CN110868431A - 一种网络流量异常检测方法 - Google Patents

Abstract

本发明公开了一种网络流量异常检测方法，对网络空间安全态势的量化表达包括如下步骤：(1)流量特征采集与态势特征指标提取；(2)面向态势特征的自适应学习与异常分析；(3)网络异常态势检测与告警。本发明通过网络边界流量采集与特征刻画指标体系的方式实现，该方法从网络流量中连续不断地实时挖掘多个维度特征指标、实时刻画网络空间及其流量特征，一方面可保证网络态势实时或准实时的监控、预警、应急响应需求，另一方面可以通过少量的日志规模，实现对网络流量特征的细粒度刻画，为后续的流量异常分析检测、安全预警提供优质的基础信息来源；在实时性、刻画精确性、数据规模、数据优质性方面，与传统方法相比具有明显优势。

Description

一种网络流量异常检测方法

技术领域

本发明涉及一种网络流量异常检测方法，属于网络监测领域。

背景技术

面对当前网络规模的不断增长，网络结构的日趋复杂，加之接入网络设备的多样性和异构性，网络的安全问题越来越重要。网络安全事件流中异常检测作为一种主动性的检测检测技术，不仅可以检测来自外部的入侵行为，还可以检测出内部用户的非授权行为，这已经成为网络安全技术中一个非常重要的组成部分。现有网络异常检测的方法包括如下：

1、支持向量机(SVM)技术：

支持向量机方法是建立在统计学习理论VC维和结构风险最小原理基础上的机器学方法，根据有限的样本信息在模型的复杂性和学习能力之间寻求最佳折衷，以期获得最好的推广能力。支持向量机的本质是在低维空间线性不可分的点按照事先选择的方法映射到某个高维空间构造超平面达到高维线性可分效果。支持向量机是从低维空间映射到高维空间，这个映射是通过核函数实现的。核方法就是利用核函数表示最终的学习机器核函数的种类。经常使用的核函数有多项式核函数、径向基函数和Sigmoid核函数。

支持向量机方法分类有很多方法，可以按照用途和数据源以及分类个数的角度进行分类，具体如下：

(1)用途角度：

可分为分类SVM和回归SVM，其中用于分类的SVM主要有C-SVC和V-SVC，用于回归的SVM主要有￡-SVR和V-SVR。还有许多SVM的变形算法，主要有Scholkopf提出的V-SVM,One-class SVM,RSVM(reduced SVM),WSVM(weighted SVM)以LS-SVM(least-square SVM)等。

(2)数据源角度：

可分为线性SVM和非线性SVM，其中非线性SVM可以利用超曲面来代替超平面达到线性可分的目的。

(3)分类个数角度：

按分类的个数可分为两类SVM和多类SVM。多类SVM可直接转变为两类SVM，如构造k类分类问题，有如下两种实现机制：1对多和1对1分类机制。对于前者，需要构造k个SVM分类器，第i个子分类器就是将第i类实体与其它实体分开；1对1分类机制就是通过构建k(k-1)/2个两类分类器进行训练。多类SVM也可直接在目标函数上修改。

该类技术也存在以下缺点:

(1)SVM算法对大规模训练样本难以实施：由于SVM是借助二次规划来求解支持向量，而求解二次规划将涉及m阶矩阵的计算(m为样本的个数)，当m数目很大时该矩阵的存储和计算将耗费大量的机器内存和运算时间。

(2)基于SVM的传统流量建模仅考虑少量维度特征的建模，无法适应多种协议、多种应用、多类终端所构成的复杂网络流量环境。

2、基于统计的异常检测技术：

基于统计的异常检测技术相对于其他技术发展最早也最为成熟，在很多网络异常检测系统中该方法均被作为关键技术之一使用。统计学认为：“异常是与整体部分或完全不相关的数据，因为它不是由随机模型假设产生的”。该技术主要基于以下假设：随机模型中正常流量的产生概率很高，同时异常流量产生的概率极低。

在基于统计的异常检测方法中，系统会观察网络行为并维护一个文件记录相关网络流量的特征，包括活动强度、流量分布、流量类别等。一般情况下有两个文件：当前网络特征和历史网络特征。在网络运行过程中，该类检测方法会对当前网络特征数据进行持续更新，并周期性地对比当前待检测流量特征与历史特征的差别，以获得当前网络特征的统计量值。若该统计值超过给定阂值，则将其判断为网络异常。

