專利名稱:一種檢測(cè)網(wǎng)絡(luò)流量異常的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域���,尤其是涉及一種檢測(cè)網(wǎng)絡(luò)流量異常的方法及 裝置��。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展�,網(wǎng)絡(luò)流量成為網(wǎng)絡(luò)通信的重要參數(shù)指標(biāo)�。 而網(wǎng)絡(luò)流量異常在當(dāng)今計(jì)算機(jī)網(wǎng)絡(luò)中也是非常常見的,網(wǎng)絡(luò)設(shè)備的不良運(yùn)
行�����、網(wǎng)絡(luò)操作異常�、突發(fā)訪問(flashcrowd)、網(wǎng)絡(luò)入侵等都能引起網(wǎng)絡(luò)流 量異常��。有些網(wǎng)絡(luò)流量異常能夠引起網(wǎng)絡(luò)的擁塞和路由器資源的消耗��,有 些網(wǎng)絡(luò)流量異常能對(duì)用戶終端造成很大的影響�。因此,在網(wǎng)絡(luò)管理和網(wǎng)絡(luò) 安全領(lǐng)域中���,越來越需要準(zhǔn)確�����、快速地;f企測(cè)網(wǎng)絡(luò)流量異常���。
對(duì)網(wǎng)絡(luò)流量異常的檢測(cè)是指先在用戶、系統(tǒng)或者網(wǎng)絡(luò)正常操作的一段時(shí) 間收集事件和行為的信息��,再根據(jù)這些信息建立正?���;蛘哂行袨榈哪J健?在檢測(cè)的時(shí)候����,通過某種度量,對(duì)當(dāng)前行為和正常行為進(jìn)行比較����,計(jì)算事件 的行為偏離正常行為的程度,如果偏離程度超過一定的范圍�,則認(rèn)為網(wǎng)絡(luò)流 量發(fā)生異常,并進(jìn)行報(bào)警�。
目前, 一般檢測(cè)網(wǎng)絡(luò)流量異常的方法都是在時(shí)域或頻域中進(jìn)行的����。但是����, 無論是在時(shí)域還是在頻域中�,對(duì)網(wǎng)絡(luò)流量異常的檢測(cè)只能得到信號(hào)的時(shí)域或 頻域特征,而無法同時(shí)對(duì)信號(hào)的時(shí)域和頻域特征進(jìn)行分析�����。并且�,網(wǎng)絡(luò)流量 信號(hào)又是非平穩(wěn)的,其統(tǒng)計(jì)量是時(shí)變的����,因此,檢測(cè)的有效性較低����,誤檢率 和漏檢率較大。
為了提高了檢測(cè)的有效性����,降低誤檢率和漏檢率, 一種網(wǎng)絡(luò)流量異常的 沖企測(cè)方法采用時(shí)頻分析對(duì)時(shí)域和頻域中的網(wǎng)絡(luò)流量異常進(jìn)行才全測(cè)�����,采用該方 法能夠同時(shí)得到信號(hào)的時(shí)域和頻域特征。該方法基于平滑WVD (WignerVille Distribution,魏格納分布)����,首先對(duì)MIB (Management Information Base,管理
信息庫)中的變量V進(jìn)行時(shí)間間隔為At的采樣,獲得時(shí)間序列��;再對(duì)該序列 進(jìn)行差分處理����,得到網(wǎng)絡(luò)流量變化序列�;然后利用希爾伯特變換,將該網(wǎng)絡(luò) 流量變化序列轉(zhuǎn)換為解析序列��;再利用核函數(shù)法����,將解析信號(hào)對(duì)應(yīng)的WVD進(jìn) 行時(shí)頻平滑;最后�,該方法用獲取的不同網(wǎng)絡(luò)服務(wù)的時(shí)頻特性分布作為訓(xùn)練 樣本,采用K最近鄰分類器對(duì)網(wǎng)絡(luò)流量異常進(jìn)行一睹誤分類�。
