CN104539488A

CN104539488A - 基于可调节分段Tsallis熵的网络流量异常检测方法

Info

Publication number: CN104539488A
Application number: CN201510031006.XA
Authority: CN
Inventors: 王之梁; 田庚; 尹霞; 施新刚; 李子木
Original assignee: Tsinghua University
Current assignee: Tsinghua University
Priority date: 2015-01-21
Filing date: 2015-01-21
Publication date: 2015-04-22
Anticipated expiration: 2035-01-21
Also published as: CN104539488B

Abstract

本发明公开一种基于可调节分段Tsallis熵的网络流量异常检测方法，主要提供一种可适应大规模网络的异常检测需求的基于可调节分段熵的网络流量异常检测方法。本发明所述的检测方法包括如下具体步骤：选取原样本空间；基于可调节分段熵的实现方法，得到高概率样本空间的高概率熵值和低概率样本空间低概率熵值；分别判断高概率熵值和低概率熵值的是否异常，若高概率熵值小于高概率熵阈值，则高概率熵值异常，否则，高概率熵值正常；若低概率熵值大于低概率熵阈值，则低概率熵值异常，否则，低概率熵值正常；确定异常熵值对应的样本空间即为网络流量异常样本空间，即判定此时发生了网络流量异常。

Description

基于可调节分段Tsallis熵的网络流量异常检测方法

技术领域

本发明涉及一种基于可调节分段Tsallis熵的网络流量异常检测方法。

背景技术

基于Tsallis熵进行网络流量异常检测是一种简单有效的方法，但是由于Tsallis熵本身特性的影响，使其在网络流量异常检测中存在三大问题：一是不能克服样本空间数量剧烈波动对熵值的影响，导致检测不准确；二是需要计算全部样本才能得到熵值，导致对大样本空间的检测不敏感；三是混合异常在熵值存在抵消问题，导致对有些混合攻击不能够检测出来。因此，基于Tsallis熵的网络流量异常检测很难应用于终端数目巨大、流量波动明显的网络。而且目前随着网络规模、数据量的不断增大，单机的流量异常检测系统也遇到了网络流量的处理能力的挑战，尤其是对大量历史流量数据的分析上存在困难。

发明内容

针对上述问题，本发明提供一种克服了传统熵用于网络流量异常检测存在的问题，适应大规模网络的异常检测需求的基于可调节分段Tsallis熵的网络流量异常检测方法。

为达到上述目的，本发明基于可调节分段Tsallis熵的网络流量异常检测方法，所述方法包括：

获取流量数据，将所述流量数据划分为均匀的时间片，在所述的时间片内选取至少一个元素集合为参考样本空间；

各参考样本空间基于可调节分段Tsallis熵的方法，得到参考样本空间对应的高概率熵值和低概率熵值；

判断所述的时间片是否异常，

若所述的时间片内各参考样本空间对应的高概率熵值和低概率熵值均正常，则该时间片为网络正常时间片；

若所述的时间片内至少一个参考样本空间对应的高概率熵值和/或低概率熵值为异常，则该时间片为网络异常时间片；

其中，所述的可调节分段Tsallis熵的方法具体为：

对一个所述参考样本空间内的元素按照概率阈值分为高概率集合和低概率集合，所述高概率集合和虚拟不重复元素集合组成高概率样本空间，所述低概率集合组成低概率样本空间；

对所述的高概率样本空间用Tsallis熵计算得到高概率熵值，对所述的低概率样本空间用Tsallis熵计算得到低概率熵值。

进一步地，所述的用Tsallis熵计算得到高概率熵值和低概率熵值的具体公式如下：

S_{- H} = \frac{k}{q - 1} \cdot (1 - Σ_{i = 1}^{N_{D} + N} {p_{b_{i}}}^{q}) = \frac{k}{q - 1} \cdot (1 - Σ_{i = 1}^{N_{D}} {(\frac{n_{i}^{D}}{Σ_{i = 1}^{N_{D}} n_{i}^{D} + N})}^{q} - \frac{N}{{(Σ_{i = 1}^{N_{D}} n_{i}^{D} + N)}^{q}})

S_{- L} = \frac{k}{q - 1} \cdot (1 - Σ_{i = 1}^{N_{C}} {p_{c_{i}}}^{q}) = \frac{k}{q - 1} \cdot (1 - Σ_{i = 1}^{N_{C}} {(\frac{n_{i}^{C}}{Σ_{i = 1}^{N_{C}} n_{i}^{C}})}^{q});

