專利名稱：：網(wǎng)絡(luò)流量異常檢測(cè)方法及檢測(cè)裝置的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及網(wǎng)絡(luò)管理與安全
技術(shù)領(lǐng)域：
，具體涉及一種網(wǎng)絡(luò)流量異常的檢測(cè)方法和裝置。(二)
背景技術(shù)：
：網(wǎng)絡(luò)流量異常是指網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)突發(fā)訪問(wèn)、網(wǎng)絡(luò)故障、網(wǎng)絡(luò)新用戶的加入等引起的異常。異常流量的特點(diǎn)是發(fā)作突然、先兆特征未知，可以在短時(shí)間內(nèi)給網(wǎng)絡(luò)和網(wǎng)絡(luò)上的計(jì)算機(jī)帶來(lái)重大損失甚至是致命危害(例如由特定的攻擊程序或蠕蟲(chóng)爆發(fā)所引起的突發(fā)訪問(wèn)行為)。因此，準(zhǔn)確、及時(shí)地檢測(cè)出網(wǎng)絡(luò)流量的異常行為并做出合理的響應(yīng)對(duì)于維護(hù)網(wǎng)絡(luò)的可用性，提高網(wǎng)絡(luò)的可靠性和保證網(wǎng)絡(luò)服務(wù)質(zhì)量具有非常重要的意義。入侵檢測(cè)技術(shù)根據(jù)檢測(cè)方法的不同分為濫用檢測(cè)方法和異常檢測(cè)方法。濫用檢測(cè)(MisuseDetection)方法通過(guò)特征匹配來(lái)檢測(cè)是否發(fā)生入侵，能準(zhǔn)確、快速地檢測(cè)已知類型的入侵，但不能檢測(cè)出未知類型的入侵；異常檢測(cè)(AnomalyDetection)方法則是在建立正常模型的基礎(chǔ)上，對(duì)網(wǎng)絡(luò)流量進(jìn)行采集，通過(guò)比較當(dāng)前狀態(tài)與正常狀態(tài)的偏離程度來(lái)判斷入侵行為。該方法不僅能檢測(cè)出已知類型的入侵，還能檢測(cè)出未知類型的入侵。目前異常檢測(cè)已成為當(dāng)前入侵檢測(cè)系統(tǒng)的主要研究方向。異常檢測(cè)技術(shù)自提出以來(lái)，經(jīng)過(guò)幾十年不斷的發(fā)展，從最初的簡(jiǎn)單方法迅速發(fā)展成種類繁多的各種算法，如閾值檢測(cè)方法、統(tǒng)計(jì)分析的方法、數(shù)據(jù)挖掘的方法、Hurst系數(shù)分析方法、貝葉斯網(wǎng)絡(luò)分析方法和子空間方法等。這些方法能夠在一定程度上檢測(cè)流量異常，但是由于網(wǎng)絡(luò)流量異常本身的復(fù)雜性，上述方法在檢測(cè)的實(shí)時(shí)性、可操作性和準(zhǔn)確性等方面還存在一些缺陷與不足。而隨著研究的深入，研究者發(fā)現(xiàn)，信息熵可以用于網(wǎng)絡(luò)流量異常檢測(cè)。信息熵是信息論中用于度量信息量的一個(gè)概念，較高的熵值表示較大的信息量。數(shù)據(jù)集越隨機(jī)化，熵值就越高，數(shù)據(jù)集越集中，熵值就越低。一段網(wǎng)絡(luò)流的包或會(huì)活，可以看成是離散特征的序列(端口號(hào)、IP地址、數(shù)據(jù)包數(shù)目等)，這些特征序列的信息熵可以反映網(wǎng)絡(luò)通信的一致性。當(dāng)網(wǎng)絡(luò)中出現(xiàn)異常時(shí)，其會(huì)破壞特征分布的一致性，異常的熵值就可以作為判斷網(wǎng)絡(luò)異常的一個(gè)有效標(biāo)識(shí)。另一方面，用信息熵來(lái)描述網(wǎng)絡(luò)流量的表征信息，可以增強(qiáng)對(duì)低容量異常的監(jiān)測(cè)能力。2005年，A皿koolLakhina等人發(fā)表了名為"MiningAnomaliesUsingTrafficFeatureDistributions"的文章，提出了流量特征分布的概念，首次使用信息熵來(lái)進(jìn)行網(wǎng)絡(luò)流量異常的監(jiān)測(cè)。文中公開(kāi)了如下所述的網(wǎng)絡(luò)異常檢測(cè)分析方法將流經(jīng)每條0D流的包含IP地址和端口的數(shù)據(jù)包的特征分布用信息熵表示出來(lái)，然后再應(yīng)用子空間方法進(jìn)行異常診斷，最后使用聚類算法實(shí)現(xiàn)異常分類。但在該方法中，0D流級(jí)別的測(cè)量數(shù)據(jù)極大地增加了預(yù)處理時(shí)間，計(jì)算方法和異常類型的判斷方法都很復(fù)雜，所以該方法在實(shí)際應(yīng)用中可操作性不強(qiáng)。而國(guó)內(nèi)的一些利用信息熵進(jìn)行異常檢測(cè)的方法中，多數(shù)是根據(jù)異常主機(jī)的熵值和預(yù)先設(shè)定的正常主機(jī)的熵值的比較結(jié)果來(lái)判定流量異常。這些方法可以檢測(cè)出一些異常流量，但是正常主機(jī)的熵值會(huì)隨著網(wǎng)絡(luò)流量的變化而動(dòng)態(tài)改變，所以這些方法在實(shí)際應(yīng)用中靈活性較差。(三)
