CN107154947B - 基于有效频繁流特征的网络流量异常检测和分类方法 - Google Patents

Abstract

本发明公开一种基于有效频繁流特征的网络流量异常检测和分类方法，预先设定EFF模式和筛选阈值并得到正式EFF实例对；利用前一个或者几个时间片内正常的正式EFF实例对的值计算下一时间片此EFF实例对对应的预测值，进而得到当前时间片内所有EFF实例对在下一时间片的预测值；根据预测值计算出EFF实例对对应的检测阈值；将EFF实例对的实际值与检测阈值进行比较并分类；本发明的方法可以对网络流量异常进行快速、有效的检测和分类。

Description

基于有效频繁流特征的网络流量异常检测和分类方法

技术领域

本发明涉及一种基于有效频繁流特征的网络流量异常检测和分类方法。

背景技术

目前，网络流量数据规模的不断增加，对网络流量异常检测的检测效率和运行效率提出了更高的要求。基于时间片进行网络流量异常检测是目前通用的检测方法，此类方法通常采用将每个时间片内的网络流量变换成固定个数的度量值，进一步根据这些度量值进行网络流量异常检测和初步分类。但这种方法由于度量值较少，加上度量值本身对网络流量异常的敏感性不同，造成其对网络流量异常检测和分类比较粗糙、检测和分类的误差大、效率不高。利用频繁项挖掘进行网络流量异常检测是另一种有效的方法，其也可用于基于时间片的网络流量异常检测中，但此方法通常需要经过多轮计算而使计算开销较大，进而会影响检测系统的运行效率。

发明内容

针对上述问题，本发明提供一种对网络流量异常进行快速、有效的检测和分类的基于有效频繁流特征的网络流量异常检测和分类方法CEFF。

CEFF方法是一种基于有效频繁流特征(Efficient Frequent flow Feature，EFF)实例的变化进行检测的方法。

为达到上述目的，本发明一种基于有效频繁流特征的网络流量异常检测和分类方法，所述的方法至少包括以下步骤：

1)预先设定EFF模式和筛选阈值；

2)选取流数据并提取每条流对应组成EFF的实际流特征内容，根据流特征确定这条流所属的时间片；

3)根据提取的流特征内容对所有预先设定的EFF进行实例化，生成初始EFF实例，并将生成的初始EFF实例和其对应的流数或者流量组成初始EFF实例对；

4)对每个时间片内的相同的初始EFF实例对进行累加，得出每个时间片对应的备选EFF实例对；

5)将备选EFF实例对的值与所述筛选阈值进行比较得到正式EFF实例对；

6)利用前一个或者几个时间片内正常的正式EFF实例对的值计算下一时间片此EFF实例对对应的预测值，进而得到当前时间片内所有EFF实例对在下一时间片的预测值；

7)根据预测值计算出EFF实例对对应的检测阈值；

8)将EFF实例对的实际值与检测阈值进行比较并分类。

较佳的，所述步骤1)中EFF模式至少包括括源IP&目的IP&目的端口、目的IP&目的端口以及源IP&目的端口基于流数的EFF模式；

所述步骤4)中的备选实施例为<V_EFF,Value>，其中V_EFF为一个EFF实例的实例值，Value的值为EFF实例对的累加值，Value采用EFF实例对应的总的流数、数据包数、字节数等流数或者流量信息表示；

所述EFF实例对的累加规则：<V_EFF,V₁>+<V_EFF,V₂>＝<V_EFF,V₁+V₂>；

所述步骤5)的具体步骤为：将备选EFF实例对中Value的值与筛选阈值进行比较；

若Value的值大于筛选阈值，则备选EFF实例对<V_EFF,Value>为一个正式的EFF实例对；

若Value的值小于筛选阈值，则备选EFF实例对<V_EFF,Value>被过滤掉，不能成为一个正式的EFF实例对。

较佳的，所述步骤8)的具体步骤为：

将EFF实例对的实际值与检测阈值进行比较大小；

若EFF实例对的实际值大于对应的检测阈值，则EFF实例对判定为异常EFF实例对，则具有异常EFF实例对的时间片为异常时间片，与异常EFF实例对相关的流量为异常流量，一个时间片内有多个不同类型的异常EFF实例对，则EFF实例对的异常类型为混合异常，EFF实例对的异常类型为EFF对应的异常类型；

