CN101808017B - 网络异常性指数定量计算方法和系统 - Google Patents

Abstract

本发明提供一种网络异常性指数定量计算方法，包括：在待监测网络中选择一定数量的路由器节点作为数据的采集点，并设置用于采集数据的基期和报告期；在各个数据采集点上做数据采集，得到包含有源IP地址、目的IP地址、源端口、目的端口、协议类型、流开始时间、流结束时间、包数、字节数、TCP标记在内的相关信息；统计和计算所采集的数据，得到关于待监测网络中网络数据流量、协议成分、IP与端口分布以及行为模式的指标；将当前时刻计算得到的指标与基期内计算的相应指标相结合，计算用于表示待监测网络异常程度的网络异常性指数。本发明能够及时有效地反映典型网络安全事件对网络安全态势产生的影响。

Description

网络异常性指数定量计算方法和系统

技术领域

本发明涉及网络安全领域，特别涉及网络异常性指数的定量计算方法和系统。

背景技术

随着信息化技术和互联网技术的快速发展，针对网络信息系统的恶意攻击变得越来越多样化和复杂化，这些安全事件极大地威胁了我国的国家安全和人民生活，也给广大企业造成了严重的损失，网络安全形势日趋严峻，由此，网络安全态势监测、评估和趋势预测等技术逐渐成为人们研究的热点。而网络安全指数及指数体系作为上述技术的研究基础和技术手段具有重要的理论意义和实际价值，尤其是用于反映宏观网络安全态势的指数体系研究。

从所反映的网络安全特性角度看，网络安全指数可分为可用性指数、异常性指数、有效性指数等，其中的异常性指数是指用于反映由安全威胁或攻击所引起的网络通信数据特征异常程度的一类指数。由此可见，异常性指数对测度和反映网络宏观异常性具有重要意义，本申请仅围绕着网络异常性指数展开讨论。

在现有技术中，尚不存在与网络异常性指数计算相关的方法。但有对网络中的异常事件进行检测的方法。这些网络异常检测方法选取网络中的某些数据特征并对这些数据特征进行检测或计算，从而得到网络是否存在异常的结论。虽然网络异常检测方法在执行过程中所采用的数据特征能够在一定程度上反映网络中的异常情况，但由于现有的网络异常检测方法通常针对某一或某些特定类型的异常事件，其重点在于如何利用有限个数的网络数据特征尽可能准确地检测出网络中的异常事件，因此所选取的数据特征必然具有局限性，只能够反映网络的微观安全态势，无法反映网络的宏观安全态势。

发明内容

本发明的目的是克服现有的网络异常检测方法只能够反映网络的微观安全态势，无法反映网络的宏观安全态势的缺陷，从而提供一种对网络的整体安全性加以检测的方法。

为了实现上述目的，本发明提供了一种网络异常性指数定量计算方法，包括：

步骤1)、在待监测网络中选择一定数量的路由器节点作为数据的采集点，并设置用于采集数据的基期和报告期；

步骤2)、在各个数据采集点上做数据采集，得到包含有源IP地址、目的IP地址、源端口、目的端口、协议类型、流开始时间、流结束时间、包数、字节数、TCP标记在内的相关信息；

步骤3)、统计和计算步骤2)中所采集的数据，得到关于待监测网络中网络数据流量、协议成分、IP与端口分布以及行为模式的指标；

步骤4)、将当前时刻计算得到的指标与基期内计算的相应指标相结合，计算用于表示待监测网络异常程度的网络异常性指数。

上述技术方案中，在所述的步骤4)中，所述的计算用于表示待监测网络异常程度的网络异常性指数包括：

计算待监测网络中用于表示网络数据在数量上的变化程度、在比例上的变化程度、在统计分布上的变化程度以及在行为模式上的变化程度的指数，结合这些指数计算所述网络异常性指数。

上述技术方案中，在所述的步骤3)中，还要计算待监测网络中与网络数据相似性程度有关的指标；在所述的步骤4)中，所述的计算用于表示待监测网络异常程度的网络异常性指数还包括：

计算待监测网络中用于表示网络数据相似性程度的指数，利用该指数以及所述用于表示网络数据在数量上的变化程度、在比例上的变化程度、在统计分布上的变化程度以及在行为模式上的变化程度的指数来计算用于表示待监测网络异常程度的网络异常性指数。

上述技术方案中，所述的用于表示网络数据在数量上的变化程度、在比例上的变化程度、在统计分布上的变化程度以及在行为模式上的变化程度的指数包括基指数与层指数；所述基指数由所述指标计算得到，所述层指数由所述基指数计算得到，根据所述层指数计算所述的网络异常性指数；其中，

在对所述基指数与层指数做逐层计算时，具有相关性的层指数或基指数应取最大值，然后将所有不相关的层指数或基指数进行累加从而计算出上一级指数。

上述技术方案中，所述的用于表示网络数据在数量上的变化程度、在比例上的变化程度、在统计分布上的变化程度、在行为模式上的变化程度以及网络数据相似性程度的指数包括基指数与层指数；所述基指数由所述指标计算得到，所述层指数由所述基指数计算得到，根据所述层指数计算所述的网络异常性指数；其中，

在对所述基指数与层指数做逐层计算时，具有相关性的层指数或基指数应取最大值，然后将所有不相关的层指数或基指数进行累加从而计算出上一级指数。

上述技术方案中，在所述的步骤3)中，所述指标包括网络流量指标、包速率指标、TCP协议成分指标、UDP协议成分指标、ICMP协议成分指标、TCP_SYN成分指标、TCP_RST成分指标、流平均包长分布指标、源IP分布指标、源端口分布指标、目的IP分布指标、目的端口分布指标、同源IP同目的端口模式指标、同源IP同目的IP模式指标、不同源IP同目的IP模式指标、网络节点数指标。

上述技术方案中，在所述的步骤4)中，所述的用于表示网络数据在数量上的变化程度的指数根据所述网络流量指标和包速率指标计算生成。

上述技术方案中，所述的用于表示网络数据在数量上的变化程度的指数为数量特征指数，所述的数量特征指数的值通过对流量指数与包速率指数取较大值得到；其中，

所述的流量指数通过下列公式计算得到：

其中，TI(net)表示流量指数，T_t(net)表示网络流量指标，N_t(net)表示网络节点数指标，r表示报告期，b表示基期；

所述的包速率指数通过下列公式计算得到：

其中，PI(net)表示包速率指数，P_t(net)表示网络包速率指标。

上述技术方案中，所述的用于表示网络数据在比例上的变化程度的指数根据TCP协议成分指标、UDP协议成分指标、ICMP协议成分指标、TCP_SYN成分指标、TCP_RST成分指标计算得到。