基于统计的异常检测技术的优点有：

(1)不需要相关先验知识，包括系统网络安全缺陷和攻击等，能在网络运行过程中“学习”异常的特征和系统的正常行为，检测出未知异常。

(2)对持续时间较长的异常行为检测效率较高，并对DOS攻击这类网络异常具有良好的检测性能。

此外，该类技术也存在以下缺点:

(1)熟练的攻击者可以通过长期观察该类方法特征训练其正常接收异常行为，避免警报。

(2)较难确定阈值使误报率和漏报率达到平衡。

(3)该类方法需要得到流量数据的统计分布情况，但目前很多异常行为产生的流量数据都很难用纯粹的统计方法来模拟。

(4)大部分的统计异常检测技术将正常网络行为视为准静态过程，而这一假设在很多网络异常检测中都是不可行的。

发明内容

本发明提供一种网络流量异常检测方法，强化了网络态势安全监测，提高了自动安全预警能力，达到了增强网络安全性的目的。

为解决上述技术问题，本发明所采用的技术方案如下：

一种网络流量异常检测方法，对网络空间安全态势的量化表达包括如下步骤：

(1)流量特征采集与态势特征指标提取；

(2)面向态势特征的自适应学习与异常分析；

(3)网络异常态势检测与告警。

为了提高安全性、自适应性和实时性，对网络流量安全态势的量化表达包括如下步骤：

(1)流量采集与态势特征指标提取：

利用流量探针，对流量进行7x24小时捕获、分析，从中获取多个维度的态势特征指标，实现特征指标在线实时采集、日志和入库，指定周期针对全网、子网和单个IP主机各自生成一条分析记录，该记录包含了所有特征指标的当前值；

基于流采集、流分类、流跟踪等基础过程，提出多维态势特征提取技术，采集流量中的多维特征指标，从不同维度刻画网络空间的运行态势和网络实体(主机、用户等)的行为态势。

(2)面向态势特征的自适应学习与异常检测分析：

在流量采集和态势特征提取的基础上，对流量特征采集获得的指标数据进行自适应学习与异常分析；

该步骤的关键技术为自适应学习与异常分析技术，采用基于HHT(希尔伯特黄变换)的异常流量检测技术，自适应学习、识别网络中的正常状态和正常模式，形成持续可更新的学习结果，并且应用该学习结果进行后续的异常分析和检测。该步骤的输出为单个态势指标的学习知识库，以及当前指标值的异常分析结果。

(3)网络异常态势检测与告警：

在自适应学习的和异常分析基础上，进行异常态势的在线告警，在线的异常告警输出分为三类：①单个特征指标绝对值异常告警：任意特征指标的当前采样值，一旦突破阈值(学习范围上限)，则产生报警记录；②单个特征指标突跳告警：任意特征指标的前一采样值和当前采样值的跳变尺度，一旦突破跳变阈值(学习范围上限)，则产生报警记录；③多个特征指标关联告警：根据多个特征的关联知识库，多个特征的共同异常往往代表着一种可理解的、具有明确物理意义的异常(例如：DDOS攻击等,定义为“可理解的异常”)，因此，如果多个特征指标的当前采样值或突跳尺度均符合关联知识库的某项条目规定，则产生多个特征指标的关联报警记录。则多个指标的关联，即可触发更高级别的“可理解的异常”告警。

上述基于在线流量深度挖掘的网络空间态势量化表达，可分为3个层面：第一个层面为特征指标表达，即采集大规模网络流量，并通过各种特征指标，多维度精确刻画网络流量中的态势特征。第二个层面为异常态势的事件表达，即通过对特征指标的异常检测，发现态势的微观异常，触发异常事件。第三个层面为事件关联和合并输出，即关联微观的态势异常事件，触发更高级别的宏观态势异常告警；以及如何采用信号处理方法，从特征指标的时间序列中，挖掘出隐藏的可能异常的信号量，予以发现和预警，实现未知隐性态势的异常发现。

