[发明专利]一种基于联合AR模型的病毒态势异常检测方法及系统

说明书

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种基于联合AR模型的病毒态势异常检测方法及系统。 

背景技术

现在的互联网环境中，每天都发生着各种各样的病毒传播事件，这些病毒传播事件往往都淹没在浩瀚的网络洪流中，提取和发现这些病毒传播事件，并对这些病毒传播事件规律进行深度分析，从而捕捉突发病毒疫情，是网络安全技术领域急需解决的难题。

现有的网络流量异常检测方法，包括：基于阈值的方法，即当网络流量超过预设阈值时立即告警。但是，这种方法只能发现严重的网络故障或性能问题，并且，如果阈值设定的过小，则系统可能出现告警风暴，误报的可能性很大；如果阈值设定的过大，则不易发现网络中存在的细微流量突变，不能及时地进行网络流量管理。基于统计的检测方法，在网络正常运行时建立一套网络参数，当网络参数出现偏差不符合正常运行情况时告警。基于小波的检测方法，小波变换可得到低频系数和高频系数，其中低频系数反映原始信号的轮廓，而高频系数反映信号的细节，网络流量异常可以通过分析细节系数检测出来。

以上检测方法仍然存在很多问题：只是针对总体病毒传播事件进行网络异常检测是不合理的，虽然从网络传输角度看病毒传播事件都是IP流，与其他网络流量无区别，但是病毒本身是有类别特征的，如果只是将它们视为一个整体，则必然会遗漏很多信息。例如，某类病毒出现疫情，传播次数骤增，但是由于它在所有病毒传播事件中比例较小，其骤增的态势在总体病毒传播事件中凸显不出，所以受到忽视；也有可能存在两个病毒传播事件，其态势是一增一减，效果相互抵消，总体病毒传播事件中检测不到所述的异常；并且即使发现病毒传播事件在某个时间点增加较多，很有可能是由于在相同时间网络流量也增加较多，所以这种情况就不能判定为网络病毒态势异常。

发明内容

针对上述技术问题，本发明提供了一种基于联合AR模型的病毒态势异常检测方法及系统，该方法利用自回归模型获取网络流量数据和病毒传播事件的异常统计量，接着利用公式判定所述网络中是否存在病毒态势异常。该方法克服了传统方法无法察觉微小异常的缺点，并且可以给出病毒态势异常趋势。 

本发明采用如下方法来实现：一种基于联合AR模型的病毒态势异常检测方法，包括：

针对网络流量数据生成大小为N+1的时间窗，并利用自回归模型，基于前N个时刻的网络流量数据得到第N+1时刻的网络流量数据的预测值；

基于所述第N+1时刻的网络流量数据的预测值与第N+1时刻的网络流量数据的真实值之间的差距，得到第N+1时刻的网络流量数据的异常统计量，以                                                表示；

对检测到的病毒传播事件按照预设的方式进行分类，并且将所述病毒传播事件用数值序列表示；将检测到的病毒传播事件进行所述分类后，不仅可以保证细小异常不漏检，又可以辅助定位异常原因，比如，当病毒运行环境为win32和病毒类型为Trojan的病毒传播事件在同一时刻出现病毒异常态势，则可以推断病毒态势异常由病毒家族“Trojan.win32.XXX”导致。

例如所述病毒名中可以包括Trojan、Virus、Worm，或者更为精细的分类。

针对所述分类中的各类别下的所有病毒传播事件的数值序列生成大小为N+1的时间窗，并利用自回归模型，基于前N个时刻的数值序列的值得到第N+1时刻的数值序列的预测值；

基于所述第N+1时刻的数值序列的预测值与第N+1时刻的数值序列的真实值之间的差距，得到第N+1时刻的病毒传播事件的异常统计量，以表示；所述tag为取自于所述分类中的各类别下的病毒传播事件的标识；

计算病毒传播事件的总异常统计量，以表示，方法为，并判断所述是否大于预设阈值，若是，则出现病毒态势异常，否则没有出现病毒态势异常；所述是指所述分类中各类别下的病毒传播事件数量之和。宏观上病毒传播事件的趋势与网络流量趋势是基本吻合的，利用如上计算方法，可以排除掉由于网络流量的大幅波动导致的病毒传播事件趋势的变化，使得检测结果更加准确，不会导致误报。

方法中所述时间窗可以依据时间的更新向后滑动，以便求得最新时间点的预测值情况。

方法中在判断出现病毒态势异常之后，还包括：针对分类中的各类别下的所有异常统计量计算值，并将所述值按照大小进行排序，认为排序中值较大的病毒传播事件为病毒态势异常的主要贡献者；进行这样的排序之后可以更精确地定位异常发生原因，可以分析出病毒态势异常是由哪个病毒，哪个文件导致，进而确定病毒传播源和主要感染者。