CN110933023A - 一种面向多媒体医疗设备组网通信的网络流量异常检测方法 - Google Patents

Abstract

该发明公开了一种面向多媒体医疗设备组网通信的网络流量异常检测方法，属于网络通信技术领域。本发明根据上述改进的经验模态分解方法，利用多样条函数克服了单样条函数的局限性。并根据上述经验模态分解过程得到最优固有模态函数分量。本发明方法解决实际上从实际信号分量中分离出来的包络的平均值不为零的问题。首先，本发明使用小波包变换来预处理网络流量。网络流量被分解为多个窄带信号，这些信号表现出更详细的网络流量特征。其次，利用经验模式分解方法将这些窄带信号划分为不同尺度，时间和时频域的固有模式函数。本发明计算了这些不同尺度下固有模函数的光谱峰度值，以去除经验模式分解的错误成分。

Description

一种面向多媒体医疗设备组网通信的网络流量异常检测方法

技术领域

本发明是属于网络通信技术领域，特别涉及多媒体医疗设备组网通信的网络流量异常检测 方法。

背景技术

随着无线通信和可穿戴技术的发展，连接各种多媒体医疗设备的多媒体通信网络目前正用 于临床和医疗问题，如智能医院，智能诊所，家庭智能康复等。多媒体医疗设备的广泛应用产 生了巨大的网络流量。异常或不正常的多媒体医疗设备会产生异常网络流量并影响对医疗问题 的诊断。如何找到异常网络流量对于多媒体医疗设备的正常应用非常重要。异常网络流量描述 了大规模多媒体通信网络中存在的异常动作和行为。这些异常行为通常会对多媒体通信网络产 生重要影响，例如降低网络性能甚至扰乱网络。这直接损害了诊所和医疗过程。目前，防火墙 或防病毒软件在遭受网络攻击(如分布式拒绝服务(Distributed Denial of service，DDoS)攻击 和网络蠕虫)时，不足以保护网络数据的安全。入侵检测系统的错误和假阴性报警直接影响其 检测可信度，导致网络攻击发生时网络中断和通信中断。因此，快速检测网络中的流量异常， 估计异常流量的原因，快速采取正确的对策是网络管理和网络运行的重要前提。因此，用于医 疗问题的大规模多媒体通信网络中的流量异常检测已成为一个重要的研究课题,必须有新方法 来克服这个问题。

正确识别网络流量非常困难，其较大的变化通常会导致网络的故障和拥塞；异常和异常流 量通常比正常的后台网络流量小得多，并且被淹没在巨大的后台流量中，这使它隐藏起来并且 难以发现；此外，一些异常流量也具有突发特性和分布特性。所有上述特征增加了检测异常网 络流量的难度

为了克服这些问题，已经提出了许多方法来检测通信网络中的异常业务。采用主成分分析 法(Principal Component Analysis，PCA)来检测和诊断网络范围的异常流量；使用时间周期 数据包采样来进行无监督总体异常检测；使用偏差分异常检测(DeviationScore Anomaly Detection，DSAD)方法等。然而，由于异常网络流量的隐藏性质，这些方法难以准确地检测 通信网络中的异常业务，需要不同于以往的新的技术的提出。本发明提出的一种面向多媒体医 疗设备组网通信的网络流量异常检测方法，克服了上述大部分缺点，能够很好的检测医疗设备 中的大规模通信网络中的流量异常。

发明内容

针对现有方法存在的不足，解决现有异常流量检测技术的不足，本发明提出一种面向多媒 体医疗设备组网通信的网络流量异常检测方法，该方法可以克服上述缺点达到检测目的。

本发明技术方案为一种面向多媒体医疗设备组网通信的网络流量异常检测方法，具体步骤 如下：

步骤1:初始化阈值α和阈值β；多媒体医疗设备的通信网络信号为x(t)；

步骤2:根据由正交缩放函数φ(t)确定的一系列函数进行小波包变换，得到新序列；

正交缩放函数φ(t)确定的一系列函数为：

其中，W₀(t)＝φ(t)，W₁(t)＝ψ(t)，进而有

n是抽样数量,k代表空间位置信息,k＝1,2,3,...,n，h_k表示低通滤波器，g_k表示高通滤波 器，Z为小于等于n的任意整数，函数集{W_n(t)}_n∈Z是由正交尺度函数W₀(t)＝φ(t)决定的；

