[发明专利]一种基于交叉熵联合马氏距离的网络异常流量检测方法

说明书

本发明公开了一种基于交叉熵结合马氏距离的网络异常流量检测方法，从交叉熵的角度来映射网络流量变化程度，并通过马氏距离计算将这种变化程度从多维度的属性空间转换到一维度上的单值空间中，实现网络异常流量检测。本发明定义网络会话七元组数据，通过采集{SIP,SPORT,DIP,DPORT,IN,OUT,VEL}数据，相对于传统网络五元组数据统计更加准确，实现可靠的网络流量异常检测。本发明通过将一组数据分为前后两部分，计算前半部分与后半部分的交叉熵，对网络会话多元组的分布变化描述更为准确，结合马氏距离后实现有效的网络流量异常检测。

技术领域

本发明涉及计算机网络安全技术领域，具体涉及一种基于交叉熵联合马氏距离的网络异常流量检测方法。

背景技术

当前，计算机网络的攻击与入侵行为与日俱增，网络安全面临的形势越来越严峻。诸如分布式拒绝服务攻击、蠕虫病毒攻击、端口扫描、P2P软件滥用、用户非法操作与访问、垃圾邮件、木马病毒、恶意篡改网页、设备宕机和链路损坏等，会产生大量的网络异常流量，严重影响网络安全。高效精准的网络异常流量检测方法对于确保网络安全可靠运行意义重大。

在网络通信过程中，专门制订了网络通信规范，对其入网终端、可安装应用程序及网络会话属性值等均设定了相关要求，以确保网络在预定的模式下运行的一种专用互联网络即受控网络，基于受控网络的控制特点，可知其网络流量在正常情况下，与传统互联网相比，会表现出更加强烈的自相似性、长相关性和重尾分布。网络流量的自相似性、长相关性和重尾分布等分布特征对于网络流量工程、网络建模和网络异常流量检测具有指导意义。

网络异常流量检测从本质上来说是模式识别问题，其核心是样本与样本之间或类与类之间的相似性测度问题。判断样本之间的相似性常采用近邻准则，即将待分类样本与标准模板进行比较，看哪个模板匹配程度更好，从而确定待测试样本的分类。依照近邻准则进行分类通常有两种计算方法，一是与样本库中所有样本特征分别做相似性测度，找出最接近的样本，取该样本所属类别作为待测样本的类别。另一种方法是与样本库中不同类别的中心做相似性测度，找出最接近类的中心，以该类作为待测样本的类别。计算模式相似性测度有欧氏距离、马氏距离、夹角余弦距离、Tanimoto测度等多种距离算法。其中，欧氏距离计算测度方法较为简单，使用最为广泛，但由于它将样本的不同属性之间的差别等同看待，这一点有时不能满足实际要求，存在难以区分样本之间属性差别和变量之间易产生相关性干扰的问题，而使用马氏距离计算测度可以不受量纲的影响，并且两点之间的马氏距离与原始数据的测量单位无关，由标准化数据和中心化数据计算出的两点之间的马氏距离相同，可以排除变量之间的相关性干扰，但夸大了变化微小的变量，单独用马氏距离进行网络异常检测的准确性、可靠性和实用性不高。

发明内容

有鉴于此，本发明提供了一种基于交叉熵结合马氏距离的网络异常流量检测方法，从交叉熵的角度来映射网络流量变化程度，并通过马氏距离计算将这种变化程度从多维度的属性空间转换到一维度上的单值空间中，实现网络异常流量检测。

本发明是通过以下技术方案来实现的：

步骤1，采集网络会话多元组数据；

步骤2，从步骤1采集的每类数据中均任意选取N条数据，放在一个观测刻度内；重复选取M次，构建出M个观测刻度内的样本单元；

步骤3，计算第i个观测刻度内的网络会话多元组数据中同类数据之间的交叉熵值，将观测刻度i内的各类数据的交叉熵值组成交叉熵向量L_i；其中i＝1,2,3…M，得到M个观测刻度内所有的交叉熵向量L₁,L₂...L_i...L_M；