基于模糊相對(duì)熵的網(wǎng)絡(luò)異常流量檢測(cè)方法研究

姚宏林+++韓偉杰+++吳忠望

【 摘 要 】 基于模糊相對(duì)熵的網(wǎng)絡(luò)異常流量檢測(cè)方法可以在缺乏歷史流量數(shù)據(jù)的情況下，通過對(duì)網(wǎng)絡(luò)流量特征進(jìn)行假設(shè)檢驗(yàn)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異常行為的檢測(cè)發(fā)現(xiàn)。通過搭建模擬實(shí)驗(yàn)環(huán)境，設(shè)計(jì)測(cè)試用例對(duì)基于模糊相對(duì)熵的網(wǎng)絡(luò)異常流量檢測(cè)方法進(jìn)行多測(cè)度測(cè)試驗(yàn)證，結(jié)果表明該方法在設(shè)定合理模糊相對(duì)熵閾值的情況下檢測(cè)率可達(dá)84.36%，具有良好的檢測(cè)效率。

【 關(guān)鍵詞 】 模糊相對(duì)熵；網(wǎng)絡(luò)異常行為；網(wǎng)絡(luò)異常流量檢測(cè)

【 中圖分類號(hào) 】 TP309.05 【 文獻(xiàn)標(biāo)識(shí)碼 】 A

1 引言

IP網(wǎng)絡(luò)具有體系架構(gòu)開放、信息共享靈活等優(yōu)點(diǎn)，但是因其系統(tǒng)開放也極易遭受各種網(wǎng)絡(luò)攻擊的入侵。網(wǎng)絡(luò)異常流量檢測(cè)屬于入侵檢測(cè)方法的一種，它通過統(tǒng)計(jì)發(fā)現(xiàn)網(wǎng)絡(luò)流量偏離正常行為的情形，及時(shí)檢測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的攻擊行為，為網(wǎng)絡(luò)安全防護(hù)提供保障。在網(wǎng)絡(luò)異常流量檢測(cè)方法中，基于統(tǒng)計(jì)分析的檢測(cè)方法通過分析網(wǎng)絡(luò)參數(shù)生成網(wǎng)絡(luò)正常行為輪廓，然后度量比較網(wǎng)絡(luò)當(dāng)前主體行為與正常行為輪廓的偏離程度，根據(jù)決策規(guī)則判定網(wǎng)絡(luò)中是否存在異常流量，具有統(tǒng)計(jì)合理全面、檢測(cè)準(zhǔn)確率高等優(yōu)點(diǎn)?；谙鄬?duì)熵的異常檢測(cè)方法屬于非參數(shù)統(tǒng)計(jì)分析方法，在檢測(cè)過程中無(wú)須數(shù)據(jù)源的先驗(yàn)知識(shí)，可對(duì)樣本分布特征進(jìn)行假設(shè)檢驗(yàn)，可在缺乏歷史流量數(shù)據(jù)的情況下實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異常行為的檢測(cè)與發(fā)現(xiàn)。本文系統(tǒng)研究了模糊相對(duì)熵理論在網(wǎng)絡(luò)異常流量檢測(cè)中的應(yīng)用，并搭建模擬實(shí)驗(yàn)環(huán)境對(duì)基于模糊相對(duì)熵的網(wǎng)絡(luò)異常流量檢測(cè)方法進(jìn)行了測(cè)試驗(yàn)證。

2 基于模糊相對(duì)熵的多測(cè)度網(wǎng)絡(luò)異常流量檢測(cè)方法

2.1 模糊相對(duì)熵的概念

相對(duì)熵（Relative Entropy）又稱為K-L距離（Kullback-Leibler divergence），常被用作網(wǎng)絡(luò)異常流量的檢測(cè)方法。本文引入模糊相對(duì)熵的概念，假定可用來度量?jī)蓚€(gè)概率分布P={p1，p2，...，...，pn}和Q={q1，q2，...，...，qn}的差別，其中，P、Q是描述同一隨機(jī)過程的兩個(gè)過程分布，P、Q的模糊相對(duì)熵定義為：

