基于模糊相对熵的网络异常流量检测方法研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇基于模糊相对熵的网络异常流量检测方法研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【 摘 要 】 基于模糊相对熵的网络异常流量检测方法可以在缺乏历史流量数据的情况下,通过对网络流量特征进行假设检验,实现对网络异常行为的检测发现。通过搭建模拟实验环境,设计测试用例对基于模糊相对熵的网络异常流量检测方法进行多测度测试验证,结果表明该方法在设定合理模糊相对熵阈值的情况下检测率可达84.36%,具有良好的检测效率。
【 关键词 】 模糊相对熵;网络异常行为;网络异常流量检测
【 中图分类号 】 TP309.05 【 文献标识码 】 A
1 引言
IP网络具有体系架构开放、信息共享灵活等优点,但是因其系统开放也极易遭受各种网络攻击的入侵。网络异常流量检测属于入侵检测方法的一种,它通过统计发现网络流量偏离正常行为的情形,及时检测发现网络中出现的攻击行为,为网络安全防护提供保障。在网络异常流量检测方法中,基于统计分析的检测方法通过分析网络参数生成网络正常行为轮廓,然后度量比较网络当前主体行为与正常行为轮廓的偏离程度,根据决策规则判定网络中是否存在异常流量,具有统计合理全面、检测准确率高等优点。基于相对熵的异常检测方法属于非参数统计分析方法,在检测过程中无须数据源的先验知识,可对样本分布特征进行假设检验,可在缺乏历史流量数据的情况下实现对网络异常行为的检测与发现。本文系统研究了模糊相对熵理论在网络异常流量检测中的应用,并搭建模拟实验环境对基于模糊相对熵的网络异常流量检测方法进行了测试验证。
2 基于模糊相对熵的多测度网络异常流量检测方法
2.1 模糊相对熵的概念
相对熵(Relative Entropy)又称为K-L距离(Kullback-Leibler divergence),常被用作网络异常流量的检测方法。本文引入模糊相对熵的概念,假定可用来度量两个概率分布P={p1,p2,...,...,pn}和Q={q1,q2,...,...,qn}的差别,其中,P、Q是描述同一随机过程的两个过程分布,P、Q的模糊相对熵定义为:
S(P,Q)=[Pi ln+(1-pi)ln] (1)
上式中qi可以接近0或1,这会造成部分分式分母为零,因此对(1)式重新定义:
S'(P,Q)=[Pi ln+(1-pi)ln](2)
模糊相对熵为两种模糊概率分布的偏差提供判断依据,值越小说明越一致,反之亦然。
2.2 多测度网络异常流量检测方法流程
基于模糊相对熵理论的多测度网络异常检测具体实施分为系统训练和实际检测两个阶段。系统训练阶段通过样本数据或监测网络正常状态流量获取测度的经验分布,实际检测阶段将实测数据获取的测度分布与正常测度分布计算模糊相对熵,并计算多个测度的加权模糊相对熵,根据阈值判定网络异常情况,方法流程如下:
Step1:获取网络特征正常流量的参数分布。通过样本数据或监测网络正常状态流量获取各测度的经验分布。
Step2:获取网络特征异常常流量的参数分布。对选取网络特征参数异常流量进行检测获取各种测度的概率分布。
Step3:依据公式(2)计算单测度正常流量和异常流量间模糊相对熵Si。
Step4:计算多测度加权模糊相对熵S。
S=α1S1+α2S2+…+αkSk (3)
式中αk表示第k个测度的权重系数,由测评数据集统计分析获得。
最终,根据S建立不同的等级阈值来表征网络异常情况。S越大,表示网络流量特征参数分布偏离正常状态越多,网络中出现异常流量的概率越大;S越小,表示网络流量特征参数分布与正常状态吻合度越好,网络中出现异常流量的概率越小。
3 测试验证