發(fā)明內(nèi)容本發(fā)明的目的是提供可操作性強(qiáng)、靈活性高的一種網(wǎng)絡(luò)流量異常檢測(cè)方法。本發(fā)明的目的還在于提供一種網(wǎng)絡(luò)流量異常檢測(cè)裝置。本發(fā)明的目的是這樣實(shí)現(xiàn)的本發(fā)明的網(wǎng)絡(luò)流量異常檢測(cè)方法為選取待檢測(cè)的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)，建立屬性記錄；考察網(wǎng)絡(luò)中各個(gè)主機(jī)發(fā)起連接和被連接中的所述屬性記錄的各個(gè)屬性的分布狀況；當(dāng)時(shí)間間隔到達(dá)設(shè)定的時(shí)間閾值時(shí)，根據(jù)所述屬性分布狀況獲得觀測(cè)信息熵；根據(jù)所述觀測(cè)信息熵預(yù)測(cè)下一個(gè)時(shí)間間隔的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)的信息熵；根據(jù)所述觀測(cè)信息熵和所述預(yù)測(cè)信息熵獲得異常判決所需置信區(qū)間；分析所述觀測(cè)信息熵在所述置信區(qū)間的分布，根據(jù)分析結(jié)果確定網(wǎng)絡(luò)流量是否異常。本發(fā)明的網(wǎng)絡(luò)流量異常檢測(cè)裝置由數(shù)據(jù)選取單元、分布分析單元、觀測(cè)信息熵獲得單元、預(yù)測(cè)單元、置信區(qū)間獲得單元和異常判決單元順序連接組成；數(shù)據(jù)選取單元選取待檢測(cè)的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)，建立屬性記錄；分布分析單元考察網(wǎng)絡(luò)中各個(gè)主機(jī)發(fā)起連接和被連接中的所述屬性記錄的各個(gè)屬性的分布狀況；觀測(cè)信息熵獲得單元用于當(dāng)時(shí)間間隔到達(dá)設(shè)定的時(shí)間閾值時(shí)，根據(jù)所述屬性分布狀況獲得觀測(cè)信息熵；預(yù)測(cè)單元根據(jù)所述觀測(cè)信息熵預(yù)測(cè)下一個(gè)時(shí)間間隔的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)的信息熵；置信區(qū)間獲得單元根據(jù)所述觀測(cè)信息熵和所述預(yù)測(cè)信息熵獲得異常判決所需置信區(qū)間；異常判決單元分析所述觀測(cè)信息熵在所述置信區(qū)間的分布，根據(jù)分析結(jié)果確定網(wǎng)絡(luò)流量是否異常。從以上的技術(shù)方案可以看出，與現(xiàn)有技術(shù)相比，本發(fā)明實(shí)施例將經(jīng)過(guò)監(jiān)測(cè)點(diǎn)的宏觀網(wǎng)絡(luò)流量進(jìn)行分解，變成以網(wǎng)絡(luò)流為基本單位的微觀結(jié)構(gòu)，然后考察各個(gè)主機(jī)發(fā)起連接和被連接中的源/目的地址、源/目的端口的分布狀況。另一方面，本發(fā)明實(shí)施例引入預(yù)測(cè)模型對(duì)網(wǎng)絡(luò)流量信息熵進(jìn)行預(yù)測(cè)，通過(guò)分析觀測(cè)信息熵在由所述觀測(cè)信息熵和所述預(yù)測(cè)信息熵確定的置信區(qū)間的分布來(lái)確定異常行為，是一種靈活、有效的自動(dòng)化檢測(cè)工具。從而，有效地提高了網(wǎng)絡(luò)流量異常檢測(cè)的準(zhǔn)確性，大大減輕了網(wǎng)絡(luò)管理人員的負(fù)擔(dān)。(四)圖1為本發(fā)明實(shí)施例一提供的網(wǎng)絡(luò)流量異常檢測(cè)方法流程圖2為本發(fā)明實(shí)施例二提供的網(wǎng)絡(luò)流量異常檢測(cè)方法流程圖；圖3為本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)流量異常檢測(cè)方法中檢查屬性記錄的各個(gè)屬性是否在屬性列表中，并新建屬性項(xiàng)的處理過(guò)程圖；圖4為本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)流量異常檢測(cè)方法中對(duì)屬性記錄的各個(gè)屬性進(jìn)行統(tǒng)計(jì)計(jì)數(shù)的方法流程圖；圖5為本發(fā)明實(shí)施例一提供的網(wǎng)絡(luò)流量異常檢測(cè)裝置結(jié)構(gòu)6圖6為本發(fā)明實(shí)施例二提供的網(wǎng)絡(luò)流量異常檢測(cè)裝置結(jié)構(gòu)圖7為本發(fā)明實(shí)施例提供的實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)鋱D；圖8a為本發(fā)明實(shí)施例提供的注入DDoS異常流量時(shí)基于目的IP地址信息熵的檢測(cè)結(jié)果示意圖；圖8b為本發(fā)明實(shí)施例提供的注入DDoS異常流量時(shí)基于源IP地址信息熵的檢測(cè)結(jié)果示意圖。具體實(shí)施例方式為使本發(fā)明實(shí)施例的技術(shù)方案的優(yōu)點(diǎn)更加清楚，下面結(jié)合附圖對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例，基于本發(fā)明的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。本發(fā)明從各種異常事件和入侵行為導(dǎo)致的表示網(wǎng)絡(luò)流量特征分布的信息熵的變化著手，進(jìn)行實(shí)時(shí)檢測(cè)與防范。在具體描述本發(fā)明的方法和裝置之前，首先說(shuō)明本發(fā)明所采用的信息熵。熵是熱力學(xué)中微觀多形性或均勻性的一種度量，反應(yīng)了系統(tǒng)微觀狀態(tài)的分布幾率。從通信的角度看，通信系統(tǒng)具有統(tǒng)計(jì)的特征，信息源可視為一組隨機(jī)事件的集合，該集合所具有的隨機(jī)性不確定度與熱力學(xué)中微觀態(tài)的混亂度是類同的，將熱力學(xué)幾率擴(kuò)展到系統(tǒng)各個(gè)信息源信號(hào)出現(xiàn)的幾率就形成了信息熵。假設(shè)Feature表示一個(gè)流量特征，例如源IP或目的端口；Featurei={(Xi，ni)i=1，2，...N}表示在測(cè)量數(shù)據(jù)中屬性Xi發(fā)生了次，那么Featurei的信息熵為^(F^匿,)=—l;(》)iog.,(—》)，s:f,表示所有屬性發(fā)生的總次數(shù)。信息熵的取值范圍為(0，1og2N)，某個(gè)屬性的信息熵為0時(shí)，表示這個(gè)屬性的分布高度集中；而該屬性的信息熵為1o&N時(shí)，表示這個(gè)屬性的分布高度分散。