[发明专利]一种检测网络流量异常的方法及装置

说明书

技术领域

本发明涉及网络技术领域，尤其是涉及一种检测网络流量异常的方法及装置。

背景技术

随着网络技术的迅速发展，网络流量成为网络通信的重要参数指标。而网络流量异常在当今计算机网络中也是非常常见的，网络设备的不良运行、网络操作异常、突发访问(flash crowd)、网络入侵等都能引起网络流量异常。有些网络流量异常能够引起网络的拥塞和路由器资源的消耗，有些网络流量异常能对用户终端造成很大的影响。因此，在网络管理和网络安全领域中，越来越需要准确、快速地检测网络流量异常。

对网络流量异常的检测是指先在用户、系统或者网络正常操作的一段时间收集事件和行为的信息，再根据这些信息建立正常或者有效行为的模式。在检测的时候，通过某种度量，对当前行为和正常行为进行比较，计算事件的行为偏离正常行为的程度，如果偏离程度超过一定的范围，则认为网络流量发生异常，并进行报警。

目前，一般检测网络流量异常的方法都是在时域或频域中进行的。但是，无论是在时域还是在频域中，对网络流量异常的检测只能得到信号的时域或频域特征，而无法同时对信号的时域和频域特征进行分析。并且，网络流量信号又是非平稳的，其统计量是时变的，因此，检测的有效性较低，误检率和漏检率较大。

为了提高了检测的有效性，降低误检率和漏检率，一种网络流量异常的检测方法采用时频分析对时域和频域中的网络流量异常进行检测，采用该方法能够同时得到信号的时域和频域特征。该方法基于平滑WVD(Wigner VilleDistribution，魏格纳分布)，首先对MIB(Management Information Base，管理信息库)中的变量V进行时间间隔为Δt的采样，获得时间序列；再对该序列进行差分处理，得到网络流量变化序列；然后利用希尔伯特变换，将该网络流量变化序列转换为解析序列；再利用核函数法，将解析信号对应的WVD进行时频平滑；最后，该方法用获取的不同网络服务的时频特性分布作为训练样本，采用K最近邻分类器对网络流量异常进行错误分类。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：由于希尔伯特变换本身对噪声比较敏感，因此不适宜直接应用于网络流量变化序列。而且，由于WVD是一种二次型变换，当分析多频率成分的信号时，会出现多个交叉项干扰，虽然采用核函数对WVD进行了时频平滑，但是该平滑过程在消除交叉项干扰的同时也降低了分辨能力，使得对流量信号检测的准确性降低。另外，该方法需要进行WVD计算，计算工作量很大，因而系统开销也较大，会降低检测的实时性。

发明内容

本发明实施例提供一种检测网络流量异常的方法及装置，可以提高对流量信号检测的准确性。

为达到上述目的，本发明的一个实施例的技术方案提供一种检测网络流量异常的方法，包括以下步骤：根据网络中的网络流量生成检测信号；对所述检测信号进行广义希尔伯特变换，并获取所述网络流量的瞬时振幅和瞬时频率；根据所述瞬时振幅和瞬时频率，获取方差偏离分数值；当所述偏离分数值大于预警门限值时，则确定所述网络流量异常。

本发明的一个实施例的技术方案提供一种检测网络流量异常的装置，包括：检测信号生成单元，用于根据网络中的网络流量生成检测信号；瞬时参数获取单元，用于对所述检测信号进行广义希尔伯特变换，并获取所述网络流量的瞬时振幅和瞬时频率；方差偏离分数值获取单元，用于根据所述瞬时振幅和瞬时频率，获取方差偏离分数值；异常判别单元，用于当所述偏离分数值大于预警门限值时，确定所述网络流量异常。

本发明实施例的一个技术方案通过广义希尔伯特变换计算检测信号的瞬时参数，包括瞬时频率和瞬时振幅，以此进行网络流量的异常检测。由于广义希尔波特变换计算瞬时参数的方法具有抗干扰能力强，更能突出主要的异常变化的优点，所以提高了对流量信号检测的准确性，降低了误检率和漏检率。

附图说明

图1是本发明实施例的一种检测网络流量异常的方法流程图；

图2是本发明实施例的滑动窗口的样本方差检测示意图；

图3是本发明实施例的一种检测网络流量异常的装置的结构图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述：