S（P，Q）=[Pi ln+（1-pi）ln] （1）

上式中qi可以接近0或1，這會(huì)造成部分分式分母為零，因此對(duì)（1）式重新定義：

S'（P，Q）=[Pi ln+（1-pi）ln]（2）

模糊相對(duì)熵為兩種模糊概率分布的偏差提供判斷依據(jù)，值越小說明越一致，反之亦然。

2.2 多測(cè)度網(wǎng)絡(luò)異常流量檢測(cè)方法流程

基于模糊相對(duì)熵理論的多測(cè)度網(wǎng)絡(luò)異常檢測(cè)具體實(shí)施分為系統(tǒng)訓(xùn)練和實(shí)際檢測(cè)兩個(gè)階段。系統(tǒng)訓(xùn)練階段通過樣本數(shù)據(jù)或監(jiān)測(cè)網(wǎng)絡(luò)正常狀態(tài)流量獲取測(cè)度的經(jīng)驗(yàn)分布，實(shí)際檢測(cè)階段將實(shí)測(cè)數(shù)據(jù)獲取的測(cè)度分布與正常測(cè)度分布計(jì)算模糊相對(duì)熵，并計(jì)算多個(gè)測(cè)度的加權(quán)模糊相對(duì)熵，根據(jù)閾值判定網(wǎng)絡(luò)異常情況，方法流程如下：

Step1：獲取網(wǎng)絡(luò)特征正常流量的參數(shù)分布。通過樣本數(shù)據(jù)或監(jiān)測(cè)網(wǎng)絡(luò)正常狀態(tài)流量獲取各測(cè)度的經(jīng)驗(yàn)分布。

Step2：獲取網(wǎng)絡(luò)特征異常常流量的參數(shù)分布。對(duì)選取網(wǎng)絡(luò)特征參數(shù)異常流量進(jìn)行檢測(cè)獲取各種測(cè)度的概率分布。

Step3：依據(jù)公式（2）計(jì)算單測(cè)度正常流量和異常流量間模糊相對(duì)熵Si。

Step4：計(jì)算多測(cè)度加權(quán)模糊相對(duì)熵S。

S=α1S1+α2S2+…+αkSk （3）

式中αk表示第k個(gè)測(cè)度的權(quán)重系數(shù)，由測(cè)評(píng)數(shù)據(jù)集統(tǒng)計(jì)分析獲得。

最終，根據(jù)S建立不同的等級(jí)閾值來表征網(wǎng)絡(luò)異常情況。S越大，表示網(wǎng)絡(luò)流量特征參數(shù)分布偏離正常狀態(tài)越多，網(wǎng)絡(luò)中出現(xiàn)異常流量的概率越大；S越小，表示網(wǎng)絡(luò)流量特征參數(shù)分布與正常狀態(tài)吻合度越好，網(wǎng)絡(luò)中出現(xiàn)異常流量的概率越小。

3 測(cè)試驗(yàn)證

為測(cè)試方法的有效性，搭建如圖1所示的實(shí)驗(yàn)環(huán)境，模擬接入層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、流量類型和流量負(fù)載情況。測(cè)試環(huán)境流量按業(yè)務(wù)域類型分類，主要分為視頻、語(yǔ)音、數(shù)據(jù)三種業(yè)務(wù)域，按每個(gè)業(yè)務(wù)單路帶寬需求計(jì)算，總帶寬需求約為2368kbps～3200kbps。

（1）檢測(cè)系統(tǒng)接入交換機(jī)鏡像端口，系統(tǒng)部署環(huán)境。

①硬件環(huán)境：Intel（R） Core（TM） 2 Duo CPU 2.00GHz，2.0G內(nèi)存；②操作系統(tǒng)環(huán)境：Windows XP，.NET Framework 3.5；③數(shù)據(jù)庫(kù)系統(tǒng)：Microsoft SQL Server 2005 9.00.1399.06 （Build 2600： Service Pack 3）。

測(cè)試環(huán)境交換機(jī)采用華為S3050C，用戶主機(jī)接入點(diǎn)配置如表1所示。

測(cè)試網(wǎng)絡(luò)正常流量狀態(tài)方案配置。

①1號(hào)主機(jī)架設(shè)視頻服務(wù)器模擬視頻業(yè)務(wù)域，單路平均帶寬需求2.59Mbps；②2、3號(hào)主機(jī)架設(shè)音頻服務(wù)器模擬語(yǔ)音業(yè)務(wù)域，單路平均帶寬需求128kbps；③4、5、6號(hào)主機(jī)采用應(yīng)用層專用協(xié)議和傳輸U(kuò)DP協(xié)議模擬發(fā)包程序模擬數(shù)據(jù)業(yè)務(wù)域，單路平均帶寬需求64kbps。

按上述方案配置網(wǎng)絡(luò)環(huán)境，交換機(jī)網(wǎng)絡(luò)流量負(fù)載約為2.996Mbps。

3.1 測(cè)試用例設(shè)計(jì)

