[发明专利]一种基于INFIGARCH模型的网络流量异常检测方法及设备

说明书

本发明实施例涉及网络安全领域，提供的一种基于INFIGARCH(1，d，1)模型的网络流量异常检测方法，具体包括如下步骤：S1:确定建模移动窗口时间跨度的大小m；S2:确定数据聚合后每个数据点对应的时间间隔的大小；S3:确定模型更新时间跨度T_gap；S4:对流量数据聚合；S5:得到待定参数，同时记录所用最后一个数据点对应的时间T_est；S6:根据步骤S5得到的参数，每一个预测值对应一个预测时刻；S7：聚合新到的流量，记录时刻和对应的聚合流量；S8：将聚合流量与流量上界阈值作比较；S9：若两者差距大于T_gap，返回步骤S4，更新模型，否则执行步骤S10；S10：将聚合的数据加入时间序列队列之中，移动时间窗口。本方法模型的稳定性和趋势跟随能力并重的优良特性。

技术领域

本发明涉及网络安全领域，具体涉及一种基于INFIGARCH模型的网络流量异常检测方法及设备。

背景技术

伴随着网络日渐深入人们的日常生产生活，网络攻击问题也日益严重。由于网络数据流包含时间戳，天然就是一个时间序列。所以基于时间序列模型，进行网络异常检测是一种常用的手段。传统上，时间序列网络流量异常检测方法主要考虑将网络流量视为实数或变换为实数后，按实数时间序列进行建模。同时，现有的基于时间序列模型往往基于传统的ARIMA模型或统计检验，这些方法一般忽略了网络流量数据分布的右偏性，数据之间的异方差性和长记忆性。

现有方案之一，一种基于差分自回归滑动平均模型的网络流量异常检测方法。该方法基于差分自回归滑动平均模型ARIMA模型。该方法：包括

第一步：确定滑动窗口大小；

第二步：对第一步确定的窗口内的流量数据进行平稳性判断，若流量数据不平稳则进行d次差分直到平稳。判断平稳的依据是Dickey-Fuller检验；

第三步：对第二步中得到的数据利用AIC准则确定模型的阶数，即p和q的值，结合第二步中d的值，得到ARIMA(p，d，q)模型；

第四步：用极大似然估计方法确定ARIMA(p，d，q)的参数值；

第五步：根据第四步的模型做L步预报；

第六步：根据第五步的预报值做指数加权平均生成当前流量的预测值然后与当前时刻流量的真实值做误差判定。若误差大于给定的阈值，则判定为异常。

第七步：移动窗口进行下一次判断。

现有技术方案的缺点：该方法完全忽视了网络流量包数量的如下特性：

(1)整数性。网络流量包的数量只能是1个，2个等非负整数个，不可能是0.4个，2.7个等实数个。但是该方法完全忽视了流量的整数性，直接把它视为实数进行建模；

(2)流量分布的不对称性。流量包个数是随机的。但是该随机的分布有明显的右偏性。具体说来，流量包个数最小只能是0，而最大理论上却可以趋于无穷。这一现象，用概率分布描述表现出非常明显的右偏现象，即分布的左侧在0处截断，在右侧可以很大，甚至趋于无穷。首先于秦和吕吉彬(2015)的方法基于ARIMA(p，d，q)模型，该模型的基础是正态分布。其次，该方法用于判断是否平稳的Dickey-Fuller检验基于随机过程中的布朗运动。布朗运动在任意一个时间节点都是正态分布。最后该方法用于判断阶数的AIC准则基于似然函数，在该方法中似然函数依然是基于正态分布构造的。众所周知，正态分布时典型的对称分布，用对称分布近似严重右偏的分布，效果当然值得商榷；

(3)流量包数量的异方差性。直观说来，一个网络在某时刻有大流量时，其后的时刻流量往往也非常大，而小流量之后往往也是小流量。例如假设下载一部电影，需要1小时，则在这1小时内流量非常大。当用户电影下载结束后，流量立刻下降，之后的一个时刻内流量都较小。这是典型的流量异方差现象。于秦和吕吉彬(2015)的方法基于ARIMA模型，该模型不能刻画异方差现象；