[发明专利]一种基于灰色LOF流量异常检测系统及其检测方法

权利要求书

1.一种基于灰色LOF流量异常检测系统的检测方法，其特征在于，包括以下步骤：

S1.通过旁路部署在数据网网络节点上的流量采集设备采集原始的数据流量包，以灰度理论为基础对数据进行预处理，提取并归纳每个流量数据包的高关联字段，并确定选取PacketsIn、PacketsOut、BytesIn和BytesOut四个字段作为检测数据源；

S2.在步骤S1之后，采用维度标准化方式进行预测结果评判，设定原始数据列x⁽⁰⁾＝{x⁽⁰⁾(1),x⁽⁰⁾(2),...,x⁽⁰⁾(n)}，n为灰色预测数，根据x⁽⁰⁾数据列建立GM(1,1)模型实现预测功能；将预测出的结果与实际数据对比，将结果的偏差超出对比阈值的流量评判为灰色流量；

S3.在步骤S2之后，取所述灰色流量中一个数据流量包抽象为对象p，LOF分析模块依据KTLAD算法计算对象p的局部可达密度与局部异常因子LOF(p)，并将异常因子LOF(p)接近1的点判定为正常点，对比阈值得出异常点；

S4.在步骤S3之后，将异常点输出至终端；

其中，步骤S2中，根据x⁽⁰⁾数据列建立GM(1,1)模型按如下步骤实现预测：

a.累加原始数据，弱化随机序列的波动性和随机性，得到新的数据序列x⁽¹⁾：

x⁽¹⁾＝{x⁽¹⁾(1),x⁽¹⁾(2),...,x⁽¹⁾(k),...,x⁽¹⁾(n)} (1)

其中，x⁽¹⁾(k)中各数据表示对应前几项数据的累加：

b.按公式(2)对x⁽¹⁾(k)建立一阶线性微分方程,即GM(1,1)模型:

其中，a、b为待定系数，分别称为发展系数和灰色作用量；a的有效区间是(-2,2)，并记a、b构成的矩阵为灰参数

c.按公式(3)、公式(4)对累加生成数据做均值生成B与常数项向量Y_n:

Y_n＝[x⁽⁰⁾(2),x⁽⁰⁾(3),...x⁽⁰⁾(n)]^T (4)

d.按公式(5)用最小二乘法求解灰参数

e.将灰参数代入公式(2)，并按公式(6)对x⁽¹⁾(k)进行求解，得：

f.按公式(7)计算数据数列x⁽¹⁾的预测值

g.按公式(8)计算得到x⁽⁰⁾的预测值

h.按公式(9)计算灰色对比值gc：

其中X_i为第i个字段的预测值，Y_i为第i个字段的实际值，k_i为第i个维度的权值，为与下一模块中的距离计算相结合，X_iβ为维度i上从大到小排序位于0.9处的值，X_iα为维度i上从大到小排序位于0.1处的值；

所述步骤S3中KTLAD算法具体包括以下步骤：

a.计算各维度方差，找出方差最大的维度d；将各点按在d维度上从小到大排列，中间值点设为分裂点，比中间值小的点设为左儿子，比中间值大的点设为右儿子；建立包含若干以数据流量包为节点的k-d树；

b.在步骤a之后，将一个数据流量包抽象为一个对象p,采用标准化处理，针对维度重要性不同采用加权处理，得到距离d(p,q),距离d(p,q)按公式(10)计算：

其中k_i为第i个维度的权值，X_iα为维度i上从大到小排序位于0.1处的值，X_iβ为维度i上从大到小排序位于0.9处的值；

c.在步骤b之后，根据已建的k-d树，查询最近邻居，查询得到第k个最近邻居，即得到k-距离；

d.在步骤c之后，按公式(11)计算k-距离邻域：

N_k-dis(p)＝{q|d(p,q)≤k-dis(p)} (11)

e.在步骤d之后，给定自然数k，按公式(12)计算对象p相对于对象o的可达距离r-dis_k：

r-dis_k(p,o)＝max{k-dis(o),d(p,o)} (12)

f.在步骤e之后，按照公式(13)计算对象p的局部可达密度lrd_k-dis；按照公式(14)计算对象p的局部异常因子LOF(p)：

2.一种应用权利要求1所述方法的基于灰色LOF流量异常检测系统，其特征在于，包括信息采集模块、灰色区分模块、LOF分析模块和输出模块：所述信息采集模块用于原始数据的采集和预处理，并将数据传输至灰色区分模块；所述灰色区分模块用于对数据进行分析和预判得到需要计算的灰色区域，并将灰色区域传输至LOF分析模块；所述LOF分析模块用于分析灰色区域中的对象，并将分析结果传输至输出模块；所述输出模块用于将分析结果输出至终端。