其中，S_-H为高概率熵值，S_-L为低概率熵值；

参考样本空间A中有N_A个互不相同元素，A＝{a₁,a₂,...,a_i,...,a_NA}，任意元素a_i∈A且表示A中的第i个互不相同的元素，表示元素在参考样本空间A中出现的次数；

虚拟的不重复元素集合E中有N个互不相同元素且E＝{e₁,e₂,...,e_i,...,e_N}，任意元素e_i∈E且表示E中的第i个互不相同的元素，1表示元素在虚拟的不重复元素集合E中出现的次数；

低概率样本空间C中有N_C个互不相同元素，C＝{c₁,c₂,...,c_i,...,c_NC}，任意元素c_i∈C且表示C中的第i个互不相同的元素，表示元素在C中出现的次数；

高概率元素集合D中有N_D个互不相同元素，D＝{d₁,d₂,...,d_i,...,d_ND}，任意元素d_i∈D且表示D中的第i个互不相同的元素，表示元素在D中出现的次数；

表示高概率样本空间B中第i个元素在高概率样本空间B中出现的概率，表示低概率样本空间C中第i个元素在低概率样本空间C中出现的概率。

具体地，判断参考样本空间对应的高概率熵值和低概率熵值是否异常的方法为：

若所述的高概率熵值小于高概率熵阈值，则高概率熵值异常，否则，高概率熵值正常；

若所述的低概率熵值大于低概率熵阈值，则低概率熵值异常，否则，低概率熵值正常。

优选地，在所述时间片内选取的参考样本空间具体为：源IP组成的源IP样本空间、目的IP组成的目的IP样本空间、源端口组成的源端口样本空间和/或目的端口组成的目的端口样本空间。

进一步地，所述的概率阈值、虚拟不重复元素集合中元素的数目、高概率熵阈值、低概率熵阈值均为用户设定值。

为达到上述目的，本发明实现可调节分段Tsallis熵的方法，所述方法包括：

对样本空间内的元素按照概率阈值分为高概率集合和低概率集合，在所述高概率集合和虚拟不重复元素集合组成概率样本空间，所述低概率集合组成低概率样本空间；

对所述的高概率样本空间用Tsallis熵计算得到高概率熵值，对所述的低概率样本空间用Tsallis熵计算得到低概率熵值；

其中，分段熵通过所述的概率阈值和虚拟不重复元素的数目实现可调节。

本发明克服了传统熵用于网络流量异常检测存在的三大问题，适应了大规模网络的异常检测需求，可以根据网络流量的实际情况实现参数的设定与调节。

附图说明

图1是可调节分段熵模式原理图；

图2是基于可调节分段熵的异常检测判别方法。

具体实施方式

下面结合说明书附图对本发明做进一步的描述。

一、可调节分段Tsallis熵(Adjustable Piecewise Tsallis Entropy，简称APTE)

APTE的原理如图1所示：首先，按照用户设定的概率阈值(T)将原样本空间(A)内元素分成高概率元素集合和低概率元素集合；然后将高概率元素集合(D)和用户设定数目(N)的虚拟的不重复元素集合(E)结合形成新的高概率样本空间(B)，将低概率元素集合单独形成低概率样本空间(C)；最后对高概率样本空间和低概率样本空间分别用Tsallis熵计算熵值，高概率样本空间得到高概率熵值(S_-H)，低概率样本空间得到低概率熵值(S_-L)。APTE通过T和N两个参数实现可调节的目的。

假设:

①样本空间A中有N_A个互不相同元素，A＝{a₁,a₂,...,a_i,...,a_NA}，任意元素a_i∈A且表示A中的第i个互不相同的元素，表示元素在A中出现的次数；

②样本空间E中有N个互不相同元素且E＝{e₁,e₂,...,e_i,...,e_N}，任意元素e_i∈E且表示E中的第i个互不相同的元素，1表示元素在E中出现的次数；

那么可以得到：

①若

n_{i}^{A} \leq T \times Σ_{i = 1}^{N_{A}} n_{i}^{A},

那么a_i∈C；

②若

n_{i}^{A} > T \times Σ_{i = 1}^{N_{A}} n_{i}^{A},

那么a_i∈D；

③样本空间B＝D∪E；

假设：

①样本空间C中有N_C个互不相同元素，C＝{c₁,c₂,...,c_i,...,c_NC}，任意元素c_i∈C且表示C中的第i个互不相同的元素，表示元素在C中出现的次数；

②样本空间D中有N_D个互不相同元素，D＝{d₁,d₂,...,d_i,...,d_ND}，任意元素d_i∈D且表示D中的第i个互不相同的元素，表示元素在D中出现的次数；

