基于模糊相對熵的網(wǎng)絡(luò)異常流量檢測方法研究

姚宏林+++韓偉杰+++吳忠望

【 摘 要 】 基于模糊相對熵的網(wǎng)絡(luò)異常流量檢測方法可以在缺乏歷史流量數(shù)據(jù)的情況下，通過對網(wǎng)絡(luò)流量特征進行假設(shè)檢驗，實現(xiàn)對網(wǎng)絡(luò)異常行為的檢測發(fā)現(xiàn)。通過搭建模擬實驗環(huán)境，設(shè)計測試用例對基于模糊相對熵的網(wǎng)絡(luò)異常流量檢測方法進行多測度測試驗證，結(jié)果表明該方法在設(shè)定合理模糊相對熵閾值的情況下檢測率可達84.36%，具有良好的檢測效率。

【 關(guān)鍵詞 】 模糊相對熵；網(wǎng)絡(luò)異常行為；網(wǎng)絡(luò)異常流量檢測

【 中圖分類號 】 TP309.05 【 文獻標識碼 】 A

1 引言

IP網(wǎng)絡(luò)具有體系架構(gòu)開放、信息共享靈活等優(yōu)點，但是因其系統(tǒng)開放也極易遭受各種網(wǎng)絡(luò)攻擊的入侵。網(wǎng)絡(luò)異常流量檢測屬于入侵檢測方法的一種，它通過統(tǒng)計發(fā)現(xiàn)網(wǎng)絡(luò)流量偏離正常行為的情形，及時檢測發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的攻擊行為，為網(wǎng)絡(luò)安全防護提供保障。在網(wǎng)絡(luò)異常流量檢測方法中，基于統(tǒng)計分析的檢測方法通過分析網(wǎng)絡(luò)參數(shù)生成網(wǎng)絡(luò)正常行為輪廓，然后度量比較網(wǎng)絡(luò)當前主體行為與正常行為輪廓的偏離程度，根據(jù)決策規(guī)則判定網(wǎng)絡(luò)中是否存在異常流量，具有統(tǒng)計合理全面、檢測準確率高等優(yōu)點。基于相對熵的異常檢測方法屬于非參數(shù)統(tǒng)計分析方法，在檢測過程中無須數(shù)據(jù)源的先驗知識，可對樣本分布特征進行假設(shè)檢驗，可在缺乏歷史流量數(shù)據(jù)的情況下實現(xiàn)對網(wǎng)絡(luò)異常行為的檢測與發(fā)現(xiàn)。本文系統(tǒng)研究了模糊相對熵理論在網(wǎng)絡(luò)異常流量檢測中的應(yīng)用，并搭建模擬實驗環(huán)境對基于模糊相對熵的網(wǎng)絡(luò)異常流量檢測方法進行了測試驗證。

2 基于模糊相對熵的多測度網(wǎng)絡(luò)異常流量檢測方法

2.1 模糊相對熵的概念

相對熵（Relative Entropy）又稱為K-L距離（Kullback-Leibler divergence），常被用作網(wǎng)絡(luò)異常流量的檢測方法。本文引入模糊相對熵的概念，假定可用來度量兩個概率分布P={p1，p2，...，...，pn}和Q={q1，q2，...，...，qn}的差別，其中，P、Q是描述同一隨機過程的兩個過程分布，P、Q的模糊相對熵定義為：

S（P，Q）=[Pi ln+（1-pi）ln] （1）

上式中qi可以接近0或1，這會造成部分分式分母為零，因此對（1）式重新定義：

S'（P，Q）=[Pi ln+（1-pi）ln]（2）

模糊相對熵為兩種模糊概率分布的偏差提供判斷依據(jù)，值越小說明越一致，反之亦然。

2.2 多測度網(wǎng)絡(luò)異常流量檢測方法流程

基于模糊相對熵理論的多測度網(wǎng)絡(luò)異常檢測具體實施分為系統(tǒng)訓(xùn)練和實際檢測兩個階段。系統(tǒng)訓(xùn)練階段通過樣本數(shù)據(jù)或監(jiān)測網(wǎng)絡(luò)正常狀態(tài)流量獲取測度的經(jīng)驗分布，實際檢測階段將實測數(shù)據(jù)獲取的測度分布與正常測度分布計算模糊相對熵，并計算多個測度的加權(quán)模糊相對熵，根據(jù)閾值判定網(wǎng)絡(luò)異常情況，方法流程如下：