網(wǎng)絡(luò)中的異常行為主要包括非法網(wǎng)絡(luò)接入、合法用戶的違規(guī)通信行為、網(wǎng)絡(luò)攻擊及未知的異常流量類型等，系統(tǒng)將其定義為四類：帶寬占用、非法IP地址、非法IP會(huì)話、模糊相對(duì)熵異常四類異常事件，其中模糊相對(duì)熵異常可根據(jù)經(jīng)驗(yàn)數(shù)據(jù)設(shè)定多個(gè)閾值等級(jí)。測(cè)試用例以網(wǎng)絡(luò)正常流量為背景流量，根據(jù)測(cè)試目的添加異常流量事件。測(cè)試用例設(shè)計(jì)及實(shí)驗(yàn)測(cè)試過程如表2所示。

3.2 結(jié)果分析

測(cè)試用例持續(xù)監(jiān)測(cè)網(wǎng)絡(luò)兩小時(shí)。根據(jù)模糊相對(duì)熵?cái)?shù)據(jù)輸出，繪制ROC曲線，檢測(cè)率與誤警率的關(guān)系如圖2所示。通過ROC曲線，能夠準(zhǔn)確反映模糊相對(duì)熵異常流量檢測(cè)方法檢測(cè)率與誤警率的關(guān)系。權(quán)衡檢測(cè)率與誤警率，選擇合適的閾值。當(dāng)模糊相對(duì)熵閾值設(shè)定為39.6時(shí)，系統(tǒng)檢測(cè)率為84.36%，誤警率為3.86%，表明檢測(cè)系統(tǒng)對(duì)未知異常流量具有較好的檢測(cè)效果。

4 結(jié)束語(yǔ)

基于模糊相對(duì)熵的網(wǎng)絡(luò)異常流量檢測(cè)方法可以在不具備網(wǎng)絡(luò)歷史流量信息的情況下，通過對(duì)網(wǎng)絡(luò)流量特征進(jìn)行假設(shè)檢驗(yàn)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異常行為的檢測(cè)發(fā)現(xiàn)。實(shí)驗(yàn)測(cè)試結(jié)果表明，設(shè)定合理的模糊相對(duì)熵閾值，該方法的檢測(cè)率可達(dá)84.36%。在下一步的工作中，將研究自學(xué)習(xí)式閾值設(shè)定方法，以及對(duì)模糊相對(duì)熵方法進(jìn)一步優(yōu)化，提升方法的準(zhǔn)確性和效率。

參考文獻(xiàn)

[1] 蔣建春，馮登國(guó)等.網(wǎng)絡(luò)入侵檢測(cè)原理與技術(shù)[M].北京： 國(guó)防工業(yè)出版社，2001.

[2] 蔡明，嵇海進(jìn).基于ISP網(wǎng)絡(luò)的DDoS攻擊防御方法研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2008， 29（7）：1644-1646.

[3] Francois Bavaud. Relative Entropy and Statistics[EB/OL].http：//www.unil.ch/webdav/site/imm/users/ fbavaud/private/IT_statistics_bavaud.pdf.，2011-05-16.

[4] 張亞玲，韓照國(guó)，任姣霞.基于相對(duì)熵理論的多測(cè)度網(wǎng)絡(luò)異常檢測(cè)方法[J].計(jì)算機(jī)應(yīng)用，2010， 30（7）：1771-1774.

[5] 李涵秋，馬艷，雷磊.基于相對(duì)熵理論的網(wǎng)絡(luò)Dos攻擊檢測(cè)方法[J].電訊技術(shù)， 2011， 51（3）：89-92.

[6] 張登銀，廖建飛.基于相對(duì)熵理論網(wǎng)絡(luò)流量異常檢測(cè)方法[J].南京郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2012， 32（5）：26-31.

[7] 胡為，胡靜濤.加權(quán)模糊相對(duì)熵在電機(jī)轉(zhuǎn)子故障模糊識(shí)別中的應(yīng)用[J].信息與控制，2009， 38（3）：326-331.

