[发明专利]一种基于网络结构特征的异常检测方法

说明书

本发明涉及一种基于网络结构特征的异常检测方法，其中，包括：(1)网络特征参数提取，(2)建立网络拓扑特征模型；(3)进行网络特征匹配，包括：将t时刻的待检测网络结构特征与分析所得的正常网络结构特征进行匹配，若t时刻的网络特征与的正常网络结构特征偏离度较大，则表示当前t时刻的网络存在异常；若偏离度不大，则判定t时刻的网络正常；网络特征模型更新，并通过更新后的网络模型对待检测网络行为进行检测。一种基于网络结构特征的异常检测方法，解决了现有技术无法检测规模性异常、对网络流量之间关联关系分析不深入、精细化分析导致开销过大等的问题。

技术领域

本发明涉及网络安全技术领域，特别是一种基于网络结构特征的异常检测方法。

背景技术

随着信息和网络技术的飞速发展，通信网络已成为人们日常生活中不可或缺的一部分，然而，伴随通信网络广泛应用为用户带来便利的同时，也为网络安全带来了极大的隐患，针对网络的攻击事件频繁发生，且攻击手段更加复杂多样。如何通过安全技术手段尽可能发现网络异常行为或入侵企图，并采取有效举措进行处理和防范，是目前信息安全领域研究的重点之一，这类研究称为网络异常检测。

网络异常检测能够有效发现网络中的潜在问题，为网络安全运行提供基础。现有的网络异常检测技术根据研究对象主要分为两类，即基于主机和基于网络。基于主机的异常检测通过收集主机系统的时间日志、操作日志以及安全审计数据进行分析，发现可能遇到的异常事件。基于网络的异常检测主要是针对网络数据流，通过将网络行为分为“正常”和“异常”两类；符合规范的网络行为定性为正常行为，而与正常行为偏离较大的行为定性为异常行为。

针对网络的异常检测技术，其基本思想是：通过对大量正常网络数据进行分析处理，建立正常规则模型，将待测网络与该规则模型进行匹配，判定与该规则不相匹配的待测网络为网络异常，相匹配的网络为正常。网络异常检测的过程一般包括数据采集、模型建立和匹配检测三个阶段。数据采集是模型建立和匹配检测阶段的基础，主要实现对数据的提取、筛选、过滤与预处理；模型建立阶段基于采集的数据，进行训练并建立正常模型，该模型将用于匹配检测阶段发现网络异常。目前应用较为广泛的异常检测方法包括基于信息熵的异常检测方法、基于统计分析的异常检测方法、基于分类的异常检测方盒以及基于聚类的异常检测方法等。部分方法存在无法检测规模性异常、对网络流量之间关联关系分析不深入、精细化分析导致开销过大等问题。

发明内容

本发明的目的在于提供一种基于网络结构特征的异常检测方法，用于解决上述现有技术的问题。

本发明一种基于网络结构特征的异常检测方法，其中，包括：(1)网络特征参数提取，包括：对于网络拓扑G_S＝(V_S,E_S)，其中V_S和E_S分别表示网络拓扑节点集合和链路集合；网络特征参数集合定义为S_S＝(s₁,s₂,…,s_d)，共包含d类特征参数；(2)建立网络拓扑特征模型，包括：设置时间周期T天以及窗口宽度W，则网络结构特征模型定义如下：假设在t时刻之前，在周期内相同时刻的连续W次网络行为均为正常行为，则在t时刻正常网络结构特征S₀(t)＝(s_o(t，1)，s_o(t，2)，s_o(t，3))可表示为：

即t时刻正常网络结构特征为前W个周期内相同时刻的正常网络特征平均值；(3)进行网络特征匹配，包括：将t时刻的待检测网络结构特征与分析所得的正常网络结构特征进行匹配，若t时刻的网络特征与的正常网络结构特征偏离度较大，则表示当前t时刻的网络存在异常；若偏离度不大，则判定t时刻的网络正常；网络特征模型更新，并通过更新后的网络模型对待检测网络行为进行检测。

根据本发明的基于网络结构特征的异常检测方法的一实施例，其中，还包括：(4)网络特征模型更新，包括：