[发明专利]一种基于多维分层相对熵的网络流量异常检测方法

权利要求书

1.一种基于多维分层相对熵的网络流量异常检测方法，其特征在于包括如下两个阶段：

阶段1即训练阶段：根据样本流量建立熵值基线和阈值范围；

阶段2即检测阶段： 根据实际流量检测网络流量是否发生异常。

2.根据权利要求1所述的检测方法，其特征在于所述阶段1包括以下步骤：

步骤一，对历史的样本流量以时间窗口大小W通过多维度层次化在各分析视图上建立熵值序列；

步骤二，对样本流量中标识为正常的网络流量，以均值法更新此窗口的历史熵，建立熵值基线；

步骤三，对样本流量中标识为异常的网络流量，计算相对熵，根据给定检测率和误报率确定上下限阈值。

3.根据权利要求1所述的检测方法，其特征在于所述阶段2包括以下步骤：

步骤一，对流经网络采集设备的待检测网络流量，以时间窗口大小W为单位进行流量捕获，开启缓存区，缓存该时间窗口内的数据报文；

步骤二，依次求得各自维度下网络流量分析视图的熵值，分别与训练阶段所获得到的历史熵运用计算相对熵，如任一维度相对熵超出其分析视图的阈值范围，该时间窗内网络流量标识为异常；

步骤三，如任一维度相对熵在其分析视图的阈值范围内，该时间窗内网络流量标识为正常流量，并可作为经验流量对历史熵更新。

4.根据权利要求2所述的检测方法，其特征在于所述步骤一中，按如下公式计算网络流量在每一个维度的熵值：

其中N为在网络数据包在该维度上出现不同取值的数目，P_i为第i个取值对应的数据包数量占总数据包数量的比例。

5.根据权利要求2所述的检测方法，其特征在于所述步骤一中，从以下多个维度来来分析网络流量：IP地址维度包括源IP和目IP、IP端口维度包括源端口和目的端口、Protocol协议维度和Tcpflag维度。

6.根据权利要求2所述的检测方法，其特征在于所述步骤一中，为构建流量的分析视图对流量多维度的层次化：

1) 对IP维度的层次化：将时间窗口内的网络流量首先按IP地址分为内网流量和外网流量两类；然后在IP维度上将这两类流量分别由小到大进行排序，取其前10％的IP地址的流量定为大流量集，其余IP地址的流量均为小流量集；小流量集再按照C类子网进行细分，每个C类子网号IP地址的网络流量作为一个层次聚集；

2) 对Port维度的层次化：将静态端口0～1023和动态端口1024～49151分别以10和100为单位进行划分聚集，大于49152的随机端口因为极少使用，故可将这些网络流量定为一个聚集；

3) 对Protocol维度的层次化：从应用层协议和传输层协议来对网络流量进行层次聚集；

4) Tcpflag维度的层次化：根据Tcpflag字段中URG字段、ACK字段、PUS字段、RST字段、SYN字段和FIN字段进行层次聚集。

7.根据权利要求3所述的检测方法，其特征在于所述步骤二中，采用相对熵来度量网络流量在某个维度下发生异常，以SrcIP维度举例，假设在SrcIP维度有2个流量分布P和Q，具有相同的取值空间，那么其相对熵为：

SrcIP_P和SrcIP_Q分别代表在SrcIP维度上待检测的当前网络流量分布以及正常的历史网络流量分布，假设、为上下限阈值，如果，则判定网络流量在SrcIP维度上出现异常，以此类推，可得到在其它维度下流量异常的情况。