在實(shí)現(xiàn)本發(fā)明過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題由于 希爾伯特變換本身對(duì)噪聲比較敏感�,因此不適宜直接應(yīng)用于網(wǎng)絡(luò)流量變化序 列。而且��,由于WVD是一種二次型變換,當(dāng)分析多頻率成分的信號(hào)時(shí)���,會(huì)出 現(xiàn)多個(gè)交叉項(xiàng)干擾���,雖然采用核函數(shù)對(duì)WVD進(jìn)行了時(shí)頻平滑,但是該平滑過 程在消除交叉項(xiàng)干擾的同時(shí)也降低了分辨能力�����,使得對(duì)流量信號(hào)檢測(cè)的準(zhǔn)確 性降低����。另外,該方法需要進(jìn)行WVD計(jì)算���,計(jì)算工作量很大����,因而系統(tǒng)開銷 也較大�,會(huì)降低檢測(cè)的實(shí)時(shí)性。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種檢測(cè)網(wǎng)絡(luò)流量異常的方法及裝置�,可以提高對(duì)流 量信號(hào)檢測(cè)的準(zhǔn)確性。
為達(dá)到上述目的,本發(fā)明的一個(gè)實(shí)施例的技術(shù)方案提供一種檢測(cè)網(wǎng)絡(luò)流 量異常的方法���,包括以下步驟根據(jù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量生成檢測(cè)信號(hào)���;對(duì)所 述檢測(cè)信號(hào)進(jìn)行廣義希爾伯特變換,并獲取所述網(wǎng)絡(luò)流量的瞬時(shí)振幅和瞬時(shí) 頻率�;根據(jù)所述瞬時(shí)振幅和瞬時(shí)頻率,獲取方差偏離分?jǐn)?shù)值�����;當(dāng)所述偏離分 數(shù)值大于預(yù)警門限值時(shí)����,則確定所述網(wǎng)絡(luò)流量異常�。
本發(fā)明的 一個(gè)實(shí)施例的技術(shù)方案提供一種檢測(cè)網(wǎng)絡(luò)流量異常的裝置,包 括檢測(cè)信號(hào)生成單元�,用于根據(jù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量生成檢測(cè)信號(hào);瞬時(shí)參 數(shù)獲取單元�,用于對(duì)所述檢測(cè)信號(hào)進(jìn)行廣義希爾伯特變換,并獲取所述網(wǎng)絡(luò) 流量的瞬時(shí)振幅和瞬時(shí)頻率���;方差偏離分?jǐn)?shù)值獲取單元�����,用于根據(jù)所述瞬時(shí) 振幅和瞬時(shí)頻率�,獲取方差偏離分?jǐn)?shù)值;異常判別單元�����,用于當(dāng)所述偏離分 數(shù)值大于預(yù)警門限值時(shí)��,確定所述網(wǎng)絡(luò)流量異常�����。
本發(fā)明實(shí)施例的一個(gè)技術(shù)方案通過廣義希爾伯特變換計(jì)算檢測(cè)信號(hào)的
瞬時(shí)參數(shù)�����,包括瞬時(shí)頻率和瞬時(shí)振幅����,以此進(jìn)行網(wǎng)絡(luò)流量的異常檢測(cè)。由 于廣義希爾波特變換計(jì)算瞬時(shí)參數(shù)的方法具有抗干擾能力強(qiáng)����,更能突出主 要的異常變化的優(yōu)點(diǎn),所以提高了對(duì)流量信號(hào)檢測(cè)的準(zhǔn)確性,降低了誤檢
率和漏;險(xiǎn)率�。
圖1是本發(fā)明實(shí)施例的一種^r測(cè)網(wǎng)絡(luò)流量異常的方法流程圖2是本發(fā)明實(shí)施例的滑動(dòng)窗口的樣本方差檢測(cè)示意圖3是本發(fā)明實(shí)施例的一種檢測(cè)網(wǎng)絡(luò)流量異常的裝置的結(jié)構(gòu)圖。
