CN109639654A - 一种基于自适应过滤模型识别tcp异常流量的方法 - Google Patents

Abstract

本发明公开了一种基于自适应过滤模型识别TCP异常流量的方法，具体方法为：利用统计模型即自适应过滤算法进行建模，根据历史流量预测未来的流量，当实际流量与预测流量的偏差超过定义的控制临界值时，判定为可疑流量，同时进一步根据预定义的异常规则库，解析匹配TCP数据包，进而判断是否为异常流量；本发明通过统计预测可以大幅提升TCP流量的检查效率，避免重复、复杂的数据包匹配流程，同时也有效降低异常流量的误报率。

Description

一种基于自适应过滤模型识别TCP异常流量的方法

技术领域

本发明属于TCP端异常流量识别领域，具体涉及一种基于自适应过滤模型识别TCP异常流量的方法。

背景技术

目前网络中大多数系统采用TCP协议进行数据传输，合法用户在使用系统的过程中产生正常的TCP流量，而非法或恶意的攻击者通过一些软件对系统发起流量型DDoS攻击，例如SYN-FLOOD、ACK-FLOOD，产生大量的异常流量。很多情况下，攻击发生时异常流量远远大于正常流量，严重时可导致网络瘫痪。

目前识别TCP异常流量，主要是通过固定阈值的方式，即流量超过某个具体阈值时，进入下一步的规则识别流程。

现有技术的缺点

1、误报率高。没有考虑正常的流量波动，比如不同的业务，可能存在流量的波峰和低谷，临时或突发性的活动也可能导致流量的激增。

2、效率低。由于高误报率导致频繁重复的进行数据包解析匹配流程，识别的成功率非常低。

3、成本高。识别TCP异常流量往往在防护设备或服务器上完成，而频繁大量的识别过程要求更多的资源和更高的性能，成本也必然随之增加。

发明内容

为解决上述问题，本发明提供一种基于自适应过滤模型识别TCP异常流量的方法，具体包括以下步骤：

1、模型训练：根据历史流量数据建立自适应过滤模型，通过迭代训练计算出最佳权数；

2、根据最佳权数预测下一期流量；

3、根据实际流量和预测流量计算偏差，判断偏差是否在控制临界值内，若不在则判定为可疑流量，同时进入下一步，否则返回步骤(2)继续预测下一期流量；

4、规则识别：进一步根据预定义的异常规则库，解析匹配TCP数据包，进而判断是否为异常流量。

步骤1中模型训练具体步骤为：

1.1根据历史流量特征确定权数个数p、初始权数φ_i及控制临界值；

1.2计算预测值，选取样本数据中前p个数据x₁,x₂，…，x_p，根据公式(a)计算预测值；

1.3根据公式(b)计算预测误差；

1.4根据公式(c)调整最佳权数；

φ‘＝φ₁+2ke_p+1x_p-i+1 (c)

式中k为学习常数，取值必须满足k≤1/p；

1.5迭代执行步骤2，3，4，直至误差降到阈值MSE以内，则判定权数为一组最佳权数。上述阈值MSE为理想误差值，可以根据均方误差作为衡量标准：

式中n和t为样本数据个数，分别为累加公式的上界和下界。

步骤2中根据最佳权数预测下一期流量的公式为(e)，

式中φ′_i为最佳权数。

步骤4中规则识别具体步骤为：

4.1提取数据包中的关键字段field；

4.2根据预定义的异常规则库判定数据包是否异常，若为正常数据包则转向步骤4.3，否则直接丢弃；

4.3数据包第一次转发至后端服务器时，建立握手连接，当服务器与客户端双方分别确认后，TCP三次握手建立成功，便进行正常的通信。

本发明技术方案带来的有益效果：

本发明通过统计预测可以大幅提升TCP流量的检查效率，避免重复、复杂的数据包匹配流程，同时也有效降低异常流量的误报率。

附图说明

图1为本发明完整的流程图。

术语定义

TCP：Transmission Control Protocol，传输控制协议；

DDoS：Distributed Denial of Service，分布式拒绝服务攻击；

自适应过滤算法：一种时间序列预测技术，是建立在时间序列的原始数据基础之上，通过对历史观察值进行某种加权平均来预测的算法。

具体实施方式

下面结合附图和具体实施方法对本发明做进一步详细的说明。

本发明完整的流程如图1所示，具体步骤为：

步骤1、根据历史流量特征确定权数个数p、初始权数φ_i及控制临界值；

步骤2、计算预测值，选取样本数据中前p个数据x₁,x₂，…，x_p，根据公式(a)计算预测值；

步骤3、根据公式(b)计算预测误差；

步骤4、根据公式(c)调整最佳权数；

φ‘＝φ₁+2ke_p+1x_p-i+1 (c)

