[发明专利]一种检测网络攻击行为的方法

说明书

技术领域

本发明涉及网络信息安全和数理统计相关理论，更具体地说，涉及一 种检测网络攻击行为的方法，该方法基于相空间和超统计理论进行网络攻 击行为检测，可以及时发现网络故障和性能问题，对提高网络的可用性、 可靠性和保证网络服务质量具有重要意义。

背景技术

已有的研究表明，多种网络业务流量都具有混沌动力学特性。相空间 重构是研究和分析混沌动力学系统的重要方法。含有攻击行为网络流量(异 常网络流量)序列往往是有许多系统因子相互作用的综合反映，它蕴藏着 参与运动的全部变量的痕迹，而非系统的真实反映。Packard等人提出的相 空间重构理论认为，由于观测到的时间序列数据包含着所有变量的痕迹， 这样在时间上先后得到的数据点彼此之间是相关的，用重构到高维空间的 办法，可以更好的把时间序列中蕴涵的系统信息充分地显示出来。已经证 明，当嵌入维数m和时延τ的选择适当时，重构的相空间可以具有与实际 的动力系统相同的几何性质和信息性质，具有真实空间的所有特征。因此 我们采用相空间的方法来研究和分析网络异常流量，重构后相空间能保持 与原来网络流量动力系统内在结构的不变性。

超统计理论属于物理学的前沿领域并弥补了传统统计方法的不足。超 统计的含义是指“统计之统计”，用于描述多个动力学子系统的复合。考 虑到网络流量的非平稳性和突发性，及其统计分布参数是随机或者是复杂 变化的，由此易于导致异常检测所存在的问题，针对复杂问题采用超统计 理论，研究统计之统计，统计参量的变化最为合适。

突变分析是时间序列研究的一个重要领域。20世纪60年代中期，以法 国数学家Thom的工作为先导，逐步形成了突变理论。所谓突变就是指系统 发生了突然的变化，是系统对外界条件的光滑变化而做出的突然响应。通 常所说的突变一般指初等突变，如均值突变、频率突变、趋势突变和方差 突变等。网络流量往往受多个驱动因子的控制，其行为将表现出非线性、 非平稳和复杂的特性，其内在的动力结构也可能随着驱动因子的改变而发 生快速的变化，即其内在的演化方程发生了突变——动力结构突变。

专利文献“一种基于超统计理论的网络流量异常检测方法”(公开号为 CN101286897，公开日为2008.10.15)提出根据网络流量的实际特性确定一 种分布模型，并根据此分布模型计算网络流量时间序列的慢变量序列，即 分布参数序列；根据慢变量序列的异常波动来检测网络流量异常。其方法 直接对整个流量数据进行统计分析，数据量大，难以发现系统内的信息， 其次依靠单一慢变量序列的进行检测，可靠性较弱，误检率高。

发明内容

本发明的目的在于提供一种检测网络攻击行为的方法，该方法具有可 靠性高，误检率低的特点。

本发明提供的检测网络攻击行为的方法，其步骤包括：

第1步根据网络流量的复杂非线性特性将待检测的网络流量时间序 列重构到多维相空间，并根据正常网络流量时间序列建立统计分布模型；

第2步对待检测的网络流量时间序列进行平稳化处理，将其分成子 窗；

第3步按照统计分布模型计算平稳化处理后的网络流量时间序列的 各子窗的参数，得到一个参数序列，再根据该参数序列建立综合判决模型， 检测异常。

本发明通过相空间重构先将其扩展到多维的相空间中，把原网络流量 序列蕴藏的信息充分的充分显露出来，同时降低了每个维度的计算复杂度。 再针对网络流量非平稳复杂过程这一特点运用了超统计理论，通过寻找反 映流量统计模型的参数序列，变换了研究对象，将对复杂的网络流量数据 的研究集中到对某个决定系统本质变化的参数序列的研究，既考虑到系统 整体的优越性，又避免了传统有统计模型参数检验计算的复杂性更进一步 降低的计算复杂度。经过多次实验获得良好的实验效果，并且与未进过相 空间重构而直接进行超统计检验的方法进行对比，发现该方法能够在保证 检出率的同时大大的降低误检率。

与对比文献所提出的技术方案相比，本发明将网络流量重构到多维空 间里，一方面可以充分显示其蕴藏在一维空间的信息，另一方面由于重构 降低了每个维度空间的计算复杂程度，提高运行的速度；另外在对分布模 型的参数序列的研究，不仅仅利用单一的慢变量序列，综合考虑多参数序 列模型的综合判决模型，提高的系统的鲁棒性和准确性。此外与其他网络 流量异常检测模型相比，该方法具有计算复杂度低，检出率高和误检率低 等特点。

附图说明