具體實(shí)施例方式
下面結(jié)合附圖和實(shí)施例�,對(duì)本發(fā)明的具體實(shí)施方式
作進(jìn)一步詳細(xì)描述 本發(fā)明實(shí)施例的一種檢測(cè)網(wǎng)絡(luò)流量異常的方法如圖1所示,首先�����,根據(jù) 網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量生成檢測(cè)信號(hào)�;然后,對(duì)所述檢測(cè)信號(hào)進(jìn)行廣義希爾伯特 變換�,并獲取所述網(wǎng)絡(luò)流量的瞬時(shí)振幅和瞬時(shí)頻率;再根據(jù)所述瞬時(shí)振幅和 瞬時(shí)頻率���,獲取方差偏離分?jǐn)?shù)值��;最后,判斷所述方差偏離分?jǐn)?shù)值是否大于 預(yù)警門限值����,如果是,則判定所述網(wǎng)絡(luò)流量異常����。參照?qǐng)D1,本實(shí)施例包括以 下步驟
步驟s101,根據(jù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量生成檢測(cè)信號(hào)。本實(shí)施例中對(duì)路由器
收集的原始網(wǎng)絡(luò)流量包信息進(jìn)行統(tǒng)計(jì)后,采用單位時(shí)間內(nèi)通過路由器的包數(shù)
作為檢測(cè)信號(hào)�,該檢測(cè)信號(hào)由公式 |0, ( w=0)
l(ro-("-i) , ro-"]時(shí)間段內(nèi)收集到的包數(shù)��,(n〉o)
得到��;其中�����,fln]為第n個(gè)釆樣點(diǎn)的檢測(cè)信號(hào)����,To為單位時(shí)間。
步驟s102����,對(duì)檢測(cè)信號(hào)進(jìn)行廣義希爾伯特變換。根據(jù)所有正的頻率成分 的和��,及時(shí)間信號(hào)x0)在以t為中心的時(shí)窗內(nèi)的傅立葉變換獲取廣義希爾伯特 變換的實(shí)部��,例如對(duì)任一連續(xù)的時(shí)間信號(hào)x")��,可4艮據(jù)爿^式
》K0 = {2*Zw{Re[W�����, w)]}" +Re[Z(/,0)]f 獲:f又廣義希爾伯特變換的實(shí)部;
根據(jù)所有正的頻率成分的和�����,及時(shí)間信號(hào)xO)在以t為中心的時(shí)窗內(nèi)的傅立葉 變換獲取廣義希爾伯特變換的虛部����;例如可以根,公式
M0 = {2*SM;{Im[X(^)]}"^ 獲取廣義希爾伯特變換的虛部����;
根據(jù)獲取的廣義希爾伯特變換的實(shí)部和虛部獲取廣義希爾伯特變換,例如 可以根據(jù)公式
柳=一)+ /*鄉(xiāng))
獲取廣義希爾伯特變換����;
其中,hr(t)為Ln階廣義希爾伯特變換的實(shí)部����,hi(t)為"階廣義希爾伯特 變換的虛部��,h(t)為Ln階廣義希爾伯特變換�����,Sw為對(duì)所有的正的頻率成分
求和,X(f,w)為時(shí)間信號(hào)x(0在以t為中心的時(shí)窗內(nèi)的傅立葉變換��,如果釆用 高斯函數(shù)作為窗函數(shù)��,則X(/,w)即為Gabor變換��。
步驟s103,獲取網(wǎng)絡(luò)流量的瞬時(shí)振幅和瞬時(shí)頻率���。根據(jù)廣義希爾伯特變 換的實(shí)部和虛部獲取所述瞬時(shí)振幅�,例如可以根據(jù)如下公式
"洲=#2(0+&2(0
獲取所述瞬時(shí)振幅����;其中,ag(t)為瞬時(shí)振幅���,hr(t)為廣義希爾伯特變換的 實(shí)部�,hi(t)為廣義希爾伯特變換的虛部����。
