基于网络流量小波分析异常检测研究.docVIP

基于网络流量小波分析异常检测研究 　　摘 要：网络流量是局域网和广域网的重要特征之一，小波分析能将复杂的非线性网络流量时间序列分解成不同频率的子序列。基于小波分解的思想，利用网络流量的自相似特性来对网络的异常行为进行检测，给出了根据网络流量自相似特征参数的偏差来检测攻击的方法，对不同分辨率下Hurst参数的变化进行了比较分析。在DARPA上的测试结果表明，该方法不仅能够发现网络中存在的突发性流量攻击，还能够确定异常发生的位置。?? 　　关键词：网络流量;小波分析;自相似性;Hurst参数;异常检测?? 　　中图法分类号：TP393.08文献标识码：A 　　文章编号：1001―3695(2007)02―0299―03 　　入侵检测中通常用到的异常检测方法有统计学方法、免疫学方法[1]、神经网络[2]、数据挖掘[3]、机器学习[4]及有限自动状态机[5]等。通过对网络流量进行统计分析来识别入侵仍然是目前研究的一个热点。在基于网络流量统计分析的异常检测中,时间序列模型起着相当重要的作用。文献[6]使用累积和（Cumulative Sum）的方法检测洪流（SYN-flooding）攻击。该方法基于：如果有变化发生，随机序列的概率分布也会发生改变，以此来判断是否发生异常。文献[7]把小波分析引入了入侵检测，利用小波分析可以提供多时间尺度信息的特点来对流量统计特性进行识别。文献[8]中描述了利用统计模型结合流量的预期、方差或者其他统计参数，再利用假说检验的方法来检测攻击行为的算法。该方法是假设历史数据是正常的数据，其缺陷主要是假设统计模型的数据能正确地反映系统的正常数据，实际中往往很复杂。文献[9]在基于异常的检测中使用数据挖掘技术,从正常的网络流量中挖掘模糊规则。当有攻击流量时，通过寻找与正常模式的偏离来发现入侵。自相似特征方法,文献[10]从数学上证明了可以用Hurst参数的显著变化来发现攻击行为。?? 　　虽然有了一些基于网络流量统计分析的入侵检测方法，但由于网络系统具有的异构性、混沌性、可扩展性，网络流量一方面呈现出一种高度非线性、耗散与非平衡的特性；另一方面并非所有的入侵都表现为网络流量异常，而且系统的轨迹难以计算和更新，这使得入侵检测的研究更加困难，目前还没有一种很成熟的解决方法。 　　基于网络流量具有的长期相关性和较小时间尺度上的多重分形性，首先在小波域内对网络流量进行分解，计算表征网络流量突发性的重要参数(Hurst指数)，然后根据正常网络流量Hurst指数和异常网络流量Hurst指数的偏差来检测攻击，对不同时间尺度下Hurst指数的变化进行了比较分析。?? 　　1 网络流量的自相识性定义?? 　　网络流量的自相似性定义为:对于给定的一个过程或函数{f(t):t∈(-∞,∞)},当且仅当Hurst参数满足c-Hf(ct)=f(t),c0,t∈(-∞,∞)，则该过程和函数是自相识的。研究结果表明，对自相似函数f，Hurst参数的值在0.5―1之间，任何偏离表示数据中存在异常。 　　 　　2 多分辨率的性质?? 　　 　　平方可积函数f(t)∈L2（R）可以看成是某一逐级逼近的极限情况。每级逼近均用某一底通平滑函数??(t)对f(t)进行平滑的结果，在逐级逼近时平滑函数??(t)也进行逐级伸缩，即用不同分辨率来逐级逼近待分析函数f(t)。空间进行逐级二分解产生一组逐级包含的子空间如式（1）所示。 　　 　　3 离散小波变换的Mallat分解算法 　　 　　4 Hurst参数的计算 　　 　　5 实验结果 　　 　　实验数据选用迄今为止对入侵检测系统（IDS）评估最有影响的数据DARPA 1998[12]，对该数据集进行处理后只包含网络数据的集合称为KDDcup’99[13]数据集。这里训练数据集大约包含500万条记录，测试数据集大约包含30万条记录，每一条记录包含41个属性，其中34个数值字段,7个符号字段。本文实验中选择的数据是Corrected.gz数据集， 该数据集对每一个记录进行了正确标注，选择该数据集的原因是为了方便验证本文提出的方法的有效性。选择的数据内容是第23个字段Count，它表示在过去2s内连接到相同主机的流量。?? 　　图1表示正常情况下（偶尔也可能存在攻击）连接到主机的网络流量。表征网络流量自相似性的参数（Hurst指数）如图2所示，实验中选用的时间尺度为200，Hurst指数的值均在0.5―1之间，表明了正常网络流量的自相似特性。发生Smurf攻击时的网络流量如图3所示。时间尺度为200时，网络流量的Hurst指数如图4所示。比较图2正常网络流量的Hurst指数和图4所示的Hurst指数变化可以准确地判断在800s左右发生了洪流攻击。但是当Smurf形成稳