[发明专利]一种检测网络攻击行为的方法

权利要求书

1.一种检测网络攻击行为的方法，其步骤包括：

第1步根据网络流量的复杂非线性特性将待检测的网络流量时间序 列重构到多维相空间，并根据正常网络流量时间序列建立统计分布模型；

第2步对待检测的网络流量时间序列进行平稳化处理，将其分成子 窗；

第3步按照统计分布模型计算平稳化处理后的网络流量时间序列的 各子窗的参数，得到一个参数序列，再根据该参数序列建立综合判决模型， 检测异常。

2.根据权利要求1所述的检测网络攻击行为的方法，其特征在于：第1 步包括下述过程：

(1.1)先计算时间延时和嵌入维，再根据时间延时和嵌入维将待检的 网络流量时间序列重构到多维空间；

(1.2)根据正常网络流量时间序列的统计特性，确定一种分布模型拟 合局部网络流量，该分布模型能够描述局部网络流量时间序列的特征并且 该分布模型能够通过柯尔莫诺夫-斯米尔诺夫检验、相关系数检验分布拟合 检验。

3.根据权利要求2所述的检测网络攻击行为的方法，其特征在于：第 2步具体包括下述过程：

第2.1步，记待测的网络流量时间序列为x(t)，其包含的点数为N；记 初始窗口部分为L_s，L_s取值范围100～300，初始滑动窗口的长度为L_m，L_m初始值为8～15，L_s+L_m的区域为子窗，设i为子窗的序号，i为从1开始的 正整数，L_s+L_m的长度N_2(i)，其L_s的长度为N₁，分别计算L_s和(L_s+L_m) 部分的平均值μ₁(i)、μ₂(i)，以及标准偏差s₁(i)和s₂(i)，则当前窗口的合并偏 差S_D(i)为

SD(i)=((N1-1)×s1(i)2+(N2(i)-1)×s2(i)2N1+N2(i)-2)1/2×(1N1+1N2(i))---(5)]]>

其中，用统计值T(i)来量化表示L_s，L_s+L_m的差异：

T(i)=|μ1(i)-μ2(i)sD(i)|---(6)]]>

第2.2步若3G≥T(i)≥G，其中G为域值，取值范围为0.3～0.6，则进 入第2.3步，否则，根据T(i)的值按照以下规则调整L_m的长度；

若T(i)＜G，则进一步缩放滑动窗口L_m＝L_m+L_f，其中L_m初始值为10， L_f为滑动增量，范围为大于0且小于L_m，L_f初始取3～5，然后转入第2.1 步；

若T(i)＞3G，则进一步缩放滑动窗口L_m＝L_m-L_f，L_m初始值为10，L_f为 滑动增量，范围为大于0且小于L_m，L_f初始取2～3，然后转入第2.1步；

第2.3步，以L_m最后一个点所在位置作为第i个子窗的分割点W_i，再 根据W_i的位置按照第2.1步的方式计算下一个T(i)，得到第i+1个子窗的 分割点W₂，重复进行直到序列的结尾；

依次求出每个子窗的大小。

4.根据权利要求3所述的检测网络攻击行为的方法，其特征在于：第3 步具体包括下述过程是：

第3.1步采用广义概率权重矩估计法或者概率权重矩法，根据第1步 得到的统计分布模型对所有子窗依次进行参数估计，得到尺度和形状参数 序列{k₁，k₂，…，k_nn}和{b₁，b₂，…，b_nn}，nn表示子窗总数；

第3.2步采用尖点突变模型进行异常检测；

利用尖点突变模型，设形状参数和尺度参数为状态变量，状态变量为 网络流量，由此计算得到由状态变量和控制变量形成的势函数的系数值，再 计算由控制变量和系数形成的分叉集；

根据已经建立的突变模型，以及第3.1步计算出来的形状参数 {k₁，k₂，…，k_nn}和尺度参数{b₁，b₂，…，b_nn}记为u，v，即 u＝{k₁，k₂，…，k_nn}，v＝{b₁，b₂，…，b_nn}，由u，v组成特征量P(u，v)；设定一个阈 值ξ，阈值ξ取值为最开始3～10个子窗的特征量P到分叉集的距离的平均 值，计算特征量P到所述分叉集的距离D，当D≤ξ，则检测出网络流量的 异常。