鄧 緋 張 勇 唐 權(quán) 陳 印 駱文亮 趙 萍

(四川職業(yè)技術(shù)學(xué)院計算機科學(xué)系，四川遂寧 629000)

隨著Internet技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)已經(jīng)成為人們生活中不可缺少的部分.Internet也正演變成為一個復(fù)雜的系統(tǒng)，網(wǎng)絡(luò)DDos攻擊、網(wǎng)絡(luò)蠕蟲攻擊等等時有發(fā)生.網(wǎng)絡(luò)的不正常運行會引起網(wǎng)絡(luò)的嚴重擁塞，造成不必要的損失.而對網(wǎng)絡(luò)流量的異常檢測，可以幫助管理員及時發(fā)現(xiàn)可能存在的入侵或攻擊等行為，從而可以提前做出防范，起到對網(wǎng)絡(luò)安全管理的作用.本文針對網(wǎng)絡(luò)流量常常，提出一種基于滑動時間窗的置信區(qū)間的方法，可以有效地對網(wǎng)絡(luò)異常流量進行檢測，給出安全告警.

1 網(wǎng)絡(luò)流量異常算法綜述

對網(wǎng)絡(luò)流量的異常檢測，常用的有以下幾種[1]:基于閾值檢測方法，該方法用閾值來確定網(wǎng)絡(luò)流量是否異常，但主要存在閾值確定的合理性的缺陷；基于統(tǒng)計的方法，通過對用戶的使用習(xí)慣進行統(tǒng)計，但假設(shè)的統(tǒng)計模型在實際中往往很復(fù)雜；數(shù)據(jù)挖掘方法則是從大量隨機數(shù)據(jù)中，提取信息、抽象出特征模型，再根據(jù)相應(yīng)算法對網(wǎng)絡(luò)流量的異常進行判斷，但是比較難以維護，在一些情況下，并不能代表多種信息，訓(xùn)練速度慢且開銷較大，工作量大.還有小波分析方法，基于機器學(xué)習(xí)的方法，自相似特征方法等.

其中基于統(tǒng)計的異常流量監(jiān)測方法具有很好的一般性和適應(yīng)攻擊手法改變的能力[2]312-321，本文將主要采用基于統(tǒng)計的網(wǎng)絡(luò)流量異常檢測方法，引入置信區(qū)間，利用網(wǎng)絡(luò)流量的歷史行為檢測當前的異?；顒雍途W(wǎng)絡(luò)性能下降.

2 置信區(qū)間流量異常算法

2.1 置信區(qū)間的引入

如何能夠準確判斷流量是否正常，一直是網(wǎng)絡(luò)流量異常檢測中的一個難題.閾值方法通常是指設(shè)定一個閾值[3]，網(wǎng)絡(luò)流量在正常閾值內(nèi)則正常，超出閾值范圍則屬不正常.但是閾值范圍難以確定，太小或太大的閾值會產(chǎn)生誤報或者漏報.而不同網(wǎng)絡(luò)數(shù)據(jù)在不同場合具有不同特點，在某些網(wǎng)絡(luò)中，有可能因用戶流動性大或特性不固定，即使數(shù)據(jù)變動較大，數(shù)據(jù)也是正常的；而在有些極規(guī)律的環(huán)境下，有可能不太大的波動就是異常[4][5].在研究了許多網(wǎng)絡(luò)流量異常算法之后，根據(jù)數(shù)據(jù)特點，結(jié)合數(shù)據(jù)的置信區(qū)間和預(yù)測區(qū)間，提出了結(jié)合數(shù)據(jù)的置信區(qū)間和預(yù)測區(qū)間的新方法.

2.2 算法過程

本文采用的網(wǎng)絡(luò)流量異常算法將根據(jù)流量的歷史記錄，進行流量正常與否的判斷[6].難點在于，由于流量的絕對數(shù)值時刻在變動，所以進行判斷的上下確界范圍也在變動.本算法采用滑動時間窗動態(tài)采樣，再進行動態(tài)的置信區(qū)間估計，根據(jù)動態(tài)置信區(qū)間進行判斷.