Step1：獲取網(wǎng)絡(luò)特征正常流量的參數(shù)分布。通過樣本數(shù)據(jù)或監(jiān)測網(wǎng)絡(luò)正常狀態(tài)流量獲取各測度的經(jīng)驗分布。

Step2：獲取網(wǎng)絡(luò)特征異常常流量的參數(shù)分布。對選取網(wǎng)絡(luò)特征參數(shù)異常流量進行檢測獲取各種測度的概率分布。

Step3：依據(jù)公式（2）計算單測度正常流量和異常流量間模糊相對熵Si。

Step4：計算多測度加權(quán)模糊相對熵S。

S=α1S1+α2S2+…+αkSk （3）

式中αk表示第k個測度的權(quán)重系數(shù)，由測評數(shù)據(jù)集統(tǒng)計分析獲得。

最終，根據(jù)S建立不同的等級閾值來表征網(wǎng)絡(luò)異常情況。S越大，表示網(wǎng)絡(luò)流量特征參數(shù)分布偏離正常狀態(tài)越多，網(wǎng)絡(luò)中出現(xiàn)異常流量的概率越大；S越小，表示網(wǎng)絡(luò)流量特征參數(shù)分布與正常狀態(tài)吻合度越好，網(wǎng)絡(luò)中出現(xiàn)異常流量的概率越小。

3 測試驗證

為測試方法的有效性，搭建如圖1所示的實驗環(huán)境，模擬接入層網(wǎng)絡(luò)拓撲結(jié)構(gòu)、流量類型和流量負載情況。測試環(huán)境流量按業(yè)務(wù)域類型分類，主要分為視頻、語音、數(shù)據(jù)三種業(yè)務(wù)域，按每個業(yè)務(wù)單路帶寬需求計算，總帶寬需求約為2368kbps～3200kbps。

（1）檢測系統(tǒng)接入交換機鏡像端口，系統(tǒng)部署環(huán)境。

①硬件環(huán)境：Intel（R） Core（TM） 2 Duo CPU 2.00GHz，2.0G內(nèi)存；②操作系統(tǒng)環(huán)境：Windows XP，.NET Framework 3.5；③數(shù)據(jù)庫系統(tǒng)：Microsoft SQL Server 2005 9.00.1399.06 （Build 2600： Service Pack 3）。

測試環(huán)境交換機采用華為S3050C，用戶主機接入點配置如表1所示。

測試網(wǎng)絡(luò)正常流量狀態(tài)方案配置。

①1號主機架設(shè)視頻服務(wù)器模擬視頻業(yè)務(wù)域，單路平均帶寬需求2.59Mbps；②2、3號主機架設(shè)音頻服務(wù)器模擬語音業(yè)務(wù)域，單路平均帶寬需求128kbps；③4、5、6號主機采用應(yīng)用層專用協(xié)議和傳輸UDP協(xié)議模擬發(fā)包程序模擬數(shù)據(jù)業(yè)務(wù)域，單路平均帶寬需求64kbps。

按上述方案配置網(wǎng)絡(luò)環(huán)境，交換機網(wǎng)絡(luò)流量負載約為2.996Mbps。

3.1 測試用例設(shè)計

網(wǎng)絡(luò)中的異常行為主要包括非法網(wǎng)絡(luò)接入、合法用戶的違規(guī)通信行為、網(wǎng)絡(luò)攻擊及未知的異常流量類型等，系統(tǒng)將其定義為四類：帶寬占用、非法IP地址、非法IP會話、模糊相對熵異常四類異常事件，其中模糊相對熵異常可根據(jù)經(jīng)驗數(shù)據(jù)設(shè)定多個閾值等級。測試用例以網(wǎng)絡(luò)正常流量為背景流量，根據(jù)測試目的添加異常流量事件。測試用例設(shè)計及實驗測試過程如表2所示。