若EFF实例对的实际值小于或者等于检测阈值，则EFF实例对判定为正常EFF实例对。

较佳的，所述步骤1)的具体步骤为：

预先选用源IP&目的IP&目的端口、目的IP&目的端口以及源IP&目的端口基于流数的EFF，并设定时间间隔和筛选阈值。

较佳的，所述步骤2)的具体步骤为：

选取流数据，提取每条流对应组成EFF的实际流特征对应的开始时间、结束时间、源IP、目的IP、源端口、目的端口以及流数组成对应的EFF流特征内容V_beginTime、V_endTime、V_SIP、V_DIP、V_SPT、V_DPT和V_FN，并根据流结束时间划分每条流所属的时间片timeBin，timeBin＝V_beginTime～V_endTime/I，其中I为时间间隔。

较佳的，所述步骤3)中的初始EFF实例包括timeBin/I&V_SIP&V_DIP&V_DPT、timeBin/I&V_SIP&V_DIP以及timeBin/I&V_SIP&V_DPT，所述的初始EFF实例对包括<timeBin/I&V_SIP&V_DIP&V_DPT，V_FN>、<timeBin/I&V_SIP&V_DIP，V_FN>、<timeBin/I&V_SIP&V_DPT，V_FN>。

较佳的，所述步骤6)的具体步骤为：

设定固定的检测系数；

对具有相同EFF实例值的前面i个时间片的EFF实例对EFFIP_n-i+1、……、EFFIP_n利用预测算法求得此EFF实例对在下一时间片的预测值V_i，其中i≥1；

若时间片内无此EFF实例对，即EFF实例对的值小于筛选阈值，则计算预测值时使用此EFF实例和筛选阈值组成的EFF实例对代替；

若时间片内EFF实例对异常，则可以用其预测值或前一个时间片内的EFF实例对值代替；

将得到的每个EFF实例对应的预测值乘以设定的检测系数得到每个EFF实例对对应的检测阈值；

所述预测算法包括平均值算法和加权平均算法。平均值算法公式为：

加权平均算法公式为：

其中，a1、a2……a_n均大于0，且a₁+a₂+......+a_n＝1。

本发明利用EFF实例对的突变来判断EFF实例对的异常，然后根据异常EFF实例对的类型来判断网络流量异常类型，实现了对网络流量异常进行快速、有效的检测和分类。

附图说明

图1是本发明一个时间片内基于流数的EFF实例对的生成过程。

具体实施方式

下面结合说明书附图对本发明做进一步的描述。

实施例1

如图1所示，一种基于有效频繁流特征的网络流量异常检测和分类方法，所述的方法至少包括以下步骤：

预先设定EFF模式和筛选阈值；

所述EFF模式至少包括括源IP&目的IP&目的端口、目的IP&目的端口以及源IP&目的端口基于流数的EFF模式；

选取流数据，提取每条流对应组成EFF的实际流特征内容，并根据流特征确定这条流所属的时间片；

根据提取的流特征内容对所有预先设定的EFF进行实例化，生成初始EFF实例，并将生成的初始EFF实例和其对应的流数或者流量组成初始EFF实例对；；

根据EFF实例对的累加规则：<V_EFF,V₁>+<V_EFF,V₂>＝<V_EFF,V₁+V₂>，对每个时间片内的所有符合累加规则的初始EFF实例对进行累加，得出每个时间片对应的备选EFF实例对集；