为测试方法的有效性,搭建如图1所示的实验环境,模拟接入层网络拓扑结构、流量类型和流量负载情况。测试环境流量按业务域类型分类,主要分为视频、语音、数据三种业务域,按每个业务单路带宽需求计算,总带宽需求约为2368kbps~3200kbps。
(1)检测系统接入交换机镜像端口,系统部署环境。
①硬件环境:Intel(R) Core(TM) 2 Duo CPU 2.00GHz,2.0G内存;②操作系统环境:Windows XP,.NET Framework 3.5;③数据库系统:Microsoft SQL Server 2005 9.00.1399.06 (Build 2600: Service Pack 3)。
测试环境交换机采用华为S3050C,用户主机接入点配置如表1所示。
测试网络正常流量状态方案配置。
①1号主机架设视频服务器模拟视频业务域,单路平均带宽需求2.59Mbps;②2、3号主机架设音频服务器模拟语音业务域,单路平均带宽需求128kbps;③4、5、6号主机采用应用层专用协议和传输UDP协议模拟发包程序模拟数据业务域,单路平均带宽需求64kbps。
按上述方案配置网络环境,交换机网络流量负载约为2.996Mbps。
3.1 测试用例设计
网络中的异常行为主要包括非法网络接入、合法用户的违规通信行为、网络攻击及未知的异常流量类型等,系统将其定义为四类:带宽占用、非法IP地址、非法IP会话、模糊相对熵异常四类异常事件,其中模糊相对熵异常可根据经验数据设定多个阈值等级。测试用例以网络正常流量为背景流量,根据测试目的添加异常流量事件。测试用例设计及实验测试过程如表2所示。
3.2 结果分析
测试用例持续监测网络两小时。根据模糊相对熵数据输出,绘制ROC曲线,检测率与误警率的关系如图2所示。通过ROC曲线,能够准确反映模糊相对熵异常流量检测方法检测率与误警率的关系。权衡检测率与误警率,选择合适的阈值。当模糊相对熵阈值设定为39.6时,系统检测率为84.36%,误警率为3.86%,表明检测系统对未知异常流量具有较好的检测效果。
4 结束语
基于模糊相对熵的网络异常流量检测方法可以在不具备网络历史流量信息的情况下,通过对网络流量特征进行假设检验,实现对网络异常行为的检测发现。实验测试结果表明,设定合理的模糊相对熵阈值,该方法的检测率可达84.36%。在下一步的工作中,将研究自学习式阈值设定方法,以及对模糊相对熵方法进一步优化,提升方法的准确性和效率。
参考文献
[1] 蒋建春,冯登国等.网络入侵检测原理与技术[M].北京: 国防工业出版社,2001.
[2] 蔡明,嵇海进.基于ISP网络的DDoS攻击防御方法研究[J].计算机工程与设计,2008, 29(7):1644-1646.
[3] Francois Bavaud. Relative Entropy and Statistics[EB/OL].http://www.unil.ch/webdav/site/imm/users/ fbavaud/private/IT_statistics_bavaud.pdf.,2011-05-16.
[4] 张亚玲,韩照国,任姣霞.基于相对熵理论的多测度网络异常检测方法[J].计算机应用,2010, 30(7):1771-1774.
[5] 李涵秋,马艳,雷磊.基于相对熵理论的网络Dos攻击检测方法[J].电讯技术, 2011, 51(3):89-92.
[6] 张登银,廖建飞.基于相对熵理论网络流量异常检测方法[J].南京邮电大学学报(自然科学版),2012, 32(5):26-31.
[7] 胡为,胡静涛.加权模糊相对熵在电机转子故障模糊识别中的应用[J].信息与控制,2009, 38(3):326-331.
作者简介:
姚宏林(1974-),男,硕士,副教授,从事信息安全教学与研究。
韩伟杰(1980-),男,硕士,讲师,从事信息安全教学与研究。
吴忠望(1979-),男,博士,讲师,从事信息安全教学与研究。