3.2 結(jié)果分析

測試用例持續(xù)監(jiān)測網(wǎng)絡(luò)兩小時。根據(jù)模糊相對熵數(shù)據(jù)輸出，繪制ROC曲線，檢測率與誤警率的關(guān)系如圖2所示。通過ROC曲線，能夠準確反映模糊相對熵異常流量檢測方法檢測率與誤警率的關(guān)系。權(quán)衡檢測率與誤警率，選擇合適的閾值。當模糊相對熵閾值設(shè)定為39.6時，系統(tǒng)檢測率為84.36%，誤警率為3.86%，表明檢測系統(tǒng)對未知異常流量具有較好的檢測效果。

4 結(jié)束語

基于模糊相對熵的網(wǎng)絡(luò)異常流量檢測方法可以在不具備網(wǎng)絡(luò)歷史流量信息的情況下，通過對網(wǎng)絡(luò)流量特征進行假設(shè)檢驗，實現(xiàn)對網(wǎng)絡(luò)異常行為的檢測發(fā)現(xiàn)。實驗測試結(jié)果表明，設(shè)定合理的模糊相對熵閾值，該方法的檢測率可達84.36%。在下一步的工作中，將研究自學習式閾值設(shè)定方法，以及對模糊相對熵方法進一步優(yōu)化，提升方法的準確性和效率。

參考文獻

[1] 蔣建春，馮登國等.網(wǎng)絡(luò)入侵檢測原理與技術(shù)[M].北京： 國防工業(yè)出版社，2001.

[2] 蔡明，嵇海進.基于ISP網(wǎng)絡(luò)的DDoS攻擊防御方法研究[J].計算機工程與設(shè)計，2008， 29（7）：1644-1646.

[3] Francois Bavaud. Relative Entropy and Statistics[EB/OL].http：//www.unil.ch/webdav/site/imm/users/ fbavaud/private/IT_statistics_bavaud.pdf.，2011-05-16.

[4] 張亞玲，韓照國，任姣霞.基于相對熵理論的多測度網(wǎng)絡(luò)異常檢測方法[J].計算機應(yīng)用，2010， 30（7）：1771-1774.

[5] 李涵秋，馬艷，雷磊.基于相對熵理論的網(wǎng)絡(luò)Dos攻擊檢測方法[J].電訊技術(shù)， 2011， 51（3）：89-92.

[6] 張登銀，廖建飛.基于相對熵理論網(wǎng)絡(luò)流量異常檢測方法[J].南京郵電大學學報（自然科學版），2012， 32（5）：26-31.

[7] 胡為，胡靜濤.加權(quán)模糊相對熵在電機轉(zhuǎn)子故障模糊識別中的應(yīng)用[J].信息與控制，2009， 38（3）：326-331.

作者簡介：

姚宏林（1974-），男，碩士，副教授，從事信息安全教學與研究。

韓偉杰（1980-），男，碩士，講師，從事信息安全教學與研究。

吳忠望（1979-），男，博士，講師，從事信息安全教學與研究。endprint

【 摘 要 】 基于模糊相對熵的網(wǎng)絡(luò)異常流量檢測方法可以在缺乏歷史流量數(shù)據(jù)的情況下，通過對網(wǎng)絡(luò)流量特征進行假設(shè)檢驗，實現(xiàn)對網(wǎng)絡(luò)異常行為的檢測發(fā)現(xiàn)。通過搭建模擬實驗環(huán)境，設(shè)計測試用例對基于模糊相對熵的網(wǎng)絡(luò)異常流量檢測方法進行多測度測試驗證，結(jié)果表明該方法在設(shè)定合理模糊相對熵閾值的情況下檢測率可達84.36%，具有良好的檢測效率。

