網(wǎng)絡流量曲線分析方法和裝置制造方法
【專利摘要】本發(fā)明提供了一種網(wǎng)絡流量曲線分析方法和裝置。涉及信息安全領域�;解決了對網(wǎng)絡流量變化規(guī)律分析的問題。該方法包括:根據(jù)待評估流量曲線�����,從歷史數(shù)據(jù)中選取建模樣本��;以所述建模樣本作為訓練樣本���,構造模型;根據(jù)所述模型����,評估所述待評估流量曲線的偏離度。本發(fā)明提供的技術方案適用于網(wǎng)絡態(tài)勢分析,實現(xiàn)了對高隨機性的網(wǎng)絡流量的分析�����。
【專利說明】網(wǎng)絡流量曲線分析方法和裝置【技術領域】
[0001]本發(fā)明涉及信息安全領域,尤其涉及一種網(wǎng)絡流量曲線分析方法和裝置。
【背景技術】
[0002]流量曲線(數(shù)據(jù)包個數(shù)�����、數(shù)據(jù)包體積等���,能夠表現(xiàn)流量特征的數(shù)值序列)是網(wǎng)絡態(tài)勢分析的常用工具,通過分析流量曲線可以在第一時間獲取特定時期內的網(wǎng)絡負載情況���、負載變化情況��,直觀地評估網(wǎng)絡環(huán)境的健康程度����,特別是對于DDos洪泛攻擊����、Smurf攻擊�、Arp攻擊等網(wǎng)絡安全事件的發(fā)現(xiàn)具有比較實際�、高效的指導作用����。
[0003]流量曲線建模本質上是以歷史流量曲線為樣本的數(shù)據(jù)挖掘過程�,是對歷史流量曲線在形態(tài)上的概括總結。在分析網(wǎng)絡狀態(tài)或評估網(wǎng)絡健康情況時��,一般采用基于指標的態(tài)勢感知分析方法���,這種方法根據(jù)對比前后兩個狀態(tài)的差異程度來判斷網(wǎng)絡狀態(tài)的遷移�����,區(qū)別于態(tài)勢感知���,曲線模型往往包含著在時間維度上的前后關聯(lián)信息,這種關聯(lián)信息不僅可以回答態(tài)勢是否發(fā)生了遷移,還可以更近一步分析這種遷移以歷史的角度��,是否發(fā)生過��,變化幅度是否是正常的���。
[0004]網(wǎng)絡流量的變化規(guī)律是由網(wǎng)絡環(huán)境決定的,本質上是網(wǎng)絡中各個節(jié)點的使用者(自然人或程序)行為規(guī)律的體現(xiàn)����,因此當我們假設一個曲線樣本在歷史中發(fā)生過����,本質上是在討論產生這一曲線的行為是否曾經發(fā)生過。流量曲線中最重要的因素是時間,然而����,通常情況下網(wǎng)絡行為并不由時間唯一確定���,特別是辦公網(wǎng)絡����、社區(qū)網(wǎng)絡等�,網(wǎng)絡行為主要由人引起��,因此隨機性很強,在小粒度時間點上基本沒有普遍規(guī)律能夠總結����。
【發(fā)明內容】
[0005]本發(fā)明提供了一種網(wǎng)絡流量曲線分析方法和裝置,解決了對網(wǎng)絡流量變化規(guī)律分析的問題。
[0006]一種網(wǎng)絡流量曲線分析方法和裝置�,包括:
[0007]根據(jù)待評估流量曲線,從歷史數(shù)據(jù)中選取建模樣本�;
[0008]以所述建模樣本作為訓練樣本�,構造模型�;
[0009]根據(jù)所述模型�����,評估所述待評估流量曲線的偏離度。
[0010]優(yōu)選的�,根據(jù)待評估流量曲線����,從歷史數(shù)據(jù)中選取樣本包括:
[0011]從歷史數(shù)據(jù)中選擇與所述待評估流量曲線的時間相吻合的歷史曲線段作為候選樣本,所述候選樣本符合以下表達式
[0012]
CandidateCurve —
的定
= gbegin — i x dayinterval — B, e = gend — i x dayinterval — £, Vi E IfMS G I[—E, E])
義;
[0013]根據(jù)GoalCurve遍歷所有CandidateCurve,同時獲得它們與GoalCurve的距離distance (C—(bl,el),C—(b2���,e2))����,所述 distance (C—(bl����,el)����,C—(b2,e2))根據(jù)以下表達式計算:
[0014]
【權利要求】
1.一種網(wǎng)絡流量曲線分析方法�,其特征在于,包括: 根據(jù)待評估流量曲線���,從歷史數(shù)據(jù)中選取建模樣本; 以所述建模樣本作為訓練樣本�,構造模型��; 根據(jù)所述模型�,評估所述待評估流量曲線的偏離度。
2.根據(jù)權利要求1所述的網(wǎng)絡流量曲線分析方法��,其特征在于���,根據(jù)待評估流量曲線�,從歷史數(shù)據(jù)中選取樣本包括: 從歷史數(shù)據(jù)中選擇與所述待評估流量曲線的時間相吻合的歷史曲線段作為候選樣本�����,所述候選樣本符合以下表達式
CandidateCurve =