上述方法网络空间流量态势的实时量化过程中，通过网络边界流量采集与特征刻画指标体系的方式实现。该方法从网络流量中连续不断地实时挖掘多个维度特征指标、实时刻画网络空间及其流量特征，一方面可保证网络态势实时或准实时的监控、预警、应急响应需求，另一方面可以通过少量的日志规模，实现对网络流量特征的细粒度刻画，为后续的流量异常分析检测、安全预警提供优质的基础信息来源。在实时性、刻画精确性、数据规模、数据优质性方面，与传统方法相比具有明显优势。

为了提高安全性和实时性，上述步骤(1)中，多个维度的态势特征指标的获取包括如下步骤：

<1>首先，在线采集目标环境的实际流量；

<2>其次，对流量进行多维度特征指标提取(提取统计类、形态类、加密通信类、一般性行为类、空间结构类、行为类等共计40余个维度的流量特征指标)，对网络空间的流量态势进行实时量化；

<3>然后，采用经验模态分解(EEMD)方法，对每个特征指标进行频域分解，获得不同频率的信号分量，计算不同分量的信号强度、周期、方差和能量等特征值；

<4>最后，上述多个维度特征指标的多个特征值共同构成了流量特征刻画指标体系。

针对全网流量、单个网络实体流量，分别提出6个大类，40余种维度的态势特征指标，从流量中获取上述各个维度指标。6个大类分别描述如下：

上述步骤<2>中，多维度特征指标提取内容包括：如下6个大类：

1)流量统计类特征指标：该类指标提供一种对网络宏观或微观实体流量概要统计特征的刻画手段，可用于发现网络物理攻击、大规模主动攻击威胁；

2)流量形态类特征指标：旨在刻画网络的流量形态，包括规模、用户构成和应用行为模式等，可用于发现大规模主动攻击、内部攻击、网络物理攻击威胁；

3)加密通信行为类特征指标：旨在对加密网络中的加密会话、加密机和协议符合性提供刻画和验证依据，可用于发现针对加密机的内部攻击威胁；

4)一般性行为类特征指标：旨在对全网、IP子网、主机/用户的一般行为进行刻画，可用于描述基本网络服务的态势，可用于发现主动/内部攻击威胁；

5)网络空间结构类特征指标：旨在对网络形态进行刻画，主要针对全网路由特征、服务器群和关键骨干链路的路由特征进行刻画，可用于发现网络物理攻击和特定类型的主动攻击；

6)应用访问行为类特征指标：旨在对用户和应用服务器的应用行为进行刻画，可用于发现特定类型的内部用户攻击。

上述多个维度的特征指标，均可自动上传多种大数据平台提供存储和后续分析，也可提供在线的实时监测。并从网络流量中，挖掘各类与异常相关的指标，每N分钟形成一条日志记录。相关指标初步设计如下：

上述步骤(2)中，自适应学习的目的是：获得每个特征指标时间序列的在不同时间频率上的分量；获得每个特征指标的每个分量的方差、信号强度和幅度区间等。

为了提高自适应性，步骤(2)中，异常检测分析为基于希尔伯特黄变换算法的异常检测分析。对流量特征采集获得的日志数据进行智能化、自适应学习和异常检测，采用HHT算法作为异常检测的算法工具能够分析非线性非平稳信号；具有自适应性；不受Heisenberg测不准原理的制约；在频率求解方法上具有优越性。

基于希尔伯特黄变换(HHT)算法大致分两步:经验模态分解法EMD分解和希尔伯特变换，对信号进行EMD分解的过程其实是一个筛选过程，在这个过程中使信号由复杂的非线性谐波信号转变为简单的线性信号；希尔伯特变换过程就是要从这些线性信号中得到具有物理意义的瞬时频率。

经过EMD分解出的信号称为固有模态函数IMF分量，每个IMF分量都是单分量信号，将IMF分量经过希尔伯特变换可以获得一个只属于这点的瞬时频率。即在时间序列的任意时刻都能得到一个只属于这点的瞬时频率。这些瞬时频率经过希尔伯特变换可以获得，同时获得的还有幅值。经过EMD分解得到的IMF分量都有物理意义且每个分量都有各自的周期和规律，同时异常流量的分量也会被提取出来。

经验模态分解法EMD分解，包括如下步骤：

假设原信号为x(t),m(t)为极值点上下包络线的均值函数，令s(t)＝x(t),h(t)为信号分解的中间变量，c(t)为IMF函数，信号分解过程如下:

