鄧 緋 張 勇 唐 權(quán) 陳 印 駱文亮 趙 萍

(四川職業(yè)技術(shù)學(xué)院計(jì)算機(jī)科學(xué)系，四川遂寧 629000)

隨著Internet技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)已經(jīng)成為人們生活中不可缺少的部分.Internet也正演變成為一個(gè)復(fù)雜的系統(tǒng)，網(wǎng)絡(luò)DDos攻擊、網(wǎng)絡(luò)蠕蟲(chóng)攻擊等等時(shí)有發(fā)生.網(wǎng)絡(luò)的不正常運(yùn)行會(huì)引起網(wǎng)絡(luò)的嚴(yán)重?fù)砣?，造成不必要的損失.而對(duì)網(wǎng)絡(luò)流量的異常檢測(cè)，可以幫助管理員及時(shí)發(fā)現(xiàn)可能存在的入侵或攻擊等行為，從而可以提前做出防范，起到對(duì)網(wǎng)絡(luò)安全管理的作用.本文針對(duì)網(wǎng)絡(luò)流量常常，提出一種基于滑動(dòng)時(shí)間窗的置信區(qū)間的方法，可以有效地對(duì)網(wǎng)絡(luò)異常流量進(jìn)行檢測(cè)，給出安全告警.

1 網(wǎng)絡(luò)流量異常算法綜述

對(duì)網(wǎng)絡(luò)流量的異常檢測(cè)，常用的有以下幾種[1]:基于閾值檢測(cè)方法，該方法用閾值來(lái)確定網(wǎng)絡(luò)流量是否異常，但主要存在閾值確定的合理性的缺陷；基于統(tǒng)計(jì)的方法，通過(guò)對(duì)用戶的使用習(xí)慣進(jìn)行統(tǒng)計(jì)，但假設(shè)的統(tǒng)計(jì)模型在實(shí)際中往往很復(fù)雜；數(shù)據(jù)挖掘方法則是從大量隨機(jī)數(shù)據(jù)中，提取信息、抽象出特征模型，再根據(jù)相應(yīng)算法對(duì)網(wǎng)絡(luò)流量的異常進(jìn)行判斷，但是比較難以維護(hù)，在一些情況下，并不能代表多種信息，訓(xùn)練速度慢且開(kāi)銷較大，工作量大.還有小波分析方法，基于機(jī)器學(xué)習(xí)的方法，自相似特征方法等.

其中基于統(tǒng)計(jì)的異常流量監(jiān)測(cè)方法具有很好的一般性和適應(yīng)攻擊手法改變的能力[2]312-321，本文將主要采用基于統(tǒng)計(jì)的網(wǎng)絡(luò)流量異常檢測(cè)方法，引入置信區(qū)間，利用網(wǎng)絡(luò)流量的歷史行為檢測(cè)當(dāng)前的異?；顒?dòng)和網(wǎng)絡(luò)性能下降.

2 置信區(qū)間流量異常算法

2.1 置信區(qū)間的引入

如何能夠準(zhǔn)確判斷流量是否正常，一直是網(wǎng)絡(luò)流量異常檢測(cè)中的一個(gè)難題.閾值方法通常是指設(shè)定一個(gè)閾值[3]，網(wǎng)絡(luò)流量在正常閾值內(nèi)則正常，超出閾值范圍則屬不正常.但是閾值范圍難以確定，太小或太大的閾值會(huì)產(chǎn)生誤報(bào)或者漏報(bào).而不同網(wǎng)絡(luò)數(shù)據(jù)在不同場(chǎng)合具有不同特點(diǎn)，在某些網(wǎng)絡(luò)中，有可能因用戶流動(dòng)性大或特性不固定，即使數(shù)據(jù)變動(dòng)較大，數(shù)據(jù)也是正常的；而在有些極規(guī)律的環(huán)境下，有可能不太大的波動(dòng)就是異常[4][5].在研究了許多網(wǎng)絡(luò)流量異常算法之后，根據(jù)數(shù)據(jù)特點(diǎn)，結(jié)合數(shù)據(jù)的置信區(qū)間和預(yù)測(cè)區(qū)間，提出了結(jié)合數(shù)據(jù)的置信區(qū)間和預(yù)測(cè)區(qū)間的新方法.

2.2 算法過(guò)程

本文采用的網(wǎng)絡(luò)流量異常算法將根據(jù)流量的歷史記錄，進(jìn)行流量正常與否的判斷[6].難點(diǎn)在于，由于流量的絕對(duì)數(shù)值時(shí)刻在變動(dòng)，所以進(jìn)行判斷的上下確界范圍也在變動(dòng).本算法采用滑動(dòng)時(shí)間窗動(dòng)態(tài)采樣，再進(jìn)行動(dòng)態(tài)的置信區(qū)間估計(jì)，根據(jù)動(dòng)態(tài)置信區(qū)間進(jìn)行判斷.

