改進的CUSUM網絡流量異常檢測

鄧緋,韓文智,朱倩,錢立

四川職業技術學院計算機科學系,四川遂寧62900

改進的CUSUM網絡流量異常檢測

鄧緋,韓文智,朱倩,錢立

四川職業技術學院計算機科學系,四川遂寧62900

網絡已是人們學習生活不可缺少的一部分，如何能夠準確、快速地檢測出網絡流量異常，并做出合理的響應，是網絡正常運行的保證。本文提出改進的CUSUM流量異常檢測算法，通過對CUSUM算法對網絡流量進行檢測，在警告判斷條件和增加約束條件兩方面進行改進。最后實驗結果表明，CUSUM算法實現簡單，在提高異常流量檢測的誤報率和漏報率方面有較大改進。

網絡流量;CUSUM算法;檢測

隨著計算機在各行各業的快速應用和發展，計算機網絡通信成為現代社會最重要的基礎設施之一。因此，諸如服務器過載，網絡攻擊，網絡病毒等等帶來許多網絡安全問題，將影響網絡的正常運行，甚至可能導致網絡癱瘓。為了保證網絡的正常運行，網絡安全管理工作顯得尤為重要。網絡流量異常檢測是其有效方法之一，通過網絡流量的異常檢測，可以及時發現可能存在的入侵或攻擊等行為，從而可以提前做出防范，起到網絡安全的管理。在DDOS、防火墻和路由器的流量管控等有廣泛的應用。

在異常檢測中，目前有閾值檢測，小波分析，統計等等方法。本文根據研制“異常流量檢測與監控”算法的任務，以及網絡異常流量識別與監控技術研究中的涉及的算法為主[1]，考慮DOS、DDOS、路由器或防火墻流量管理與控制中需要用到的總體流量或單一輸入輸出通道的流量異常檢測算法——CUSUM算法，并在此基礎上根據實際情況進行改進。

在使用CUSUM算法來進行網絡流量異常檢測中，目前有較多為文獻提出了相關方法。文獻[2]把CUSUM算法和改進的閾值法做了實驗比較，證明了使用CUMSUM算法可以更好的檢測網絡攻擊，文獻[3]引入統計學中非參數改變點檢測方法，應用CUMSUM算法的檢測系統，具有較好的誤報率和漏報率；文獻[4]通過增加Bloom Filter對數據包進行過濾，再運用CUSUM算法進行檢測；文獻[5]針對使用CUSUM算法進行流量異常檢測時產生的累積效果，提出用自適應算法消除累積影響，文獻[6]提出了使用改進的非參數遞歸CUMSUM算法檢測DDoS攻擊，并在檢測同時記錄攻擊包；文獻[7]提出基于CUSUM的自適應攻擊檢測算法，可以快速檢測DDoS攻擊。

本文利用CUSUM算法來檢測網絡流量異常，同時對CUSUM算法異常判斷，增加告警約束條件對網絡流量進行分析,以提高網絡流量異常檢測的漏報率和誤報率。

1CUSUM算法介紹

1.1 CUSUM算法簡介

CUSUM主要思想為如果統計量有變化，則隨機序列的概率分布也會發生變化。該算法令x1, x2,...,xt是獨立的N(0,1)同分布，xt+1,xt+2,xt+3,...，為獨立的N(δ,1)同分布，其中t為未知變點，對于給定的序列x1, x2,...,xn，假設t=v( v＜n)，對于原假設t=∞的似然比統計量為（以φ(·)表示標準正態分布的密度函數）：

1.2 CUSUM算法特點

根據基礎CUSUM流量異常檢測算法步驟，以及仿真結果，該算法的優點是能夠檢測到流量的變化點，速度較快；判斷比較直接，可以應用于流量異常的粗粒度的判斷和管理控制。而不足之處是基于假設檢驗方法，假設流量數據都服從相同的分布，與實際有一定的偏差；統計學的方法，有一定的滯后性；通過仿真，誤報率比較高。

分析發現該算法由于沒有考慮告警的撤銷，在產生異常流量數據告警后，由于判斷統計條件的值具有累加性，導致之后會持續告警，因此需要改進該算法。

2 改進CUSUM算法

在上述基礎算法中，主要存在一旦異常流量數據產生并告警后，判斷條件的值一般是超過閥值了的。由于判斷條件的累加性公式，前一個流量點的判斷值會加入到后一個流量值的判斷條件中，因此會影響后一個流量值異常的判斷，導致一旦出現異常告警后，后續的判斷條件值都超過閥值，因而持續報警。

