網(wǎng)絡(luò)流量曲線分析方法和裝置制造方法
【專(zhuān)利摘要】本發(fā)明提供了一種網(wǎng)絡(luò)流量曲線分析方法和裝置。涉及信息安全領(lǐng)域;解決了對(duì)網(wǎng)絡(luò)流量變化規(guī)律分析的問(wèn)題。該方法包括:根據(jù)待評(píng)估流量曲線,從歷史數(shù)據(jù)中選取建模樣本;以所述建模樣本作為訓(xùn)練樣本,構(gòu)造模型;根據(jù)所述模型,評(píng)估所述待評(píng)估流量曲線的偏離度。本發(fā)明提供的技術(shù)方案適用于網(wǎng)絡(luò)態(tài)勢(shì)分析,實(shí)現(xiàn)了對(duì)高隨機(jī)性的網(wǎng)絡(luò)流量的分析。
【專(zhuān)利說(shuō)明】網(wǎng)絡(luò)流量曲線分析方法和裝置【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)流量曲線分析方法和裝置。
【背景技術(shù)】
[0002]流量曲線(數(shù)據(jù)包個(gè)數(shù)、數(shù)據(jù)包體積等,能夠表現(xiàn)流量特征的數(shù)值序列)是網(wǎng)絡(luò)態(tài)勢(shì)分析的常用工具,通過(guò)分析流量曲線可以在第一時(shí)間獲取特定時(shí)期內(nèi)的網(wǎng)絡(luò)負(fù)載情況、負(fù)載變化情況,直觀地評(píng)估網(wǎng)絡(luò)環(huán)境的健康程度,特別是對(duì)于DDos洪泛攻擊、Smurf攻擊、Arp攻擊等網(wǎng)絡(luò)安全事件的發(fā)現(xiàn)具有比較實(shí)際、高效的指導(dǎo)作用。
[0003]流量曲線建模本質(zhì)上是以歷史流量曲線為樣本的數(shù)據(jù)挖掘過(guò)程,是對(duì)歷史流量曲線在形態(tài)上的概括總結(jié)。在分析網(wǎng)絡(luò)狀態(tài)或評(píng)估網(wǎng)絡(luò)健康情況時(shí),一般采用基于指標(biāo)的態(tài)勢(shì)感知分析方法,這種方法根據(jù)對(duì)比前后兩個(gè)狀態(tài)的差異程度來(lái)判斷網(wǎng)絡(luò)狀態(tài)的遷移,區(qū)別于態(tài)勢(shì)感知,曲線模型往往包含著在時(shí)間維度上的前后關(guān)聯(lián)信息,這種關(guān)聯(lián)信息不僅可以回答態(tài)勢(shì)是否發(fā)生了遷移,還可以更近一步分析這種遷移以歷史的角度,是否發(fā)生過(guò),變化幅度是否是正常的。
[0004]網(wǎng)絡(luò)流量的變化規(guī)律是由網(wǎng)絡(luò)環(huán)境決定的,本質(zhì)上是網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)的使用者(自然人或程序)行為規(guī)律的體現(xiàn),因此當(dāng)我們假設(shè)一個(gè)曲線樣本在歷史中發(fā)生過(guò),本質(zhì)上是在討論產(chǎn)生這一曲線的行為是否曾經(jīng)發(fā)生過(guò)。流量曲線中最重要的因素是時(shí)間,然而,通常情況下網(wǎng)絡(luò)行為并不由時(shí)間唯一確定,特別是辦公網(wǎng)絡(luò)、社區(qū)網(wǎng)絡(luò)等,網(wǎng)絡(luò)行為主要由人引起,因此隨機(jī)性很強(qiáng),在小粒度時(shí)間點(diǎn)上基本沒(méi)有普遍規(guī)律能夠總結(jié)。
【發(fā)明內(nèi)容】
[0005]本發(fā)明提供了一種網(wǎng)絡(luò)流量曲線分析方法和裝置,解決了對(duì)網(wǎng)絡(luò)流量變化規(guī)律分析的問(wèn)題。
[0006]一種網(wǎng)絡(luò)流量曲線分析方法和裝置,包括:
[0007]根據(jù)待評(píng)估流量曲線,從歷史數(shù)據(jù)中選取建模樣本;
[0008]以所述建模樣本作為訓(xùn)練樣本,構(gòu)造模型;
[0009]根據(jù)所述模型,評(píng)估所述待評(píng)估流量曲線的偏離度。
[0010]優(yōu)選的,根據(jù)待評(píng)估流量曲線,從歷史數(shù)據(jù)中選取樣本包括:
[0011]從歷史數(shù)據(jù)中選擇與所述待評(píng)估流量曲線的時(shí)間相吻合的歷史曲線段作為候選樣本,所述候選樣本符合以下表達(dá)式
[0012]
CandidateCurve —
的定
= gbegin — i x dayinterval — B, e = gend — i x dayinterval — £, Vi E IfMS G I[—E, E])
義;
[0013]根據(jù)GoalCurve遍歷所有CandidateCurve,同時(shí)獲得它們與GoalCurve的距離distance (C—(bl,el),C—(b2,e2)),所述 distance (C—(bl,el),C—(b2,e2))根據(jù)以下表達(dá)式計(jì)算:
[0014]
【權(quán)利要求】
1.一種網(wǎng)絡(luò)流量曲線分析方法,其特征在于,包括: 根據(jù)待評(píng)估流量曲線,從歷史數(shù)據(jù)中選取建模樣本; 以所述建模樣本作為訓(xùn)練樣本,構(gòu)造模型; 根據(jù)所述模型,評(píng)估所述待評(píng)估流量曲線的偏離度。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)流量曲線分析方法,其特征在于,根據(jù)待評(píng)估流量曲線,從歷史數(shù)據(jù)中選取樣本包括: 從歷史數(shù)據(jù)中選擇與所述待評(píng)估流量曲線的時(shí)間相吻合的歷史曲線段作為候選樣本,所述候選樣本符合以下表達(dá)式
CandidateCurve =