一個(gè)系統(tǒng)越是有序，信息熵就越低；反之，一個(gè)系統(tǒng)越是混亂，信息熵就越高。網(wǎng)絡(luò)流量的測(cè)量數(shù)據(jù)包括源/目的IP、源/目的端口、數(shù)據(jù)包數(shù)量等屬性。把測(cè)量數(shù)據(jù)當(dāng)作離散信息源，把測(cè)量數(shù)據(jù)中的各個(gè)屬性看作是一組隨機(jī)事件，這樣就可以對(duì)它的信息熵進(jìn)行分析。大規(guī)模網(wǎng)絡(luò)流量異常則正好可以通過(guò)測(cè)量數(shù)據(jù)的源/目的IP、源/目的端口這四個(gè)屬性的異常表征出來(lái)。表1給出了某主干網(wǎng)絡(luò)發(fā)生一系列流量異常時(shí)，測(cè)量數(shù)據(jù)的信息熵分布變化趨勢(shì)。其中，H(srcIP)、H(srcPort)、H(dstlP)和H(dstPort)分別代表源IP、源端口、目的IP和目的端口的信息熵值；"I"表示特征分布趨于集中，"t"表示特征分布趨于分散，"-"表示特征分布的變化不確定。從該圖可以看出，各種異常行為所導(dǎo)致的網(wǎng)絡(luò)流量特征分布的變化與其定義是相吻合的，并且各種異常行為都至少影響兩個(gè)特征分布的信息熵。由此可見(jiàn)，在大規(guī)模網(wǎng)絡(luò)中可以利用信息熵來(lái)進(jìn)行異常流量的檢測(cè)。表1各種網(wǎng)絡(luò)異常對(duì)特征信息熵的定性影響7<table>tableseeoriginaldocumentpage8</column></row><table>本發(fā)明所提供的技術(shù)方案一種網(wǎng)絡(luò)流量異常檢測(cè)方法，如圖1所示，該方法包括101、選取待檢測(cè)的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)，建立屬性記錄；102、考察網(wǎng)絡(luò)中各個(gè)主機(jī)發(fā)起連接和被連接中的所述屬性記錄的各個(gè)屬性的分布狀況；103、當(dāng)時(shí)間間隔到達(dá)設(shè)定的時(shí)間閾值時(shí)，根據(jù)所述屬性分布狀況獲得觀測(cè)信息熵；104、根據(jù)所述觀測(cè)信息熵預(yù)測(cè)下一個(gè)時(shí)間間隔的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)的信息熵；105、根據(jù)所述觀測(cè)信息熵和所述預(yù)測(cè)信息熵獲得異常判決所需置信區(qū)間；106、分析所述觀測(cè)信息熵在所述置信區(qū)間的分布，根據(jù)分析結(jié)果確定網(wǎng)絡(luò)流量是否異常。本發(fā)明實(shí)施例將經(jīng)過(guò)監(jiān)測(cè)點(diǎn)的宏觀網(wǎng)絡(luò)流量進(jìn)行分解，變成以網(wǎng)絡(luò)流為基本單位的微觀結(jié)構(gòu)。另一方面，本發(fā)明實(shí)施例引入預(yù)測(cè)模型對(duì)網(wǎng)絡(luò)流量信息熵進(jìn)行預(yù)測(cè)，通過(guò)分析觀測(cè)信息熵在由所述觀測(cè)信息熵和所述預(yù)測(cè)信息熵確定的置信區(qū)間的分布來(lái)確定異常行為，是一種靈活、有效的自動(dòng)化檢測(cè)工具。從而，有效地提高了網(wǎng)絡(luò)流量異常檢測(cè)的準(zhǔn)確性，大大減輕了網(wǎng)絡(luò)管理員人員的負(fù)擔(dān)。下面對(duì)本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)流量異常檢測(cè)方法進(jìn)行詳細(xì)說(shuō)明，如圖2所示。選取待檢測(cè)的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)，建立屬性記錄。201、以旁路偵聽(tīng)方式捕獲網(wǎng)絡(luò)上的TCP/IP流量數(shù)據(jù)包。202、對(duì)捕獲到的數(shù)據(jù)包進(jìn)行屬性分解，建立屬性記錄。在本發(fā)明實(shí)施例中，所述的屬性分解，建立屬性記錄即為將捕獲的網(wǎng)絡(luò)數(shù)據(jù)包按照屬性項(xiàng)進(jìn)行分解歸類，亦即通過(guò)捕獲網(wǎng)絡(luò)數(shù)據(jù)包的形式，產(chǎn)生每個(gè)數(shù)據(jù)包的屬性記錄，這8些記錄的格式為R(Src.IP，Src.Port,Dst.IP，Dst.Port)，其中，Src.IP代表源地址，Src.Port代表源端口，Dst.IP代表目的地址，Dst.Port代表目的端口。通過(guò)以上的屬性項(xiàng)，系統(tǒng)將會(huì)在抓取到每一個(gè)TCP/IP數(shù)據(jù)包時(shí)記錄一個(gè)屬性記錄R?？疾炀W(wǎng)絡(luò)中各個(gè)主機(jī)發(fā)起連接和被連接中的所述屬性記錄的各個(gè)屬性的分布狀況。分別考察所述屬性記錄的各個(gè)屬性的分布狀況，下面進(jìn)行具體介紹。203、檢查屬性記錄的各個(gè)屬性是否在相應(yīng)的屬性列表中，若不存在則新建屬性項(xiàng)，存入相應(yīng)的屬性表。如圖3所示，下面結(jié)合附圖對(duì)步驟203進(jìn)行詳細(xì)說(shuō)明。