根據(jù)廣義希爾伯特變換的實(shí)部和虛部獲取所述瞬時(shí)頻率,例如可以根 據(jù)公式
d (arctan )
獲耳又所述瞬時(shí)頻率�����;其中,co(t)為瞬時(shí)頻率���,hr(t)為廣義希爾伯特變換的 實(shí)部��,hi(t)為廣義希爾伯特變換的虛部�����。 步驟sl04��,獲取方差偏離分?jǐn)?shù)值��。
本實(shí)施例中�����,通過對(duì)網(wǎng)絡(luò)的監(jiān)測(cè)和對(duì)歷史網(wǎng)絡(luò)流量數(shù)據(jù)的分析���,得到流 量的參數(shù),該參數(shù)為檢測(cè)信號(hào)的瞬時(shí)振幅和瞬時(shí)頻率各自的方差����。然后根據(jù) 該參數(shù)對(duì)當(dāng)前時(shí)刻的網(wǎng)絡(luò)流量信號(hào)進(jìn)行檢測(cè),判斷該信號(hào)是否出現(xiàn)異常���,本 實(shí)施例采用基于滑動(dòng)時(shí)窗的樣本方差檢測(cè)算法��。本實(shí)施例的滑動(dòng)窗口的樣本
方差4企測(cè)示意圖如圖2所示�,包括兩個(gè)測(cè)量窗口歷史窗口和才全測(cè)窗口����。兩 個(gè)窗口都隨著時(shí)間的移動(dòng)而移動(dòng),做到實(shí)時(shí)更新��。其中���,歷史窗口越大�����,樣 本方差就越接近與總體信號(hào)的方差��,結(jié)果就會(huì)越準(zhǔn)確�,但是太大的歷史窗口 會(huì)增大系統(tǒng)的存儲(chǔ)及計(jì)算開銷����,所以取值時(shí)應(yīng)該權(quán)衡這兩方面的因素�����;檢測(cè) 窗口的大小和待檢測(cè)異常的持續(xù)時(shí)間相當(dāng)時(shí)效果最理想���,但是異常流量的持 續(xù)時(shí)間通常是有一個(gè)變化范圍的,為了能夠檢測(cè)出流量中的所有異常�,本實(shí) 施例中選取最長異常流量的時(shí)長作為檢測(cè)窗口 。方差偏離分?jǐn)?shù)值的獲取過程 如下
首先�,根據(jù)檢測(cè)窗口 (t-DetWin, t)中的瞬時(shí)振幅和瞬時(shí)頻率,獲取當(dāng) 前網(wǎng)絡(luò)流量的瞬時(shí)4展幅和瞬時(shí)頻率各自的第一方差VI;其中t為當(dāng)前時(shí)刻�����, DetWin為檢測(cè)窗口長度��。
然后�����,根據(jù)歷史窗口 (t-HisWin, t)中的瞬時(shí)振幅和瞬時(shí)頻率�����,獲取正 常網(wǎng)絡(luò)流量的瞬時(shí)振幅和瞬時(shí)頻率各自的第二方差V2;其中t為當(dāng)前時(shí)刻, HisWin為歷史窗口長度�。
最后,根據(jù)公式
ratio = (Vl/V2) 2 獲取兩段窗口內(nèi)的方差偏離分?jǐn)?shù)值��;其中����,ratio為方差偏離分?jǐn)?shù)值��。 步驟sl05����,判斷方差偏離分?jǐn)?shù)值是否大于預(yù)警門限值,如果是�����,則確定 網(wǎng)絡(luò)流量異常�����,否則確定網(wǎng)絡(luò)流量正常��。其中�����,方差偏離分?jǐn)?shù)值反映了檢測(cè) 窗口中樣本較歷史窗口數(shù)據(jù)的偏離,如果當(dāng)前時(shí)刻點(diǎn)上的信號(hào)有異常�����,則必
然會(huì)影響到檢測(cè)窗的測(cè)量結(jié)果��,該偏離值會(huì)有一個(gè)幅度值的增長��。綜合考慮 瞬時(shí)振幅及瞬時(shí)頻率的偏離值�����,只要其中之一超過預(yù)警門限����,則認(rèn)為出現(xiàn)了 異常。而預(yù)警門限則根據(jù)網(wǎng)絡(luò)的實(shí)際狀況來設(shè)置�����,本實(shí)施例中根據(jù)公式