上述技术方案中，所述的用于表示网络数据在比例上的变化程度的指数为成分特征指数；所述成分特征指数的值为ICMP协议成分指数、TCP协议成分指数、UDP协议成分指数三者中的较大值与TCP_SYN成分指数、TCP_RST成分指数两者中的较大值的和；其中，

所述的ICMP协议成分指数通过下列公式计算得到：

其中，ICI(net)表示ICMP协议成分指数，ICN_t(net)表示ICMP协议成分指标，N_t(net)表示网络节点数指标，r表示报告期，b表示基期；

TCP协议成分指数通过下列公式计算得到：

其中，TCI(net)表示TCP协议成分指数，TCN_t(net)表示TCP协议成分指标；

UDP协议成分指数通过下列公式计算得到：

其中，UCI(net)表示UDP协议成分指数，UCN_t(nett)表示UDP协议成分指标；

TCP_SYN成分指数通过下列公式计算得到：

其中，SCI(net)表示TCP_SYN成分指数，SCN_t(net)表示TCP_SYN成分指标；

TCP_RST成分指数通过下列公式计算得到：

其中，RCI(net)表示TCP_RST成分指数，RCN_t(net)表示TCP_RST成分指标。

上述技术方案中，在所述的步骤3)中，所述指标还包括端口成分指标；

所述的用于表示网络数据在比例上的变化程度的指数为成分特征指数；所述成分特征指数的值为ICMP协议成分指数、TCP协议成分指数、UDP协议成分指数三者中的较大值与TCP_SYN成分指数、TCP_RST成分指数两者中的较大值，以及端口成分指数的和；其中，

所述端口成分指数OCI通过下列公式计算得到：

其中，OCN_t(nett)(t＝r∨b)表示端口成分指标，N_t(net)表示网络节点数指标，r表示报告期，b表示基期；

所述端口成分指标通过下列公式计算得到：

其中，将2¹⁶个端口号分成m段，ON_t ^j(i)表示属于第j段端口内的包数指标；

所述的ICMP协议成分指数通过下列公式计算得到：

其中，ICI(net)表示ICMP协议成分指数，ICN_t(net)表示ICMP协议成分指标；

TCP协议成分指数通过下列公式计算得到：

其中，TCI(net)表示TCP协议成分指数，TCN_t(net)表示TCP协议成分指标；

UDP协议成分指数通过下列公式计算得到：

其中，UCI(net)表示UDP协议成分指数，UCN_t(net)表示UDP协议成分指标；

TCP_SYN成分指数通过下列公式计算得到：

其中，SCI(net)表示TCP_SYN成分指数，SCN_t(net)表示TCP_SYN成分指标；

TCP_RST成分指数通过下列公式计算得到：

其中，RCI(net)表示TCP_RST成分指数，RCN_t(net)表示TCP_RST成分指标。

其中，将2¹⁶个端口号分成m段，ON_t ^j(i)表示属于第j段端口内的包数指标

上述技术方案中，所述的用于表示网络数据在统计分布上的变化程度的指数根据流平均包长分布指标、源IP分布指标、源端口分布指标、目的IP分布指标、目的端口分布指标计算得到。

上述技术方案中，所述的用于表示网络数据在统计分布上的变化程度的指数为分布特征指数；所述分布特征指数的值由源IP分布指数、目的IP分布指数两者的较大值加上源端口分布指数、目的端口分布指数两者的较大值再加上流平均包长分布指数得到；其中，

所述的流平均包长分布指数通过下列公式计算得到：

其中，ALI(net)表示流平均包长分布指数，ALN_t(net)表示流平均包长分布指标，N_t(net)表示网络节点数指标，r表示报告期，b表示基期；

源IP分布指数通过下列公式计算得到：

其中，SII(net)表示源IP分布指数，SIN_t(net)表示源IP分布指标；目的IP分布指数通过下列公式计算得到：

其中，DII(net)表示目的IP分布指数，DIN_t(net)表示目的IP分布指标；源端口分布指数通过下列公式计算得到：

其中，SPI(net)表示源端口分布指数，SPN_t(net)表示源端口分布指标；目的端口分布指数通过下列公式计算得到：

其中，DPI(net)表示目的端口分布指数，DPN_t(net)表示目的端口分布指标。

上述技术方案中，所述的用于表示网络数据在行为模式上的变化程度的指数

上述技术方案中，所述的用于表示网络数据在行为模式上的变化程度的指数为模式特征指数；所述模式特征指数的值为同源IP同目的端口模式指数、同源IP同目的IP模式指数、不同源IP同目的IP模式指数的和；其中，

所述同源IP同目的端口模式指数通过下列公式计算得到：

其中，STPI(net)表示同源IP同目的端口模式指数，SIPN_t(net)表示同源IP同目的端口模式指标，N_t(net)表示网络节点数指标，r表示报告期，b表示基期；

所述同源IP同目的IP模式指数通过下列公式计算得到：

其中，SDPI(net)表示同源IP同目的IP模式指数，SDPN_t(net)表示同源IP同目的IP模式指标；

所述不同源IP同目的IP模式指数通过下列公式计算得到：

其中，DDPI(net)表示不同源IP同目的IP模式指数，DDPN_t(net)表示不同源IP同目的IP模式指标。

上述技术方案中，在所述的步骤3)中，所述指标还包括流量相似性指标、包速率相似性指标、包长相似性指标；在所述步骤4)中，用于表示网络数据相似性程度的指数为相似性特征指数，所述相似性特征指数的值通过对流量相似性指数、包速率相似性指数、包长相似性指数求最大值得到；

所述流量相似性指数通过下列公式计算得到：

其中，TSI(net)表示流量特征性指数，TSN_t(net)表示流量相似性指标，N_t(net)表示网络节点数指标，r表示报告期，b表示基期；

所述包速率相似性指数通过下列公式计算得到：

其中，PRSI(net)表示包速率相似性指数，PRSN_t(net)表示包速率相似性指标；

所述包长相似性指数通过下列公式计算得到：

其中，PLSI(net)表示包长相似性指数，PLSN_t(net)表示包长相似性指标。

上述技术方案中，在所述的步骤4)中，所述的基期内计算的相应指标通过步骤2)、步骤3)计算得到。

本发明还提供了一种网络异常性指数定量计算系统，包括数据采集点设置模块、数据采集模块、指标计算模块以及指数计算模块；其中，

所述的数据采集点设置模块用于在待监测网络中选择一定数量的路由器节点作为数据的采集点，并设置用于采集数据的基期和报告期；

所述的数据采集模块用于在各个数据采集点上做数据采集，得到包含有源IP地址、目的IP地址、源端口、目的端口、协议类型、流开始时间、流结束时间、包数、字节数、TCP标记在内的相关信息；