【 關(guān)鍵詞 】 模糊相對熵；網(wǎng)絡(luò)異常行為；網(wǎng)絡(luò)異常流量檢測

【 中圖分類號 】 TP309.05 【 文獻標識碼 】 A

1 引言

IP網(wǎng)絡(luò)具有體系架構(gòu)開放、信息共享靈活等優(yōu)點，但是因其系統(tǒng)開放也極易遭受各種網(wǎng)絡(luò)攻擊的入侵。網(wǎng)絡(luò)異常流量檢測屬于入侵檢測方法的一種，它通過統(tǒng)計發(fā)現(xiàn)網(wǎng)絡(luò)流量偏離正常行為的情形，及時檢測發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的攻擊行為，為網(wǎng)絡(luò)安全防護提供保障。在網(wǎng)絡(luò)異常流量檢測方法中，基于統(tǒng)計分析的檢測方法通過分析網(wǎng)絡(luò)參數(shù)生成網(wǎng)絡(luò)正常行為輪廓，然后度量比較網(wǎng)絡(luò)當前主體行為與正常行為輪廓的偏離程度，根據(jù)決策規(guī)則判定網(wǎng)絡(luò)中是否存在異常流量，具有統(tǒng)計合理全面、檢測準確率高等優(yōu)點。基于相對熵的異常檢測方法屬于非參數(shù)統(tǒng)計分析方法，在檢測過程中無須數(shù)據(jù)源的先驗知識，可對樣本分布特征進行假設(shè)檢驗，可在缺乏歷史流量數(shù)據(jù)的情況下實現(xiàn)對網(wǎng)絡(luò)異常行為的檢測與發(fā)現(xiàn)。本文系統(tǒng)研究了模糊相對熵理論在網(wǎng)絡(luò)異常流量檢測中的應(yīng)用，并搭建模擬實驗環(huán)境對基于模糊相對熵的網(wǎng)絡(luò)異常流量檢測方法進行了測試驗證。

2 基于模糊相對熵的多測度網(wǎng)絡(luò)異常流量檢測方法

2.1 模糊相對熵的概念

相對熵（Relative Entropy）又稱為K-L距離（Kullback-Leibler divergence），常被用作網(wǎng)絡(luò)異常流量的檢測方法。本文引入模糊相對熵的概念，假定可用來度量兩個概率分布P={p1，p2，...，...，pn}和Q={q1，q2，...，...，qn}的差別，其中，P、Q是描述同一隨機過程的兩個過程分布，P、Q的模糊相對熵定義為：

S（P，Q）=[Pi ln+（1-pi）ln] （1）

上式中qi可以接近0或1，這會造成部分分式分母為零，因此對（1）式重新定義：

S'（P，Q）=[Pi ln+（1-pi）ln]（2）

模糊相對熵為兩種模糊概率分布的偏差提供判斷依據(jù)，值越小說明越一致，反之亦然。

2.2 多測度網(wǎng)絡(luò)異常流量檢測方法流程

基于模糊相對熵理論的多測度網(wǎng)絡(luò)異常檢測具體實施分為系統(tǒng)訓(xùn)練和實際檢測兩個階段。系統(tǒng)訓(xùn)練階段通過樣本數(shù)據(jù)或監(jiān)測網(wǎng)絡(luò)正常狀態(tài)流量獲取測度的經(jīng)驗分布，實際檢測階段將實測數(shù)據(jù)獲取的測度分布與正常測度分布計算模糊相對熵，并計算多個測度的加權(quán)模糊相對熵，根據(jù)閾值判定網(wǎng)絡(luò)異常情況，方法流程如下：

Step1：獲取網(wǎng)絡(luò)特征正常流量的參數(shù)分布。通過樣本數(shù)據(jù)或監(jiān)測網(wǎng)絡(luò)正常狀態(tài)流量獲取各測度的經(jīng)驗分布。

Step2：獲取網(wǎng)絡(luò)特征異常常流量的參數(shù)分布。對選取網(wǎng)絡(luò)特征參數(shù)異常流量進行檢測獲取各種測度的概率分布。

Step3：依據(jù)公式（2）計算單測度正常流量和異常流量間模糊相對熵Si。

Step4：計算多測度加權(quán)模糊相對熵S。

S=α1S1+α2S2+…+αkSk （3）

式中αk表示第k個測度的權(quán)重系數(shù)，由測評數(shù)據(jù)集統(tǒng)計分析獲得。

最終，根據(jù)S建立不同的等級閾值來表征網(wǎng)絡(luò)異常情況。S越大，表示網(wǎng)絡(luò)流量特征參數(shù)分布偏離正常狀態(tài)越多，網(wǎng)絡(luò)中出現(xiàn)異常流量的概率越大；S越小，表示網(wǎng)絡(luò)流量特征參數(shù)分布與正常狀態(tài)吻合度越好，網(wǎng)絡(luò)中出現(xiàn)異常流量的概率越小。