301、檢查所述屬性記錄的目的IP地址是否在源地址列表IPsrc中；302、所述屬性記錄的目的IP地址不在源地址列表IPsrc中，分配一個(gè)對(duì)應(yīng)于該目的IP地址的源地址項(xiàng)S_IPsrc，并將S_IPsrc存入到IPsrc中；303、檢查屬性記錄的源IP地址是否在目的地址列表IPdst中；304、所述屬性記錄的源IP地址不在目的地址列表IPdst中，分配一個(gè)對(duì)應(yīng)于該源IP地址的目的地址項(xiàng)S_IPdst，并將S_IPdst插入到IPdst中；305、檢查屬性記錄的源IP地址是否在源地址_源端口列表PTSsrc中；306、所述屬性記錄的源IP地址不在源地址_源端口列表PTSsrc中，分配一個(gè)對(duì)應(yīng)于該源IP地址的源端口項(xiàng)S_PTSsrc，并將S_PTSsrc插入到PTSsrc中；307、檢查屬性記錄的源IP地址是否在源地址_目的端口列表PTSdst中；308、所述屬性記錄的源IP地址不在源地址—目的端口列表PTSdst中，分配一個(gè)對(duì)應(yīng)于該源IP地址的目的端口項(xiàng)S_PTSdst，并將S_PTSdst插入到PTSdst中；309、檢查屬性記錄的目的IP地址是否在目的地址_源端口列表PTDsrc中；310、所述屬性記錄的目的IP地址不在目的地址_源端口列表PTDsrc中，分配一個(gè)對(duì)應(yīng)于該目的IP地址的源端口項(xiàng)S_PTDsrc，并將S_PTDsrc插入到PTDsrc中；311、檢查屬性記錄的目的IP地址是否在目的地址—目的端口列表PTDdst中；312、所述屬性記錄的目的IP地址不在目的地址—目的端口列表PTDdst中，分配一個(gè)對(duì)應(yīng)于該目的IP地址的目的端口項(xiàng)S_PTDdst，并將S_PTDdst插入到PTDdst中。204、對(duì)屬性記錄的各個(gè)屬性進(jìn)行統(tǒng)計(jì)計(jì)數(shù)。如圖4所示，下面結(jié)合附圖對(duì)步驟204進(jìn)行詳細(xì)說(shuō)明。401、對(duì)屬性記錄的各個(gè)屬性進(jìn)行哈希，設(shè)源/目的IP地址、源/目的端口的HASH值分別記為i，j，k和m。402、分別對(duì)源地址列表、目的地址列表、源地址_源端口列表、源地址_目的端口列表、目的地址_源端口列表、目的地址_目的端口列表中的對(duì)應(yīng)項(xiàng)進(jìn)行加1操作，亦即IPsrc[i][j]=IPsrc[i][j]+l，IPdst[j][i]=IPsrc[j][i]+l，PTSsrc[i][k]=PTsrc[i][k]+l，PTSdst[i][m]=PTSdst[i][m]+1，PTDsrc[j][k]=PTDsrc[j][k]+1，PTDdst[j][m]=PTDdst[j][m]+l。當(dāng)時(shí)間間隔到達(dá)設(shè)定的時(shí)間閾值時(shí)，根據(jù)所述屬性分布狀況獲得觀測(cè)信息熵。205、當(dāng)時(shí)間間隔到達(dá)設(shè)定的時(shí)間閾值T時(shí)，根據(jù)所述屬性分布狀況獲得觀測(cè)信息熵。在本發(fā)明實(shí)施例中，采用時(shí)間間隔選取定長(zhǎng)的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)。時(shí)間間隔每達(dá)到設(shè)定的時(shí)間閾值T一次，對(duì)該時(shí)間間隔所包括的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)進(jìn)行檢測(cè)。檢測(cè)方法的準(zhǔn)確度和時(shí)間間隔大小的選取有關(guān)。通過(guò)實(shí)際網(wǎng)絡(luò)環(huán)境的測(cè)試發(fā)現(xiàn)，時(shí)間閾值取10秒時(shí)異常判斷準(zhǔn)確度相對(duì)較高，所以本實(shí)施例中T二10秒。本發(fā)明實(shí)施例中，所述觀測(cè)信息熵&(F^wt,)=-S(-》)log2(，其中，F(xiàn)eature表示一個(gè)流量特征，例如源IP或目的端口；Feature={(Xi，n》I=1，2，...N}表示在測(cè)量數(shù)據(jù)中屬性Xi發(fā)生了次，S=f"表示7=1所有屬性發(fā)生的總次數(shù)。根據(jù)所述觀測(cè)信息熵預(yù)測(cè)下一個(gè)時(shí)間間隔的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)的信息熵。206、將網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)的預(yù)測(cè)信息熵劃分為兩個(gè)部分平滑部分和趨勢(shì)部分。所述平滑部分為&(/)=s①、,=2，其中，a為平滑因子，S。(t-1)為第t-1個(gè)時(shí)間間隔的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)的觀測(cè)信息熵，St(t-1)為第t-1個(gè)時(shí)間間隔預(yù)測(cè)信息熵的趨勢(shì)部分；所述趨勢(shì)部分為fP.(S、(,)—S、(,—1))+(1—/)W_1)，"2S,")=U二em,—V其中，P為平滑因子，Ss(t)為所述的第t-1個(gè)時(shí)間間隔的預(yù)測(cè)信息熵的平滑部分。207、根據(jù)所述平滑部分和趨勢(shì)部分獲得預(yù)測(cè)信息熵。所述的預(yù)測(cè)信息熵為:Sf(t)=&(麵(0，其中Ss(t)為所述的平滑部分，Sjt)為所述的趨勢(shì)部分。根據(jù)所述觀測(cè)信息熵和所述預(yù)測(cè)信息熵獲得異常判決所需置信區(qū)間。208、獲得所述觀測(cè)信息熵和所述預(yù)測(cè)信息熵的偏移量。所述觀測(cè)信息熵和所述預(yù)測(cè)信息熵的偏移量d(t)=YS。(t)-Sf(t)|+(1-Y)d(t-i)，其中s。a)為實(shí)際觀測(cè)的第t個(gè)時(shí)間間隔的信息熵，sfa)為預(yù)測(cè)的第t個(gè)時(shí)間間隔的信息熵，Y是平滑因子。209、根據(jù)所述偏移量計(jì)算置信區(qū)間。所述置信區(qū)間為(Sf(t)-S—'da-l)，Sf(t)+S+'d(t-l))，其中，Sf(t)為預(yù)測(cè)的第t個(gè)時(shí)間間隔的信息熵，s+與S—是放縮比例，用來(lái)改變置信區(qū)間的大小，通常情況下，令S+=S—=s得到一個(gè)對(duì)稱的置信區(qū)間。根據(jù)既定的假設(shè)和統(tǒng)計(jì)分布理論，s的合理范圍為2與3之間，所以本實(shí)施例中取S+=S—=2.5。