所述的指标计算模块用于统计和计算所述数据采集模块中所采集的数据，得到关于待监测网络中网络数据流量、协议成分、IP与端口分布以及行为模式的指标；

所述的指数计算模块用于将当前时刻计算得到的指标与基期内计算的相应指标相结合，计算用于表示待监测网络异常程度的网络异常性指数。

本发明的优点在于：本发明能够及时有效地反映典型网络安全事件对网络安全态势产生的影响，且通过指数的对比和计算能够评价和度量不同安全事件对网络的不同影响。

附图说明

图1为本发明的网络异常性指数定量计算方法的流程图；

图2为在一个实验中群体性访问下的网络异常性指数与正常情况下网络异常性指数的对比示意图；

图3为在一个实验中同步洪泛攻击下的网络异常性指数与正常情况下网络异常性指数的对比示意图；

图4为在一个实验中UDP分布式拒绝服务攻击下的网络异常性指数与正常情况下网络异常性指数的对比示意图；

图5为在一个实验中蠕虫传播下的网络异常性指数与正常情况下网络异常性指数的对比示意图；

图6为在一个实验中垂直扫描下下的网络异常性指数与正常情况下网络异常性指数的对比示意图。

具体实施方式

在对本发明做详细说明之前，下面首先对本发明中所涉及的相关概念加以说明。

定义1网络运行安全指标(Network Operation Security Indicator)，是指能够反映网络信息系统运行安全态势的网络数据特征的概念和数量，本申请中可简称为安全指标或指标。网络运行安全指标用于反映和度量网络信息系统在运行过程中的安全状态及其趋势。例如，流量指标主要从网络流量这一数据特征上反映网络安全态势，IP分布指标主要从IP地址分布规律这一数据特征上反映网络安全态势。

定义2网络运行安全指数(Network Operation Security Index)，是指能够反映网络信息系统运行安全态势的网络数据特征变化程度的相对数，本申请中可简称为安全指数或指数。网络运行安全指数用于反映和度量网络信息系统在运行过程中安全态势的变化量。以上述流量特征为例，流量指数主要从网络流量的变化程度上来反映网络安全态势的变化。

从安全指数与安全指标的概念可知，安全指数是安全指标在数量上的变化程度的一种相对数，可作为一种测度方法，对不同质的现象数据在量上的变化进行综合计算和度量，因此，安全指数可用于反映不能直接相加的复杂数据特征现象的综合变化程度。

定义3基期(Base Period)和报告期(Reporting Period)。一个安全指数通常可由其对应指标在一个基准时期的指标数量和当前考察时期的指标数量计算而得，其中，我们将所选定的基准时期称为基期，将当前考察时期称为报告期。一般地，可选取网络相对稳定和安全的时期作为基期。

定义4网络异常性指数(Network aBnormalism Index，NBI)，是指用于反映由安全威胁或攻击所引起的网络通信数据特征异常程度的一类指数，主要包括数量特征指数、成分特征指数、分布特征指数和模式特征指数，在某些情况下还可以包括相似性特征指数。例如网络流量指数、TCP(Transmission Control Protocol，传输控制协议)协议成分指数、源IP(Internet Protocol，互联网协议)分布指数、目的端口分布指数等。

定义5数量特征指数(Quantitative Characteristics Index，QCI)，是指用于反映网络数据在数量特征上的变化程度的一类指数，如流量指数等。

定义6成分特征指数(Composition Characteristics Index，CCI)，是指用于反映同度量因素下网络数据在比例特征上的变化程度的一类指数，如协议成分指数等。

定义7分布特征指数(Distribution Characteristics Index，DCI)，是指用于反映网络数据在统计分布特征上的变化程度的一类指数，如IP分布指数等。

定义8模式特征指数(Pattern Characteristics Index，PCI)，是指用于反映网络数据在行为模式特征上的变化程度的一类指数，如同源IP同目的IP模式指数等。

定义9相似性特征指数(siMilarity Characteristics Index，MCI)，是指用于反映同度量因素下网络数据在相似性特征上的变化程度的一类指数，如流量相似性指数等。

在对本发明中的概念做上述统一说明后，下面结合附图和具体实施方式对本发明加以说明。

如图1所示，在对诸如互联网的待监测网络的异常性指数进行计算的过程中，首先需要在待监测网络中选择一定数量的路由器节点作为数据的采集点，并初始化相应的参数(步骤101)。待监测网络中的所有网络节点形成的集合记为net，所有数据采集点形成的集合记为subnet。由于异常性指数的计算涉及到基期与报告期，因此还要设置基期与报告期的具体时间，例如，用b表示基期，用r表示报告期，基期b可设置为某一天的每个小时，报告期r为后续每一天的每个相对应的小时。此外，由于待监测网络中可能有多种类型的模式，因此还要设置模式指标参数p的大小，如p为20。考虑到对所监测网络的网络异常性指数的计算需要多次重复，因此还要在各个计算过程间设置间隔时间s，如s为60分钟。上述各个参数都会在下文中用到。

在待监测网络中设定数据采集点后，就可以开始对待监测网络做相关数据的采集。在采集时，为了减少数据的采集量，方便后续可用性指数的实时计算，在一个优选实施例中，数据采集的实现并没有采用基于原始报文的数据采集方法，而是采用基于流的数据采集方法(基于流的数据采集方法也被称为流技术)。当前具有代表性的流技术主要包括：InMon、HP和Foundry Networks等公司的sFlow，Cisco公司的NetFlow，Juniper公司的J-Flow，华为公司的NetStream等。本申请可采用上述现有技术中的任何一种。但无论是上述何种流技术，其处理过程都大致相同，包括：首先对流经路由器等网络设备的网络数据按预定策略进行采样；然后对采样获取到的IP数据报文按各自不同的流记录对象进行相应的数据统计，并形成各自不同格式的流记录；最后，路由器等网络设备将生成的流记录发送给相关流处理设备进行后续的记录和分析。