通过小波包分解，多媒体医疗设备的通信网络信号x(t)在子空间中的系数为

即：

j表示信号x(t)的整个频带划分的带宽尺度，j一定时，信号x(t)的整个频带划分的带宽 一定，选择不同的n值即相当于信号通过不同的带通滤波器，从而将不同频带的信号分离开； 因此，在子空间

和

中存在如下等式：

式(1)-(3)表示网络流量x(t)的小波包变换，其中

和

表示小波包系数；在小波包变 换中，低频滤波器得到的尺度系数表示网络流量信号的轮廓信息，高频滤波器得到的小波系数 表示网络流量信号的细节；

基于小波包变换的网络流量重构；

是x(t)的小波包系数，表示在范围j内的n 小波包；根据

和时频分析理论，推导出

如下：

其中，{h_k}_k∈Z∈l²(Z)为低通滤波器的系数，{g_k}_k∈Z∈l²(Z)为高通滤波器的系数；根据式 (5)，重构网络流量新序列x(t)；

步骤3:根据经验模态分解方法对每个新序列进行分解；从而获得固有模态函数分量；

步骤4:计算各固有模态函数分量的谱峰态值，并得到其谱峰度值；

步骤5:选择对应的固有模态函数分量，得到所选的固有模态函数分量集；

步骤6:计算出时域信号

步骤7:判断给定公式是否成立,则将时域信号中相应的部分标记为异常网络流量；

确定

是否有异常分量，采用3δ方法来确保检测阈值β；若以下方程成立：

则

中的对应部分是异常的。

步骤8:判断是否按照上述步骤执行了所有小波包分量，则将结果保存到文件中并退出，否 则回到步骤2。

进一步的，所述步骤3的经验模态分解方法，具体过程如下：

令r₀(t)＝x(t)，i＝0，最大迭代步数K；令k＝0，h_i+1,k(t)＝r_i(t),v＝P，其中P为事先设定 的大于等于0的实数，并令样条函数s(t)为三次样条；找出信号h_i+1,k(t)的局部极大值和极小值， 然后使用基于s(t)样条插值的方法来创建两个样条曲线，即上包络曲线x_u(t)和下包络曲线x_l(t)， 两条包络线分别经过了所有局部最大值点和最小值点；用m_i+1,k＝(x_u(t)+x_l(t))/2来计算上包络 曲线和下包络曲线的平均值，然后设h_i+1,k+1(t)＝h_i+1,k(t)-m_i+1,k；

出现以下三种情况；

若h_i+1,k+1(t)满足作为固有函数模式分量的条件，则获得第i个固有模式函数分量g_i+1(t)＝h_i+1,k+1(t)，然后令r_i+1(t)＝r_i(t)-g_i+1(t)；

若v＞m_i+1,k，则令v＝m_i+1,k，h(t)＝h_i+1,k+1(t)；

若s_flag＝3，则令样条函数s(t)为B样条，s_flag＝b，并找出信号h_i+1,k(t)的局部极大 值和极小值，然后使用基于s(t)样条插值的方法来创建上包络曲线x_u(t)和下包络曲线x_l(t)；

在执行上述经验模式分解过程后，将网络流量x(t)分解为一系列正交和独立的固有模式函 数分量，如下所示：

其中，r_m是代表信号x(t)的平均趋势的残差分量，m表示函数的个数。

进一步的，所述步骤4计算固有模态函数分量的谱峰态值分析，具体过程如下：

对于一个信号y(t)，其在频域中的Wold-Cramer分解可表示为：

其中，

是时变传递函数，代表了信号y(t)在时刻t和频率f复包络,dX(f)是信号 x(t)的光谱过程；当

是一个随机函数,包络的形状取决于时变随机变量

得到以下 方程：

其中，S_2nY(t,f)是信号y(t)的2n阶时刻，表示在时间t和频率f的复包络中包含的能量， S_2nX(t,f)是信号x(t)的2n阶时刻，H(t,f)表示当前选择的时变传递函数；信号y(t)的2n阶瞬 时力矩S_2nY(f)可以表示为：

