基于滑動時間窗的置信區間流量異常檢測算法研究

鄧 緋 張 勇 唐 權 陳 印 駱文亮 趙 萍

(四川職業技術學院計算機科學系，四川遂寧 629000)

隨著Internet技術的迅速發展，網絡已經成為人們生活中不可缺少的部分.Internet也正演變成為一個復雜的系統，網絡DDos攻擊、網絡蠕蟲攻擊等等時有發生.網絡的不正常運行會引起網絡的嚴重擁塞，造成不必要的損失.而對網絡流量的異常檢測，可以幫助管理員及時發現可能存在的入侵或攻擊等行為，從而可以提前做出防范，起到對網絡安全管理的作用.本文針對網絡流量常常，提出一種基于滑動時間窗的置信區間的方法，可以有效地對網絡異常流量進行檢測，給出安全告警.

1 網絡流量異常算法綜述

對網絡流量的異常檢測，常用的有以下幾種[1]:基于閾值檢測方法，該方法用閾值來確定網絡流量是否異常，但主要存在閾值確定的合理性的缺陷；基于統計的方法，通過對用戶的使用習慣進行統計，但假設的統計模型在實際中往往很復雜；數據挖掘方法則是從大量隨機數據中，提取信息、抽象出特征模型，再根據相應算法對網絡流量的異常進行判斷，但是比較難以維護，在一些情況下，并不能代表多種信息，訓練速度慢且開銷較大，工作量大.還有小波分析方法，基于機器學習的方法，自相似特征方法等.

其中基于統計的異常流量監測方法具有很好的一般性和適應攻擊手法改變的能力[2]312-321，本文將主要采用基于統計的網絡流量異常檢測方法，引入置信區間，利用網絡流量的歷史行為檢測當前的異常活動和網絡性能下降.

2 置信區間流量異常算法

2.1 置信區間的引入

如何能夠準確判斷流量是否正常，一直是網絡流量異常檢測中的一個難題.閾值方法通常是指設定一個閾值[3]，網絡流量在正常閾值內則正常，超出閾值范圍則屬不正常.但是閾值范圍難以確定，太小或太大的閾值會產生誤報或者漏報.而不同網絡數據在不同場合具有不同特點，在某些網絡中，有可能因用戶流動性大或特性不固定，即使數據變動較大，數據也是正常的；而在有些極規律的環境下，有可能不太大的波動就是異常[4][5].在研究了許多網絡流量異常算法之后，根據數據特點，結合數據的置信區間和預測區間，提出了結合數據的置信區間和預測區間的新方法.

2.2 算法過程

本文采用的網絡流量異常算法將根據流量的歷史記錄，進行流量正常與否的判斷[6].難點在于，由于流量的絕對數值時刻在變動，所以進行判斷的上下確界范圍也在變動.本算法采用滑動時間窗動態采樣，再進行動態的置信區間估計，根據動態置信區間進行判斷.

根據流量的歷史記錄，可以得到流量的穩定分布.因此，可以通過估計流量分布的均值置信區間來確定正常流量的范圍，在一個時間窗口內得到的數據與估計值相比，差值在置信范圍內為正常，超過這個區間則認為異常，給出報警.再用新時間窗的數據代替原來的數據，進行新的估計，得到新的置信區間，用來判斷再下一個時間窗內的數據正常與否，做到在滑動時間窗下的動態置信區間的估計，從而更好地對流量異常做出判斷，如圖1所示.

圖1 網絡流量異常檢測流程圖

在大量的樣本空間下，任何分布都近似滿足正態分布，我們假定流量也如此，但均值和方差不可知.由概率論理論，利用樞軸量構造置信區間的方法步驟如下:

(1)根據待估參數構造樞軸量Q，一般可由未知參數的極大似然估計量改造得到；

(2)對于給定的置信水平1-α，利用樞軸量Q的分布的上α分位點求出常數a，b，使P{a

按照上述步驟，在方差σ2未知的情況下，均值μ的置信區間求解過程如下，

考慮用σ2的無偏估計來代替，其中n為樣本大小，Xi為每個樣本值，為樣本平均值.即可得到

易驗證T為關于μ的樞軸量，即T=Q.由關系式

進行恒等變形，即可得到置信度1-α為的置信區間為:

2.3 算法步驟

根據上述模型，結合網絡系統，得到具體算法步驟如下:

Step1.確定時間窗口的大小，也即確定了樣本n的大小.根據網絡流量的歷史記錄，取最近的n個流量值作為樣本.

Step3.根據樣本值計算樣本均值和置信區間.

Step4.取網絡的實際流量值，與置信區間比較，在區間內，則流量正常，在區間外，則流量不正常.如果高于置信區間上界，則給出異常報警，再檢查是否為攻擊等；如果低于下界，則再判斷是否設備失效等.

Step5.將原樣本的最遠一個值去掉，剩下的值向前滑動一個位置，最后一個位置用新讀取的流量值填充，構成新的樣本.(完成時間窗口的向前滑動)

Step6.循環Step3～Step5，進行下一個流量值的判斷.

根據算法，得到圖2.

圖2 基于置信區間的流量異常檢測流程

2.4 置信區間的使用

選用置信區間比簡單閾值作為異常檢測的參考值更為合理有效，通過對網絡數據的檢測，網絡流量異常檢測系統可以從前面的預測子系統得到其置信區間，將這個置信區間的上下波動值作為預測值的置信區間的波動值范圍，這樣可以有效減少誤報率，同時提高異常檢測的精度.

3 結束語

本文針對已有的網絡流量異常算法，針對各種算法的優缺點，提出了一種基于滑動時間窗的置信區間的方法，該算法可以有效地對網絡異常流量進行檢測，給出安全警告.

[1]呂軍，李星.一種網絡流量異常檢測算法[J].計算機應用研究，2006(11):217-218.

[2] J MIRKOVIC，G PRIER，P REIHER. Attacking DDOS at the source [C]// Network Protocols 2002 Proceedings 10th IEEE International Conference，2002.

[3]李勇.園區網絡流量監測系統研究與設計[D].合肥:合肥工業大學，2007.

[4]葛洪偉，彭震宇，岳海兵.基于混合優化算法的網絡流量有效測量點選擇[J].計算機應用研究，2009(4):1480-1483.

[5]王銀花.網絡流量監測算法的研究及其實現[D].南京:南京郵電大學，2009.

[6]鄧緋.基于代理的網絡流量監控與調整算法[J].齊齊哈爾大學學報，2013(2).