[发明专利]基于多阶马尔科夫链的流量异常检测方法

说明书

本发明公开了一种基于多阶马尔科夫链的流量异常检测方法，包括：利用正常历史流量数据构建基于马尔科夫模型的流量正常行为轮廓，并训练得到马尔科夫模型的参数；基于EWMA和滑动窗口机制，利用t时刻的预测值和滑动窗口内网络流的出现概率的标准差，构建t时刻的判定阈值；对t时刻的网络流，判断其数据包的状态，以将t时刻的网络流转化为状态序列I_t；利用训练好的马尔科夫模型计算状态序列I_t的出现概率Pr(I_t)，并将该出现概率Pr(I_t)与t时刻的判定阈值σ_t进行比较；若Pr(I_t)＞σ_t，则判定t时刻的网络流为正常流量；否则，判定t时刻的网络流为异常流量。

技术领域

本发明涉及计算机网络管理技术领域，具体涉及一种基于多阶马尔科夫链的流量异常检测方法。

背景技术

互联网和信息技术是当今世界科学技术研究中发展最为快速的技术之一，因其方便快捷、移动性好、价格低廉等特点，正在改变着人们的生活方式。小到聊天、购物、娱乐，大到航天航空、武器导弹都离不开互联网。互联网的飞速发展推动了全球化的生产和生活方式的深刻变革。随着网络理论技术的发展、网络硬件性能的不断增强，整个互联网的流量规模也在不断的增加。互联网时代中网络应用急速地扩张，虽有利于网络用户高效便捷地生活，利于网络资源的共享，但同时，在享受网络便利的过程中，网络流量异常却总是带给用户难以防备的危害。

网络流量异常检测是异常检测和网络流量分类的交叉领域，旨在发现网络中的异常流量，识别出各种攻击类型(例如DDoS攻击、蠕虫病毒等)，发现网络的异常行为。互联网中无时无刻不发生着各种各样的网络流量异常，而这一系列的流量异常问题都需要网络流量异常检测技术参与解决。网络流量异常检测技术亦具有非常高的应用价值，主要体现在：

其一，网络流量异常检测技术可以帮助网络管理者及时发现网络中的流量异常问题，检查网络设备故障，合理分配网络资源，为用户提供更好的网络服务。比如当网络游戏出现大量卡顿，在线视频清晰度、流畅度不佳等网络流量异常现象时，流量异常检测技术就可以及时帮助技术人员发现这些异常背后的问题，从而带给用户更好的服务体验，为企业带来经济效益；

其二，网络空间安全离不开网络流量异常检测技术。互联网中存在着各式各样的流量异常，其中一些可能对企业服务、用户信息安全造成严重威胁。比如服务器收到海量的地址请求而最终宕机崩溃，商务交易类应用遭受不明攻击导致用户财产丢失等等。近几年内，全世界范围内的互联网大规模异常事件也频频发生，以DDoS攻击和蠕虫病毒为代表的网络攻击已经对全世界各种网络用户带来了不同程度的危害。网络流量异常检测技术就是要准确识别出这些网络攻击，为之后的解决方案提供支持，为网络用户的信息和财产安全保驾护航。

准确地说，网络流量异常指的是网络流量行为偏离其正常行为的情形。“正常”意味着符合某种常规或典型的模型，以一种自然的方式，常规的或预料中的状态、形式、数量或程度发生，也强调符合某种已经建立的水准或模式。在网络系统中，正常行为会由于网络的动态变化、噪声而发生改变，所以网络正常行为的确定还必须能够适应网络环境的变化。

公开号为CN106941490A的专利文献提供一种基于双向二维主成分分析的在线网络流量异常检测方法。该方法包括：新的流量在t+1时刻到来，对新流量和原始流量共同构成的矩阵序列做BPCA降维，得到两个降维矩阵U_t+1、V_t+1。然后，计算U_t+1、V_t+1和原始流量的降维矩阵U_t、V_t之间的余弦相似度，最后与阈值比较，识别异常流量。该方案使用了三种不同的BPCA方法，包括通过迭代进行计算的BPCA计算方法、近似的BPCA方法以及通过增量型方法加速的BPCA方法。该方案通过衡量流量数据在最关键的维度上的差异情况来判断流量是否异常。但是其判定阈值是固定的，缺乏动态自适应性，难以适应不断动态变化的网络环境，在面对复杂的网络情况时，实际使用效果可能不理想。