A、求出函数x(t)的所有极大值点和极小值点，通过三次样条插值函数分别构造出上包络线和下包络线，并计算出其均值函数m(t)；

B、将函数x(t)减去均值函数m(t)得到h(t)，即h(t)＝x(t)-m(t)；

C、判断h(t)是否满足IMF条件，假如不符合，令x(t)＝h(t)，对x(t)函数依次重复步骤(1),(2),(3)，否则转到(4)；

D、令imf_i(t)＝h(t),s(t)＝s(t)-h(t)，判断s(t)是否满足残余趋势项的条件，如果满足则令r(n)＝s(t)，算法结束；否则令x(t)＝s(t)，重复(1)-(4)的步骤，求出n阶的IMF分量imf_n(t)及r(n)。

本发明未提及的技术均参照现有技术。

本发明网络流量异常检测方法，采用基于数字信号多维量化特征的流量建模方法具有以下优点：

1.安全性好，采用多个维度特征指标，对流量的特征刻画更为全面，而传统的建模方法仅刻画流量大小等简单指标，只能完成低维度刻画。

2.自适应性强，建模过程不需要选择模型，也不需要调整参数，而现有模型几乎都需要人工选择模型和调整参数，不具备完全的自适应建模能力。

3.实时性好，流量的建模过程和流量采集过程同步完成，不需要离线分析各类数据集的训练过程；本申请流量模型的目标就是精确刻画流量特征，为异常检测提供精确参考，而传统流量模型大多出于流量机理研究、流量拟合、流量预测的目的，在异常检测方面实用性不强。

附图说明

图1是本发明网络流量异常检测方法技术路线图；

图2为实施例中EMD算法流程图；

图3为实施例中一个信号分解后的分解结果图。

具体实施方式

为了更好地理解本发明，下面结合实施例进一步阐明本发明的内容，但本发明的内容不仅仅局限于下面的实施例。

本发明提供一种网络流量异常检测方法，强化了网络态势安全监测，提高了自动安全预警能力，达到了增强网络安全性的目的。

为解决上述技术问题，本发明所采用的技术方案如下：

一种网络流量异常检测方法，对网络空间安全态势的量化表达包括如下步骤：

(1)流量特征采集与态势特征指标提取；

(2)面向态势特征的自适应学习与异常分析；

(3)网络异常态势检测与告警。

为了提高安全性、自适应性和实时性，对网络流量安全态势的量化表达包括如下步骤：

(1)流量采集与态势特征指标提取：

利用流量探针，对流量进行7x24小时捕获、分析，从中获取多个维度的态势特征指标，实现特征指标在线实时采集、日志和入库，指定周期(每1分钟)针对全网、子网和单个IP主机各自生成一条分析记录，该记录包含了所有特征指标的当前值；

基于流采集、流分类、流跟踪等基础过程，提出多维态势特征提取技术，采集流量中的多维特征指标，从不同维度刻画网络空间的运行态势和网络实体(主机、用户等)的行为态势。

(2)面向态势特征的自适应学习与异常检测分析：

在流量采集和态势特征提取的基础上，对流量特征采集获得的指标数据进行自适应学习与异常分析；

该步骤的关键技术为自适应学习与异常分析技术，采用基于HHT的异常流量检测技术，自适应学习、识别网络中的正常状态和正常模式，形成持续可更新的学习结果，并且应用该学习结果进行后续的异常分析和检测。该步骤的输出为单个态势指标的学习知识库，以及当前指标值的异常分析结果。

(3)网络异常态势检测与告警：

在自适应学习的和异常分析基础上，进行异常态势的在线告警，在线的异常告警输出分为三类：①单个特征指标绝对值异常告警：任意特征指标的当前采样值，一旦突破阈值(学习范围上限)，则产生报警记录；②单个特征指标突跳告警：任意特征指标的前一采样值和当前采样值的跳变尺度，一旦突破跳变阈值(学习范围上限)，则产生报警记录；③多个特征指标关联告警：根据多个特征的关联知识库，多个特征的共同异常往往代表着一种可理解的、具有明确物理意义的异常(例如：DDOS攻击等,定义为“可理解的异常”)，因此，如果多个特征指标的当前采样值或突跳尺度均符合关联知识库的某项条目规定，则产生多个特征指标的关联报警记录。，则多个指标的关联，即可触发更高级别的“可理解的异常”告警。