ratioth = x+3cj
來設(shè)置預(yù)警門限值�����;其中ratioth為預(yù)警門限值,�;為正常流量情況下瞬時(shí) 頻率或者瞬時(shí)振幅r。,/���。值的均值��,o"為正常流量情況下瞬時(shí)頻率或者瞬時(shí)才展幅 值的方差�。
本實(shí)施例通過廣義希爾伯特變換計(jì)算檢測(cè)信號(hào)的瞬時(shí)參數(shù)�����,包括瞬時(shí)
頻率和瞬時(shí)振幅���,以此進(jìn)^f亍網(wǎng)絡(luò)流量的異常4企測(cè),提高了對(duì)流量信號(hào)纟企測(cè) 的準(zhǔn)確性����,降低了誤檢率和漏檢率。并且�,本實(shí)施例采用基于滑動(dòng)時(shí)窗的 樣本方差檢測(cè)算法,運(yùn)算簡單���,對(duì)網(wǎng)絡(luò)流量處理時(shí)間短�����,提高了對(duì)流量信 號(hào);f全測(cè)的實(shí)時(shí)性�。
本發(fā)明實(shí)施例的一種檢測(cè)網(wǎng)絡(luò)流量異常的裝置的結(jié)構(gòu)如圖3所示,包括
檢測(cè)信號(hào)生成單元31��、瞬時(shí)參數(shù)獲取單元32����、方差偏離分?jǐn)?shù)值獲取單元33、
異常判別單元34和預(yù)警門限值設(shè)置單元35;其中�����,瞬時(shí)參數(shù)獲取單元32分
別與檢測(cè)信號(hào)生成單元31和方差偏離分?jǐn)?shù)值獲取單元33連接���,異常判別單
元34分別與方差偏離分?jǐn)?shù)值獲取單元33和預(yù)警門限值設(shè)置單元35連接���。
檢測(cè)信號(hào)生成單元31用于根據(jù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量生成檢測(cè)信號(hào),該檢測(cè) 信號(hào)為單位時(shí)間內(nèi)通過路由器的網(wǎng)絡(luò)流量的包數(shù)��。
瞬時(shí)參數(shù)獲取單元32用于對(duì)檢測(cè)信號(hào)生成單元31中生成的檢測(cè)信號(hào)進(jìn) 行廣義希爾伯特變換���,并獲取網(wǎng)絡(luò)流量的瞬時(shí)振幅和瞬時(shí)頻率��。
方差偏離分?jǐn)?shù)值獲取單元33用于根據(jù)瞬時(shí)參數(shù)獲取單元32獲取的瞬時(shí) 振幅和瞬時(shí)頻率����,計(jì)算兩段窗口內(nèi)的方差偏離分?jǐn)?shù)值。方差偏離分?jǐn)?shù)值獲取 單元33進(jìn)一步包括當(dāng)前檢測(cè)窗口網(wǎng)絡(luò)流量方差獲取子單元331�����、歷史窗口方 差獲取子單元332和方差偏離分?jǐn)?shù)值計(jì)算子單元333;其中���,方差偏離分?jǐn)?shù) 值計(jì)算子單元333分別與當(dāng)前檢測(cè)窗口網(wǎng)絡(luò)流量方差獲取子單元331和歷史 窗口方差獲取子單元332連接����。當(dāng)前檢測(cè)窗口網(wǎng)絡(luò)流量方差獲取子單元331 用于根據(jù)圖2中4全測(cè)窗口 (t-DetWin, t)中的瞬時(shí)振幅和瞬時(shí)頻率(該瞬時(shí) 振幅和瞬時(shí)頻率由瞬時(shí)參數(shù)獲取單元32得到)����,獲取瞬時(shí)振幅和瞬時(shí)頻率各 自的第一方差V1;其中t為當(dāng)前時(shí)刻���,DetWin為檢測(cè)窗口長度�����。