| 主权项 |
一种快速网络流量异常检测方法,其特征在于包括下述步骤:(a)通过调用库函数pcap_findalldevs()获取系统所有网络设备的信息,从中获得本机网卡名称,选择本机网卡的名称,并通过库函数pcap_open_live()打开本机网卡,将本机网卡模式设置为混杂模式,以接收所有流过本机网卡的数据,将接收到的数据包存储在事先建立的文件中;(b)从所接收到的数据包中提取数据包的到达时间和长度信息,将每个数据包中提取的数据包的到达信息和长度信息以链表的形式存储,通过遍历链表,按照数据包到达时间先后顺序进行序列划分,一个时间间隔STEP作为一个时隙,即循环遍历链表,每次取出一个节点,将节点中的数据包到达时间取出并与数据包初始到达时间求差值,再将该差值与设定的时间间隔STEP相除,求出数据包属于的时间间隔,该时间间隔的数据包总数增一,得到一组随机序列X={Xj:j=1,2,…};Xj是随机分量,表示一个时隙内收到的数据包总数;(c)将随机序列X={Xj:j=1,2,…}值作为网络流量分析和异常判断的原始数据,对随机序列值求解均值、方差以及自相关函数值,将得到的自相关函数值用于求解Hurst指数的值,即H值;广义平稳自相似过程满足的自相关函数式如下:ρk=H(2H‑1)k2H‑2,k→∞ (1)式中,ρk是样本自相关函数,k是采样间隔;对上式进行变换得到Hurst指数的迭代求解公式如下: <mrow> <msub> <mi>H</mi> <mrow> <mi>i</mi> <mo>+</mo> <mn>1</mn> </mrow> </msub> <mo>=</mo> <msqrt> <mrow> <mo>(</mo> <msub> <mi>ρ</mi> <mi>k</mi> </msub> <msup> <mi>k</mi> <mrow> <mn>2</mn> <mo>-</mo> <mn>2</mn> <msub> <mi>H</mi> <mi>i</mi> </msub> </mrow> </msup> <mo>+</mo> <msub> <mi>H</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> <mo>×</mo> <mn>0.5</mn> <mo>,</mo> </msqrt> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>2</mn> <mo>)</mo> </mrow> </mrow>Hi+1是第i+1次迭代所得的Hurst指数值,Hi是第i次迭代所得的Hurst指数值;取k为1,按照迭代公式: <mrow> <msub> <mi>H</mi> <mrow> <mi>i</mi> <mo>+</mo> <mn>1</mn> </mrow> </msub> <mo>=</mo> <msqrt> <mrow> <mo>(</mo> <msub> <mi>ρ</mi> <mn>1</mn> </msub> <mo>+</mo> <msub> <mi>H</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> <mo>×</mo> <mn>0.5</mn> <mo>,</mo> </msqrt> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>3</mn> <mo>)</mo> </mrow> </mrow>计算H值;每次迭代求解完后,与上次迭代求解结果进行比较,若两次迭代求解值相差足够小,差值小于0.0005,则认为该次迭代完成,从而得到一个H值;若在此H值区间内不具备收敛性,则判定异常已经发生,并做中断处理;(d)利用步骤(c)得到的H值判断异常是否发生;先判断H值是否为1,若为1,则立即中断进行网络检查,若不为1,则继续判断H值是否大于0.7,若为0.7,则认为网络安全,不必进行监测,并继续求解H值,若不为0.7,则继续判断H值是否在0.5以上,若在0.5以上,则使网络处于监测状态,并继续求解H值,若不在0.5以上,则判定网络流量自相似性破坏,发出异常警报。 |