上述基于在线流量深度挖掘的网络空间态势量化表达，可分为3个层面：第一个层面为特征指标表达，即采集大规模网络流量，并通过各种特征指标，多维度精确刻画网络流量中的态势特征。第二个层面为异常态势的事件表达，即通过对特征指标的异常检测，发现态势的微观异常，触发异常事件。第三个层面为事件关联和合并输出，即关联微观的态势异常事件，触发更高级别的宏观态势异常告警；以及如何采用信号处理方法，从特征指标的时间序列中，挖掘出隐藏的可能异常的信号量，予以发现和预警，实现未知隐性态势的异常发现。

上述方法网络空间流量态势的实时量化过程中，通过网络边界流量采集与特征刻画指标体系的方式实现。该方法从网络流量中连续不断地实时挖掘多个维度特征指标、实时刻画网络空间及其流量特征，一方面可保证网络态势实时或准实时的监控、预警、应急响应需求，另一方面可以通过少量的日志规模，实现对网络流量特征的细粒度刻画，为后续的流量异常分析检测、安全预警提供优质的基础信息来源。在实时性、刻画精确性、数据规模、数据优质性方面，与传统方法相比具有明显优势。

为了提高安全性和实时性，上述步骤(1)中，多个维度的态势特征指标的获取包括如下步骤：

<1>首先，在线采集目标环境的实际流量；

<2>其次，对流量进行多维度特征指标提取(提取统计类、形态类、加密通信类、一般性行为类、空间结构类、行为类等共计40余个维度的流量特征指标)，对网络空间的流量态势进行实时量化；

<3>然后，采用经验模态分解(EEMD)方法，对每个特征指标进行频域分解，获得不同频率的信号分量，计算不同分量的信号强度、周期、方差和能量等特征值；

<4>最后，上述多个维度特征指标的多个特征值共同构成了流量特征刻画指标体系。

针对全网流量、单个网络实体流量，分别提出6个大类，40余种维度的态势特征指标，从流量中获取上述各个维度指标。6个大类分别描述如下：

上述步骤<2>中，多维度特征指标提取内容包括：如下6个大类：

1)流量统计类特征指标：该类指标提供一种对网络宏观或微观实体流量概要统计特征的刻画手段，可用于发现网络物理攻击、大规模主动攻击威胁；

2)流量形态类特征指标：旨在刻画网络的流量形态，包括规模、用户构成和应用行为模式等，可用于发现大规模主动攻击、内部攻击、网络物理攻击威胁；

3)加密通信行为类特征指标：旨在对加密网络中的加密会话、加密机和协议符合性提供刻画和验证依据，可用于发现针对加密机的内部攻击威胁；

4)一般性行为类特征指标：旨在对全网、IP子网、主机/用户的一般行为进行刻画，可用于描述基本网络服务的态势，可用于发现主动/内部攻击威胁；

5)网络空间结构类特征指标：旨在对网络形态进行刻画，主要针对全网路由特征、服务器群和关键骨干链路的路由特征进行刻画，可用于发现网络物理攻击和特定类型的主动攻击；

6)应用访问行为类特征指标：旨在对用户和应用服务器的应用行为进行刻画，可用于发现特定类型的内部用户攻击。

上述多个维度的特征指标，均可自动上传多种大数据平台提供存储和后续分析，也可提供在线的实时监测。并从网络流量中，挖掘各类与异常相关的指标，每N分钟形成一条日志记录。相关指标初步设计如下：

上述步骤(2)中，自适应学习的目的是：获得每个特征指标时间序列的在不同时间频率上的分量；获得每个特征指标的每个分量的方差、信号强度和幅度区间等。

为了提高自适应性，步骤(2)中，异常检测分析为基于希尔伯特黄变换算法的异常检测分析。对流量特征采集获得的日志数据进行智能化、自适应学习和异常检测，采用HHT算法作为异常检测的算法工具能够分析非线性非平稳信号；具有自适应性；不受Heisenberg测不准原理的制约；在频率求解方法上具有优越性。

基于希尔伯特黄变换(HHT)算法大致分两步:经验模态分解法EMD分解和希尔伯特变换，对信号进行EMD分解的过程其实是一个筛选过程，在这个过程中使信号由复杂的非线性谐波信号转变为简单的线性信号；希尔伯特变换过程就是要从这些线性信号中得到具有物理意义的瞬时频率。

