[发明专利]网络流量异常检测方法和系统

说明书

技术领域

本发明涉及网络管理与安全技术领域，具体涉及一种对于网络异常的检测方法。

背景技术

在高速骨干网络层面进行宏观网络流量异常检测时，巨大流量的实时处理和未知攻击的检测给传统入侵检测技术带来了很大的挑战。在流量异常检测方面，国内外的学术机构和企业不断探讨并提出了多种检测方法。

目前国内外研究人员主要采用源-目的(Origin-Destination OD)流矩阵以及相关统计分析方法进行网络异常检测，2004年Lakhina等人在ACMSIGMETRICS中的Structural Analysis of Network Traffic Flows等文章中公开了如下所述的网络异常检测分析方法：首先利用主成分分析方法(PCA)，将源和目标之间的OD流组成的OD流矩阵进行PCA分析处理，将网络流量数据大体分为周期变化的数据、短期突变的数据和高斯分布的噪音数据；然后将周期变化的数据归结到3个主成份上，以3个新的复合变量来重构网络流的特征，从而构成了网络流量数据的正常空间，剩下的其它成份复合变量构成了网络流量数据的异常空间；最后采用子空间(Subspace)方法来检测分析网络异常。但在上述方法中，OD流矩阵的获取、计算方法非常复杂，代价高，对异常类型的判断方法也很复杂，需要事先进行标准异常特征的学习，所以该方法在实际应用中可操作性较差。

发明内容

本发明要解决的技术问题是提供一种可操作性强的网络流量异常检测方法和系统。

为实现上述目的，本发明提供了一种网络流量异常检测方法，包括下列步骤：

1)采集流量指标数据，建立流量指标数据矩阵；

2)采用主成分分析方法建立所述流量指标数据矩阵的主元模型；

3)通过所述主元模型的多变量统计控制图对网络流量进行异常检测。

上述方法中，所述流量指标数据包括网络应用类型、端口或IP地址对的字节数目指标信息，网络应用类型、端口或IP地址对的包数目指标信息，包字节大小信息，和/或流方向信息。

上述方法中，所述步骤1)进一步包括：

采集所述流量指标数据，基于应用层协议对所述流量指标数据进行分类统计；

建立流量指标数据矩阵。

上述方法中，所述步骤1)还包括对所述流量指标矩阵进行归一化的步骤。

上述方法中，所述步骤3)为：采用平方预测误差统计图检测所述网络流量异常出现的时间。

上述方法中，所述步骤3)还包括步骤：

采用主元贡献图分析对所述网络流量异常贡献最大的流量指标。

根据本发明的另一方面，还提供了一种网络流量异常检测系统，包括下列部件：

网络探针，用于采集流量指标数据；

分析部件，用于建立流量指标数据矩阵，采用主成分分析方法建立所述流量指标数据矩阵的主元模型，通过所述主元模型的多变量统计控制图对网络流量进行异常检测。

上述检测系统中，所述网络探针包括应用层流量识别与分类模块，用于基于应用层协议分类统计所述流量指标数据。

本发明提供的上述方法可操作性强，而且有效提高了网络流量异常检测的准确度。

附图说明

图1是根据本发明一个具体实施例的网络异常检测方法的流程图；

图2是根据本发明一个具体实施例的字节数目流量指标的碎石图；

图3是根据本发明一个具体实施例的字节数目流量指标数据矩阵的主元模型的SPE统计图；

图4是根据本发明一个具体实施例的第160时刻各字节数目流量指标贡献图；

图5是根据本发明一个具体实施例的异常时刻基础应用各协议出境字节速率；

图6是根据本发明一个具体实施例的包数目流量指标的碎石图；

图7是根据本发明一个具体实施例的包数目流量指标数据矩阵的主元模型的SPE统计图；

图8是根据本发明一个具体实施例的第160时刻各包数目流量指标贡献图；

图9是根据本发明一个具体实施例的异常时刻基础应用各协议出境包速率；

图10是根据本发明一个具体实施例的网络流量检测系统。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图，对根据本发明一个实施例的网络流量异常检测分析方法进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。