為了更一步說(shuō)明偏移量、平滑部分和趨勢(shì)部分，下面對(duì)本發(fā)明實(shí)施例采用的平滑因子a，P禾PY進(jìn)行說(shuō)明?！闼銎交蜃觓，13和Y都是介于O到l之間的數(shù)，是根據(jù)過(guò)去數(shù)據(jù)點(diǎn)所占的權(quán)重計(jì)算得出的。取值較大表示近期觀察網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)所占比重大，取值較小表示歷史門丄k丄一見(jiàn)^w,仏，，^，「log(l-w%)、樸丄+一^網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)占較大的比重。平滑因子a，13J=l_exp-!--------------------，其中，log表不自VJ然對(duì)數(shù)，w表示權(quán)重的百分比形式，n表示所取時(shí)間序列數(shù)據(jù)點(diǎn)的數(shù)目。舉例說(shuō)明，如果希望過(guò)去45分鐘內(nèi)(每5min采集一次流量數(shù)據(jù))的觀測(cè)值占95%的權(quán)，則w=95%，n=9，計(jì)算得到平滑因子為0.28。本發(fā)明實(shí)施例取a=0.28，13=0.0035，y=0.1。分析所述觀測(cè)信息熵在所述置信區(qū)間的分布，根據(jù)分析結(jié)果確定網(wǎng)絡(luò)流量是否異常。所述確定網(wǎng)絡(luò)流量是否異常的方法為若一個(gè)觀測(cè)信息熵Y落在所述置信區(qū)間外，那么信息熵Y代表的網(wǎng)絡(luò)流量是異常的，否則就是正常的。208、判斷觀測(cè)信息熵Y是否落在所述置信區(qū)間內(nèi)。209、產(chǎn)生報(bào)警。本發(fā)明實(shí)施例還提供了一種網(wǎng)絡(luò)流量界常檢測(cè)裝置，能夠提高對(duì)網(wǎng)絡(luò)流量異常檢測(cè)的可操作性和靈活性。本發(fā)明實(shí)施例提供的技術(shù)方案為一種網(wǎng)絡(luò)流量異常檢測(cè)裝置，如圖5所示，該裝置包括數(shù)據(jù)選取單元51，用于選取待檢測(cè)的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)，建立屬性記錄；分布分析單元52，用于考察網(wǎng)絡(luò)中各個(gè)主機(jī)發(fā)起連接和被連接中的所述屬性記錄的各個(gè)屬性的分布狀況；觀測(cè)信息熵獲得單元53，用于當(dāng)時(shí)間間隔到達(dá)設(shè)定的時(shí)間閾值時(shí)，根據(jù)所述屬性分布狀況獲得觀測(cè)信息熵；預(yù)測(cè)單元54，用于根據(jù)所述觀測(cè)信息熵預(yù)測(cè)下一個(gè)時(shí)間間隔的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)的信息熵；置信區(qū)間獲得單元55，用于根據(jù)所述觀測(cè)信息熵和所述預(yù)測(cè)信息熵獲得異常判決所需置信區(qū)間；異常判決單元56，用于分析所述觀測(cè)信息熵在所述置信區(qū)間的分布，根據(jù)分析結(jié)果確定網(wǎng)絡(luò)流量是否異常。本發(fā)明實(shí)施例將經(jīng)過(guò)監(jiān)測(cè)點(diǎn)的宏觀網(wǎng)絡(luò)流量進(jìn)行分解，變成以網(wǎng)絡(luò)流為基本單位的微觀結(jié)構(gòu)。另一方面，本發(fā)明實(shí)施例引入預(yù)測(cè)模型對(duì)網(wǎng)絡(luò)流量信息熵進(jìn)行預(yù)測(cè)，通過(guò)分析觀測(cè)信息熵在由所述觀測(cè)信息熵和所述預(yù)測(cè)信息熵確定的置信區(qū)間的分布來(lái)確定異常行為，是一種靈活、有效的自動(dòng)化檢測(cè)工具。從而，有效地提高了網(wǎng)絡(luò)流量異常檢測(cè)的準(zhǔn)確性，大大減輕了網(wǎng)絡(luò)管理員人員的負(fù)擔(dān)。如圖6所示，本發(fā)明實(shí)施例提供的所述數(shù)據(jù)選取單元51包括數(shù)據(jù)捕獲模塊511，用于以旁路偵聽(tīng)方式捕獲網(wǎng)絡(luò)上的TCP/IP流量數(shù)據(jù)包；屬性分解模塊512，對(duì)捕獲到的數(shù)據(jù)包進(jìn)行屬性分解，建立屬性記錄。本發(fā)明實(shí)施例中，所述的屬性分解，建立屬性記錄即為將捕獲的網(wǎng)絡(luò)數(shù)據(jù)包按照屬性項(xiàng)進(jìn)行分解歸類，亦即通過(guò)捕獲網(wǎng)絡(luò)數(shù)據(jù)包的形式，產(chǎn)生每個(gè)數(shù)據(jù)包的屬性記錄，這些記錄的格式為R(Src.IP，Src.Port，Dst.IP，Dst.Port)，其中，Src.IP代表源地址，Src.Port代表源端口，Dst.IP代表目的地址，Dst.Port代表目的端口。通過(guò)以上的屬性項(xiàng)，系統(tǒng)將會(huì)在抓取到每一個(gè)TCP/IP數(shù)據(jù)包時(shí)記錄一個(gè)屬性記錄R。本發(fā)明實(shí)施例提供的所述分布分析單元52包括屬性檢查模塊521，用于檢查屬性記錄的各個(gè)屬性是否在相應(yīng)的屬性列表中，若不存在則新建屬性項(xiàng)，存入相應(yīng)的屬性表；統(tǒng)計(jì)模塊522，用于對(duì)屬性記錄的各個(gè)屬性進(jìn)行統(tǒng)計(jì)計(jì)數(shù)。本發(fā)明實(shí)施例中屬性檢查模塊521的處理過(guò)程和統(tǒng)計(jì)模塊522的方法流程可參考本發(fā)明的方法實(shí)施例中的圖4和圖5，此處不再贅述。