在数据采集过程中，利用基于流的数据采集技术在选定的采集点集合subnet中的每个路由器节点上获取流数据，并进行流协议还原，从而得到包括源/目的IP地址、源/目的端口、协议类型、流开始/结束时间、包数、字节数、TCP标记在内的流数据的相关信息(也被称为流记录)(步骤102)。与基于原始报文的数据采集方法需要处理采集点上通过的所有数据相比，基于流的数据采集方法只需要对采集点上通过的数据做采样即可，明显减小了数据采集量，有利于异常性指数的实时计算。需要说明的是，无论是基期还是报告期，数据相关信息的采集过程相同。虽然在上述优选实施例中，采用了基于流的数据采集方法，但本领域技术人员也可以采用基于原始报文的数据采集方法，无论何种数据采集方法都不影响后续的数据处理。但正如上文所述，基于原始报文的数据采集方法在数据采集的实时性上有所不足。

在经过一段时间的数据采集后，如数据采集时间达到了s，则对前段时间中所采集数据进行指标统计和计算(步骤103)。考虑到网络异常性指数计算的需要，所要统计和计算的指标包括网络流量、包速率、TCP协议成分、UDP(User Datagram Protocol，用户数据包协议)协议成分、ICMP(Internet Control Message Protocol，互联网控制报文协议)协议成分、TCP_SYN成分、TCP_RST成分、流平均包长分布、源IP分布、源端口分布、目的IP分布、目的端口分布、同源IP同目的端口模式、同源IP同目的IP模式、不同源IP同目的IP模式、网络节点数等。下面依次对上述指标的计算公式予以说明。

所述网络流量指标(Network Traffic Indicator，T)的计算方法如下面的公式(1)所示：

其中，net表示网络对象，即由路由器组成的网络节点集合，subnet为网络对象net的子集，表示在指数计算中所选取的网络节点(即流数据采集点)的集合，i表示所选取的网络节点；T_t(i)表示t时期节点i的网络流量指标，单位为bps(bits per second)；t＝r∨b，r表示报告期，b表示基期，∨表示或。根据前文所述s时间内各个路由器节点的流记录字节数累加和的统计结果易计算T_t(i)。

所述网络包速率指标(Network Packet Rate Indicator，P)的计算方法如公式(2)所示：

其中，P_t(i)表示t时期节点i的网络包速率指标，单位为pps(packets persecond)；根据前文所述s时间内各个路由器节点的流记录包数累加和的统计结果易计算P_t(i)。

所述TCP协议成分指标(TCP Composition Indicator，TCN)的计算方法如公式(3)所示：

其中，TC_t(i)表示t时期节点i的TCP包数指标，AP_t(i)表示t时期节点i的总包数指标。

所述UDP协议成分指标(UDP Composition Indicator，UCN)的计算方法如公式(4)所示：

其中，UD_t(i)表示t时期节点i的UDP包数指标。

所述ICMP协议成分指标(ICMP Composition Indicator，ICN)的计算方法如公式(5)所示：

其中，IM_t(i)表示t时期节点i的ICMP包数指标。

所述TCP_SYN成分指标(TCP_SYN Composition Indicator，SCN)的计算方法如公式(6)所示：

其中，TS_t(i)表示t时期节点i的TCP_SYN(标记位只为SYN的TCP包)包数指标。

所述TCP_RST成分指标(TCP_RST Composition Indicator，RCN)的计算方法如公式(7)所示：

其中，TR_t(i)表示t时期节点i的TCP_RST(标记位只为RST的TCP包)包数指标。

所述流平均包长分布指标(Flow Average Packet Length DistributionIndicator，ALN)的计算方法如公式(8)所示：

其中，AL_jt(i)(j＝1～n)表示在t时期节点i的具有相同平均包长的流数指标，n为不同平均包长的个数。本申请采用已公开的信息熵的方法来计算所述分布指标。

所述源IP分布指标(Source IP Distribution Indicator，SIN)的计算方法如公式(9)所示：

其中，SI_jt(i)表示在t时期节点i的具有相同源IP地址的流数指标。

所述目的IP分布指标(Destination IP Distribution Indicator，DIN)的计算方法如公式(10)所示：

其中，DI_jt(i)表示在t时期节点i的具有相同目的IP地址的流数指标。

所述源端口分布指标(Source Port Distribution Indicator，SPN)的计算方法如公式(11)所示：

其中，SP_jt(i)表示在t时期节点i的具有相同源端口的流数指标。

所述目的端口分布指标(Destination Port Distribution Indicator，DPN)的计算方法如公式(12)所示：

其中，DP_jt(i)表示在t时期节点i的具有相同目的端口的流数指标。

所述同源IP同目的端口模式指标(SIP-DPORT Pattern Indicator，STPN)的计算方法如公式(13)所示：

其中，具有相同源IP地址和相同目的端口的流属于同一个模式，STP_jt(i)表示在t时期节点i流数为第j多的模式的流数指标。该模式一般用于度量水平扫描行为。

所述同源IP同目的IP模式指标(SIP-DIP Pattern Indicator，SDPN)的计算方法如公式(14)所示：

其中，具有相同源IP地址和相同目的IP地址的流属于同一个模式，SDP_jt(i)表示在t时期节点i流数为第j多的模式的流数指标。该模式一般用于度量垂直扫描行为。

所述不同源IP同目的IP模式指标(DSIP-DIP Pattern Indicator，DDPN)的计算方法如公式(15)所示：

其中，具有不同源IP地址和相同目的IP地址的流属于同一个模式，DDP_jt(i)表示在t时期节点i流数为第j多的模式的流数指标。该模式一般用于度量分布式拒绝服务攻击行为。

所述网络节点数指标计算方法如公式(16)所示：

判断当前计算的指标所在的数据采集时间段属于基期还是报告期，如果是基期，则将计算所得到的各个指标保存在指标指数库中，如果是报告期，则要利用上述指标计算网络异常性指数，并将计算得到的网络异常性指数保存到指标指数库中(步骤104)。

在前文中已经提到，网络异常性指数是指用于反映由安全威胁或攻击所引起的网络通信数据特征异常程度的一类指数，它是对所监测网络的安全性的总体评价，因此，网络异常性指数不是所监测网络中某一方面数据特征的异常程度的反映，而是多项数据特征的异常程度的全面反映。在本实施例中，网络异常性指数包括数量特征指数、成分特征指数、分布特征指数以及模式特征指数。关于数量特征指数、成分特征指数、分布特征指数、模式特征指数的概念在前文中已经有详细说明，下面就如何计算这些指数予以说明。