S_2nY(f)＝E{S_2nY(t,f)}

＝E{|H(t,f)|²ⁿ}*S_2nX(f) (9)

其中，E是期望算子，S_2nX(f)表示信号x(t)的2n阶瞬时力矩；

得到四阶谱累积量C_4Y(f)为：

得到谱峰度值为：

进一步的，所述步骤5所述的选择固有模态函数分量操作，具体过程如下：

设H(g_sv[k])表示固有模式函数分量g_sv[k]的能量谱；根据式(11)，每个本征模函数分量 g_sv[k]的谱峰度值J(g_sv[k])可以这样获得：

其中，mean(·)表示平均算子，s＝0,1,2,...,2^M-1。

进一步的，所述步骤6的计算出时域信号

具体过程如下：

其中，

表示得到的时域中的可疑网络流量信号。

步骤8所述部分检测方法，具体过程如下：

如果J(g_sv[k])＞α,那么根据式(12)选出相应的固有模态函数分量g_sv[k]；重复这样的过 程，在如下给定频带内获得j固有模函数分量：

其中，_sm＝{g_s1[k],...,g_sm[k]},m＝m₀,m₀,...,m_2M-1，符号′用于标记集合I_sm中的新变量；

通过式(22)，得到如下等式：

其中，s∈{0,1,...,2^M-1}，利用可疑的异常特征，得到不同频率的小波包系数，由式(7)可 得如下等式：

进而得到重构时间信号如下：

其中，

表示根据式(16)-(17)得到的时域中的可疑网络流量信号。

本发明涉及到的符号定义如下：

x(t)为表示网络流量，α表示阈值，β表示阈值，K表示最大迭代步数，s(t)表示样条函 数，x_u(t)表示包络曲线，x_l(t)表示下包络曲线，g_i+1(t)表示第i个固有模式函数分量，r_i+1(t)表 示残差，r_m表示代表信号x(t)的平均趋势的残差分量，N表示网络流量信号的长度，n表示抽 样数量,k代表空间位置信息，

表示子空间，

表示与

不同的子空间，

和

表示小波包系数，{h_k}_k∈Z∈l²(Z)表示低通滤波器的系数，{g_k}_k∈Z∈l²(Z)表示高通滤波 器的系数，h_k表示低通滤波器，g_k表示高通滤波器，φ(t)表示尺度函数，v_j和w_j表示小波变 换的尺度和小波系数，

和

表示

的子空间，Z表示表示整数，z_i(t)表示对应的c_i[k] 是小波包变换系数，

表示残留分量，表示信号c_s[k]的平均趋势，g_0s[k]表示表示信号c_s[k]的 固有函数模式分量，

表示是时变传递函数，代表了信号y(t)在时刻t和频率f复包络， dX(f)表示是信号x(t)的光谱过程，S_2nY(t,f)表示是信号y(t)的2n阶时刻，表示在时间t和频 率f的复包络中包含的能量，S_2nX(t,f)表示是信号x(t)的2n阶时刻，E表示期望算子，mean(·) 表示表示平均算子，′表示用于标记集合I_sm中的新变量，

表示根据式(16)-17)得到的 时域中的可疑网络流量信号。

本发明有益结果：本发明根据上述改进的经验模态分解方法，利用多样条函数克服了单样 条函数的局限性。并根据上述经验模态分解过程得到最优固有模态函数分量。本发明方法解决 实际上从实际信号分量中分离出来的包络的平均值不为零的问题。首先，本发明使用小波包变 换来预处理网络流量。网络流量被分解为多个窄带信号，这些信号表现出更详细的网络流量特 征。其次，利用经验模式分解方法将这些窄带信号划分为不同尺度，时间和时频域的固有模式 函数。本发明计算了这些不同尺度下固有模函数的光谱峰度值，以去除经验模式分解的错误成 分。因此，本发明可以获得新的时间和频率信号，突出异常网络流量的隐藏性质，本发明对上 述时间和时频信号进行经验模式分解和小波包变换的重建，以获得一系列新的时域信号。然后 本发明可以找到并诊断异常的网络流量，较以往方式有很大进步。