所述預(yù)測(cè)單元54包括預(yù)測(cè)信息熵劃分模塊541，用于將網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)的預(yù)測(cè)信息熵劃分為兩個(gè)部分平滑部分和趨勢(shì)部分；預(yù)測(cè)信息熵獲得模塊542，用于根據(jù)所述平滑部分和趨勢(shì)部分獲得預(yù)測(cè)信息熵。本發(fā)明實(shí)施例中首先假設(shè)網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)的預(yù)測(cè)信息熵可以劃分為兩個(gè)部分平滑部分和趨勢(shì)部分，然后由這兩個(gè)部分組合獲得預(yù)測(cè)信息熵。所述置信區(qū)間獲得單元55包括偏移量獲得模塊551，用于獲得所述觀測(cè)信息熵和所述預(yù)測(cè)信息熵的偏移量；置信區(qū)間計(jì)算模塊552，用于根據(jù)所述偏移量計(jì)算置信區(qū)間。本發(fā)明裝置實(shí)施例中各單元與模塊的具體工作方法，可以參照本發(fā)明的方法實(shí)施例，此處不再贅述。下面將結(jié)合實(shí)驗(yàn)結(jié)果對(duì)本發(fā)明實(shí)施例的有益效果作進(jìn)一步詳細(xì)說(shuō)明。在本發(fā)明實(shí)施例中，搭建的實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)淙鐖D7所示。實(shí)驗(yàn)環(huán)境由一臺(tái)華為5024P交換機(jī)，兩臺(tái)曙光服務(wù)器(CPUAMDOpteron，lG內(nèi)存，73X2GSCSI硬盤，千兆網(wǎng)卡)和兩臺(tái)PC機(jī)組成。其中，曙光服務(wù)器分別作為IDS分析機(jī)和制造背景流量的發(fā)包機(jī)，一臺(tái)PC機(jī)作為攻擊源，一臺(tái)PC機(jī)作為受害機(jī)，并且受害機(jī)是信息安全研究中心正常運(yùn)行的主機(jī)。實(shí)驗(yàn)中使用的背景流量來(lái)源于加州大學(xué)Berkley分校的LawrenceBerkeley實(shí)驗(yàn)室采集的真實(shí)流量數(shù)據(jù)。在攻擊機(jī)上，根據(jù)DDoS(DistributedDenial-of-Service，分布式拒絕服務(wù))攻擊原理，模擬仿真了大量的數(shù)據(jù)源作為攻擊源，并讓這些攻擊源在較短時(shí)間內(nèi)同時(shí)向被攻擊方發(fā)送數(shù)據(jù)包。本發(fā)明實(shí)施例使用tcpr印lay軟件作為網(wǎng)絡(luò)背景流量回放工具，在不同的時(shí)間段注入DDoS攻擊異常流量，如圖8中的(a)和(b)中箭頭所指處，注入異常流量的時(shí)間分別為2010-2020s和3020-3030s。一方面，DDoS異常流量數(shù)據(jù)包的目的IP地址分布高度集中，導(dǎo)致受害機(jī)基于目的IP地址的信息熵顯著減少，超過(guò)了置信區(qū)間的范圍，如圖8(a)所示；另一方面，DDoS異常流量數(shù)據(jù)包的源IP地址分布高度分散，導(dǎo)致受害機(jī)基于源IP地址的信息熵顯著增加，超過(guò)了置信區(qū)間的范圍，如圖8(b)所示。而在不存在異常的情況下，源IP和目的IP的熵值均在置信區(qū)間范圍內(nèi)。本發(fā)明中若一個(gè)觀測(cè)信息熵Y落在所述置信區(qū)間外，那么信息熵Y代表的網(wǎng)絡(luò)流量是異常的，否則就是正常的。本發(fā)明實(shí)施例通過(guò)分析目的IP地址和源IP地址的信息熵在置信區(qū)間的分布就可以準(zhǔn)確地判斷出DDoS攻擊，當(dāng)然本發(fā)明所能檢測(cè)的異常流量并不局限于DDoS異常流量。由此可見(jiàn)，本發(fā)明的網(wǎng)絡(luò)流量異常檢測(cè)方法和裝置能夠檢測(cè)出異常流量，并且具有很高的檢測(cè)率。本發(fā)明的實(shí)施例還可有很多種，在不背離本發(fā)明的實(shí)施例精神及其實(shí)質(zhì)的情況下，本領(lǐng)域技術(shù)人員當(dāng)可根據(jù)本發(fā)明做出各種相應(yīng)的改變和變形，但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明的實(shí)施例所附的權(quán)利要求的保護(hù)范圍。權(quán)利要求一種網(wǎng)絡(luò)流量異常檢測(cè)方法，其特征在于包括如下步驟選取待檢測(cè)的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)，建立屬性記錄；考察網(wǎng)絡(luò)中各個(gè)主機(jī)發(fā)起連接和被連接中的所述屬性記錄的各個(gè)屬性的分布狀況；當(dāng)時(shí)間間隔到達(dá)設(shè)定的時(shí)間閾值時(shí)，根據(jù)所述屬性分布狀況獲得觀測(cè)信息熵；根據(jù)所述觀測(cè)信息熵預(yù)測(cè)下一個(gè)時(shí)間間隔的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)的信息熵；根據(jù)所述觀測(cè)信息熵和所述預(yù)測(cè)信息熵獲得異常判決所需置信區(qū)間；分析所述觀測(cè)信息熵在所述置信區(qū)間的分布，根據(jù)分析結(jié)果確定網(wǎng)絡(luò)流量是否異常。2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)流量異常檢測(cè)方法，其特征在于所述選取待檢測(cè)的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)，建立屬性記錄的步驟包括(1)以旁路偵聽(tīng)方式捕獲網(wǎng)絡(luò)上的TCP/IP流量數(shù)據(jù)包；(2)對(duì)捕獲到的數(shù)據(jù)包進(jìn)行屬性分解，建立屬性記錄；所述網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)包括TCP/IP流量數(shù)據(jù)包的源IP地址、目的IP地址、源端口和目的端口。