[发明专利]一种HIDS异常流量检测方法

说明书

技术领域

本发明是一种异常流量的检测方法，提供一种方便的通过计算自相似指数的变化的异常流量检测方法，属于计算机应用技术和入侵检测交叉领域。

背景技术

在网络中除了正常的网络流量以外，还包括很多恶意的攻击流量，经常造成网络的拥塞甚至瘫痪，我们称这种流量为异常流量。现有网络中的两种危害性较大的异常流量是DDoS(分布式拒绝服务)和Viruses and Worms(病毒和蠕虫)。

网络病毒和网络攻击给网络的正常运行带来了极大的危害，但是目前还没有方法能从根本上消除DDoS攻击和蠕虫病毒。但通过一些技术手段，如检测和过滤，能在一定程度上减轻这些攻击带来的危害。

异常检测是发现网络中的异常，在网络中出现异常流量时提供告警信息，是解决网络异常的起点。异常检测的算法有很多种：如预测的方法、GLR算法，通过检测管理信息库变量的异常的方法、迭代统计的方法等。

目前的异常流量检测算法基本上都是通过设定流量范围来检测异常，或者建立行为分类引擎，通过训练和不断地更新引擎来检测异常。它们的主要缺点主要是：

(1)不能将繁忙流量与异常流量区分出来，造成误报或者漏报。

(2)流量阈值的设定与具体的网络相关，缺乏通用性，而且需要技术人员的支持。

(3)只能在攻击大规模爆发时才能检测出来，检测时间较长。

通过对Witty Worm病毒爆发和DDOS攻击时的网络流量进行Hurst指数的计算并分析发现，当网络中存在异常流量时，网络流量序列的Hurst指数会发生跳跃性的变化。因此，网络流量的Hurst指数是网络流量是否正常的一个指标。

发明内容

技术问题：本发明的目的是本发明是一种异常流量的检测方法，提供一种方便的通过计算自相似指数的变化的异常流量检测方法，这种方法能够区分正常流量与异常流量，并缩减检测时间。

技术方案：本发明提出了HIDS异常流量检测方法，并设计了检测的算法。本方法通过Hurst指数的变化来区分正常流量和异常流量，方法如下：

步骤1)：初始化样本队列FQueue，初始化Hurst队列和用于保存Hurst指数的HQueue，初始化Hurst指数变化队列DHQueue；

步骤2)：计算样本队列FQueue的Hurst指数，保存Hurst指数至HQueue队列，加入新节点至样本队列FQueue，延迟10秒钟；

步骤3)：对于HQueue队列中的所有Hurst的值，计算deltaH＝H(m)-H(m-1)，并加入DHQueue队列；

步骤4)：循环读取DHQueue队列的最后一个值H(last)，在deltaH(last)＞0.2的情况下，如果H(last)-2＞0，报警wittyworm病毒，如果H(last)＜0.3，报警DDOS攻击。

附图说明

图1是流量回放实验原理。

图2是流量回放程序的界面。

具体实施方式

流量文件来自于www.caida.org提供的backscatter-20040301-0000-clean.pcap(DDoS流量)和wittyworm-20040201.pcap(病毒流量)，通过流量回放机制将攻击数据包回放到局域网中模拟攻击事件，通过流量采集程序，如WinPcap，获取包含攻击流量的样本序列，通过我们的实际运行和测试，HIDS异常流量检测方法对于DDoS和wittyworm病毒流量能基本实现100％的检测成功率，检测时间也比传统检测算法大大缩减。