根據(jù)流量的歷史記錄，可以得到流量的穩(wěn)定分布.因此，可以通過估計流量分布的均值置信區(qū)間來確定正常流量的范圍，在一個時間窗口內(nèi)得到的數(shù)據(jù)與估計值相比，差值在置信范圍內(nèi)為正常，超過這個區(qū)間則認為異常，給出報警.再用新時間窗的數(shù)據(jù)代替原來的數(shù)據(jù)，進行新的估計，得到新的置信區(qū)間，用來判斷再下一個時間窗內(nèi)的數(shù)據(jù)正常與否，做到在滑動時間窗下的動態(tài)置信區(qū)間的估計，從而更好地對流量異常做出判斷，如圖1所示.

圖1 網(wǎng)絡(luò)流量異常檢測流程圖

在大量的樣本空間下，任何分布都近似滿足正態(tài)分布，我們假定流量也如此，但均值和方差不可知.由概率論理論，利用樞軸量構(gòu)造置信區(qū)間的方法步驟如下:

(1)根據(jù)待估參數(shù)構(gòu)造樞軸量Q，一般可由未知參數(shù)的極大似然估計量改造得到；

(2)對于給定的置信水平1-α，利用樞軸量Q的分布的上α分位點求出常數(shù)a，b，使P{a

按照上述步驟，在方差σ2未知的情況下，均值μ的置信區(qū)間求解過程如下，

考慮用σ2的無偏估計來代替，其中n為樣本大小，Xi為每個樣本值，為樣本平均值.即可得到

易驗證T為關(guān)于μ的樞軸量，即T=Q.由關(guān)系式

進行恒等變形，即可得到置信度1-α為的置信區(qū)間為:

2.3 算法步驟

根據(jù)上述模型，結(jié)合網(wǎng)絡(luò)系統(tǒng)，得到具體算法步驟如下:

Step1.確定時間窗口的大小，也即確定了樣本n的大小.根據(jù)網(wǎng)絡(luò)流量的歷史記錄，取最近的n個流量值作為樣本.

Step3.根據(jù)樣本值計算樣本均值和置信區(qū)間.

Step4.取網(wǎng)絡(luò)的實際流量值，與置信區(qū)間比較，在區(qū)間內(nèi)，則流量正常，在區(qū)間外，則流量不正常.如果高于置信區(qū)間上界，則給出異常報警，再檢查是否為攻擊等；如果低于下界，則再判斷是否設(shè)備失效等.

Step5.將原樣本的最遠一個值去掉，剩下的值向前滑動一個位置，最后一個位置用新讀取的流量值填充，構(gòu)成新的樣本.(完成時間窗口的向前滑動)

Step6.循環(huán)Step3～Step5，進行下一個流量值的判斷.

根據(jù)算法，得到圖2.

圖2 基于置信區(qū)間的流量異常檢測流程

2.4 置信區(qū)間的使用

選用置信區(qū)間比簡單閾值作為異常檢測的參考值更為合理有效，通過對網(wǎng)絡(luò)數(shù)據(jù)的檢測，網(wǎng)絡(luò)流量異常檢測系統(tǒng)可以從前面的預(yù)測子系統(tǒng)得到其置信區(qū)間，將這個置信區(qū)間的上下波動值作為預(yù)測值的置信區(qū)間的波動值范圍，這樣可以有效減少誤報率，同時提高異常檢測的精度.

3 結(jié)束語

本文針對已有的網(wǎng)絡(luò)流量異常算法，針對各種算法的優(yōu)缺點，提出了一種基于滑動時間窗的置信區(qū)間的方法，該算法可以有效地對網(wǎng)絡(luò)異常流量進行檢測，給出安全警告.

[1]呂軍，李星.一種網(wǎng)絡(luò)流量異常檢測算法[J].計算機應(yīng)用研究，2006(11):217-218.

[2] J MIRKOVIC，G PRIER，P REIHER. Attacking DDOS at the source [C]// Network Protocols 2002 Proceedings 10th IEEE International Conference，2002.

[3]李勇.園區(qū)網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)研究與設(shè)計[D].合肥:合肥工業(yè)大學(xué)，2007.

[4]葛洪偉，彭震宇，岳海兵.基于混合優(yōu)化算法的網(wǎng)絡(luò)流量有效測量點選擇[J].計算機應(yīng)用研究，2009(4):1480-1483.

[5]王銀花.網(wǎng)絡(luò)流量監(jiān)測算法的研究及其實現(xiàn)[D].南京:南京郵電大學(xué)，2009.

[6]鄧緋.基于代理的網(wǎng)絡(luò)流量監(jiān)控與調(diào)整算法[J].齊齊哈爾大學(xué)學(xué)報，2013(2).