附图说明

图1为给出本发明用于医疗问题的大型多媒体通信网络中异常流量的检测模型图；

图2为异常检测中无异常和有异常的网络流量图；

图3为本发明异常检测结果从(4,1)到(4,8)不同节点的小波包系数图；

图4为本发明异常检测结果从(4,9)到(4,16)不同节点的小波包系数图；

图5为本发明检测性能中固有模态函数分量图；

图6为本发明检测性能中具有异常的网络流量检测结果图；

具体实施方式

下面结合附图对本发明的实施方式作进一步详细的说明：

一种面向多媒体医疗设备组网通信的网络流量异常检测方法，具体步骤如下：

步骤一:初始化阈值,给定网络流量信号；

初始化阈值α和阈值β；

给定网络流量x(t)。

步骤二:根据给定公式进行小波包变换，得到新序列；

首先利用小波包变换来执行网络流量的时域分析。小波包变换可以定义为由正交缩放函数 φ(t)确定的一系列函数，即：

其中，W₀(t)＝φ(t)，W₁(t)＝ψ(t)，进而有：

n是抽样数量,k代表空间位置信息,k＝1,2,3,...,n。函数集{W_n(t)}_n∈Z是由正交尺度函数 W₀(t)＝φ(t)决定的。通过小波包分解，网络流量信号x(t)在子空间中的系数为

即:

j表示信号x(t)的整个频带划分的带宽尺度，j一定时，信号x(t)的整个频带划分的带宽 一定，选择不同的n值即相当于信号通过不同的带通滤波器，从而将不同频带的信号分离开。 因此，在子空间

和

中存在如下等式：

式(1)-(3)表示网络流量x(t)的小波包变换，其中

和

表示小波包系数。在小波包 变换中，低频滤波器得到的尺度系数表示网络流量信号的轮廓信息，高频滤波器得到的小波系 数表示网络流量信号的细节。

根据

和时频分析理论,可以推导出

如下：

其中，{h_k}_k∈Z∈l²(Z)为低通滤波器的系数，{g_k}_k∈Z∈l²(Z)为高通滤波器的系数。根据式 (7)，可以重构网络流量x(t)。

步骤三:根给定和改进经验模态分解方法对每个新序列进行分解。从而为c_s[k]获得固有模 态函数分量；

令r₀(t)＝x(t)，i＝0，并初始化阈值α，最大迭代步数K；令k＝0，h_i+1,k(t)＝r_i(t),v＝P(其 中P≥0)，并令样条函数s(t)为三次样条；找出信号h_i+1,k(t)的局部极大值和极小值，然后使用 基于s(t)样条插值的方法来创建两个样条曲线，即上包络曲线x_u(t)和下包络曲线x_l(t)，两条包 络线分别经过了所有局部最大值点和最小值点；用m_i+1,k＝(x_u(t)+x_l(t))/2来计算上包络曲线和 下包络曲线的平均值，然后设h_i+1,k+1(t)＝h_i+1,k(t)-m_i+1,k.

出现以下三种情况；

若h_i+1,k+1(t)满足作为固有函数模式分量的条件，则获得第i个固有模式函数分量g_i+1(t)＝h_i+1,k+1(t)，然后令r_i+1(t)＝r_i(t)-g_i+1(t)；

若v＞m_i+1,k，则令v＝m_i+1,k，h(t)＝h_i+1,k+1(t)；

若s_flag＝3，则令样条函数s(t)为B样条，s_flag＝b，并找出信号h_i+1,k(t)的局部极大 值和极小值，然后使用基于s(t)样条插值的方法来创建上包络曲线x_u(t)和下包络曲线x_l(t)