3 測試驗證

為測試方法的有效性，搭建如圖1所示的實驗環(huán)境，模擬接入層網(wǎng)絡(luò)拓撲結(jié)構(gòu)、流量類型和流量負載情況。測試環(huán)境流量按業(yè)務(wù)域類型分類，主要分為視頻、語音、數(shù)據(jù)三種業(yè)務(wù)域，按每個業(yè)務(wù)單路帶寬需求計算，總帶寬需求約為2368kbps～3200kbps。

（1）檢測系統(tǒng)接入交換機鏡像端口，系統(tǒng)部署環(huán)境。

①硬件環(huán)境：Intel（R） Core（TM） 2 Duo CPU 2.00GHz，2.0G內(nèi)存；②操作系統(tǒng)環(huán)境：Windows XP，.NET Framework 3.5；③數(shù)據(jù)庫系統(tǒng)：Microsoft SQL Server 2005 9.00.1399.06 （Build 2600： Service Pack 3）。

測試環(huán)境交換機采用華為S3050C，用戶主機接入點配置如表1所示。

測試網(wǎng)絡(luò)正常流量狀態(tài)方案配置。

①1號主機架設(shè)視頻服務(wù)器模擬視頻業(yè)務(wù)域，單路平均帶寬需求2.59Mbps；②2、3號主機架設(shè)音頻服務(wù)器模擬語音業(yè)務(wù)域，單路平均帶寬需求128kbps；③4、5、6號主機采用應(yīng)用層專用協(xié)議和傳輸UDP協(xié)議模擬發(fā)包程序模擬數(shù)據(jù)業(yè)務(wù)域，單路平均帶寬需求64kbps。

按上述方案配置網(wǎng)絡(luò)環(huán)境，交換機網(wǎng)絡(luò)流量負載約為2.996Mbps。

3.1 測試用例設(shè)計

網(wǎng)絡(luò)中的異常行為主要包括非法網(wǎng)絡(luò)接入、合法用戶的違規(guī)通信行為、網(wǎng)絡(luò)攻擊及未知的異常流量類型等，系統(tǒng)將其定義為四類：帶寬占用、非法IP地址、非法IP會話、模糊相對熵異常四類異常事件，其中模糊相對熵異常可根據(jù)經(jīng)驗數(shù)據(jù)設(shè)定多個閾值等級。測試用例以網(wǎng)絡(luò)正常流量為背景流量，根據(jù)測試目的添加異常流量事件。測試用例設(shè)計及實驗測試過程如表2所示。

3.2 結(jié)果分析

測試用例持續(xù)監(jiān)測網(wǎng)絡(luò)兩小時。根據(jù)模糊相對熵數(shù)據(jù)輸出，繪制ROC曲線，檢測率與誤警率的關(guān)系如圖2所示。通過ROC曲線，能夠準確反映模糊相對熵異常流量檢測方法檢測率與誤警率的關(guān)系。權(quán)衡檢測率與誤警率，選擇合適的閾值。當模糊相對熵閾值設(shè)定為39.6時，系統(tǒng)檢測率為84.36%，誤警率為3.86%，表明檢測系統(tǒng)對未知異常流量具有較好的檢測效果。

4 結(jié)束語

基于模糊相對熵的網(wǎng)絡(luò)異常流量檢測方法可以在不具備網(wǎng)絡(luò)歷史流量信息的情況下，通過對網(wǎng)絡(luò)流量特征進行假設(shè)檢驗，實現(xiàn)對網(wǎng)絡(luò)異常行為的檢測發(fā)現(xiàn)。實驗測試結(jié)果表明，設(shè)定合理的模糊相對熵閾值，該方法的檢測率可達84.36%。在下一步的工作中，將研究自學習式閾值設(shè)定方法，以及對模糊相對熵方法進一步優(yōu)化，提升方法的準確性和效率。

參考文獻

[1] 蔣建春，馮登國等.網(wǎng)絡(luò)入侵檢測原理與技術(shù)[M].北京： 國防工業(yè)出版社，2001.