{Cbe\b = g be gin — i x dayinterval — Ef e = gend — i x dayinterval — ElVi E /,Vfi £ I[—E,E]}的定義�; 根據(jù)GoalCurve遍歷所有CandidateCurve,同時獲得它們與GoalCurve的距離distance (C—(bl,el)����,C—(b2,e2))��,所述 distance (C—(bl����,el)����,C—(b2���,e2))根據(jù)以下表達式計算:
distance(Cbl>el>Cb2>e2) = 根據(jù)距離從小到大排序��,從中選取距離最小的N個候選樣本作為后續(xù)建模樣本SampleCurve Q CandidateCurves.t.VCs e SampleCurve, VCc ECandidateCurve — SampleCurve, distance(^Cs, GoalCurve) <distance(Cc, GoalCurve)����。
3.根據(jù)權利要求2所述的網(wǎng)絡流量曲線分析方法����,其特征在于,當N的取值增加時����,對網(wǎng)絡流量異常的敏感度也增加。
4.根據(jù)權利要求2所述的網(wǎng)絡流量曲線分析方法��,其特征在于�����,所述以所述建模樣本作為訓練樣本,構造模型包括: 根據(jù)以下表達式獲取曲線數(shù)據(jù):
ModelCurve = {Cb����,e|b = gbegin, e = gend}�; 進行曲線建模,其中,X采用I至length的整數(shù)作為模型的輸入��,length是待評估流量曲線的長度����,輸出為樣本曲線的元素值vt,其中X與t 一一對應����,X是Vt在曲線中的序號gbegin, gend是GoalCurve的起始、終止時間點,ModelCurve與GoalCurve在時間上--對應,ModelCurve由模型以x為輸入產出�����。
5.根據(jù)權利要求4所述的網(wǎng)絡流量曲線分析方法���,其特征在于�����,所述模型的中間層節(jié)點的數(shù)量取length/2��,中間層節(jié)點的位置依X間隔選取��。
6.根據(jù)權利要求4所述的網(wǎng)絡流量曲線分析方法����,其特征在于�����,所述模型的激發(fā)函數(shù)選用高斯函數(shù)��,其擴展常數(shù)σ設為2��。
7.根據(jù)權利要求4所述的網(wǎng)絡流量曲線分析方法�,其特征在于�����,根據(jù)所述模型�,評估所述待評估流量曲線的偏離度包括: 將值域[0,1]平均分為N份�,確定總體偏離距離的分位數(shù)����,第N個建模樣本曲線的偏離度設為I�����,其余各個建模樣本的偏離度設為Deviation(Cs) = i/N, i是依distance (Cs,ModelCurve)從小到大的排序序號����; 根據(jù)以下表達式�����,計算待評估流量曲線GoalCurve總體的偏離度:
8.—種網(wǎng)絡流量曲線分析裝置���,其特征在于�����,包括: 取樣模塊����,用于根據(jù)待評估流量曲線���,從歷史數(shù)據(jù)中選取建模樣本; 模型構造模塊����,用于以所述建模樣本作為訓練樣本,構造模型���; 評估模塊��,用于根據(jù)所述模型����,評估所述待評估流量曲線的偏離度。
9.根據(jù)權利要求8所述的網(wǎng)絡流量曲線分析裝置�����,其特征在于��,所述取樣模塊包括: 候選樣本確定單元���,用于從歷史數(shù)據(jù)中選擇與所述待評估流量曲線的時間相吻合的歷史曲線段作為候選樣本����,所述候選樣本符合以下表達式
10.模型構造模塊根據(jù)權利要求8所述的網(wǎng)絡流量網(wǎng)線分配裝置�,其特征在于,所述模型構造模塊包括: 曲線建模單元��,用于根據(jù)以下表達式獲取曲線數(shù)據(jù):ModelCurve = {Cb�,e|b = gbegin, e = gend}��; 進行曲線建模�,其中,X采用I至length的整數(shù)作為模型的輸入����,length是待評估流量曲線的長度����,輸出為樣本曲線的元素值vt�,其中X與t 一一對應,X是Vt在曲線中的序號gbegin, gend是GoalCurve的起始�����、終止時間點,ModelCurve與GoalCurve在時間上--對應���,ModelCurve由模型以x為輸入產出��。
11.根據(jù)權利要求8所述的網(wǎng)絡流量曲線分析裝置����,其特征在于���,所述評估模塊包括:分位數(shù)確定單元���,用于將值域[0,1]平均分為N份��,確定總體偏離距離的分位數(shù)�����,第N個建模樣本曲線的偏離度設為I,其余各個建模樣本的偏離度設為Deviation(Cs) = i/N��,i是依distance (Cs, ModelCurve)從小到大的排序序號���; 偏離度計算單元�����,用于根據(jù)以下表達式��,計算待評估流量曲線GoalCurve總體的偏離度:
【文檔編號】H04L12/26GK103647665SQ201310684985
【公開日】2014年3月19日 申請日期:2013年12月13日 優(yōu)先權日:2013年12月13日
【發(fā)明者】侯偉, 周濤 申請人:北京啟明星辰信息技術股份有限公司, 北京啟明星辰信息安全技術有限公司