所述网络异常性指数的计算方法如公式(17)所示：

NBI(net)＝QCI(net)+CCI(net)+DCI(net)+PCI(net)           (17)

其中，QCI(net)为数量特征指数，CCI(net)为成分特征指数，DCI(net)为分布特征指数，PCI(net)为模式特征指数。

所述数量特征指数的计算公式如公式(18)所示：

QCI(net)＝max{TI(net)，PI(net)}        (18)

其中，TI(net)为流量指数(Traffic Index，TI)，PI(net)为包速率指数(Packet Rate Index，PI)，其计算公式分别如下面的公式(19)和(20)所示，max表示取最大值函数。由于流量指数与包速率指数存在一定程度的关联性，因此，我们用这两个指数的较大值来计算数量特征指数。

在上述公式(19)中，网络流量指标T_t(net)指标包括两个值，一个是在基期内的网络流量指标，一个是在报告期内的网络流量指标。在前文中已经提到，基期内的网络流量指标的具体取值已经保存在指标指数库内，因此可以直接使用。而报告期为当前时刻，因此可以利用前面的公式(1)计算报告期内的网络流量指标。公式(19)中的网络节点数指标N_t(net)的值的获取同样如此。在公式(20)和下面的公式中相关指标的获取同样如此，因此不在下文中重复说明。

所述成分特征指数的计算公式如公式(21)所示：

CCI(net)＝max{ICI(net)，TCI(net)，UCI(net)}+max{SCI(net)，RCI(net)}      (21)

其中，ICI(net)为ICMP协议成分指数(ICMP Composition Index，ICI)，TCI(net)为TCP协议成分指数(TCP Composition Index，TCI)，UCI(net)为UDP协议成分指数(UDP Composition Index，UCI)，SCI(net)为TCP_SYN成分指数(TCP_SYN Composition Index，SCI)，RCI(net)为TCP_RST成分指数(TCP_RST Composition Index，RCI)，其计算公式分别如公式(22)～(26)所示。在相同报文数的前提下，由于TCP、UDP、ICMP协议之间，以及TCP_SYN报文与TCP_RST报文之间都存在一定程度的关联性，因此分别采用取大值的方法进行指数的综合计算。

所述分布特征指数的计算公式如公式(27)所示：

DCI(net)＝ALI(net)+max{SII(net)，DII(net)}+max{SPI(net)，DPI(net)}      (27)

其中，ALI(net)表示流平均包长分布指数(Flow Average Packet LengthDistribution Index，ALI)，SII(net)表示源IP分布指数(Source IP DistributionIndex，SII)，DII(net)表示目的IP分布指数(Destination IP Distribution Index，DII)，SPI(net)表示源端口分布指数(Source Port Distribution Index，SPI)，DPI(net)表示目的端口分布指数(Destination Port Distribution Index，DPI)，这些指数的计算公式分别如下面的公式(28)～公式(32)所示。

所述模式特征指数的计算公式如公式(33)所示：

PCI(net)＝STPI(net)+SDPI(net)+DDPI(net)                (33)

其中，STPI(net)为同源IP同目的端口模式指数(SIP-DPORT PatternIndex，STPI)，SDPI(net)为同源IP同目的IP模式指数(SIP-DIP Pattern Index，SDPI)，DDPI(net)为不同源IP同目的IP模式指数(DSIP-DIP Pattern Index，DDPI)，其计算公式分别如公式(34)～公式(36)所示。

通过对上述网络异常性指数的计算可以发现：

1、如果选取网络正常行为的一个具有代表性的时期作为基期，那么网络异常性指数的大小就可以反映出网络异常性的变化程度，即能够刻画出网络在异常性上的安全态势；

2、如果以基期的网络行为作为统一的评价标准，网络异常性指数就能够度量和评价不同安全事件对网络异常性的安全影响；

3、网络异常性指数能够从宏观上反映网络的异常性随时间的演化和发展趋势。

在上面的实施例中，网络异常性指数包括数量特征指数、成分特征指数、分布特征指数以及模式特征指数，这些指数可被称为层指数，层指数由下一级基指数计算得到，如数量特征指数由流量指数TI(net)和包速率指数PI(net)计算得到，而基指数又是由各个指标计算得到的。也就是说，网络异常性指数是由多层指数体系逐层计算得到的，该体系按照从低到高的顺序包括指标、基指数、层指数、网络异常性指数。在其他实施例中，该体系中的层指数或基指数的数量可以扩展或减小，例如，在本实施例中还可以增加相似性特征层指数，相似性特征层指数可由流量相似性基指数、包速率相似性基指数和包长相似性基指数计算生成。将相似性特征层指数与前面所提到的数量特征层指数、成分特征层指数、分布特征层指数以及模式特征层指数相结合，生成所述的网络异常性指数。又如，在本实施例中还可以为成分特征层指数增加端口成分基指数，再如，网络异常性指数可用直推式层指数和归纳式层指数计算等。但无论层指数或基指数的数量如何变化，在对指数做逐层计算时，应当遵循如下原则：具有相关性的层指数或基指数应取最大值，然后将所有不相关的层指数或基指数进行累加从而计算出上一级指数。

上文中所提到的相似性特征指数的计算公式如公式(37)所示：

MCI(net)＝max{TSI(net)，PRSI(net)，PLSI(net)}      (37)

其中，TSI(net)为流量相似性指数(Traffic Similarity Index，TSI)，PRSI(net)为包速率相似性指数(Packet Rate Similarity Index，PRSI)，PLSI(net)为包长相似性指数(Packet Length Similarity Index，PLSI)，其计算公式分别如公式(38)～(40)

其中，TSN_t(net)，PRSN_t(net)，PLSN_t(net)(t＝r∨b)分别表示在t时期，网络对象net的流量相似性指标、包速率相似性指标、包长相似性指标，其具体计算方法可采用已公开的技术。

上文中所提到的端口成分指数(pOrt Composition Index，OCI)的计算公式如公式(41)所示：

其中，OCN_t(net)(t＝r∨b)表示在t时期，网络对象net的端口成分指标，其计算公式如公式(42)所示：

其中，将2¹⁶个端口号分成m段，ON_t ^j(i)表示属于第j段端口内的包数指标，例如当m＝3时，0～1024为第1段，1025～9999为第2段，10000～65535为第3段。

成分特征指数在增加了上述的端口成分指数以后，在计算成分特征指数时，只要在原有计算方法的基础上再加上端口成分指数的值就能够得到包含有端口成分指数的成分特征指数的值。在得到成分特征指数后，按照前述实施例的相关描述，可以进一步得到网络异常性指数。