经过EMD分解出的信号称为固有模态函数IMF分量，每个IMF分量都是单分量信号，将IMF分量经过希尔伯特变换可以获得一个只属于这点的瞬时频率。即在时间序列的任意时刻都能得到一个只属于这点的瞬时频率。这些瞬时频率经过希尔伯特变换可以获得，同时获得的还有幅值。经过EMD分解得到的IMF分量都有物理意义且每个分量都有各自的周期和规律，同时异常流量的分量也会被提取出来。

经验模态分解(EMD)是希尔伯特黄变换的核心算法，可以将该分解过程看作是一个“筛选”过程，能够根据信号自身的特点自适应地将非线性、非平稳的信号分解为多个本征模态函数和一个残余趋势项。由于本征模态函数具有线性、平稳的特点，所以Hilbert变换能够对分解后的数据进行变换，求解出信号的瞬时频率。原始信号经过分解后可以表达为:

其中，x(t)表示原信号，imf_i(t)表示第i个本征模态函数，r_n(t)表示残余趋势项。本征模态函数必须满足如下两个条件：

(1)信号极值点的个数与零点个数相等或为1；

(2)信号的由极大值拟合的上包络曲线和由极小值拟合的下包络曲线求得的的局部均值为零。

EMD算法流程，如图2所示，以信号s(t)为例，EMD算法流程如下：

(1)找出信号s(t)中的所有局部极大值点和极小值点，然后采用三次样条插值法，将所有极大值点拟合成上包络线，将所有的极小值点拟合成下包络线。

(2)求出上包络线和下包络线的平均值，得到均值包络线m₁(t)。

(3)从原始信号s(t)减去均值包络线m₁(t)，可以得到第一个分量h₁(t)。

h₁(t)＝s(t)-m₁(t)

(4)判断h₁(t)是否满足成为本征模态函数IMF的两个条件。如果不符合成为IMF的条件，则从步骤(1)重新开始并且将h₁(t)当作原始信号，进行第二次的筛选。即h₂(t)＝h₁(t)-m₂(t)

重复筛选k次可以得到

h_k(t)＝h_k-1(t)-m_k(t)

直到h_k(t)满足IMF的条件，从而得到第一个IMF分量c₁(t)，即

c₁(t)＝h_k(t)

(5)将第一个IMF分量c₁(t)从原始信号s(t)中减去可得到残余量r₁(t)，即：

r₁(t)＝s(t)-c₁(t)

(6)将r₁(t)当作新的输入信号，执行步骤(1)至步骤(5)，可得到新的残余量r₂(t)。重复上述步骤n次，可得到公式：

r₂(t)＝r₁(t)-c₂(t)

r₃(t)＝r₂(t)-c₃(t)

…

r_n(t)＝r_n-1(t)-c_n(t)

当第n个残余量r_n(t)成为单调函数或只有一个极值点，将无法再分解出新的IMF时，整个EMD的分解过程停止。

从以上步骤可以看出，原始信号s(t)可以通过成n个本征模态函数IMF与一个残余分量r_n(t)的组合得到，即

如此一来，原始信号s(t)分解成n个IMF和一个r_n(t)，然后便可将各个IMF进行希尔伯特变换进行瞬时频率的分析，一个信号分解后的分解结果如图3所示。

本发明网络流量异常检测方法，采用基于数字信号多维量化特征的流量建模方法具有以下优点：安全性好，采用多个维度特征指标，对流量的特征刻画更为全面，而传统的建模方法仅刻画流量大小等简单指标，只能完成低维度刻画；自适应性强，建模过程不需要选择模型，也不需要调整参数，而现有模型几乎都需要人工选择模型和调整参数，不具备完全的自适应建模能力；实时性好，流量的建模过程和流量采集过程同步完成，不需要离线分析各类数据集的训练过程；本申请流量模型的目标就是精确刻画流量特征，为异常检测提供精确参考，而传统流量模型大多出于流量机理研究、流量拟合、流量预测的目的，在异常检测方面实用性不强。

Claims (10)