3.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)流量異常檢測(cè)方法，其特征在于所述考察網(wǎng)絡(luò)中各個(gè)主機(jī)發(fā)起連接和被連接中的所述屬性記錄的各個(gè)屬性的分布狀況的步驟包括(l)檢查屬性記錄的各個(gè)屬性是否在相應(yīng)的屬性列表中，若不存在則新建屬性項(xiàng)，存入相應(yīng)的屬性列表；(2)對(duì)屬性記錄的各個(gè)屬性進(jìn)行統(tǒng)計(jì)計(jì)數(shù)。4.根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)流量異常檢測(cè)方法，其特征在于所述根據(jù)所述觀測(cè)信息熵預(yù)測(cè)下一個(gè)時(shí)間間隔的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)的信息熵的步驟包括(l)將網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)的預(yù)測(cè)信息熵劃分為兩個(gè)部分平滑部分和趨勢(shì)部分；(2)根據(jù)所述平滑部分和所述趨勢(shì)部分獲得預(yù)測(cè)信息熵；A''所述觀測(cè)信息熵為X(&"f臟,)=-2(;)log2(，)，其中，F(xiàn)eature表示一個(gè)流量特征，即源IP或目的端口；Featurei={(Xi，n》i=1，2，,了&次，S=$",表示所有屬性發(fā)生的總次數(shù)；所述網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)的預(yù)測(cè)信N}表示在測(cè)量數(shù)據(jù)中屬性Xi發(fā)生熵的平滑部分為一l)+(1——1)+S(,-1》，,〉2a亞料m工&(0=jem—，'其中，a為平滑因子，s。(t-i)為第t-i個(gè)時(shí)間間隔的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)的觀測(cè)信息熵，st(t-i)為第t-i個(gè)時(shí)間間隔預(yù)測(cè)信息熵的趨勢(shì)部分；所述網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)的預(yù)測(cè)信息熵的趨勢(shì)部分為SW=:^、m^'、力，"，其中，e為平滑因子，Ss(t-l)為所述的第t-l個(gè)時(shí)間間隔的預(yù)測(cè)信息熵的平滑部分；所述的預(yù)測(cè)信息熵為:Sf(t)=Ss(t)+St(t)，Ss(t)為所述的平滑部分，St(t)為所述的趨勢(shì)部分。5.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)流量異常檢測(cè)方法，其特征在于所述根據(jù)所述觀測(cè)信息熵和所述預(yù)測(cè)信息熵獲得異常判決所需置信區(qū)間的步驟包括(l)獲得所述觀測(cè)信息熵和所述預(yù)測(cè)信息熵的偏移量；(2)根據(jù)所述偏移量計(jì)算置信區(qū)間；所述觀測(cè)信息熵和所述預(yù)測(cè)信息熵的偏移量為d(t)=Y|S。(t)-Sf(t)|+(1-Y)d(t-l)，其中S。(t)為實(shí)際觀測(cè)的第t個(gè)時(shí)間間隔的信息熵，Sf(t)為預(yù)測(cè)的第t個(gè)時(shí)間間隔的信息熵，Y是平滑因子；所述偏移量計(jì)算得到的置信區(qū)間為(Sf(t)-S-d(t-l)，Sf(t)+S+d(t-l))，其中，Sf(t)為預(yù)測(cè)的第t個(gè)時(shí)間間隔的信息熵，d(t-l)為第t-i個(gè)時(shí)間間隔的預(yù)測(cè)偏移量，S+與S—是放縮比例，用來(lái)改變置信區(qū)間的大小。6.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)流量異常檢測(cè)方法，其特征在于所述屬性分解，建立屬性記錄的方法為將捕獲的網(wǎng)絡(luò)數(shù)據(jù)包按照屬性項(xiàng)進(jìn)行分解歸類，亦即通過(guò)捕獲網(wǎng)絡(luò)數(shù)據(jù)包的形式，產(chǎn)生每個(gè)數(shù)據(jù)包的屬性記錄，這些記錄的格式為R(Src.IP，Src.Port，Dst.IP，Dst.Port)，其中，Src.IP代表源地址，Src.Port代表源端口，Dst.IP代表目的地址，Dst.Port代表目的端口；通過(guò)以上的屬性項(xiàng)，系統(tǒng)將會(huì)在抓取到每一個(gè)TCP/IP數(shù)據(jù)包時(shí)記錄一個(gè)屬性記錄R。7.根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)流量異常檢測(cè)方法，其特征在于，所述的檢查屬性記錄的各個(gè)屬性是否在屬性列表中，并新建屬性項(xiàng)的處理過(guò)程包括檢查屬性記錄的目的IP地址是否在源地址列表IPsrc中，若不存在，則分配一個(gè)對(duì)應(yīng)于該目的IP地址的源地址項(xiàng)S_IPsrc，并將S_IPsrc存入到IPsrc中；檢查屬性記錄的源IP地址是否在目的地址列表IPdst中，若不存在，則分配一個(gè)對(duì)應(yīng)于該源IP地址的目的地址項(xiàng)S_IPdst，并將S_IPdst插入到IPdst中；檢查屬性記錄的源IP地址是否在源地址—源端口列表PTSsrc中，若不存在，則分配一個(gè)對(duì)應(yīng)于該源IP地址的源端口項(xiàng)S_PTSsrc，并將S_PTSsrc插入到PTSsrc中；檢查屬性記錄的源IP地址是否在源地址_目的端口列表PTSdst中，若不存在，則分配一個(gè)對(duì)應(yīng)于該源IP地址的目的端口項(xiàng)S_PTSdst，并將S_PTSdst插入到PTSdst中；檢查屬性記錄的目的IP地址是否在目的地址_源端口列表PTDsrc中，若不存在，則分配一個(gè)對(duì)應(yīng)于該目的IP地址的源端口項(xiàng)S_PTDsrc，并將S_PTDsrc插入到PTDsrc中；檢查屬性記錄的目的IP地址是否在目的地址_目的端口列表PTDdst中，若不存在，則分配一個(gè)對(duì)應(yīng)于該目的IP地址的目的端口項(xiàng)S_PTDdst，并將S_PTDdst插入到PTDdst中；所述對(duì)屬性記錄的各個(gè)屬性進(jìn)行統(tǒng)計(jì)計(jì)數(shù)的方法為對(duì)屬性記錄的各個(gè)屬性進(jìn)行哈希，然后分別對(duì)源地址列表、目的地址列表、源地址_源端口列表、源地址_目的端口列表、目的地址_源端口列表、目的地址_目的端口列表中的對(duì)應(yīng)項(xiàng)進(jìn)行加1操作。