根据上述的网络异常性指数定量计算方法，本发明还包括了一种网络异常性指数定量计算系统，该系统包括数据采集点设置模块、数据采集模块、指标计算模块以及指数计算模块；其中，

所述的数据采集点设置模块用于在待监测网络中选择一定数量的路由器节点作为数据的采集点，并设置用于采集数据的基期和报告期；

所述的数据采集模块用于在各个数据采集点上做数据采集，得到包含有源IP地址、目的IP地址、源端口、目的端口、协议类型、流开始时间、流结束时间、包数、字节数、TCP标记在内的相关信息；

所述的指标计算模块用于统计和计算所述数据采集模块中所采集的数据，得到关于待监测网络中网络数据流量、协议成分、IP与端口分布以及行为模式的指标；

所述的指数计算模块用于将当前时刻计算得到的指标与基期内计算的相应指标相结合，计算用于表示待监测网络异常程度的网络异常性指数。

为了进一步验证异常性指数定量计算方法的有效性和优势，我们分别针对正常行为、突发群体性(Crowd)访问、UDP洪泛分布式拒绝服务攻击(DDoS，Distributed Denial of Service)、同步洪泛分布式拒绝服务攻击(SYNFlood DDoS)攻击、蠕虫传播、垂直扫描等6种典型情景设计了6个应用真实流数据的实验。

实验环境如下：采用曙光服务器，4个CPU(Dual-Core AMD Opteron，2211MHz，64bit)，2GB内存，CentOS Linux 5.264位操作系统。

实验数据：不失一般性，本实验采用NetFlow流数据，选取某运营商安徽省3个出口路由器节点上2009-5-15至2009-5-21一周的NetFlow流数据。

参数设置：令2009-5-15的每一小时为基期b，2009-5-17的相应时间段为报告期r。为使实验更具说服力，三个实验均选取b为基期，实验2～6以2009-5-17的网络流数据为背景流量。此外，N_t(net)＝3(t＝r∨b)，s＝60，p＝20。

实验1正常行为情况下网络异常性指数的计算

实验结果如图2所示，正常情况下网络异常性指数曲线呈直线状态，在10.0左右，说明正常情况下网络呈现高度自相似性。

实验2Crowd访问情况下网络异常性指数的计算

为了与实验1进行对比，我们以17日(报告期)的流数据为背景流量，在此流量中融入构造的Crowd访问流量。其中Crowd访问流量的构造方法符合其基本原理，具体方法如下：在插入时段内每5条流添加10条访问流，其中访问流的源IP地址为该环境下出现过的真实IP地址，目的IP地址为此期间出现过的若干真实目的IP地址，包数为1，字节数为120，其它信息与背景流数据一致。不失一般性，我们选取了17日的7时、9时、11时三个小时段作为插入段，分别针对2个、1个和3个目的IP。

实验结果如图2所示，通过与正常行为情况下的曲线对比可以看出：Crowd访问发生时段网络异常性指数较网络正常行为情况增加3倍左右，约40.0。

实验3UDP Flood DDoS攻击情况下网络异常性指数的计算

同理，为与其它实验进行对比，我们仍以17日(报告期)的流数据为背景流量，在此流量中融入构造的随机伪造源地址的UDP DDoS攻击流量，并将融合后的流数据作为报告期的流数据。需要指明的是，上述攻击的构造方法符合安全实践中获知的典型DDoS攻击原理，具体方法如下：在插入时段内每遇到1条UDP流则添加1条攻击流，其中攻击流的源IP地址随机产生，目的IP地址为此期间出现过的若干真实目的IP地址，字节数为1500与该UDP流的包数的乘积，其它信息与背景流数据一致。不失一般性，我们选取了17日的7时、9时、11时三个小时段作为插入时段，分别针对2个、1个和3个目的IP。

实验结果如图3所示，通过与其它曲线对比可以看出：UDP DDoS攻击发生时段网络异常性指数较网络正常行为情况增加2倍左右，约30.0。

实验4SYN Flood DDoS攻击情况下网络异常性指数的计算

同理，为与其它实验进行对比，我们仍以17日(报告期)的流数据为背景流量，在此流量中融入构造的随机伪造源地址的SYN Flood DDoS攻击流量，并将融合后的流数据作为报告期的流数据。需要指明的是，上述攻击的构造方法符合安全实践中获知的典型SYN Flood攻击原理，具体方法如下：在插入时段内每遇到1条TCP流则添加5条攻击流，其中攻击流的源IP地址随机产生，目的IP地址为此期间出现过的若干真实目的IP地址，包数为1，字节数为100，标志位为SYN，其它信息与背景流数据一致。不失一般性，我们选取了17日的7时、9时、11时三个小时段作为插入时段，分别针对2个、1个和3个目的IP。

实验结果如图4所示，通过与其它曲线对比可以看出：SYN Flood攻击发生时段网络异常性指数较网络正常行为情况增加6倍以上，在70.0以上。

实验5蠕虫传播情况下网络异常性指数的计算

同理，为与其它实验进行对比，我们仍以17日(报告期)的流数据为背景流量，在此流量中融入构造的蠕虫传播流量，并将融合后的流数据作为报告期的流数据。需要指明的是，上述攻击的构造方法符合安全实践中获知的典型蠕虫传播原理，具体方法如下：在插入时段内每遇到1条TCP流则添加1条扫描流，其中扫描流的源IP地址为此期间出现过的若干真实源IP地址，目的IP地址随机产生，包数为1，字节数为100，标志位为SYN，目的端口为80，其它信息与背景流数据一致。不失一般性，我们选取了17日的7时2个源IP、9时1个源IP、11时3个源IP进行蠕虫传播。

实验结果如图5所示，通过与其它曲线对比可以看出：蠕虫传播发生时段网络异常性指数较网络正常行为情况增加9倍左右，约100.0。

实验6垂直扫描情况下网络异常性指数的计算

同理，为与其它实验进行对比，我们仍以17日(报告期)的流数据为背景流量，在此流量中融入构造的垂直扫描流量，并将融合后的流数据作为报告期的流数据。需要指明的是，上述攻击的构造方法符合安全实践中获知的典型垂直扫描原理，具体方法如下：在插入时段内每遇到1条TCP流则添加以该流的目的地址为被扫描目的地址，目的端口为常用185个端口的185条扫描流，其中扫描流的源IP地址为此期间出现过的若干真实源IP地址，包数为1，字节数为100，标志位为SYN，源端口是2000到65535之间随机产生，其它信息与背景流数据一致。不失一般性，我们选取了17日的7时2个源IP、9时1个源IP、11时3个源IP进行垂直扫描。