[2] 蔡明，嵇海進.基于ISP網(wǎng)絡(luò)的DDoS攻擊防御方法研究[J].計算機工程與設(shè)計，2008， 29（7）：1644-1646.

[3] Francois Bavaud. Relative Entropy and Statistics[EB/OL].http：//www.unil.ch/webdav/site/imm/users/ fbavaud/private/IT_statistics_bavaud.pdf.，2011-05-16.

[4] 張亞玲，韓照國，任姣霞.基于相對熵理論的多測度網(wǎng)絡(luò)異常檢測方法[J].計算機應(yīng)用，2010， 30（7）：1771-1774.

[5] 李涵秋，馬艷，雷磊.基于相對熵理論的網(wǎng)絡(luò)Dos攻擊檢測方法[J].電訊技術(shù)， 2011， 51（3）：89-92.

[6] 張登銀，廖建飛.基于相對熵理論網(wǎng)絡(luò)流量異常檢測方法[J].南京郵電大學學報（自然科學版），2012， 32（5）：26-31.

[7] 胡為，胡靜濤.加權(quán)模糊相對熵在電機轉(zhuǎn)子故障模糊識別中的應(yīng)用[J].信息與控制，2009， 38（3）：326-331.

作者簡介：

姚宏林（1974-），男，碩士，副教授，從事信息安全教學與研究。

韓偉杰（1980-），男，碩士，講師，從事信息安全教學與研究。

吳忠望（1979-），男，博士，講師，從事信息安全教學與研究。endprint

【 摘 要 】 基于模糊相對熵的網(wǎng)絡(luò)異常流量檢測方法可以在缺乏歷史流量數(shù)據(jù)的情況下，通過對網(wǎng)絡(luò)流量特征進行假設(shè)檢驗，實現(xiàn)對網(wǎng)絡(luò)異常行為的檢測發(fā)現(xiàn)。通過搭建模擬實驗環(huán)境，設(shè)計測試用例對基于模糊相對熵的網(wǎng)絡(luò)異常流量檢測方法進行多測度測試驗證，結(jié)果表明該方法在設(shè)定合理模糊相對熵閾值的情況下檢測率可達84.36%，具有良好的檢測效率。

【 關(guān)鍵詞 】 模糊相對熵；網(wǎng)絡(luò)異常行為；網(wǎng)絡(luò)異常流量檢測

【 中圖分類號 】 TP309.05 【 文獻標識碼 】 A

1 引言

IP網(wǎng)絡(luò)具有體系架構(gòu)開放、信息共享靈活等優(yōu)點，但是因其系統(tǒng)開放也極易遭受各種網(wǎng)絡(luò)攻擊的入侵。網(wǎng)絡(luò)異常流量檢測屬于入侵檢測方法的一種，它通過統(tǒng)計發(fā)現(xiàn)網(wǎng)絡(luò)流量偏離正常行為的情形，及時檢測發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的攻擊行為，為網(wǎng)絡(luò)安全防護提供保障。在網(wǎng)絡(luò)異常流量檢測方法中，基于統(tǒng)計分析的檢測方法通過分析網(wǎng)絡(luò)參數(shù)生成網(wǎng)絡(luò)正常行為輪廓，然后度量比較網(wǎng)絡(luò)當前主體行為與正常行為輪廓的偏離程度，根據(jù)決策規(guī)則判定網(wǎng)絡(luò)中是否存在異常流量，具有統(tǒng)計合理全面、檢測準確率高等優(yōu)點。基于相對熵的異常檢測方法屬于非參數(shù)統(tǒng)計分析方法，在檢測過程中無須數(shù)據(jù)源的先驗知識，可對樣本分布特征進行假設(shè)檢驗，可在缺乏歷史流量數(shù)據(jù)的情況下實現(xiàn)對網(wǎng)絡(luò)異常行為的檢測與發(fā)現(xiàn)。本文系統(tǒng)研究了模糊相對熵理論在網(wǎng)絡(luò)異常流量檢測中的應(yīng)用，并搭建模擬實驗環(huán)境對基于模糊相對熵的網(wǎng)絡(luò)異常流量檢測方法進行了測試驗證。