8.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)流量異常檢測(cè)方法，其特征在于所述分析所述觀測(cè)信息熵在所述置信區(qū)間的分布，根據(jù)分析結(jié)果確定網(wǎng)絡(luò)流量是否異常的方法為若一個(gè)觀測(cè)信息熵Y落在所述置信區(qū)間外，那么信息熵Y代表的網(wǎng)絡(luò)流量是異常的，否則就是正常的。9.一種網(wǎng)絡(luò)流量異常檢測(cè)裝置，其特征在于，由數(shù)據(jù)選取單元、分布分析單元、觀測(cè)信息熵獲得單元、預(yù)測(cè)單元、置信區(qū)間獲得單元和異常判決單元順序連接組成；數(shù)據(jù)選取單元選取待檢測(cè)的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)，建立屬性記錄；分布分析單元考察網(wǎng)絡(luò)中各個(gè)主機(jī)發(fā)起連接和被連接中的所述屬性記錄的各個(gè)屬性的分布狀況；觀測(cè)信息熵獲得單元用于當(dāng)時(shí)間間隔到達(dá)設(shè)定的時(shí)間閾值時(shí)，根據(jù)所述屬性分布狀況獲得觀測(cè)信息熵；預(yù)測(cè)單元根據(jù)所述觀測(cè)信息熵預(yù)測(cè)下個(gè)時(shí)間間隔的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)的信息熵；置信區(qū)間獲得單元根據(jù)所述觀測(cè)信息熵和所述預(yù)測(cè)信息熵獲得異常判決所需置信區(qū)間；異常判決單元分析所述觀測(cè)信息熵在所述置信區(qū)間的分布，根據(jù)分析結(jié)果確定網(wǎng)絡(luò)流量是否異常。10.根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)流量異常檢測(cè)裝置，其特征在于所述數(shù)據(jù)選取單元包括數(shù)據(jù)捕獲模塊和屬性分解模塊；數(shù)據(jù)捕獲模塊，用于以旁路偵聽(tīng)方式捕獲網(wǎng)絡(luò)上的TCP/IP流量數(shù)據(jù)包；屬性分解模塊，用于對(duì)捕獲到的數(shù)據(jù)包進(jìn)行屬性分解，建立屬性記錄；所述分布分析單元包括屬性檢查模塊和統(tǒng)計(jì)模塊；屬性檢查模塊，用于檢查屬性記錄的各個(gè)屬性是否在相應(yīng)的屬性列表中，若不存在則新建屬性項(xiàng)，存入相應(yīng)的屬性列表；統(tǒng)計(jì)模塊，用于對(duì)屬性記錄的各個(gè)屬性進(jìn)行統(tǒng)計(jì)計(jì)數(shù)；所述預(yù)測(cè)單元包括預(yù)測(cè)信息熵劃分模塊和預(yù)測(cè)信息熵獲得模塊；預(yù)測(cè)信息熵劃分模塊，用于將網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)的預(yù)測(cè)信息熵劃分為兩個(gè)部分平滑部分和趨勢(shì)部分；預(yù)測(cè)信息熵獲得模塊，用于根據(jù)所述平滑部分和趨勢(shì)部分獲得預(yù)測(cè)信息熵；所述置信區(qū)間獲得單元包括偏移量獲得模塊和置信區(qū)間計(jì)算模塊；偏移量獲得模塊，用于獲得所述觀測(cè)信息熵和所述預(yù)測(cè)信息熵的偏移量；置信區(qū)間計(jì)算模塊，用于根據(jù)所述偏移量計(jì)算置信區(qū)間。全文摘要本發(fā)明是一種網(wǎng)絡(luò)流量異常檢測(cè)方法及檢測(cè)裝置。包括數(shù)據(jù)選取單元，用于選取待檢測(cè)的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)，建立屬性記錄；分布分析單元，考察網(wǎng)絡(luò)中各個(gè)主機(jī)發(fā)起連接和被連接中的所述屬性記錄的各個(gè)屬性的分布狀況；觀測(cè)信息熵獲得單元，用于當(dāng)時(shí)間間隔到達(dá)設(shè)定的時(shí)間閾值時(shí)，根據(jù)所述屬性分布狀況獲得觀測(cè)信息熵；預(yù)測(cè)單元，根據(jù)所述觀測(cè)信息熵預(yù)測(cè)下一個(gè)時(shí)間間隔的網(wǎng)絡(luò)指標(biāo)數(shù)據(jù)的信息熵；置信區(qū)間獲得單元，根據(jù)所述觀測(cè)信息熵和所述預(yù)測(cè)信息熵獲得異常判決所需置信區(qū)間；異常判決單元，分析所述觀測(cè)信息熵在所述置信區(qū)間的分布，根據(jù)分析結(jié)果確定網(wǎng)絡(luò)流量是否異常。解決了現(xiàn)有技術(shù)用于網(wǎng)絡(luò)流量異常檢測(cè)時(shí)可操作性不強(qiáng)、靈活性較差的問(wèn)題。文檔編號(hào)H04L12/26GK101795215SQ20101010188公開(kāi)日2010年8月4日申請(qǐng)日期2010年1月28日優(yōu)先權(quán)日2010年1月28日發(fā)明者何曉冰,楊武,玄世昌,王巍,王晴,苘大鵬申請(qǐng)人:哈爾濱工程大學(xué)