实验结果如图6所示，通过与其它曲线对比可以看出：垂直扫描发生时段网络异常性指数较网络正常行为情况增加4倍以上，在50.0以上。

综上所述，本发明提出的网络可用性指数的定义及其定量计算方法能够及时有效地反映典型网络安全事件对网络安全态势产生的影响，且通过指数的对比和计算能够评价和度量不同安全事件对网络的不同影响。

最后所应说明的是，以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，对本发明的技术方案进行修改或者等同替换，都不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。

Claims (16)

1.一种网络异常性指数定量计算方法，包括：

步骤1)、在待监测网络中选择一定数量的路由器节点作为数据的采集点，并设置用于采集数据的基期和报告期；

步骤2)、在各个数据采集点上做数据采集，得到包含有源IP地址、目的IP地址、源端口、目的端口、协议类型、流开始时间、流结束时间、包数、字节数、TCP标记在内的相关信息；

步骤3)、统计和计算步骤2)中所采集的数据，得到关于待监测网络中网络数据流量、协议成分、IP与端口分布以及行为模式的指标；

步骤4)、将当前时刻计算得到的指标与基期内计算的相应指标相结合，计算用于表示待监测网络异常程度的网络异常性指数，包括：

根据当前时刻计算得到的指标与基期内计算得到的相应指标的比值，计算用于表示网络数据流量、协议成分、IP与端口分布以及行为模式的基指数；

根据该基指数计算用于表示网络数据在数量上的变化程度、在比例上的变化程度、在统计分布上的变化程度以及在行为模式上的变化程度的层指数；以及

根据所述层指数计算所述网络异常性指数，

其中，在对所述基指数与层指数做逐层计算时，对具有相关性的层指数或基指数取最大值，然后将所有不相关的层指数或基指数进行累加从而计算出上一级指数。

2.根据权利要求1所述的网络异常性指数定量计算方法，其特征在于，在所述的步骤3)中，还要计算待监测网络中与网络数据相似性程度有关的指标；在所述的步骤4)中，所述的计算用于表示待监测网络异常程度的网络异常性指数还包括：

计算待监测网络中用于表示网络数据相似性程度的指数，利用该指数以及所述用于表示网络数据在数量上的变化程度、在比例上的变化程度、在统计分布上的变化程度以及在行为模式上的变化程度的指数来计算用于表示待监测网络异常程度的网络异常性指数。

3.根据权利要求2所述的网络异常性指数定量计算方法，其特征在于，步骤4)还包括：

根据当前时刻计算得到的以及基期内计算的与网络数据相似性程度有关的指标的比值，计算关于网络数据相似性的基指数；

根据关于网络数据相似性的基指数计算用于表示网络数据相似程度的层指数；以及

根据用于表示网络数据相似程度的层指数和用于表示网络数据在数量上的变化程度、在比例上的变化程度、在统计分布上的变化程度以及在行为模式上的变化程度的层指数计算所述网络异常性指数。

4.根据权利要求1或2所述的网络异常性指数定量计算方法，其特征在于，在所述的步骤3)中，所述指标包括网络流量指标、包速率指标、TCP协议成分指标、UDP协议成分指标、ICMP协议成分指标、TCP_SYN成分指标、TCP_RST成分指标、流平均包长分布指标、源IP分布指标、源端口分布指标、目的IP分布指标、目的端口分布指标、同源IP同目的端口模式指标、同源IP同目的IP模式指标、不同源IP同目的IP模式指标、网络节点数指标。

5.根据权利要求4所述的网络异常性指数定量计算方法，其特征在于，在所述的步骤4)中，所述的用于表示网络数据在数量上的变化程度的指数根据所述网络流量指标和包速率指标计算生成。

6.根据权利要求5所述的网络异常性指数定量计算方法，其特征在于，所述的用于表示网络数据在数量上的变化程度的指数为数量特征指数，所述的数量特征指数的值通过对流量指数与包速率指数取较大值得到；其中，

所述的流量指数通过下列公式计算得到：

其中，TI(net)表示流量指数，T_t(net)表示网络流量指标，N_t(net)表示网络节点数指标，r表示报告期，b表示基期；

所述的包速率指数通过下列公式计算得到：

其中，PI(net)表示包速率指数，P_t(net)表示网络包速率指标。

7.根据权利要求4所述的网络异常性指数定量计算方法，其特征在于，所述的用于表示网络数据在比例上的变化程度的指数根据TCP协议成分指标、UDP协议成分指标、ICMP协议成分指标、TCP_SYN成分指标、TCP_RST成分指标计算得到。

8.根据权利要求7所述的网络异常性指数定量计算方法，其特征在于，所述的用于表示网络数据在比例上的变化程度的指数为成分特征指数；所述成分特征指数的值为ICMP协议成分指数、TCP协议成分指数、UDP协议成分指数三者中的较大值与TCP_SYN成分指数、TCP_RST成分指数两者中的较大值的和；其中，

所述的ICMP协议成分指数通过下列公式计算得到：

其中，ICI(net)表示ICMP协议成分指数，ICN_t(net)表示ICMP协议成分指标，N_t(net)表示网络节点数指标，r表示报告期，b表示基期；

TCP协议成分指数通过下列公式计算得到：

其中，TCI(net)表示TCP协议成分指数，TCN_t(net)表示TCP协议成分指标；

UDP协议成分指数通过下列公式计算得到：

其中，UCI(net)表示UDP协议成分指数，UCN_t(net)表示UDP协议成分指标；

TCP_SYN成分指数通过下列公式计算得到：

其中，SCI(net)表示TCP_SYN成分指数，SCN_t(net)表示TCP_SYN成分指标；

TCP_RST成分指数通过下列公式计算得到：

其中，RCI(net)表示TCP_RST成分指数，RCN_t(net)表示TCP_RST成分指标。

9.根据权利要求4所述的网络异常性指数定量计算方法，其特征在于，在所述的步骤3)中，所述指标还包括端口成分指标；

所述的用于表示网络数据在比例上的变化程度的指数为成分特征指数；所述成分特征指数的值为ICMP协议成分指数、TCP协议成分指数、UDP协议成分指数三者中的较大值与TCP_SYN成分指数、TCP_RST成分指数两者中的较大值，以及端口成分指数的和；其中，

