李彦
五莲教育信息网【摘 要】A network traffic anomaly detection model based on time series analysis is proposed to detect the network traffic anomaly accurately and ensure the network normal operation. The wavelet analysis is used to decompose the network traffic ac-cording to the similarity of the network traffic data, so as to divide it into the components with smaller scale. And then the gray model and Markov model of the time series analysis method are used to perform the network traffic anomaly detection for the high-frequency component and low frequency component respectively, their results are fused with the wavelet analysis, and analyzed with the simulation experiment of the network traffic anomaly. The results show that the time series analysis model has simple working process, increased the detection rate of the network traffic anomaly, its false alarm rate is lower than that of other net-work traffic anomaly detection models, and can obtain better real-time performance of the network traffic anomaly detection.%为了准确检测出网络流量的异常现象,保证网络的正现实主义法学
常工作,提出基于时间序列分析的网络流量异常检测模型.根据网络流量数据间的相似性,采用小波分析对网络流量进行分解,划分为更小尺度的分量,然后采用时间序列分析法——灰模型和马尔可夫模型分别对高频分量和低频分量进行网络流量异常检测,并采用小波分析对它们的检测结果进行融合,最后采用网络流量异常仿真实验进行分析.结果表明,时间序列分析模型的工作过程简单,提高了网络流量异常检测率,误检率要低于其他网络流量异常检测模型,获得更优的网络流量异常检测实时性. 【期刊名称】《现代电子技术》
【年(卷),期】2017(040)007
【总页数】4页(P85-87,91)
【关键词】网络系统;流量异常检测;灰模型;小波分析
环二肽【作 者】李彦
【作者单位】景德镇陶瓷大学 信息工程学院,江西 景德镇 333403
公安部汪凡
【正文语种】中 文
【中图分类】TN915.07-34;TP391
随着计算机技术的不断发展和成熟,网络上的业务种类越来越多,如视频,图像等,网络成为了一种主要的通信载体[1]。由于数据的庞大性,对网络带宽和通信质量要求更高,网络受到木马、蠕虫、病毒等影响,网络安全问题越来越严重。当网络中出现不安全因素时,网络流量会发生相应的变化,出现异常现象,因此如何对网络流量异常进行准确检测,并做出相应的应对措施,对保证网络正常运行具有重要意义[2⁃3]。
最原始的网络流量异常检测是通过对网络数据进行分析,将网络流量特征分为基本特征和组合特征,基本特征主要指网络流量大小,数据包长度等;组合特征主要指平均包长、SYN包的个数,通常情况下,对网络流量基本特征进行训练,建立网络流量异常检测模型,将数据划分为正常或者异常,以应对网络上的各种攻击行为,该方法对小规模、简单网络流量异常检测效果好[4⁃5]。随着网络规模的增大,网络结构更加复杂,网络不安全概率增加,网络流量异常发生频繁,原始网络流量异常检测技术不能适应现代网络发展的要求[6]。为了适应现代网络发展的要求,克服原始检测技术的不足,近些年有学者提出基于