将所有初始EFF实例对的值和筛选阈值进行比较；

若初始EFF实例对的值大于筛选阈值，则此EFF实例对被保留并成为正式的EFF实例对，若初始EFF实例对的值小于筛选阈值，则此EFF实例对不保留；

将每个时间片内所有的正式EFF实例对组成这个时间片的正式实例对集；

利用前时间片内正式EFF实例对的值求出下时间片该EFF实例对对应的预测值，根据预测值确定EFF实例对对应的检测阈值；

将实际EFF实例对的值与EFF实例对对应的检测阈值进行比较大小；

若实际EFF实例对的值大于EFF实例对对应的检测阈值，则EFF实例对判定为异常EFF实例对，则具有异常EFF实例对的时间片为异常时间片，与异常EFF实例对相关的流量为异常流量，一个时间片内有多个不同类型的异常EFF实例对，则EFF实例对的异常类型为混合异常，EFF实例对的异常类型为EFF对应的异常类型；

若实际EFF实例对的值小于或者等于EFF实例对对应的检测阈值，则EFF实例对判定为正常EFF实例对。

实施例2

基于实施例1，本实施例设定EFF模式，所述EFF模式至少包括括源IP&目的IP&目的端口、目的IP&目的端口以及源IP&目的端口基于流数的EFF模式；

预先选用源IP&目的IP&目的端口、目的IP&目的端口以及源IP&目的端口基于流数的EFF，并设定时间间隔I和筛选阈值；

选取流数据，提取每条流对应组成EFF的实际流特征对应的开始时间、结束时间、源IP、目的IP、源端口、目的端口以及流数组成对应的EFF流特征内容V_beginTime、V_endTime、V_SIP、V_DIP、V_SPT、V_DPT和V_FN，并根据流结束时间划分每条流所属的时间片timeBin，timeBin＝V_beginTime～V_endTime/I。

所述的生成初始EFF实例包括timeBin/I&V_SIP&V_DIP&V_DPT、timeBin/I&V_SIP&V_DIP以及timeBin/I&V_SIP&V_DPT，所述的初始EFF实例对包括<timeBin/I&V_SIP&V_DIP&V_DPT，V_FN>、<timeBin/I&V_SIP&V_DIP，V_FN>、<timeBin/I&V_SIP&V_DPT，V_FN>；

设定固定的检测系数；

对具有相同EFF实例值的前面i个时间片的EFF实例对EFFIP_n-i+1、……、EFFIP_n利用预测算法求得此EFF实例对在下一时间片的预测值V_i，其中i≥1；

所述预测算法包括平均值算法和加权平均算法；平均值算法公式为：

加权平均算法公式为：

其中，a1、a2……a_n均大于0，且a₁+a₂+......+a_n＝1；

若时间片内无此EFF实例对，即EFF实例对的值小于筛选阈值，则计算预测值时使用此EFF实例和筛选阈值组成的EFF实例对代替；

若时间片内EFF实例对异常，则可以用其预测值或前一个时间片内的EFF实例对值代替；

将得到的每个EFF实例对应的预测值乘以设定的检测系数得到每个EFF实例对对应的检测阈值。

将实际EFF实例对的值与EFF实例对对应的检测阈值进行比较大小；

若实际EFF实例对的值大于EFF实例对对应的检测阈值，则EFF实例对判定为异常EFF实例对，则具有异常EFF实例对的时间片为异常时间片，与异常EFF实例对相关的流量为异常流量，一个时间片内有多个不同类型的异常EFF实例对，则EFF实例对的异常类型为混合异常，EFF实例对的异常类型为EFF对应的异常类型；

若实际EFF实例对的值小于或者等于EFF实例对对应的检测阈值，则EFF实例对判定为正常EFF实例对。

实施例3

EFF是一个与流量异常有着对应关系的流特征组合，不同的EFF可以组成EFF集。

流量异常	源IP	源端口	目的IP	目的端口	EFF
						DoS	●		●	●	源IP&目的IP&目的端口
DDoS			●	●	目的IP&目的端口
						端口扫描	●			●	源IP&目的端口