1.一种网络流量异常检测方法，其特征在于：对网络空间安全态势的量化表达包括如下步骤：

(1)流量特征采集与态势特征指标提取；

(2)面向态势特征的自适应学习与异常分析；

(3)网络异常态势检测与告警。

2.如权利要求1所述的网络流量异常检测方法，其特征在于：对网络流量安全态势的量化表达包括如下步骤：

(1)流量采集与态势特征指标提取：

利用流量探针，对流量进行7x24小时捕获、分析，从中获取多个维度的态势特征指标，实现特征指标在线实时采集、日志和入库，指定周期针对全网、子网和单个IP主机各自生成一条分析记录，该记录包含了所有特征指标的当前值；

(2)面向态势特征的自适应学习与异常检测分析：

在流量采集和态势特征提取的基础上，对流量特征采集获得的指标数据进行自适应学习与异常分析；

(3)网络异常态势检测与告警：

在自适应学习的和异常分析基础上，进行异常态势的在线告警，在线的异常告警输出分为三类：①单个特征指标绝对值异常告警：任意特征指标的当前采样值，一旦突破阈值，则产生报警记录；②单个特征指标突跳告警：任意特征指标的前一采样值和当前采样值的跳变尺度，一旦突破跳变阈值，则产生报警记录；③多个特征指标关联告警：如果多个特征指标的当前采样值或突跳尺度均符合关联知识库的某项条目规定，则产生多个特征指标的关联报警记录。

3.如权利要求2所述的网络流量异常检测方法，其特征在于：步骤(1)中，

多个维度的态势特征指标的获取包括如下步骤：

<1>首先，在线采集目标环境的实际流量；

<2>其次，对流量进行多维度特征指标提取，对网络空间的流量态势进行实时量化；

<3>然后，采用经验模态分解方法，对每个特征指标进行频域分解，获得不同频率的信号分量，计算不同分量的信号强度、周期、方差和能量特征值；

<4>最后，上述多个维度特征指标的多个特征值共同构成了流量特征刻画指标体系。

4.如权利要求3所述的网络流量异常检测方法，其特征在于：步骤<2>中，多维度特征指标提取内容包括：如下6个大类：

1)流量统计类特征指标：该类指标提供一种对网络宏观或微观实体流量概要统计特征的刻画手段，用于发现网络物理攻击、大规模主动攻击威胁；

2)流量形态类特征指标：旨在刻画网络的流量形态，包括规模、用户构成和应用行为模式，用于发现大规模主动攻击、内部攻击、网络物理攻击威胁；

3)加密通信行为类特征指标：旨在对加密网络中的加密会话、加密机和协议符合性提供刻画和验证依据，用于发现针对加密机的内部攻击威胁；

4)一般性行为类特征指标：旨在对全网、IP子网、主机/用户的一般行为进行刻画，可用于描述基本网络服务的态势，用于发现主动/内部攻击威胁；

5)网络空间结构类特征指标：旨在对网络形态进行刻画，主要针对全网路由特征、服务器群和关键骨干链路的路由特征进行刻画，用于发现网络物理攻击和特定类型的主动攻击；

6)应用访问行为类特征指标：旨在对用户和应用服务器的应用行为进行刻画，用于发现特定类型的内部用户攻击。

5.如权利要求4所述的网络流量异常检测方法，其特征在于：流量统计类特征指标包括：ONLINE_USERS：在线用户数；IP_INBPS：IP入平均流量(bps)；IP_OUTBPS：IP出平均流量(bps)；TCP_INBPS：TCP入平均流量(bps)；TCP_OUTBPS：TCP出平均流量(bps)；UDP_INBPS：UDP入平均流量(bps)；UDP_OUTBPS：UDP出平均流量(bps)；

流量形态类特征指标包括：TCP_FLOWS：TCP会话数；TCP_PEERS：TCP主机数；PKTS_PER_TCPFLOW：平均每个TCP会话往来包数量；AVGLEN_IN_TCPFLOW：TCP会话平均入数据包长度(字节)；AVGLEN_OUT_TCPFLOW：TCP会话平均出数据包长度(字节)；UDP_FLOWS：UDP会话数；UDP_PEERS：UDP主机数；PKTS_PER_UDPFLOW：平均每个UDP会话往来包数量；AVGLEN_IN_UDPFLOW：UDP会话平均入数据包长度(字节)；AVGLEN_OUT_UDPFLOW：UDP会话平均出数据包长度(字节)；