现代统计学理论的网络流量异常检测模型[7],如采用信号处理与统计学理论相结合的异常行为检测[8],有学者提出基于数据挖掘技术的网络流量异常检测模型,从网络流量数据中发现异常行为[9]。并出现基于BP神经网络的网络流量异常检测模型,获得了较好的检测结果[10]。
为了准确检测出网络流量中的异常现象,提出基于时间序列分析的网络流量异常检测模型。首先采用小波分析[11]将网络流量划分为更小尺度的分量,然后采用灰模型和自回归模型分别对高频分量和低频分量进行网络流量异常检测,并采用小波分析对它们的检测结果进行融合,最后仿真实验的结果表明,本文模型是一种网络流量异常检测率高的模型,具有较高的实际应用价值。
1.1 灰模型
灰模型是一种经典的时间序列分析方法,它将所要解决的问题当作一个黑箱,根据灰理论进行建模,具体为:
(1)收集网络流量异常检测的原始数据,它们组合在一起形成一个序列:
(2)为了发现原始数据中隐藏的变化特点,对它们进行累加操作,得到:,且有
(3)建立网络流量异常检测的矩阵B与向量Yn,即有:
(4)根据最小二乘算法对系数â进行计算,设白化方程为:=b,参数向量可以表示为:,那么系数â的解为:
(5)网络流量异常检测的响应函数为:
(6)对进行“累减”逆运算得到:
1.2 马尔科夫模型
设t=k时刻的状态为x(k),那下一时刻的状态为:
式中R(1)为转移概率矩阵。段元星
马尔科夫模型的工作过程为:
(1)根据灰模型可以得到网络流量的估计值为:
(2)对于期望值和估计值之间的相似性,将它们的比值f划分一些状态区间,即有:
式中:Fi1和Fi2分别表示状态区间i内的最小值和最大值。
(3)根据式(6)计算下一个状态的转移概率。
式中:nij(k)为状态i到j的次数;ni(k)表示状态转移的总次数。
(4)S是f的全部状态集合,若S的条件概率pij(k)与时刻k不相关,则表示该马尔科夫链为齐次的,齐次的n步转移概率矩阵R(n)的计算公式为:
(5)计算实测值与估计值的偏差采用平均偏差对结果进行修正。
(6)后验差比值C和小误差概率P的计算公式为:
式中:S0=
2.1 小波分析
网络流量的数据为X(t),t=0,1,2,…,N-1,对其进行小波分解,得到高频分量为:
式中h表示低通滤波器。
网络流量的低频分量dj为:
网络流量的L尺度小波分析结果为:
对低频分量和高频分量的重构结果为:
2.2 时间序列分析的网络流量异常检测步骤
(1)收集网络流量异常检测的历史数据,并剔除一些无用数据。
(2)采用小波分析对网络流量异常数据进行分解。
(3)采用灰模型和马尔可夫模型对高频和低频分量进行建模。
(4)采用小波重构对灰模型和马尔可夫模型的结果进行融合,得到网络流量异常的检测结果。
本文模型的工作流程如图1所示。
收集大量网络流量数据如图2所示,为了加快网络流量异常检测的速度,对原始数据归一化处理,即:
式中:Ex和σx分别为均值和标准差。
采用小波分析对图2的数据进行多尺度分解,得到低频分量和和高频分量如图3所示,并采用灰模型和马尔可夫模型对高频和低频分量进行建模,得到相应的检测值。
采用小波重构对灰模型和马尔可夫模型的结果进行融合,得到网络流量异常的检测结果如图4所示。
为了进一步评价本文模型的网络异常流量检测结果的优越性,选择与当前经典网络异常流量检测模型[9⁃10]进行对比实验,统计它们的检测率和误检率,具体见表1。从表1可知,本文模型提高了网络流量异常检测率,误检率小于对比模型,能够更好地保证网络安全,具有显著的优越性。
网络流量异常检测一直是通信领域研究的热点,针对当前网络流量异常检测的局限性,提出基于时间序列分析的网络流量异常检测模型。通过仿真实验可知,通过小波分析对网络
双极化天线流量数据进行预处理,从中发现变化规律,有利于后续的网络流量异常检测建模,采用灰模型和马尔可夫模型对网络流量异常行为进行检测,获得较优的网络流量异常检测结果,而且检测结果要明显优于其他模型,在网络安全领域具有广泛的应用前景。
【相关文献】
[1]KIM S S,REDDY A L N,VANNUCCI M.Detecting traffic anomalies through aggregate analysis of packet header data [C]//Proceedings of 2004 International Conference on Research on Networking.Berlin:Springer,2004:1047⁃1059.
[2]孙知信,唐益慰,程媛.基于改进CUSUM算法的路由器异常流量检测[J].软件学报,2005,16(12):2117⁃2123.
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议