基于模糊相对熵的网络异常流量检测方法研究.docVIP

基于模糊相对熵的网络异常流量检测方法研究 　　【 摘 要 】 基于模糊相对熵的网络异常流量检测方法可以在缺乏历史流量数据的情况下，通过对网络流量特征进行假设检验，实现对网络异常行为的检测发现。通过搭建模拟实验环境，设计测试用例对基于模糊相对熵的网络异常流量检测方法进行多测度测试验证，结果表明该方法在设定合理模糊相对熵阈值的情况下检测率可达84.36%，具有良好的检测效率。 　　【 关键词 】 模糊相对熵；网络异常行为；网络异常流量检测 　　【 中图分类号 】 TP309.05 【 文献标识码 】 A 　　1 引言 　　IP网络具有体系架构开放、信息共享灵活等优点，但是因其系统开放也极易遭受各种网络攻击的入侵。网络异常流量检测属于入侵检测方法的一种，它通过统计发现网络流量偏离正常行为的情形，及时检测发现网络中出现的攻击行为，为网络安全防护提供保障。在网络异常流量检测方法中，基于统计分析的检测方法通过分析网络参数生成网络正常行为轮廓，然后度量比较网络当前主体行为与正常行为轮廓的偏离程度，根据决策规则判定网络中是否存在异常流量，具有统计合理全面、检测准确率高等优点。基于相对熵的异常检测方法属于非参数统计分析方法，在检测过程中无须数据源的先验知识，可对样本分布特征进行假设检验，可在缺乏历史流量数据的情况下实现对网络异常行为的检测与发现。本文系统研究了模糊相对熵理论在网络异常流量检测中的应用，并搭建模拟实验环境对基于模糊相对熵的网络异常流量检测方法进行了测试验证。 　　2 基于模糊相对熵的多测度网络异常流量检测方法 　　2.1 模糊相对熵的概念 　　相对熵（Relative Entropy）又称为K-L距离（Kullback-Leibler divergence），常被用作网络异常流量的检测方法。本文引入模糊相对熵的概念，假定可用来度量两个概率分布P={p1，p2，...，...，pn}和Q={q1，q2，...，...，qn}的差别，其中，P、Q是描述同一随机过程的两个过程分布，P、Q的模糊相对熵定义为： 　　S（P，Q）=[Pi ln+（1-pi）ln] （1） 　　上式中qi可以接近0或1，这会造成部分分式分母为零，因此对（1）式重新定义： 　　S（P，Q）=[Pi ln+（1-pi）ln]（2） 　　模糊相对熵为两种模糊概率分布的偏差提供判断依据，值越小说明越一致，反之亦然。 　　2.2 多测度网络异常流量检测方法流程 　　基于模糊相对熵理论的多测度网络异常检测具体实施分为系统训练和实际检测两个阶段。系统训练阶段通过样本数据或监测网络正常状态流量获取测度的经验分布，实际检测阶段将实测数据获取的测度分布与正常测度分布计算模糊相对熵，并计算多个测度的加权模糊相对熵，根据阈值判定网络异常情况，方法流程如下： 　　Step1：获取网络特征正常流量的参数分布。通过样本数据或监测网络正常状态流量获取各测度的经验分布。 　　Step2：获取网络特征异常常流量的参数分布。对选取网络特征参数异常流量进行检测获取各种测度的概率分布。 　　Step3：依据公式（2）计算单测度正常流量和异常流量间模糊相对熵Si。 　　Step4：计算多测度加权模糊相对熵S。 　　S=α1S1+α2S2+…+αkSk （3） 　　式中αk表示第k个测度的权重系数，由测评数据集统计分析获得。 　　最终，根据S建立不同的等级阈值来表征网络异常情况。S越大，表示网络流量特征参数分布偏离正常状态越多，网络中出现异常流量的概率越大；S越小，表示网络流量特征参数分布与正常状态吻合度越好，网络中出现异常流量的概率越小。 　　3 测试验证 　　为测试方法的有效性，搭建如图1所示的实验环境，模拟接入层网络拓扑结构、流量类型和流量负载情况。测试环境流量按业务域类型分类，主要分为视频、语音、数据三种业务域，按每个业务单路带宽需求计算，总带宽需求约为2368kbps～3200kbps。 　　（1）检测系统接入交换机镜像端口，系统部署环境。 　　①硬件环境：Intel（R） Core（TM） 2 Duo CPU 2.00GHz，2.0G内存；②操作系统环境：Windows XP，.NET Framework 3.5；③数据库系统：Microsoft SQL Server 2005 9.00.1399.06 （Build 2600： Service Pack 3）。 　　测试环境交换机采用华为S3050C，用户主机接入点配置如表1所示。 　　测试网络正常流量状态方案配置。 　　①1号主机架设视频服务器模拟视频业务域，单路平均带宽需求2.59Mbps；②2、3号主机架设音频服务器模拟语音业务域，单路平均带宽需求128kbps；③4、5、