在执行上述经验模式分解过程后，本发明可以将网络流量x(t)分解为一系列正交和独立的 固有模式函数分量，如下所示：

其中，r_m是代表信号x(t)的平均趋势的残差分量，m表示函数的个数。

步骤四:计算各固有模态函数分量的谱峰态值，并得到其谱峰度值；

谱峰度定义为归一化能量的四阶谱累积。它可用于测量特定频率下一个过程中的概率密度 函数的峰值。从信号处理的角度来看，频谱峰度可以被解释为针对频率f下的理想滤波器组的 输出计算的峰度值。因此，频谱峰度对信号中的瞬态分量敏感，并且还可以更准确地指示它们 将在哪个频率处发生。在本发明中，使用谱峰度方法来计算方程式中表示的固有模式中函数分 量的峰度值。因此，可以精确定位异常网络流量。

对于一个信号y(t)，其在频域中的Wold-Cramer分解可表示为：

其中，

是时变传递函数，代表了信号y(t)在时刻t和频率f复包络,dX(f)是信号 x(t)的光谱过程。当

是一个随机函数,包络的形状取决于时变随机变量

然后可以 得到以下方程

其中，S_2nY(t,f)是信号y(t)的2n阶时刻，表示在时间t和频率f的复包络中包含的能量， S_2nX(t,f)是信号x(t)的2n阶时刻，H(t,f)表示当前选择的时变传递函数。等式(8)为研究非 平稳过程的时频特性提供了理论基础，该过程汇总了多个输出的平均值。并且2n阶瞬时力矩 S_2nY(f)可以表示为：

S_2nY(f)＝E{S_2nY(t,f)}

＝E{|H(t,f)|²ⁿ}*S_2nX(f) (9)

其中，E是期望算子。

网络流量可以看作是一个非平稳过程，因此c_s[k]通常具有该属性。非平稳过程的一个重 要特征是非高斯分布，该特征的最佳统计量是谱的累积。当频谱累积量高于或等于四阶的偶数 阶时刻时，对于非高斯过程，它具有非零值。四阶谱累积量C_4Y(f)定义为：

然后频谱峰值可以定义为：

由式(19)-(20)，可以发现非高斯信号越强，信号四阶光谱累积C_4Y(f)越大，光谱峰度 K_Y(f)越高。因此，可以通过光谱峰度值从信号中更好地检测瞬态异常。这通过计算其谱峰度 值来检测异常网络流量。

步骤五:判断谱峰度值是否大于第一个阈值,是则选择对应的固有模态函数分量，并得到所 选的固有模态函数分量集；

判断步骤四的谱度峰值，为了准确地检测异常网络流量，根据提出的检测模型，计算每个 固有模态函数分量的谱峰度值。因此，可以识别隐藏在固有模式功能组件中的瞬态信息。因此， 频带中包含的瞬态信息的特征越明显，相应的固有模式函数分量的频谱峰度K_Y(f)越大。光谱 峰度可用于测量能谱幅度，因此可以很容易地描述异常分量。假设H(g_sv[k])表示固有模式函 数分量g_sv[k]的能量谱。根据式(11)，每个本征模函数分量g_sv[k]的谱峰度值J(g_sv[k])可以这 样获得：

其中，mean(·)表示平均算子，s＝0,1,2,...,2^M-1。

步骤六:计算出时域信号

其中，

表示得到的时域中的可疑网络流量信号。

步骤七:判断给定公式是否成立,则将时域信号中相应的部分标记为异常网络流量。

进一步确定

是否有异常分量，采用3δ方法来确保检测阈值β。若以下方程成立：

则

中的对应部分是异常的。

步骤八:判断是否按照上述步骤执行了所有小波包分量，则将结果保存到文件中并退出， 否则回到步骤二。

给定一个阈值α,如果J(g_sv[k])＞α,那么根据式(12)选出相应的固有模态函数分量g_sv[k]。 重复这样的过程，在如下给定频带内获得j固有模函数分量：