那么，根据Tsallis熵公式APTE可表示为：

S_-APTE＝<S_-H,S_-L>，其中，

S_{- H} = \frac{k}{q - 1} \cdot (1 - Σ_{i = 1}^{N_{D} + N} {p_{b_{i}}}^{q}) = \frac{k}{q - 1} \cdot (1 - Σ_{i = 1}^{N_{D}} {(\frac{n_{i}^{D}}{Σ_{i = 1}^{N_{D}} n_{i}^{D} + N})}^{q} - \frac{N}{{(Σ_{i = 1}^{N_{D}} n_{i}^{D} + N)}^{q}})

S_{- L} = \frac{k}{q - 1} \cdot (1 - Σ_{i = 1}^{N_{C}} {p_{c_{i}}}^{q}) = \frac{k}{q - 1} \cdot (1 - Σ_{i = 1}^{N_{C}} {(\frac{n_{i}^{C}}{Σ_{i = 1}^{N_{C}} n_{i}^{C}})}^{q});

其中，表示B中第i个元素在B中出现的概率，表示C中第i个元素在C中出现的概率。

二、基于APTE的网络流量异常检测方法

基于APTE的网络流量异常检测原理为：首先对流量样本空间根据APTE公式得到高概率熵值S_-H和低概率熵值S_-L，然后判断得到的熵值是否存在异常。如图2所示，若S_-H小于预先设定的阈值T1，则判定S_-H值为异常；若S_-L大于预先设定的阈值T2，则判定S_-L值为异常。异常熵值对应的样本空间即为网络流量异常样本空间，即此时发生了网络流量异常。

实施例1

本实施例基于可调节分段熵的网络流量异常检测方法，所述方法包括：

获取流量数据，将所述流量数据划分为均匀的时间片，在所述的时间片内选取源IP元素集合为参考样本空间也即为源IP样本空间；

对所述的源IP样本空间内的元素按照概率阈值分为高概率集合和低概率集合，在所述高概率集合和虚拟不重复元素集合组成概率样本空间，所述低概率集合组成低概率样本空间；

判断所述的高概率熵值、低概率熵值是否异常，

所述的高概率熵值小于高概率熵阈值，则所述的高概率熵值异常；

所述的低概率熵值小于低概率熵阈值，则所述的低概率熵值正常；

判断所述的时间片是否异常，

所述的时间片内有至少一个高概率样本空间熵值异常，则所述的时间片为网络异常时间片。

实施例2

获取流量数据，将所述流量数据划分为均匀的时间片，在所述的时间片内选取目的IP元素集合为参考样本空间也即为目的IP样本空间；

对所述的目的IP样本空间内的元素按照概率阈值分为高概率集合和低概率集合，在所述高概率集合和虚拟不重复元素集合组成概率样本空间，所述低概率集合组成低概率样本空间；

判断所述的高概率熵值、低概率熵值是否异常，

所述的高概率熵值大于高概率熵阈值，则所述的高概率熵值正常；

所述的低概率熵值大于低概率熵阈值，则所述的低概率熵值异常；

判断所述的时间片是否异常，所述的时间片内有一个低概率样本空间熵值异常，则所述的时间片为网络异常时间片。

实施例3

获取流量数据，将所述流量数据划分为均匀的时间片，在所述的时间片内选取源端口元素集合为参考样本空间也即为源端口样本空间；

对所述的源端口样本空间内的元素按照概率阈值分为高概率集合和低概率集合，在所述高概率集合和虚拟不重复元素集合组成概率样本空间，所述低概率集合组成低概率样本空间；

判断所述的高概率熵值、低概率熵值是否异常，

判断所述的时间片是否异常，所述的时间片内全部高、低概率样本空间熵值正常，则所述的时间片为网络正常时间片。

实施例4

获取流量数据，将所述流量数据划分为均匀的时间片，在所述的时间片内选取目的端口元素集合为参考样本空间也即为目的端口样本空间；

对所述的目的端口样本空间内的元素按照概率阈值分为高概率集合和低概率集合，在所述高概率集合和虚拟不重复元素集合组成概率样本空间，所述低概率集合组成低概率样本空间；

判断所述的高概率熵值、低概率熵值是否异常，

所述的高概率熵值等于高概率熵阈值，则所述的高概率熵值异常；

所述的低概率熵值等于低概率熵阈值，则所述的低概率熵值异常；

判断所述的时间片是否异常，所述的时间片内全部高、低概率样本空间熵值异常，则所述的时间片为网络异常时间片。

上述各实施例中，上述各实施例中的高概率熵阈值和低概率熵阈值不是一个具体的值，将参考样本空间的高概率样本空间判断熵值是否异常的熵值的概率值，统称为高概率熵阈值，将参考样本空间的低概率样本空间判断熵值是否异常的熵值的概率值，统称为低概率熵阈值，高概率熵阈值和低概率熵阈值的具体值要根据实际情况确定。