表1

如表1所示，DoS攻击在流级的表现形式为具有相同源IP地址、目的IP地址、目的端口的流大量增加，即“源IP&目的IP&目的端口”的流特征组合与DoS存在对应关系，所以，与DoS对应的EFF为“源IP&目的IP&目的端口”的流特征组合。

如图1所示，每条流可以根据不同的EFF生成对应的EFF实例(EFFI)，然后每个EFF实例和其对应的流数或者流量组成初始的EFF实例对(EFFIP)，然后对每个时间片内相同的EFF实例进行累加可以得到备选EFF实例对。EFF备选实例对可以表示成<V_EFF,Value>的形式，其中，V_EFF为一个EFF实例值，是EFF的实际值；Value为EFF实例对的累加值,采用这个EFF实例对应的总的流数或者流量表示，但不局限与流数和流量；若此Value的值大于事先设置的筛选阈值，则<V_EFF,Value>将成为一个正式的EFF实例对；

若Value的值小于筛选阈值，则备选EFF实例对<V_EFF,Value>被过滤掉，不能成为一个正式的EFF实例对。

针对每一个正式的EFF实例对，利用前一个时间片或者前几个时间片内正常EFF实例对的值，求出下一个时间片此EFF实例对对应的预测值，然后根据此预测值确定检测阈值，如果EFF实例对的值大于其对应的检测阈值，则此EFF实例对被判定为异常，此EFF实例对的异常类型为其EFF对应的异常类型。

实施例4

流量异常	源IP	源端口	目的IP	目的端口	EFF
						DoS	●		●	●	源IP&目的IP&目的端口
DDoS			●	●	目的IP&目的端口
						端口扫描	●			●	源IP&目的端口

表1

如表2所示，本实施例为了检测表1所示的异常，采用表1中的EFF进行网络流量异常检测和分类，包括：

设定EFF模式和检测参数：预先选用“源IP&目的IP&目的端口”、“目的IP&目的端口”、“源IP&目的端口”多种基于流数的EFF，并设定时间间隔I、筛选阈值T和检测系数C；

提取流特征：选取流数据，提取时间片内每条流对应的开始时间beginTime、结束时间endTime、源IPSIP、目的IPDIP、源端口SPT、目的端口DPT、流数FN组成EFF的流特征内容V_endTime、V_SIP、V_DIP、V_SPT、V_DPT、V_FN，并根据流结束时间划分每条流所属的时间片(timeBin：timeBin＝V_beginTime～V_endTime/I)；

生成初始EFF实例对：针对每条流，根据预先确定的EFF生成EFF实例：“timeBin/I&V_SIP&V_DIP&V_DPT”、“timeBin/I&V_SIP&V_DIP”、“timeBin/I&V_SIP&V_DPT”，进一步组成初始EFF实例对：<timeBin/I&V_SIP&V_DIP&V_DPT，V_FN>、<timeBin/I&V_SIP&V_DIP，V_FN>、<timeBin/I&V_SIP&V_DPT，V_FN>；

生成备选EFF实例对集：根据EFF实例对的累加规则：对具有相同EFF实例的EFF实例对进行相加，求得每个时间片对应的备选EFF实例对集；

每一个备选EFF实例对就只有一个EFF实例和EFF实例对应的流数和/或流量；但是一个时间片内有很多备选EFF实例对，只有满足筛选条件的才能称为最终的EFF实例对。

获取正式EFF实例对集：将所有EFF实例对的累加值和筛选阈值T进行比较，若EFF实例对的值大于T，则此EFF实例对被保留并成为正式的EFF实例对，然后每个时间片内所有的正式EFF实例对组成这个时间片的正式实例对集；

根据预测算法求每个EFF实例对EFFIP_n在下一个时间片的预测值：对具有相同EFF实例值的前面i个时间片的EFF实例对EFFIP_n-i+1、……、EFFIP_n，利用任意一预测算法，所述预测算法包括平均值算法和加权平均算法；平均值算法公式为：