加密通信行为类特征指标包括：IPSEC_FLOWS：加密会话数量；IPSEC_HOSTS：加密会话主机数；PKTS_PER_IPSECFLOW：平均每个加密会话的往来数据包数量；AVGLEN_IN_IPSECFLOW：加密会话平均入数据包长度(字节)；AVGLEN_OUT_IPSECFLOW：加密会话平均出数据包长度(字节)；IPSEC_OUTBPS：加密出流量(bps)；IPSEC_INBPS：加密入流量(bps)；

一般性行为类特征指标包括：dns_querys：发出的DNS请求数；dns_answers：收到的DNS应答数；dns_errs：DNS错误数；syn_outcount：发出的TCP SYN次数；syn_inacks：收到的SYN+ACK应答数；syn_incount：收到的TCP SYN次数；syn_outacks：发出的TCP SYN+ACK次数；ICMP_INPPS：ICMP入平均流量(pps)；ICMP_OUTPPS：ICMP出平均流量(pps)；OTHERIP_INPPS：其他IP报文入平均流量(pps)；OTHERIP_OUTPPS：其他IP报文出平均流量(pps)；

网络空间结构类特征指标包括：TTLSERVER_MAX：服务器端最大路由跳数；TTLSERVER_MIN：服务器端最小路由跳数；TTLSERVER_AVG：服务器端平均路由跳数；TTLCLIENT_MAX：客户端最大路由跳数；TTLCLIENT_MIN：客户端最小路由跳数；TTLCLIENT_AVG：客户端平均路由跳数；

应用访问行为类特征指标包括：HTTP_GETS：HTTP GET请求数量；HTTP_POSTS：HTTPPOST发送数量；HTTP_FAILS：HTTP请求失败数量；MAIL_SENT：发送邮件数量；MAIL_RECV：接收邮件数量；MEDIA_FLOWS：媒体流数量；FTP_DOWNLOADS：FTP下载数量；FTP_UPLOADS：FTP上传数量；PATTERN_MATCH_MAX：多模式匹配成功的报文数量；PAYLOAD_REQUESTS_MAX：同类型载荷疑似重发数量；PROTOCOL_MATCH_MAX：协议符合性检测告警报文数量。

6.如权利要求2-5任意一项所述的网络流量异常检测方法，其特征在于：步骤(2)中，自适应学习的目的是：获得每个特征指标时间序列在不同时间频率上的分量；获得每个特征指标的每个分量的方差、信号强度和幅度区间。

7.如权利要求2-5任意一项所述的网络流量异常检测方法，其特征在于：步骤(2)中，异常检测分析为基于希尔伯特黄变换算法的异常检测分析。

8.如权利要求7所述的网络流量异常检测方法，其特征在于：基于希尔伯特黄变换算法分两步:经验模态分解法EMD分解和希尔伯特变换，对信号进行EMD分解的过程其实是一个筛选过程，在这个过程中使信号由复杂的非线性谐波信号转变为简单的线性信号；希尔伯特变换过程就是要从这些线性信号中得到具有物理意义的瞬时频率。

9.如权利要求8所述的网络流量异常检测方法，其特征在于：经验模态分解法EMD分解出的信号称为固有模态函数IMF分量，每个IMF分量都是单分量信号，将IMF分量经过希尔伯特变换获得一个只属于这点的瞬时频率。

10.如权利要求9所述的网络流量异常检测方法，其特征在于：经验模态分解法EMD分解，包括如下步骤：

假设原信号为x(t),m(t)为极值点上下包络线的均值函数，令s(t)＝x(t),h(t)为信号分解的中间变量，c(t)为IMF函数，信号分解过程如下:

A、求出函数x(t)的所有极大值点和极小值点，通过三次样条插值函数分别构造出上包络线和下包络线，并计算出其均值函数m(t)；

B、将函数x(t)减去均值函数m(t)得到h(t)，即h(t)＝x(t)-m(t)；

C、判断h(t)是否满足IMF条件，假如不符合，令x(t)＝h(t)，对x(t)函数依次重复步骤(1),(2),(3)，否则转到(4)；

D、令imf_i(t)＝h(t),s(t)＝s(t)-h(t)，判断s(t)是否满足残余趋势项的条件，如果满足则令r(n)＝s(t)，算法结束；否则令x(t)＝s(t)，重复(1)-(4)的步骤，求出n阶的IMF分量imf_n(t)及r(n)。

Images