歷史窗口方 差獲^f又子單元332用于根據(jù)圖2中歷史窗口 (t-HisWin, t)中的瞬時(shí)振幅和 瞬時(shí)頻率(該瞬時(shí)振幅和瞬時(shí)頻率由瞬時(shí)參數(shù)獲取單元32得到)�,獲取瞬時(shí) 振幅和瞬時(shí)頻率各自的第二方差V2;其中t為當(dāng)前時(shí)刻,HisWin為歷史窗口 長度����。方差偏離分?jǐn)?shù)值計(jì)算子單元333用于根據(jù)當(dāng)前檢測(cè)窗口網(wǎng)絡(luò)流量方差 獲取子單元獲取的第一方差VI和所述歷史窗口方差獲取子單元獲取的第二 方差V2,計(jì)算對(duì)網(wǎng)絡(luò)流量的方差偏離分?jǐn)?shù)值�����,并將所述方差偏離分?jǐn)?shù)值發(fā)
送到異常判別單元34��。
預(yù)警門限值設(shè)置單元35用于根據(jù)網(wǎng)絡(luò)的實(shí)際狀況��,設(shè)置預(yù)警門限值�����,并 將該預(yù)警門限值發(fā)送到異常判別單元34���。
異常判別單元34用于根據(jù)方差偏離分?jǐn)?shù)值獲取單元33獲取到的方差偏 離分?jǐn)?shù)值和預(yù)警門限值設(shè)置單元35設(shè)置的預(yù)警門限值�����,確定網(wǎng)絡(luò)流量是否異 常�。如果該方差偏離分?jǐn)?shù)值大于預(yù)警門限值����,則確定網(wǎng)絡(luò)流量發(fā)生異常����,否 則確定網(wǎng)絡(luò)流量正常���。
本實(shí)施例通過廣義希爾伯特變換計(jì)算檢測(cè)信號(hào)的瞬時(shí)參數(shù)�,包括瞬時(shí) 頻率和瞬時(shí)振幅���,以此進(jìn)行網(wǎng)絡(luò)流量的異常;f企測(cè)�����,提高了對(duì)流量信號(hào);j僉測(cè) 的準(zhǔn)確性����,降低了誤檢率和漏檢率�。并且�,本實(shí)施例采用基于滑動(dòng)時(shí)窗的 樣本方差檢測(cè)算法,運(yùn)算簡單��,對(duì)網(wǎng)絡(luò)流量處理時(shí)間短�����,提高了對(duì)流量信 號(hào)檢測(cè)的實(shí)時(shí)性。
以上所述僅是本發(fā)明的實(shí)施方式����,應(yīng)當(dāng)指出,對(duì)于本技術(shù)領(lǐng)域的普通技 術(shù)人員來說����,在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤飾��, 這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍�����。
權(quán)利要求
1��、一種檢測(cè)網(wǎng)絡(luò)流量異常的方法���,其特征在于���,包括以下步驟根據(jù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量生成檢測(cè)信號(hào);對(duì)所述檢測(cè)信號(hào)進(jìn)行廣義希爾伯特變換����,并獲取所述網(wǎng)絡(luò)流量的瞬時(shí)振幅和瞬時(shí)頻率�;根據(jù)所述瞬時(shí)振幅和瞬時(shí)頻率�����,獲取方差偏離分?jǐn)?shù)值��;當(dāng)所述偏離分?jǐn)?shù)值大于預(yù)警門限值時(shí)�����,則確定所述網(wǎng)絡(luò)流量異常��。
2���、 如權(quán)利要求1所述檢測(cè)網(wǎng)絡(luò)流量異常的方法�����,其特征在于,所述根據(jù) 網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量生成檢測(cè)信號(hào)的步驟具體為所述檢測(cè)信號(hào)由公式i(『() ( , ro-"]時(shí)間段內(nèi)收集到的包數(shù)���,(n > 0 ) 得到�;其中,f[n]為檢測(cè)信號(hào)��,To為單位時(shí)間�。