其中，

符号′用于标记集合I_sm中的新变量。

通过式(22)，可以得到如下等式：

其中，s∈{0,1,...,2^M-1}。根据式(16)，利用可疑的异常特征，可以得到不同频率的小波包 系数。由式(5)可得如下等式：

进而得到重构时间信号如下：

其中，

表示根据式(16)-(17)得到的时域中的可疑网络流量信号。

实施例

步骤一:初始化阈值,给定网络流量信号；

使用来自真实骨干网络-Internet2网络(http://www.internet2.edu/)的流量数据作为背景流量， 作为实验的网络流量信号，然后向背景流量注入三次攻击以检测和分析WESAD的检测性能。 同时初始化两个阈值α和阈值β；

步骤二:根据给定公式进行小波包变换，得到新序列；

通过小波包分解，得到网络流量信号x(t)在子空间中的系数为

即

因此，在子空间

和

中存在如下等式：

式(1)-(4)表示网络流量x(t)的小波包变换，其中

和

表示小波包系数。带入 相关数据，根据上述公式步骤得到对应的小波包变换。

图2绘制了有异常和无异常的网络流量。从图2可以看出，有异常的网络流量与没有异常的 网络流量几乎相同。因此，直接检测和诊断异常网络流量非常困难。而且，异常网络流量的隐 藏性质进一步增加了难度。图3和4表示不同节点处异常网络流量的小波包系数。尽管小波包分 解可以有效地表征网络流量中的细节，但是图3和图4表明小波包系数具有很强的时变性。并且 在不同的分解节点处，异常网络流量的小波包系数描述了联合时频特性。这有助于对网络流量 进行进一步分析，以便提取和捕获异常分量。

步骤三:根给定和改进经验模态分解方法对每个新序列进行分解。从而为c_s[k]获得固有模 态函数分量；

令r₀(t)＝x(t)，i＝0，并初始化阈值α，最大迭代步数K；令k＝0，h_i+1,k(t)＝r_i(t),s_flag＝3, v＝P(其中P≥0)，并令样条函数s(t)为三次样条；找出信号h_i+1,k(t)的局部极大值和极小值， 然后使用基于s(t)样条插值的方法来创建两个样条曲线，即上包络曲线x_u(t)和下包络曲线x_l(t)， 两条包络线分别经过了所有局部最大值点和最小值点；用m_i+1,k＝(x_u(t)+x_l(t))/2来计算上包络 曲线和下包络曲线的平均值，然后设h_i+1,k+1(t)＝h_i+1,k(t)-m_i+1,k.

根据对以上得出数据的三种情况进行讨论，直到进行下一步骤

步骤四:计算各固有模态函数分量的谱峰态值，并得到其谱峰度值；

频谱峰值为：

代入步骤一到四得到的相关数据可求出。

步骤五:判断谱峰度值是否大于第一个阈值,是则选择对应的固有模态函数分量，并得到所 选的固有模态函数分量集；

根据所给判断条件判断谱峰度值是否大于给出的第一个阈值，

步骤六:计算出时域信号

根据上述步骤得到数据计算出时域信号

步骤七:判断给定公式是否成立,则将时域信号中相应的部分标记为异常网络流量。

进一步确定

是否有异常分量，采用3δ方法来确保检测阈值β。若以下方程成立：

则

中的对应部分是异常的。

步骤八:判断是否按照上述步骤执行了所有小波包分量，则将结果保存到文件中并退出， 否则回到步骤二。

图5表示在根据本发明提出的方法执行经验模式分解过程之后异常网络流量的固有模式功 能组件。可以很容易地看到内在模式功能组件照亮了隐藏的性质和细节部分。这表明提出的检 测模型和方法是可行的。

图6绘制了具有和不具有异常的网络流量检测结果，其中红点线表示检测阈值，青色点矩 形表示异常网络流量部分。对于没有异常的网络流量，可以发现提出的方法没有检查异常部分。 这是合理的，与所期望的相同。对于异常的网络流量，图6显示本发明的方法可以准确地检测 它们。如图6所示，本发明的方法可以正确检查并找出存在异常网络流量的位置。更重要的是， 从图6中还发现，对于异常的网络流量，与正常的网络流量相比，本发明的方法可以突出隐藏 的异常特征。对于正常的网络流量，很难确定合适的阈值，而对于异常的网络流量，本发明的 方法可以找到有效可行的阈值来分离异常。这进一步说明了本发明提出的模型和方法能够有效 地检测和发现网络流量中的异常分量。

