数据的后半部分中不同特征的概率分布得到的序列；其中所述特征为该组数据对应的网络会话数据参数，和长度相同。

4.如权利要求1所述的一种基于交叉熵联合马氏距离的网络异常流量检测方法，其特征在于，所述步骤5中判定矩阵ξ_train的类中心C计算公式为：

C＝MEAN(ξ_train)

其中MEAN(ξ_train)表示对矩阵ξ_train求平均。

5.如权利要求1或4所述的一种基于交叉熵联合马氏距离的网络异常流量检测方法，其特征在于，所述步骤5中L_i到类中心C的马氏距离为：

d_i＝(L_i-C)S^-1(L_i-C)^T；

其中S为ξ_train的协方差矩阵，S^-1为S的逆，(L_i-C)^T为向量(L_i-C)的转置。