3、 如權(quán)利要求1所述檢測(cè)網(wǎng)絡(luò)流量異常的方法��,其特征在于���,所述對(duì)檢 測(cè)信號(hào)進(jìn)行廣義希爾伯特變換��,具體包括根據(jù)所有正的頻率成分的和���,及時(shí)間信號(hào)x(O在以t為中心的時(shí)窗內(nèi)的傅 立葉變換獲:f又廣義希爾伯特變換的實(shí)部;根據(jù)所有正的頻率成分的和�,及時(shí)間信號(hào)JC(/)在以t為中心的時(shí)窗內(nèi)的傅 立葉變換獲ft廣義希爾伯特變換的虛部;根據(jù)獲取的廣義希爾伯特變換的實(shí)部和虛部獲取廣義希爾伯特變換�。
4、 如權(quán)利要求3所述檢測(cè)網(wǎng)絡(luò)流量異常的方法�,其特征在于,所述獲取 網(wǎng)絡(luò)流量的瞬時(shí)振幅��,具體為才艮據(jù)廣義希爾伯特變換的實(shí)部和虛部獲取所 述瞬時(shí)纟展幅�����。
5、 如權(quán)利要求3所述檢測(cè)網(wǎng)絡(luò)流量異常的方法�����,其特征在于�,所述獲取 網(wǎng)絡(luò)流量的瞬時(shí)頻率,具體為根據(jù)廣義希爾伯特變換的實(shí)部和虛部獲取所 述瞬時(shí)頻率��。
6���、 如權(quán)利要求1所述檢測(cè)網(wǎng)絡(luò)流量異常的方法����,其特征在于��,獲取方差 偏離分?jǐn)?shù)值����,具體包括獲取當(dāng)前檢測(cè)窗口內(nèi)網(wǎng)絡(luò)流量的瞬時(shí)振幅和瞬時(shí)頻率各自的第一方差; 獲取歷史窗口內(nèi)網(wǎng)絡(luò)流量的瞬時(shí)振幅和瞬時(shí)頻率各自的第二方差�����; 根據(jù)所述第 一方差和所述第二方差獲取所述方差偏離分?jǐn)?shù)值。
7�����、 如權(quán)利要求6所述檢測(cè)網(wǎng)絡(luò)流量異常的方法�����,其特征在于��,所述獲取 當(dāng)前網(wǎng)絡(luò)流量的瞬時(shí)振幅和瞬時(shí)頻率各自的第一方差具體為根據(jù);險(xiǎn)測(cè)窗口中的瞬時(shí)振幅和瞬時(shí)頻率���,獲取所述瞬時(shí)振幅和瞬時(shí)頻率 各自的第一方差。
8��、 如權(quán)利要求6所述檢測(cè)網(wǎng)絡(luò)流量異常的方法��,其特征在于�,所述獲取 正常網(wǎng)絡(luò)流量的瞬時(shí)振幅和瞬時(shí)頻率各自的第二方差具體為才艮據(jù)歷史窗口中的瞬時(shí):派幅和瞬時(shí)頻率,獲耳又所述瞬時(shí)4展幅和瞬時(shí)頻率 各自的第二方差���。
9����、 如權(quán)利要求1所述檢測(cè)網(wǎng)絡(luò)流量異常的方法,其特征在于��,在所述判 斷偏離分?jǐn)?shù)值是否大于預(yù)警門限值之前����,還包括根據(jù)歷史網(wǎng)絡(luò)中,瞬時(shí)頻 率或者瞬時(shí)振幅的方差偏離分?jǐn)?shù)值的均值和瞬時(shí)頻率或者瞬時(shí)振幅的方差 偏離分?jǐn)?shù)值的方差設(shè)置預(yù)警門限值����。
10、 一種檢測(cè)網(wǎng)絡(luò)流量異常的裝置����,其特征在于,包括 檢測(cè)信號(hào)生成單元�����,用于根據(jù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量生成檢測(cè)信號(hào)����; 瞬時(shí)參數(shù)獲取單元,用于對(duì)所述檢測(cè)信號(hào)進(jìn)行廣義希爾伯特變換���,并獲耳又所述網(wǎng)絡(luò)流量的瞬時(shí)振幅和瞬時(shí)頻率�;方差偏離分?jǐn)?shù)值獲取單元,用于4艮據(jù)所述瞬時(shí)振幅和所述瞬時(shí)頻率����,獲 取方差偏離分?jǐn)?shù)值;異常判別單元�,用于當(dāng)所述偏離分?jǐn)?shù)值大于預(yù)警門限值時(shí)�,確定所述網(wǎng) 絡(luò)流量異常。