说明：下述各实施例中选择了至少两个元素各自组成参考样本空间，这些元素为：源IP、目的IP、源端口、目的端口等，每个元素独自构成一个参考样本空间，每个参考样本空间分出来的高概率样本空间、低概率样本空间与其他参考样本空间的高概率样本空间、低概率样本空间各自独立，同时，每一个参考样本空间分别对应各自的高概率熵阈值和低概率熵阈值，为了方便区分，将各参考样本空间的高概率样本空间判断熵值是否异常的熵值的概率值，统称为高概率熵阈值，将各参考样本空间的低概率样本空间判断熵值是否异常的熵值的概率值，统称为低概率熵阈值，各参考样本空间实际上的高概率熵阈值和低概率熵阈值的具体值要基于实际情况而定。同时未在本说明书中列举的其他至少两个元素各自组成参考样本空间判断元素各自组成参考样本空间的实施例也适用上述说明。

实施例5

获取流量数据，将所述流量数据划分为均匀的时间片，在所述的时间片内选取源IP元素集合、目的IP元素集合分别组成两个参考样本空间，也即源IP样本空间、目的IP样本空间；

对源IP样本空间对应的高概率样本空间和低概率样本空间分别用Tsallis熵计算熵值得到高概率熵值和低概率熵值；

对目的IP样本空间对应的高概率样本空间和低概率样本空间分别用Tsallis熵计算熵值得到高概率熵值和低概率熵值；

判断所述的两个高概率熵值、两个低概率熵值是否异常，

所述的源IP样本空间对应的高概率熵值大于高概率熵阈值，则所述的高概率熵值正常；

所述的源IP样本空间对应的低概率熵值小于低概率熵阈值，则所述的低概率熵值正常；

所述的目的IP样本空间对应的高概率熵值小于高概率熵阈值，则所述的高概率熵值异常；

所述的目的IP样本空间对应的低概率熵值小于低概率熵阈值，则所述的低概率熵值正常；

判断所述的时间片是否异常，所述的时间片内有一个高概率熵值异常，则所述的时间片为网络异常时间片。

实施例6

获取流量数据，将所述流量数据划分为均匀的时间片，在所述的时间片内选取源IP元素集合、目的IP元素集合、源端口元素集合分别组成三个参考样本空间，也即源IP样本空间、目的IP样本空间、源端口样本空间；

对源端口样本空间对应的高概率样本空间和低概率样本空间分别用Tsallis熵计算熵值得到高概率熵值和低概率熵值；

判断所述的三个高概率熵值、三个低概率熵值是否异常，

所述的目的IP样本空间对应的高概率熵值大于高概率熵阈值，则所述的高概率熵值正常；

所述的源端口样本空间对应的高概率熵值大于高概率熵阈值，则所述的高概率熵值正常；

所述的源端口样本空间对应的低概率熵值小于低概率熵阈值，则所述的低概率熵值正常；

判断所述的时间片是否异常，所述的时间片内全部高、低概率样本空间熵值均正常，则所述的时间片为网络正常时间片。

实施例7

获取流量数据，将所述流量数据划分为均匀的时间片，在所述的时间片内选取源IP元素集合、目的IP元素集合、源端口元素集合、目的端口元素集合分别组成四个参考样本空间，也即源IP样本空间、目的IP样本空间、源端口样本空间、目的端口样本空间；

对目的端口样本空间对应的高概率样本空间和低概率样本空间分别用Tsallis熵计算熵值得到高概率熵值和低概率熵值；

判断所述的四个高概率熵值、四个低概率熵值是否异常，

所述的源IP样本空间对应的高概率熵值小于高概率熵阈值，则所述的高概率熵值异常；

所述的目的端口样本空间对应的高概率熵值大于高概率熵阈值，则所述的高概率熵值正常；

所述的目的端口样本空间对应的低概率熵值小于低概率熵阈值，则所述的低概率熵值正常；

判断所述的时间片是否异常，所述的时间片内目的IP样本空间对应的低概率熵值异常，则所述的时间片为网络异常时间片。

在上述实施例7的基础上的扩展，

基于APTE的网络流量异常检测具体实施方法如下：

步骤1：选取样本空间：选取流量数据，将流量数据划分为均匀时间片并提取时间片内每条流对应的源IP、目的IP、源端口和目的端口，形成源IP样本空间、目的IP样本空间、源端口样本空间和目的端口样本空间；