式中k为学习常数，其取值会直接影响到权数调整的速度，在一定程度上也会影响预测的效果，根据研究证明，k值可以根据时间序列中p个最大值来确定。不过，为了提高模型逼近最佳权数的速度可以取较大的k值，但取值必须满足k≤1/p；

步骤5、迭代执行步骤2，3，4，直至误差降到阈值MSE以内，则判定权数为一组最佳权数。

迭代调整的过程中，理想情况预测误差降为0时，权数调整结束。大多数情况下，预测误差无法降至零，可以根据均方误差作为衡量标准：

式中n和t为样本数据个数，分别为累加公式的上界和下界。t的取值是p,p+1…，n，为临时变量，这里计算的是p+1期到n+1期的均方误差。

步骤6、根据最佳权数预测下一期流量的公式为(e)，

式中φ′_i为最佳权数。

步骤7、根据实际流量和预测流量计算偏差，判断偏差是否在控制临界值内，若不在则判定为可疑流量，同时进入下一步，否则返回步骤6继续预测下一期流量。

步骤8、提取数据包中的关键字段field；

步骤9、根据预定义的异常规则库判定数据包是否异常，若为正常数据包则转向步骤4.3，否则直接丢弃；

步骤10、数据包第一次转发至后端服务器时，建立握手连接，当服务器与客户端双方分别确认后，TCP三次握手建立成功，便进行正常的通信。

Claims (5)

1.一种基于自适应过滤模型识别TCP异常流量的方法，其特征在于，包括以下步骤：

(1)模型训练：根据历史流量数据建立自适应过滤模型，通过迭代训练计算出最佳权数；

(2)根据最佳权数预测下一期流量；

(3)根据实际流量和预测流量计算偏差，判断偏差是否在控制临界值内，若不在则判定为可疑流量，同时进入下一步，否则返回步骤(2)继续预测下一期流量；

(4)规则识别：进一步根据预定义的异常规则库，解析匹配TCP数据包，进而判断是否为异常流量。

2.根据权利要求1所述的一种基于自适应过滤模型识别TCP异常流量的方法，其特征在于，所述步骤(1)模型训练具体步骤为：

1.1根据历史流量特征确定权数个数p、初始权数φ_i及控制临界值；

1.2计算预测值，选取样本数据中前p个数据x₁,x₂，…，x_p，根据公式(a)计算预测值；

1.3根据公式(b)计算预测误差；

1.4根据公式(c)调整最佳权数；

φ‘＝φ₁+2ke_p+1x_p-i+1 (c)

式中k为学习常数，取值必须满足k≤1/p；

1.5迭代执行步骤2，3，4，直至误差降到阈值MSE以内，则判定权数为一组最佳权数。

3.根据权利要求2所述的一种基于自适应过滤模型识别TCP异常流量的方法，其特征在于，所述阈值MSE为理想误差值，可以根据均方误差作为衡量标准：

式中n和t为样本数据个数，分别为累加公式的上界和下界。

4.根据权利要求2所述的一种基于自适应过滤模型识别TCP异常流量的方法，其特征在于，所述根据最佳权数预测下一期流量的公式为(e)，

式中φ′_i为最佳权数。

5.根据权利要求1所述的一种基于自适应过滤模型识别TCP异常流量的方法，其特征在于，所述步骤(4)规则识别具体步骤为：

4.1提取数据包中的关键字段field；

4.2根据预定义的异常规则库判定数据包是否异常，若为正常数据包则转向步骤4.3，否则直接丢弃；

4.3数据包第一次转发至后端服务器时，建立握手连接，当服务器与客户端双方分别确认后，TCP三次握手建立成功，便进行正常的通信。