11�、 如權(quán)利要求IO所述檢測(cè)網(wǎng)絡(luò)流量異常的裝置,其特征在于��,所述方 差偏離分?jǐn)?shù)值獲取單元����,包括當(dāng)前檢測(cè)窗口網(wǎng)絡(luò)流量方差獲取子單元,用于根據(jù)檢測(cè)窗口中的瞬時(shí)振 幅和瞬時(shí)頻率�����,獲取所述瞬時(shí)振幅和瞬時(shí)頻率各自的第一方差���;歷史窗口方差獲取子單元����,用于根據(jù)歷史窗口中的瞬時(shí)振幅和瞬時(shí)頻率, 獲取所述瞬時(shí)振幅和瞬時(shí)頻率各自的第二方差����;方差偏離分?jǐn)?shù)值計(jì)算子單元,用于根據(jù)所述當(dāng)前^r測(cè)窗口網(wǎng)絡(luò)流量方差 獲取子單元獲取的所述第一方差和所述歷史窗口方差獲取子單元獲取的所述第二方差�����,計(jì)算兩段窗口內(nèi)的方差偏離分?jǐn)?shù)值���。
12�����、 如權(quán)利要求IO所述檢測(cè)網(wǎng)絡(luò)流量異常的裝置����,其特征在于�,還包括 預(yù)警門限值設(shè)置單元,用于根據(jù)網(wǎng)絡(luò)的實(shí)際狀況��,設(shè)置預(yù)警門限值��,并將所 述預(yù)警門限值發(fā)送到所述異常判別單元���。
13��、 如權(quán)利要求IO所述檢測(cè)網(wǎng)絡(luò)流量異常的裝置�,其特征在于,所述檢 測(cè)信號(hào)為單位時(shí)間內(nèi)通過路由器的網(wǎng)絡(luò)流量的包數(shù)����。
全文摘要
本發(fā)明公開了一種檢測(cè)網(wǎng)絡(luò)流量異常的方法,包括以下步驟根據(jù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量生成檢測(cè)信號(hào)���;對(duì)所述檢測(cè)信號(hào)進(jìn)行廣義希爾伯特變換,并獲取所述網(wǎng)絡(luò)流量的瞬時(shí)振幅和瞬時(shí)頻率�����;根據(jù)所述瞬時(shí)振幅和瞬時(shí)頻率�,獲取方差偏離分?jǐn)?shù)值;當(dāng)所述方差偏離分?jǐn)?shù)值大于預(yù)警門限值時(shí)��,則確定所述網(wǎng)絡(luò)流量異常�。本發(fā)明還公開了一種檢測(cè)網(wǎng)絡(luò)流量異常的裝置。本發(fā)明通過廣義希爾伯特變換計(jì)算檢測(cè)流量信號(hào)的瞬時(shí)參數(shù)���,包括瞬時(shí)頻率和瞬時(shí)振幅��,以此進(jìn)行網(wǎng)絡(luò)流量的異常檢測(cè)���,廣義希爾伯特變換具有抗干擾能力強(qiáng)�,且能突出主要的異常變化等優(yōu)點(diǎn)����;同時(shí)對(duì)流量異常信號(hào)進(jìn)行時(shí)域和頻域分析,提高了對(duì)流量信號(hào)檢測(cè)的準(zhǔn)確性��,降低了誤檢率和漏檢率���。
文檔編號(hào)H04L12/56GK101106487SQ20071014593
公開日2008年1月16日 申請(qǐng)日期2007年8月31日 優(yōu)先權(quán)日2007年8月31日
發(fā)明者姚興苗, 李宗林, 松 楊, 胡光岷, 潔 高 申請(qǐng)人:華為技術(shù)有限公司