加权平均算法公式为：

其中，a₁、a₂……a_n均大于0，且a₁+a₂+......+a_n＝1；求得此EFF实例对在下一时间片的预测值V_i，若某个时间片内无此EFF实例对，即EFF实例对的值小于筛选阈值，则计算预测值时使用此EFF实例和筛选阈值组成的EFF实例对代替，若某个时间片内EFF实例对异常，则可以用其预测值或前一个时间片内的EFF实例对值代替；i≥1；

EFF实例对异常判断：将上面求得的每个EFF实例对应的预测值乘以一个固定的检测系数C来得到每个正式EFF实例对对应的检测阈值，若EFF实例对的实际值大于检测阈值，则判定此EFF实例对为异常EFF实例对；

流量异常判断：具有异常EFF实例对的时间片为异常时间片，与异常EFF实例对相关的流量为异常流量，异常类型为EFF对应的异常类型，若一个时间片内有多个不同类型的异常EFF实例对，则其异常类型为混合异常。

实施例5

基于上述实施例，本实施例提供一种带有具体数值的正式EFF实例对生成过程，具体过程如下：

针对同一时间片内每一条具体的网络流，提取所需流特征；

如图1所示，首先根据EFF“源IP&目的IP”生成初始EFF实例：“1.1.1.2&2.1.1.12”、“1.1.1.2&2.1.1.22”、“1.1.1.2&2.1.1.23”……；

进一步和其对应流数组合成初始EFF实例对集：<1.1.1.2&2.1.1.12，1>、<1.1.1.2&2.1.1.22，1>、<1.1.1.2&2.1.1.23，1>……；

对具有相同初始EFF实例的EFF实例对进行累加得到合并后的备选EFF实例对集：“<1.1.1.2&2.1.1.12，10>”、“<1.1.1.2&2.1.1.22，100>”、“<1.1.1.2&2.1.1.23，10000>”……；EFF实例对合并规则为：<V_EFF,V₁>+<V_EFF,V₂>＝<V_EFF,V₁+V₂>；

将筛选阈值设定为500并根据筛选阈值对备选EFF实例对集进行过滤，备选EFF实施例对集<1.1.1.2&2.1.1.12，10>、<1.1.1.2&2.1.1.22，100>对应的值分别为10和100，小于筛选阈值500，被过滤掉，不进入正式的EFF实例对集；备选EFF实施例对集<1.1.1.2&2.1.1.23，10000>对应的值为1000，大于筛选阈值500，成为正式EFF实例对。

本实施例1-5中所述EFF的模式还包括如下表2中所示的常用的基于流数的EFF模式和表3中所示的常用的基于流量的EFF模式：

表2

流量异常	源IP	源端口	目的IP	目的端口	EFF
						流量burst	●		●		源IP&目的IP
流量burst	●				源IP
						流量burst			●		目的IP

表3

实施例1-5中预先选用“源IP&目的IP&目的端口”、“目的IP&目的端口”、“源IP&目的端口”多种基于流数的EFF仅为其中的某几种形式。

以上，仅为本发明的较佳实施例，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求所界定的保护范围为准。

Claims (4)