2 基于模糊相對熵的多測度網(wǎng)絡(luò)異常流量檢測方法

2.1 模糊相對熵的概念

相對熵（Relative Entropy）又稱為K-L距離（Kullback-Leibler divergence），常被用作網(wǎng)絡(luò)異常流量的檢測方法。本文引入模糊相對熵的概念，假定可用來度量兩個概率分布P={p1，p2，...，...，pn}和Q={q1，q2，...，...，qn}的差別，其中，P、Q是描述同一隨機過程的兩個過程分布，P、Q的模糊相對熵定義為：

S（P，Q）=[Pi ln+（1-pi）ln] （1）

上式中qi可以接近0或1，這會造成部分分式分母為零，因此對（1）式重新定義：

S'（P，Q）=[Pi ln+（1-pi）ln]（2）

模糊相對熵為兩種模糊概率分布的偏差提供判斷依據(jù)，值越小說明越一致，反之亦然。

2.2 多測度網(wǎng)絡(luò)異常流量檢測方法流程

基于模糊相對熵理論的多測度網(wǎng)絡(luò)異常檢測具體實施分為系統(tǒng)訓(xùn)練和實際檢測兩個階段。系統(tǒng)訓(xùn)練階段通過樣本數(shù)據(jù)或監(jiān)測網(wǎng)絡(luò)正常狀態(tài)流量獲取測度的經(jīng)驗分布，實際檢測階段將實測數(shù)據(jù)獲取的測度分布與正常測度分布計算模糊相對熵，并計算多個測度的加權(quán)模糊相對熵，根據(jù)閾值判定網(wǎng)絡(luò)異常情況，方法流程如下：

Step1：獲取網(wǎng)絡(luò)特征正常流量的參數(shù)分布。通過樣本數(shù)據(jù)或監(jiān)測網(wǎng)絡(luò)正常狀態(tài)流量獲取各測度的經(jīng)驗分布。

Step2：獲取網(wǎng)絡(luò)特征異常常流量的參數(shù)分布。對選取網(wǎng)絡(luò)特征參數(shù)異常流量進行檢測獲取各種測度的概率分布。

Step3：依據(jù)公式（2）計算單測度正常流量和異常流量間模糊相對熵Si。

Step4：計算多測度加權(quán)模糊相對熵S。

S=α1S1+α2S2+…+αkSk （3）

式中αk表示第k個測度的權(quán)重系數(shù)，由測評數(shù)據(jù)集統(tǒng)計分析獲得。

最終，根據(jù)S建立不同的等級閾值來表征網(wǎng)絡(luò)異常情況。S越大，表示網(wǎng)絡(luò)流量特征參數(shù)分布偏離正常狀態(tài)越多，網(wǎng)絡(luò)中出現(xiàn)異常流量的概率越大；S越小，表示網(wǎng)絡(luò)流量特征參數(shù)分布與正常狀態(tài)吻合度越好，網(wǎng)絡(luò)中出現(xiàn)異常流量的概率越小。

3 測試驗證

為測試方法的有效性，搭建如圖1所示的實驗環(huán)境，模擬接入層網(wǎng)絡(luò)拓撲結(jié)構(gòu)、流量類型和流量負載情況。測試環(huán)境流量按業(yè)務(wù)域類型分類，主要分為視頻、語音、數(shù)據(jù)三種業(yè)務(wù)域，按每個業(yè)務(wù)單路帶寬需求計算，總帶寬需求約為2368kbps～3200kbps。

（1）檢測系統(tǒng)接入交換機鏡像端口，系統(tǒng)部署環(huán)境。

①硬件環(huán)境：Intel（R） Core（TM） 2 Duo CPU 2.00GHz，2.0G內(nèi)存；②操作系統(tǒng)環(huán)境：Windows XP，.NET Framework 3.5；③數(shù)據(jù)庫系統(tǒng)：Microsoft SQL Server 2005 9.00.1399.06 （Build 2600： Service Pack 3）。

測試環(huán)境交換機采用華為S3050C，用戶主機接入點配置如表1所示。

測試網(wǎng)絡(luò)正常流量狀態(tài)方案配置。

①1號主機架設(shè)視頻服務(wù)器模擬視頻業(yè)務(wù)域，單路平均帶寬需求2.59Mbps；②2、3號主機架設(shè)音頻服務(wù)器模擬語音業(yè)務(wù)域，單路平均帶寬需求128kbps；③4、5、6號主機采用應(yīng)用層專用協(xié)議和傳輸UDP協(xié)議模擬發(fā)包程序模擬數(shù)據(jù)業(yè)務(wù)域，單路平均帶寬需求64kbps。