根據(jù)流量的歷史記錄，可以得到流量的穩(wěn)定分布.因此，可以通過(guò)估計(jì)流量分布的均值置信區(qū)間來(lái)確定正常流量的范圍，在一個(gè)時(shí)間窗口內(nèi)得到的數(shù)據(jù)與估計(jì)值相比，差值在置信范圍內(nèi)為正常，超過(guò)這個(gè)區(qū)間則認(rèn)為異常，給出報(bào)警.再用新時(shí)間窗的數(shù)據(jù)代替原來(lái)的數(shù)據(jù)，進(jìn)行新的估計(jì)，得到新的置信區(qū)間，用來(lái)判斷再下一個(gè)時(shí)間窗內(nèi)的數(shù)據(jù)正常與否，做到在滑動(dòng)時(shí)間窗下的動(dòng)態(tài)置信區(qū)間的估計(jì)，從而更好地對(duì)流量異常做出判斷，如圖1所示.

圖1 網(wǎng)絡(luò)流量異常檢測(cè)流程圖

在大量的樣本空間下，任何分布都近似滿足正態(tài)分布，我們假定流量也如此，但均值和方差不可知.由概率論理論，利用樞軸量構(gòu)造置信區(qū)間的方法步驟如下:

(1)根據(jù)待估參數(shù)構(gòu)造樞軸量Q，一般可由未知參數(shù)的極大似然估計(jì)量改造得到；

(2)對(duì)于給定的置信水平1-α，利用樞軸量Q的分布的上α分位點(diǎn)求出常數(shù)a，b，使P{a

按照上述步驟，在方差σ2未知的情況下，均值μ的置信區(qū)間求解過(guò)程如下，

考慮用σ2的無(wú)偏估計(jì)來(lái)代替，其中n為樣本大小，Xi為每個(gè)樣本值，為樣本平均值.即可得到

易驗(yàn)證T為關(guān)于μ的樞軸量，即T=Q.由關(guān)系式

進(jìn)行恒等變形，即可得到置信度1-α為的置信區(qū)間為:

2.3 算法步驟

根據(jù)上述模型，結(jié)合網(wǎng)絡(luò)系統(tǒng)，得到具體算法步驟如下:

Step1.確定時(shí)間窗口的大小，也即確定了樣本n的大小.根據(jù)網(wǎng)絡(luò)流量的歷史記錄，取最近的n個(gè)流量值作為樣本.

Step3.根據(jù)樣本值計(jì)算樣本均值和置信區(qū)間.

Step4.取網(wǎng)絡(luò)的實(shí)際流量值，與置信區(qū)間比較，在區(qū)間內(nèi)，則流量正常，在區(qū)間外，則流量不正常.如果高于置信區(qū)間上界，則給出異常報(bào)警，再檢查是否為攻擊等；如果低于下界，則再判斷是否設(shè)備失效等.

Step5.將原樣本的最遠(yuǎn)一個(gè)值去掉，剩下的值向前滑動(dòng)一個(gè)位置，最后一個(gè)位置用新讀取的流量值填充，構(gòu)成新的樣本.(完成時(shí)間窗口的向前滑動(dòng))

Step6.循環(huán)Step3～Step5，進(jìn)行下一個(gè)流量值的判斷.

根據(jù)算法，得到圖2.

圖2 基于置信區(qū)間的流量異常檢測(cè)流程

2.4 置信區(qū)間的使用

選用置信區(qū)間比簡(jiǎn)單閾值作為異常檢測(cè)的參考值更為合理有效，通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的檢測(cè)，網(wǎng)絡(luò)流量異常檢測(cè)系統(tǒng)可以從前面的預(yù)測(cè)子系統(tǒng)得到其置信區(qū)間，將這個(gè)置信區(qū)間的上下波動(dòng)值作為預(yù)測(cè)值的置信區(qū)間的波動(dòng)值范圍，這樣可以有效減少誤報(bào)率，同時(shí)提高異常檢測(cè)的精度.

3 結(jié)束語(yǔ)

本文針對(duì)已有的網(wǎng)絡(luò)流量異常算法，針對(duì)各種算法的優(yōu)缺點(diǎn)，提出了一種基于滑動(dòng)時(shí)間窗的置信區(qū)間的方法，該算法可以有效地對(duì)網(wǎng)絡(luò)異常流量進(jìn)行檢測(cè)，給出安全警告.

[1]呂軍，李星.一種網(wǎng)絡(luò)流量異常檢測(cè)算法[J].計(jì)算機(jī)應(yīng)用研究，2006(11):217-218.

[2] J MIRKOVIC，G PRIER，P REIHER. Attacking DDOS at the source [C]// Network Protocols 2002 Proceedings 10th IEEE International Conference，2002.

[3]李勇.園區(qū)網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng)研究與設(shè)計(jì)[D].合肥:合肥工業(yè)大學(xué)，2007.

[4]葛洪偉，彭震宇，岳海兵.基于混合優(yōu)化算法的網(wǎng)絡(luò)流量有效測(cè)量點(diǎn)選擇[J].計(jì)算機(jī)應(yīng)用研究，2009(4):1480-1483.

[5]王銀花.網(wǎng)絡(luò)流量監(jiān)測(cè)算法的研究及其實(shí)現(xiàn)[D].南京:南京郵電大學(xué)，2009.

[6]鄧緋.基于代理的網(wǎng)絡(luò)流量監(jiān)控與調(diào)整算法[J].齊齊哈爾大學(xué)學(xué)報(bào)，2013(2).