1.一种基于有效频繁流特征的网络流量异常检测和分类方法，其特征在于，所述的方法至少包括以下步骤：

1)预先设定EFF模式和筛选阈值；

2)选取流数据并提取每条流对应组成EFF的实际流特征内容，根据流特征确定这条流所属的时间片；

3)根据提取的流特征内容对所有预先设定的EFF进行实例化，生成初始EFF实例，并将生成的初始EFF实例和其对应的流数或者流量组成初始EFF实例对；

4)对每个时间片内的相同的初始EFF实例对进行累加，得出每个时间片对应的备选EFF实例对；

5)将备选EFF实例对的值与所述筛选阈值进行比较得到正式EFF实例对；

6)利用前一个或者几个时间片内正常的正式EFF实例对的值计算下一时间片此EFF实例对对应的预测值，进而得到当前时间片内所有EFF实例对在下一时间片的预测值；

7)根据预测值计算出EFF实例对对应的检测阈值；

8)将EFF实例对的实际值与检测阈值进行比较并分类；

所述步骤1)中EFF模式至少包括括源IP&目的IP&目的端口、目的IP&目的端口以及源IP&目的端口基于流数的EFF模式；

所述步骤4)中的备选EFF实例对为<V_EFF,Value>，其中V_EFF为一个EFF实例的实例值，Value的值为EFF实例对的累加值，Value采用EFF实例对应的总的流数、数据包数、字节数或者流量信息表示；

所述EFF实例对的累加规则：＜V_EFF,V₁＞+＜V_EFF,V₂＞＝＜V_EFF,V₁+V₂＞

所述步骤5)的具体步骤为：将备选EFF实例对中Value的值与筛选阈值进行比较；

若Value的值大于筛选阈值，则备选EFF实例对<V_EFF,Value>为一个正式的EFF实例对；

若Value的值小于筛选阈值，则备选EFF实例对<V_EFF,Value>被过滤掉，不能成为一个正式的EFF实例对；

所述步骤1)的具体步骤为：

预先选用源IP&目的IP&目的端口、目的IP&目的端口以及源IP&目的端口基于流数的EFF，并设定时间间隔和筛选阈值；

所述步骤2)的具体步骤为：

选取流数据，提取每条流对应组成EFF的实际流特征对应的开始时间、结束时间、源IP、目的IP、源端口、目的端口以及流数组成对应的EFF流特征内容V_beginTime、V_endTime、V_SIP、V_DIP、V_SPT、V_DPT和V_FN，并根据流结束时间划分每条流所属的时间片timeBin，timeBin＝V_beginTime/I～V_endTime/I，其中I为时间间隔。

2.如权利要求1所述的方法，其特征在于：所述步骤8)的具体步骤为：

将EFF实例对的实际值与检测阈值进行比较大小；

若EFF实例对的实际值大于对应的检测阈值，则EFF实例对判定为异常EFF实例对，则具有异常EFF实例对的时间片为异常时间片，与异常EFF实例对相关的流量为异常流量，一个时间片内有多个不同类型的异常EFF实例对，则EFF实例对的异常类型为混合异常，EFF实例对的异常类型为EFF对应的异常类型；

若EFF实例对的实际值小于或者等于检测阈值，则EFF实例对判定为正常EFF实例对。

3.如权利要求1所述的方法，其特征在于：所述步骤3)中的初始EFF实例包括timeBin/I&V_SIP&V_DIP&V_DPT、timeBin/I&V_SIP&V_DIP以及timeBin/I&V_SIP&V_DPT，所述的初始EFF实例对包括<timeBin/I&V_SIP&V_DIP&V_DPT，V_FN>、<timeBin/I&V_SIP&V_DIP，V_FN>、<timeBin/I&V_SIP&V_DPT，V_FN>。

4.如权利要求1所述的方法，其特征在于：所述步骤6)的具体步骤为：

设定固定的检测系数；

对具有相同EFF实例值的前面i个时间片的EFF实例对EFFIP_n-i+1、……、EFFIP_n利用预测算法求得此EFF实例对在下一时间片的预测值V_i，其中i≥1；

若时间片内无此EFF实例对，即EFF实例对的值小于筛选阈值，则计算预测值时使用此EFF实例和筛选阈值组成的EFF实例对代替；

若时间片内EFF实例对异常，则可以用其预测值或前一个时间片内的EFF实例对值代替；

将得到的每个EFF实例对应的预测值乘以设定的检测系数得到每个EFF实例对对应的检测阈值；

所述预测算法包括平均值算法和加权平均算法；平均值算法公式为：

加权平均算法公式为：

其中，a₁、a₂……a_n均大于0，且a₁+a₂+......+a_n＝1。

Images