步骤2：计算APTE：将上述4个样本空间表示成上文所描述的“A＝{a₁,a₂,...,a_i,...,a_NA}，任意元素a_i∈A且的形式，，然后对每个样本空间按照APTE公式计算熵值，得到高概率熵S_-H和低概率熵S_-L；

步骤3：APTE熵异常判定：若S_-H小于预先设定的阈值T1，则判定该熵值为异常，标记为“-”，若S_-L大于预先设定的阈值T2，则判定该熵值为异常，标记为“+”；

步骤4：组成APTE熵值表：将每个时间片对应的8个APTE熵组合成APTE熵值表，进而可以形成30个主要的熵值异常表现，如表1网络流量异常熵值对照表所示；

步骤5：流量异常判定：判定符合表1中特征的时间片为网络流量异常时间片。也即该时间片内至少有一个高概率熵值S_-H和低概率熵值S_-L异常，则该时间片异常。

表1

实施例8

本实施例实现可调节分段熵的方法，所述方法包括：

上述各实施例中，判断参考样本空间对应的高概率熵值和低概率熵值是否异常的方法为：

上述各实施例中，在所述时间片内选取的参考样本空间具体为：源IP组成的源IP样本空间、目的IP组成的目的IP样本空间、源端口组成的源端口样本空间和/或目的端口组成的目的端口样本空间。

上述各实施例中，所述的概率阈值、虚拟不重复元素的数目、高概率熵阈值、低概率熵阈值均为用户设定值，且每一个参考样本空间均有各自单独设定的概率阈值、虚拟不重复元素的数目、高概率熵阈值、低概率熵阈值，这些值的取值根据具体情况具体决定。

以上，仅为本发明的较佳实施例，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求所界定的保护范围为准。

Claims

1.一种基于可调节分段Tsallis熵的网络流量异常检测方法，其特征在于，所述方法包括：

判断所述的时间片是否异常，

其中，所述的可调节分段Tsallis熵的方法具体为：

2.根据权利要求1所述的基于可调节分段熵的网络流量异常检测方法，其特征在于，所述的用Tsallis熵计算得到高概率熵值和低概率熵值的具体公式如下：

S_{- H} = \frac{k}{q - 1} \cdot (1 - Σ_{i = 1}^{N_{D} + N} {p_{b_{i}}}^{q}) = \frac{k}{q - 1} \cdot (1 - {(\frac{n_{i}^{D}}{Σ_{i = 1}^{N_{D}} n_{i}^{D} + N})}^{q} - \frac{N}{{(Σ_{i = 1}^{N_{D}} n_{i}^{D} + N)}^{q}})

S_{- L} = \frac{k}{q - 1} \cdot (1 - Σ_{i = 1}^{N_{C}} {p_{c_{i}}}^{q}) = \frac{k}{q - 1} \cdot (1 - Σ_{i = 1}^{N_{C}} {(\frac{n_{i}^{C}}{Σ_{i = 1}^{N_{C}} n_{i}^{C}})}^{q});

其中，S_-H为高概率熵值，S_-L为低概率熵值；

参考样本空间A中有N_A个互不相同元素，任意元素a_i∈A且表示A中的第i个互不相同的元素，表示元素在参考样本空间A中出现的次数；

低概率样本空间C中有NC个互不相同元素，任意元素c_i∈C且表示C中的第i个互不相同的元素，表示元素在C中出现的次数；

高概率元素集合D中有N_D个互不相同元素，任意元素d_i∈D且表示D中的第i个互不相同的元素，表示元素在D中出现的次数；

3.根据权利要求1所述的基于可调节分段熵的网络流量异常检测方法，其特征在于，判断参考样本空间对应的高概率熵值和低概率熵值是否异常的方法为：

4.根据权利要求1所述的基于可调节分段熵的网络流量异常检测方法，其特征在于，在所述时间片内选取的参考样本空间具体为：源IP组成的源IP样本空间、目的IP组成的目的IP样本空间、源端口组成的源端口样本空间和/或目的端口组成的目的端口样本空间。

5.根据权利要求1所述的基于可调节分段熵的网络流量异常检测方法，其特征在于，所述的概率阈值、虚拟不重复元素集合中元素的数目、高概率熵阈值、低概率熵阈值均为用户设定值。

6.一种实现可调节分段Tsallis熵的方法，其特征在于，所述方法包括：