最后讨论和分析本发明的方法WESAD和其他三种方法，即PCA,DSAD和PSAD。为了展示四种 方法的检测性能，利用Internet2网络中7周的背景流量，分别对它们进行3种攻击：攻击1、攻 击2、攻击3，分别表示低频、中频、高频和混频攻击。

可以看出，WESAD对攻击1的检测性能最好，SPAD较好，DSAD较差，PCA最差。并且WESAD 的ROC曲线明显优于其他三种算法。当假阳性率为0.2时，WESAD、DSAD、SPAD、PCA的真实阳性 率分别为0.97、0.60、0.50、0.46。与其他三种算法相比，WESAD可以对攻击2进行最精确的检 测。当假阳性率为0.2时，WESAD、PCA、SPAD和DSAD的真实阳性率分别为0.96、0.62、0.58和 0.29。当假阳性率为0.1时，WESAD、PCA、SPAD、DSAD的真实阳性率分别为0.96、0.35、0.34、 0.15左右。因此，与其他三种算法相比，WESAD具有最好的检测精度和能力。

与其他三种算法相比，给定假阳性率时WESAD总是具有最大的真阳性率。更重要的是， WESAD对于任何攻击的ROC曲线远远超过其他三种算法。这进一步说明WESAD对异常网络流量 具有准确的检测能力。

Claims (6)

1.一种面向多媒体医疗设备组网通信的网络流量异常检测方法，具体步骤如下：

步骤1:初始化阈值α和阈值β；多媒体医疗设备的通信网络信号为x(t)；

步骤2:根据由正交缩放函数φ(t)确定的一系列函数进行小波包变换，得到新序列；

正交缩放函数φ(t)确定的一系列函数为：

其中，W₀(t)＝φ(t)，W₁(t)＝ψ(t)，进而有

n是抽样数量,k代表空间位置信息,k＝1,2,3,...,n，h_k表示低通滤波器，g_k表示高通滤波器，Z为小于等于n的任意整数，函数集{W_n(t)}_n∈Z是由正交尺度函数W₀(t)＝φ(t)决定的；

通过小波包分解，多媒体医疗设备的通信网络信号x(t)在子空间中的系数为

即：

j表示信号x(t)的整个频带划分的带宽尺度，j一定时，信号x(t)的整个频带划分的带宽一定，选择不同的n值即相当于信号通过不同的带通滤波器，从而将不同频带的信号分离开；因此，在子空间