按上述方案配置網(wǎng)絡(luò)環(huán)境，交換機網(wǎng)絡(luò)流量負載約為2.996Mbps。

3.1 測試用例設(shè)計

網(wǎng)絡(luò)中的異常行為主要包括非法網(wǎng)絡(luò)接入、合法用戶的違規(guī)通信行為、網(wǎng)絡(luò)攻擊及未知的異常流量類型等，系統(tǒng)將其定義為四類：帶寬占用、非法IP地址、非法IP會話、模糊相對熵異常四類異常事件，其中模糊相對熵異常可根據(jù)經(jīng)驗數(shù)據(jù)設(shè)定多個閾值等級。測試用例以網(wǎng)絡(luò)正常流量為背景流量，根據(jù)測試目的添加異常流量事件。測試用例設(shè)計及實驗測試過程如表2所示。

3.2 結(jié)果分析

測試用例持續(xù)監(jiān)測網(wǎng)絡(luò)兩小時。根據(jù)模糊相對熵數(shù)據(jù)輸出，繪制ROC曲線，檢測率與誤警率的關(guān)系如圖2所示。通過ROC曲線，能夠準確反映模糊相對熵異常流量檢測方法檢測率與誤警率的關(guān)系。權(quán)衡檢測率與誤警率，選擇合適的閾值。當模糊相對熵閾值設(shè)定為39.6時，系統(tǒng)檢測率為84.36%，誤警率為3.86%，表明檢測系統(tǒng)對未知異常流量具有較好的檢測效果。

4 結(jié)束語

基于模糊相對熵的網(wǎng)絡(luò)異常流量檢測方法可以在不具備網(wǎng)絡(luò)歷史流量信息的情況下，通過對網(wǎng)絡(luò)流量特征進行假設(shè)檢驗，實現(xiàn)對網(wǎng)絡(luò)異常行為的檢測發(fā)現(xiàn)。實驗測試結(jié)果表明，設(shè)定合理的模糊相對熵閾值，該方法的檢測率可達84.36%。在下一步的工作中，將研究自學習式閾值設(shè)定方法，以及對模糊相對熵方法進一步優(yōu)化，提升方法的準確性和效率。

參考文獻

[1] 蔣建春，馮登國等.網(wǎng)絡(luò)入侵檢測原理與技術(shù)[M].北京： 國防工業(yè)出版社，2001.

[2] 蔡明，嵇海進.基于ISP網(wǎng)絡(luò)的DDoS攻擊防御方法研究[J].計算機工程與設(shè)計，2008， 29（7）：1644-1646.

[3] Francois Bavaud. Relative Entropy and Statistics[EB/OL].http：//www.unil.ch/webdav/site/imm/users/ fbavaud/private/IT_statistics_bavaud.pdf.，2011-05-16.

[4] 張亞玲，韓照國，任姣霞.基于相對熵理論的多測度網(wǎng)絡(luò)異常檢測方法[J].計算機應(yīng)用，2010， 30（7）：1771-1774.

[5] 李涵秋，馬艷，雷磊.基于相對熵理論的網(wǎng)絡(luò)Dos攻擊檢測方法[J].電訊技術(shù)， 2011， 51（3）：89-92.

[6] 張登銀，廖建飛.基于相對熵理論網(wǎng)絡(luò)流量異常檢測方法[J].南京郵電大學學報（自然科學版），2012， 32（5）：26-31.

[7] 胡為，胡靜濤.加權(quán)模糊相對熵在電機轉(zhuǎn)子故障模糊識別中的應(yīng)用[J].信息與控制，2009， 38（3）：326-331.

作者簡介：

姚宏林（1974-），男，碩士，副教授，從事信息安全教學與研究。

韓偉杰（1980-），男，碩士，講師，從事信息安全教學與研究。

吳忠望（1979-），男，博士，講師，從事信息安全教學與研究。endprint