解決該問題的辦法是增加告警撤銷的步驟，及流量異常后，撤銷異常流量數據值累加進下一個流量的判斷條件值，這樣避免持續異常和告警，避免誤報。

考慮改進告警判斷條件，增加約束條件，主要算法步驟如下：

（1）初始參數設定

確定初始參數：n——流量穩定的觀察值個數，如設n=100；

v——異常變點(1)vn≤≤，如設v=50；

h——異常閥值，0h＞，為可調參數，可以根據實際網絡和流量情況進行調節，以達到異常判斷的準確性。

（2）讀入v個觀測值，并計算均值和估計方差

讀入x1, x2,...,xv；

計算穩定均值：

（3）再讀入v+1到n個觀測值，計算均值

計算穩定均值：

（4）計算δ

（5）判斷，并計算統計量

如果0δ＞，則計算

如果0δ＜，則計算

如果Zn＞h，且Zi≤h, i=1,2,...,n -1，或者Dn＜-h，且Di≥-h, i=1,2,...,n -1，則判斷流量異常發生，報警。

（7）繼續檢測判斷

繼續讀入新的20個觀測值，按隊列方式替換觀測時間最舊的數據，

（6）異常判斷，增加告警約束條件

循環步驟（2）～（6）；

（8）算法結束。

3 仿真實驗

通過MIT實驗室發布的DARPA數據，進行仿真，通過20000條流量數據的預處理，仿真實驗，采用wireshark讀取原始MIT數據，保存為CVS格式。仿真得到的流量數據與時間的關系圖,時間軸按序號,如圖1，時間與流量統計量的關系圖如圖2。

圖1 通過仿真得到的流量數據與時間的關系圖Fig.1 Flow and time relation based on simulation data

實驗結果在t為74.8324，130.5286，259.9628，263.7945，272.4515,529.2545告警進行報警。從曲線圖可看出，在流量值有異常的情況下，曲線都會有波動，可以檢測出流量異常的變點，消除了大量的明顯的誤報；降低了累加性造成的實際流量下降之后，判斷條件值持續較高的問題；不同的閥值h，告警結果有微小的差異，但基本反應了流量的異常情況。取值，n=20000，v=1000，h=400按時間軸繪圖

圖2 時間與統計量關系圖Fig.2 Time and statistic variable relation

4 結論

本文采用CUSUM算法對網絡流量進行檢測，在警判斷條件和動態區域檢驗方面進行改進。仿真結果表明，CUSUM算法實現簡單，在提高異常流量檢測的誤報和漏報方面有較大改進。在將來的研究中需要考慮如下方面：算法中判斷條件Z值迭代與累加計算的正確性，需要進一步分析計算過程，得出結果；還未考慮一旦有異常流量值之后的告警撤銷的問題，即將異常的流量判斷條件值做正常化處理。

[1]孫知信.網絡異常流量識別與監控技術研究[M].北京:清華大學出版社,2010:45-46

[2]VA Siris,F Papagalou.Application of anomaly detection algorithms for detecting SYN flooding attacks[C]//Global Telecommunications Conference.IEEE:[s.n.],2004,14:2050-2054

[3]康健,鞠久濱.CUSUM算法在DDoS源端檢測中的應用[J].計算機應用,2006,26(6):1342-1344

[4]Sun C H,Fan J D,Liu B.A robust scheme to detect SYN flooding attacks[C]∥Proceedings of the Second International Conference on Communications and Network in China.Shanghai:[s.n.],2007:397-401

[5]步岳山,張海艷,王汝傳.基于改進CUSUM算法的網絡異常流量檢測[J].計算機應用研究,2009,26(2):500-501

[6]嚴芬,陳軼群,黃浩,等.使用補償非參數CUSUM方法檢測DDoS攻擊[J].通信學報,2008,29(6):126-132

[7]賴會霞,馬劍波,張仕.基于CUSUM的自適應攻擊檢測[J].福建師范大學學報(自然科學版),2011,27(5):34-39

Abnormal Detection on Network Traffic Based on the Improved CUSUM

DENG Fei,HAN Wen-zhi,ZHU Qian,QIAN Li
Department of Computer Science,College of Sichuan Vocation and Technology,Suining 629000,China

The network is an integral part in people living and learning.It is an assurance of a normal network running how to be able to detect the abnormal network traffic accurately and fast,and to make a reasonable response.This paper put forward the algorithm for an abnormal network traffic detection based on the improved CUSUM,it was improved through two parts of the warning judgement and improvement constraints according to the detection algorithm.Finally,experimental results showed that CUSUM algorithm was a simple,had a great of improvement in the aspects of improving traffic abnormal detection false positive negative rate.

Network traffic;CUSUM algorithm;detection

TP393.4文獻標示碼:A

1000-2324(2014)03-0356-04

2012-12-23

2013-02-12

四川省教育廳自然科學重點項目(14ZA0311)

鄧緋(1975-),女,本科,研究方向:計算機應用.E-mail:155104226@qq.com