和

中存在如下等式：

式(1)-(3)表示网络流量x(t)的小波包变换，其中

和

表示小波包系数；在小波包变换中，低频滤波器得到的尺度系数表示网络流量信号的轮廓信息，高频滤波器得到的小波系数表示网络流量信号的细节；

基于小波包变换的网络流量重构；

是x(t)的小波包系数，表示在范围j内的n小波包；根据

和时频分析理论，推导出

如下：

其中，{h_k}_k∈Z∈l²(Z)为低通滤波器的系数，{g_k}_k∈Z∈l²(Z)为高通滤波器的系数；根据式(5)，重构网络流量新序列x(t)；

步骤3:根据经验模态分解方法对每个新序列进行分解；从而获得固有模态函数分量；

步骤4:计算各固有模态函数分量的谱峰态值，并得到其谱峰度值；

步骤5:选择对应的固有模态函数分量，得到所选的固有模态函数分量集；

步骤6:计算出时域信号

步骤7:判断给定公式是否成立,则将时域信号中相应的部分标记为异常网络流量；

确定

是否有异常分量，采用3δ方法来确保检测阈值β；若以下方程成立：

则

中的对应部分是异常的。

步骤8:判断是否按照上述步骤执行了所有小波包分量，则将结果保存到文件中并退出，否则回到步骤2。

2.如权利要求1所述的一种面向多媒体医疗设备组网通信的网络流量异常检测方法，其特征在于所述步骤3的经验模态分解方法，具体过程如下：

令r₀(t)＝x(t)，i＝0，最大迭代步数K；令k＝0，h_i+1,k(t)＝r_i(t),v＝P，其中P为事先设定的大于等于0的实数，并令样条函数s(t)为三次样条；找出信号h_i+1,k(t)的局部极大值和极小值，然后使用基于s(t)样条插值的方法来创建两个样条曲线，即上包络曲线x_u(t)和下包络曲线x_l(t)，两条包络线分别经过了所有局部最大值点和最小值点；用m_i+1,k＝(x_u(t)+x_l(t))/2来计算上包络曲线和下包络曲线的平均值，然后设h_i+1,k+1(t)＝h_i+1,k(t)-m_i+1,k；

出现以下三种情况；

若h_i+1,k+1(t)满足作为固有函数模式分量的条件，则获得第i个固有模式函数分量g_i+1(t)＝h_i+1,k+1(t)，然后令r_i+1(t)＝r_i(t)-g_i+1(t)；

若v＞m_i+1,k，则令v＝m_i+1,k，h(t)＝h_i+1,k+1(t)；

若s_flag＝3，则令样条函数s(t)为B样条，s_flag＝b，并找出信号h_i+1,k(t)的局部极大值和极小值，然后使用基于s(t)样条插值的方法来创建上包络曲线x_u(t)和下包络曲线x_l(t)；

在执行上述经验模式分解过程后，将网络流量x(t)分解为一系列正交和独立的固有模式函数分量，如下所示：

其中，r_m是代表信号x(t)的平均趋势的残差分量，m表示函数的个数。

3.如权利要求1所述的一种面向多媒体医疗设备组网通信的网络流量异常检测方法，其特征在于所述步骤4计算固有模态函数分量的谱峰态值分析，具体过程如下：

对于一个信号y(t)，其在频域中的Wold-Cramer分解可表示为：

其中，

是时变传递函数，代表了信号y(t)在时刻t和频率f复包络,dX(f)是信号x(t)的光谱过程；当

是一个随机函数,包络的形状取决于时变随机变量

得到以下方程：

其中，S_2nY(t,f)是信号y(t)的2n阶时刻，表示在时间t和频率f的复包络中包含的能量，S_2nX(t,f)是信号x(t)的2n阶时刻，H(t,f)表示当前选择的时变传递函数；信号y(t)的2n阶瞬时力矩S_2nY(f)可以表示为：

S_2nY(f)＝E{S_2nY(t,f)}

＝E{|H(t,f)|²ⁿ}*S_2nX(f) (9)

其中，E是期望算子，S_2nX(f)表示信号x(t)的2n阶瞬时力矩；

得到四阶谱累积量C_4Y(f)为：

得到谱峰度值为：

4.如权利要求1所述的一种面向多媒体医疗设备组网通信的网络流量异常检测方法，其特征在于所述步骤5所述的选择固有模态函数分量操作，具体过程如下：

设H(g_sv[k])表示固有模式函数分量g_sv[k]的能量谱；根据式(11)，每个本征模函数分量g_sv[k]的谱峰度值J(g_sv[k])可以这样获得：

其中，mean(·)表示平均算子，s＝0,1,2,...,2^M-1。

5.如权利要求1所述的一种面向多媒体医疗设备组网通信的网络流量异常检测方法，其特征在于所述步骤6的计算出时域信号

具体过程如下：

其中，

表示得到的时域中的可疑网络流量信号。

6.如权利要求1所述的一种面向多媒体医疗设备组网通信的网络流量异常检测方法，其特征在于所述步骤8所述部分检测方法，具体过程如下：

如果J(g_sv[k])＞α,那么根据式(12)选出相应的固有模态函数分量g_sv[k]；重复这样的过程，在如下给定频带内获得j固有模函数分量：

其中，

符号′用于标记集合I_sm中的新变量；

通过式(22)，得到如下等式：

其中，s∈{0,1,...,2^M-1}，利用可疑的异常特征，得到不同频率的小波包系数，由式(7)可得如下等式：

进而得到重构时间信号如下：

其中，

表示根据式(16)-(17)得到的时域中的可疑网络流量信号。

Images