网络流量异常判断方法和装置的制造方法

文档序号:8475022阅读:332来源:国知局
网络流量异常判断方法和装置的制造方法
【技术领域】
[0001] 本发明涉及计算机技术领域,具体涉及一种网络流量异常判断方法和装置。
【背景技术】
[0002] 随着网络技术的不断提高和应用领域的不断普及,网络攻击等恶意行为已经严重 威胁了计算机网络的安全,网络异常行为会导致网络流量异常,因此能够及时准确的检测 出网络异常对于维护网络安全有着十分重要的意义。
[0003] 当前主要的网络流量检测方法是进行特征匹配,也就是说在检测之前要建立一个 表征网络特征的模型,然后采集实时的网络流量进行处理,得到的特征值与事先建立的流 量模型进行匹配,检测当前的网络是否异常。该方法的主要缺点是,由于网络的千变万化, 流量模型也是不断的变化的,那么特征库就需要不断的更新来保证检测的精确度,这种检 测方法需要建立一个庞大的特征库,且需要对特征库进行不断地更新,如果更新不及时,那 就有可能造成检测结果出错,并且该方法无法对突发性的网络异常做出快速的检测。

【发明内容】

[0004] 鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上 述问题的网络流量异常判断装置和相应的网络流量异常判断方法。
[0005] 依据本发明的一个方面,提供了一种网络流量异常判断方法,包括:
[0006] 实时获取网络流量;
[0007] 根据网络流量的采集时刻,构造网络流量的时间序列;
[0008] 对时间序列中新增的子时间序列,计算所述子时间序列的赫斯特指数;
[0009] 根据所述赫斯特指数与阀值范围的关系,则判断网络流量是否出现异常。
[0010] 优选地,所述根据网络流量的采集时间,构造网络流量的时间序列包括:
[0011] 针对网络流量器中的各数据包,获取数据包的数据大小和采集时刻;
[0012] 统计同一采集时刻下的总数据大小,并将总数据大小按采集时刻的顺序放入时间 序列。
[0013] 优选地,所述对时间序列中新增的子时间序列,计算所述子时间序列的赫斯特指 数之后,还包括:
[0014] 记录每次计算的赫斯特指数,得到针对赫斯特指数的时间序列。
[0015] 优选地,判断网络流量出现异常包括:
[0016] 根据已记录的赫斯特指数的时间序列,对网络流量进行异常检测。
[0017] 优选地,还包括:
[0018] 根据已记录的赫斯特指数的时间序列,计算每个赫斯特指数所在采集时刻的的方 差;
[0019] 根据所述各个采集时刻的赫斯特指数的方差,对网络流量进行异常检测。
[0020] 优选地,还包括:
[0021] 当网络流量进入高峰情况,根据所述赫斯特指数与阀值范围的关系,判断所述高 峰时段的网络流量是否为正常的网络流量。
[0022] 优选地,所述根据所述赫斯特指数与阀值范围的关系,则判断网络流量是否出现 异常包括:
[0023] 判断所述赫斯特指数是否在阀值范围之内;如果所述赫斯特指数不在阀值范围之 内,则判断网络流量出现异常。
[0024] 优选地,所述阀值范围包括:至少大于0. 5并且至少小于1。
[0025] 优选地,所述对时间序列中新增的子时间序列,计算所述子时间序列的赫斯特指 数包括:
[0026] 判断是否为初次计算赫斯特指数;如果是,则对赫斯特指数进行初始化,根据初次 的时间序列确定赫斯特函数中的系数;如果不是,则利用确定了系数的赫斯特函数,对时间 序列中新增的子时间序列,计算所述子时间序列的赫斯特指数。
[0027] 本发明还提供了一种网络流量异常判断装置,其特征在于,包括:
[0028] 流量获取模块,适于实时获取网络流量;
[0029] 时间序列构造模块,适于根据网络流量的采集时刻,构造网络流量的时间序列;
[0030] 赫斯特指数计算模块,适于对时间序列中新增的子时间序列,计算所述子时间序 列的赫斯特指数;
[0031] 流量异常判断模块,适于根据所述赫斯特指数与阀值范围的关系,则判断网络流 量是否出现异常。。
[0032] 相对【背景技术】,本发明具有以下优点:
[0033] 本发明对采集的网络流量的时间序列,渐进式的对时间序列中新增的部分,计算 赫斯特指数。比如,当前获取到网络流量的时间序列ml,计算出其赫斯特指数,当时间序列 的长度增加到m2时,前面的ml不会被用来计算赫斯特指数,此时计算m2-ml部分的赫斯特 指数,当序列长度逐渐增加时,重复上述步骤,通过计算增加部分的时间序列的赫斯特指数 得到一系列渐进的赫斯特指数。那么,一旦检测到赫斯特指数与预置的阀值范围之间的关 系符合预置条件,比如赫斯特指数大于设置的上阀值或小于下阀值,就可以认为当前网络 流量异常,反之,当赫斯特指数位于设定的阀值范围内,则认为当前网络流量正常。因此,本 发明可以利用网络流量的赫斯特指数的变化来区分异常的流量和正常的流量,这种方法有 别于传统的根据特征值匹配的检测算法,从网络流量的本身出发,不需要建立一个庞大的 特征库,大大减少了检测的时间和成本。
[0034] 上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段, 而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够 更明显易懂,以下特举本发明的【具体实施方式】。
【附图说明】
[0035] 通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通 技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明 的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0036] 图1示出了根据本发明一个实施例的一种网络流量异常判断方法的流程示意图;
[0037] 图IA示出了根据本发明一个实施例的赫斯特采集点时间序列示例;
[0038] 图2示出了根据本发明一个实施例的一种网络流量异常判断方法的流程示意图;
[0039] 图2A示出了根据本发明一个实施
当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1