{Cbe\b = g be gin — i x dayinterval — Ef e = gend — i x dayinterval — ElVi E /,Vfi £ I[—E,E]}的定義; 根據(jù)GoalCurve遍歷所有CandidateCurve,同時(shí)獲得它們與GoalCurve的距離distance (C—(bl,el),C—(b2,e2)),所述 distance (C—(bl,el),C—(b2,e2))根據(jù)以下表達(dá)式計(jì)算:
distance(Cbl>el>Cb2>e2) = 根據(jù)距離從小到大排序,從中選取距離最小的N個(gè)候選樣本作為后續(xù)建模樣本SampleCurve Q CandidateCurves.t.VCs e SampleCurve, VCc ECandidateCurve — SampleCurve, distance(^Cs, GoalCurve) <distance(Cc, GoalCurve)。
3.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)流量曲線分析方法,其特征在于,當(dāng)N的取值增加時(shí),對(duì)網(wǎng)絡(luò)流量異常的敏感度也增加。
4.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)流量曲線分析方法,其特征在于,所述以所述建模樣本作為訓(xùn)練樣本,構(gòu)造模型包括: 根據(jù)以下表達(dá)式獲取曲線數(shù)據(jù):
ModelCurve = {Cb,e|b = gbegin, e = gend}; 進(jìn)行曲線建模,其中,X采用I至length的整數(shù)作為模型的輸入,length是待評(píng)估流量曲線的長(zhǎng)度,輸出為樣本曲線的元素值vt,其中X與t 一一對(duì)應(yīng),X是Vt在曲線中的序號(hào)gbegin, gend是GoalCurve的起始、終止時(shí)間點(diǎn),ModelCurve與GoalCurve在時(shí)間上--對(duì)應(yīng),ModelCurve由模型以x為輸入產(chǎn)出。
5.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)流量曲線分析方法,其特征在于,所述模型的中間層節(jié)點(diǎn)的數(shù)量取length/2,中間層節(jié)點(diǎn)的位置依X間隔選取。
6.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)流量曲線分析方法,其特征在于,所述模型的激發(fā)函數(shù)選用高斯函數(shù),其擴(kuò)展常數(shù)σ設(shè)為2。
7.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)流量曲線分析方法,其特征在于,根據(jù)所述模型,評(píng)估所述待評(píng)估流量曲線的偏離度包括: 將值域[0,1]平均分為N份,確定總體偏離距離的分位數(shù),第N個(gè)建模樣本曲線的偏離度設(shè)為I,其余各個(gè)建模樣本的偏離度設(shè)為Deviation(Cs) = i/N, i是依distance (Cs,ModelCurve)從小到大的排序序號(hào); 根據(jù)以下表達(dá)式,計(jì)算待評(píng)估流量曲線GoalCurve總體的偏離度:
8.—種網(wǎng)絡(luò)流量曲線分析裝置,其特征在于,包括: 取樣模塊,用于根據(jù)待評(píng)估流量曲線,從歷史數(shù)據(jù)中選取建模樣本; 模型構(gòu)造模塊,用于以所述建模樣本作為訓(xùn)練樣本,構(gòu)造模型; 評(píng)估模塊,用于根據(jù)所述模型,評(píng)估所述待評(píng)估流量曲線的偏離度。
9.根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)流量曲線分析裝置,其特征在于,所述取樣模塊包括: 候選樣本確定單元,用于從歷史數(shù)據(jù)中選擇與所述待評(píng)估流量曲線的時(shí)間相吻合的歷史曲線段作為候選樣本,所述候選樣本符合以下表達(dá)式
10.模型構(gòu)造模塊根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)流量網(wǎng)線分配裝置,其特征在于,所述模型構(gòu)造模塊包括: 曲線建模單元,用于根據(jù)以下表達(dá)式獲取曲線數(shù)據(jù):ModelCurve = {Cb,e|b = gbegin, e = gend}; 進(jìn)行曲線建模,其中,X采用I至length的整數(shù)作為模型的輸入,length是待評(píng)估流量曲線的長(zhǎng)度,輸出為樣本曲線的元素值vt,其中X與t 一一對(duì)應(yīng),X是Vt在曲線中的序號(hào)gbegin, gend是GoalCurve的起始、終止時(shí)間點(diǎn),ModelCurve與GoalCurve在時(shí)間上--對(duì)應(yīng),ModelCurve由模型以x為輸入產(chǎn)出。
11.根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)流量曲線分析裝置,其特征在于,所述評(píng)估模塊包括:分位數(shù)確定單元,用于將值域[0,1]平均分為N份,確定總體偏離距離的分位數(shù),第N個(gè)建模樣本曲線的偏離度設(shè)為I,其余各個(gè)建模樣本的偏離度設(shè)為Deviation(Cs) = i/N,i是依distance (Cs, ModelCurve)從小到大的排序序號(hào); 偏離度計(jì)算單元,用于根據(jù)以下表達(dá)式,計(jì)算待評(píng)估流量曲線GoalCurve總體的偏離度:
【文檔編號(hào)】H04L12/26GK103647665SQ201310684985
【公開(kāi)日】2014年3月19日 申請(qǐng)日期:2013年12月13日 優(yōu)先權(quán)日:2013年12月13日
【發(fā)明者】侯偉, 周濤 申請(qǐng)人:北京啟明星辰信息技術(shù)股份有限公司, 北京啟明星辰信息安全技術(shù)有限公司