所述端口成分指数OCI通过下列公式计算得到：

其中，OCN_t(net)(t＝r∨b)表示端口成分指标，N_t(net)表示网络节点数指标，r表示报告期，b表示基期；

所述端口成分指标通过下列公式计算得到：

其中，将216个端口号分成m段，表示属于第j段端口内的包数指标；

所述的ICMP协议成分指数通过下列公式计算得到：

其中，ICI(net)表示ICMP协议成分指数，ICN_t(net)表示ICMP协议成分指标；

TCP协议成分指数通过下列公式计算得到：

其中，TCI(net)表示TCP协议成分指数，TCN_t(net)表示TCP协议成分指标；

UDP协议成分指数通过下列公式计算得到：

其中，UCI(net)表示UDP协议成分指数，UCN_t(net)表示UDP协议成分指标；

TCP_SYN成分指数通过下列公式计算得到：

其中，SCI(net)表示TCP_SYN成分指数，SCN_t(net)表示TCP_SYN成分指标；

TCP_RST成分指数通过下列公式计算得到：

其中，RCI(net)表示TCP_RST成分指数，RCN_t(net)表示TCP_RST成分指标。

10.根据权利要求4所述的网络异常性指数定量计算方法，其特征在于，所述的用于表示网络数据在统计分布上的变化程度的指数根据流平均包长分布指标、源IP分布指标、源端口分布指标、目的IP分布指标、目的端口分布指标计算得到。

11.根据权利要求10所述的网络异常性指数定量计算方法，其特征在于，所述的用于表示网络数据在统计分布上的变化程度的指数为分布特征指数；所述分布特征指数的值由源IP分布指数、目的IP分布指数两者的较大值加上源端口分布指数、目的端口分布指数两者的较大值再加上流平均包长分布指数得到；其中，

所述的流平均包长分布指数通过下列公式计算得到：

其中，ALI(net)表示流平均包长分布指数，ALN_t(net)表示流平均包长分布指标，N_t(net)表示网络节点数指标，r表示报告期，b表示基期；

源IP分布指数通过下列公式计算得到：

其中，SII(net)表示源IP分布指数，SIN_t(net)表示源IP分布指标；

目的IP分布指数通过下列公式计算得到：

其中，DII(net)表示目的IP分布指数，DIN_t(net)表示目的IP分布指标；

源端口分布指数通过下列公式计算得到：

其中，SPI(net)表示源端口分布指数，SPN_t(net)表示源端口分布指标；目的端口分布指数通过下列公式计算得到：

其中，DPI(net)表示目的端口分布指数，DPN_t(net)表示目的端口分布指标。

12.根据权利要求4所述的网络异常性指数定量计算方法，其特征在于，所述的用于表示网络数据在行为模式上的变化程度的指数根据同源IP同目的端口模式指标、同源IP同目的IP模式指标、不同源IP同目的IP模式指标计算得到。

13.根据权利要求12所述的网络异常性指数定量计算方法，其特征在于，所述的用于表示网络数据在行为模式上的变化程度的指数为模式特征指数；所述模式特征指数的值为同源IP同目的端口模式指数、同源IP同目的IP模式指数、不同源IP同目的IP模式指数的和；其中，

所述同源IP同目的端口模式指数通过下列公式计算得到：

其中，STPI(net)表示同源IP同目的端口模式指数，STPN_t(net)表示同源IP同目的端口模式指标，N_t(net)表示网络节点数指标，r表示报告期，b表示基期；

所述同源IP同目的IP模式指数通过下列公式计算得到：

其中，SDPI(net)表示同源IP同目的IP模式指数，SDPN_t(net)表示同源IP同目的IP模式指标；

所述不同源IP同目的IP模式指数通过下列公式计算得到：

其中，DDPI(net)表示不同源IP同目的IP模式指数，DDPN_t(net)表示不同源IP同目的IP模式指标。

14.根据权利要求4所述的网络异常性指数定量计算方法，其特征在于，在所述的步骤3)中，所述指标还包括流量相似性指标、包速率相似性指标、包长相似性指标；在所述步骤4)中，用于表示网络数据相似性程度的指数为相似性特征指数，所述相似性特征指数的值通过对流量相似性指数、包速率相似性指数、包长相似性指数求最大值得到；

所述流量相似性指数通过下列公式计算得到：

其中，TSI(net)表示流量特征性指数，TSN_t(net)表示流量相似性指标，N_t(net)表示网络节点数指标，r表示报告期，b表示基期；

所述包速率相似性指数通过下列公式计算得到：

其中，PRSI(net)表示包速率相似性指数，PRSN_t(net)表示包速率相似性指标；

所述包长相似性指数通过下列公式计算得到：

其中，PLSI(net)表示包长相似性指数，PLSN_t(net)表示包长相似性指标。

15.根据权利要求1所述的网络异常性指数定量计算方法，其特征在于，在所述的步骤4)中，所述的基期内计算的相应指标通过步骤2)、步骤3)计算得到。

16.一种网络异常性指数定量计算系统，其特征在于，包括数据采集点设置模块、数据采集模块、指标计算模块以及指数计算模块；其中，

所述的数据采集点设置模块用于在待监测网络中选择一定数量的路由器节点作为数据的采集点，并设置用于采集数据的基期和报告期；

所述的数据采集模块用于在各个数据采集点上做数据采集，得到包含有源IP地址、目的IP地址、源端口、目的端口、协议类型、流开始时间、流结束时间、包数、字节数、TCP标记在内的相关信息；

所述的指标计算模块用于统计和计算所述数据采集模块中所采集的数据，得到关于待监测网络中网络数据流量、协议成分、IP与端口分布以及行为模式的指标；

所述的指数计算模块用于将当前时刻计算得到的指标与基期内计算的相应指标相结合，计算用于表示待监测网络异常程度的网络异常性指数，包括：

根据当前时刻计算得到的指标与基期内的计算的相应指标的比值，计算用于表示网络数据流量、协议成分、IP与端口分布以及行为模式的基指数的模块；

根据该基指数计算用于表示网络数据在数量上的变化程度、在比例上的变化程度、在统计分布上的变化程度以及在行为模式上的变化程度的层指数的模块；以及

根据所述层指数计算所述网络异常性指数的模块，

其中，在对所述基指数与层指数做逐层计算时，对具有相关性的层指数或基指数取最大值，然后将所有不相关的层指数或基指数进行累加从而计算出上一级指数。

Images