作者簡(jiǎn)介：

姚宏林（1974-），男，碩士，副教授，從事信息安全教學(xué)與研究。

韓偉杰（1980-），男，碩士，講師，從事信息安全教學(xué)與研究。

吳忠望（1979-），男，博士，講師，從事信息安全教學(xué)與研究。endprint

【 摘 要 】 基于模糊相對(duì)熵的網(wǎng)絡(luò)異常流量檢測(cè)方法可以在缺乏歷史流量數(shù)據(jù)的情況下，通過對(duì)網(wǎng)絡(luò)流量特征進(jìn)行假設(shè)檢驗(yàn)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異常行為的檢測(cè)發(fā)現(xiàn)。通過搭建模擬實(shí)驗(yàn)環(huán)境，設(shè)計(jì)測(cè)試用例對(duì)基于模糊相對(duì)熵的網(wǎng)絡(luò)異常流量檢測(cè)方法進(jìn)行多測(cè)度測(cè)試驗(yàn)證，結(jié)果表明該方法在設(shè)定合理模糊相對(duì)熵閾值的情況下檢測(cè)率可達(dá)84.36%，具有良好的檢測(cè)效率。

【 關(guān)鍵詞 】 模糊相對(duì)熵；網(wǎng)絡(luò)異常行為；網(wǎng)絡(luò)異常流量檢測(cè)

【 中圖分類號(hào) 】 TP309.05 【 文獻(xiàn)標(biāo)識(shí)碼 】 A

1 引言

IP網(wǎng)絡(luò)具有體系架構(gòu)開放、信息共享靈活等優(yōu)點(diǎn)，但是因其系統(tǒng)開放也極易遭受各種網(wǎng)絡(luò)攻擊的入侵。網(wǎng)絡(luò)異常流量檢測(cè)屬于入侵檢測(cè)方法的一種，它通過統(tǒng)計(jì)發(fā)現(xiàn)網(wǎng)絡(luò)流量偏離正常行為的情形，及時(shí)檢測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的攻擊行為，為網(wǎng)絡(luò)安全防護(hù)提供保障。在網(wǎng)絡(luò)異常流量檢測(cè)方法中，基于統(tǒng)計(jì)分析的檢測(cè)方法通過分析網(wǎng)絡(luò)參數(shù)生成網(wǎng)絡(luò)正常行為輪廓，然后度量比較網(wǎng)絡(luò)當(dāng)前主體行為與正常行為輪廓的偏離程度，根據(jù)決策規(guī)則判定網(wǎng)絡(luò)中是否存在異常流量，具有統(tǒng)計(jì)合理全面、檢測(cè)準(zhǔn)確率高等優(yōu)點(diǎn)?；谙鄬?duì)熵的異常檢測(cè)方法屬于非參數(shù)統(tǒng)計(jì)分析方法，在檢測(cè)過程中無(wú)須數(shù)據(jù)源的先驗(yàn)知識(shí)，可對(duì)樣本分布特征進(jìn)行假設(shè)檢驗(yàn)，可在缺乏歷史流量數(shù)據(jù)的情況下實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異常行為的檢測(cè)與發(fā)現(xiàn)。本文系統(tǒng)研究了模糊相對(duì)熵理論在網(wǎng)絡(luò)異常流量檢測(cè)中的應(yīng)用，并搭建模擬實(shí)驗(yàn)環(huán)境對(duì)基于模糊相對(duì)熵的網(wǎng)絡(luò)異常流量檢測(cè)方法進(jìn)行了測(cè)試驗(yàn)證。

2 基于模糊相對(duì)熵的多測(cè)度網(wǎng)絡(luò)異常流量檢測(cè)方法

2.1 模糊相對(duì)熵的概念

相對(duì)熵（Relative Entropy）又稱為K-L距離（Kullback-Leibler divergence），常被用作網(wǎng)絡(luò)異常流量的檢測(cè)方法。本文引入模糊相對(duì)熵的概念，假定可用來度量?jī)蓚€(gè)概率分布P={p1，p2，...，...，pn}和Q={q1，q2，...，...，qn}的差別，其中，P、Q是描述同一隨機(jī)過程的兩個(gè)過程分布，P、Q的模糊相對(duì)熵定義為：

S（P，Q）=[Pi ln+（1-pi）ln] （1）

上式中qi可以接近0或1，這會(huì)造成部分分式分母為零，因此對(duì)（1）式重新定義：

S'（P，Q）=[Pi ln+（1-pi）ln]（2）

模糊相對(duì)熵為兩種模糊概率分布的偏差提供判斷依據(jù)，值越小說明越一致，反之亦然。

2.2 多測(cè)度網(wǎng)絡(luò)異常流量檢測(cè)方法流程

基于模糊相對(duì)熵理論的多測(cè)度網(wǎng)絡(luò)異常檢測(cè)具體實(shí)施分為系統(tǒng)訓(xùn)練和實(shí)際檢測(cè)兩個(gè)階段。系統(tǒng)訓(xùn)練階段通過樣本數(shù)據(jù)或監(jiān)測(cè)網(wǎng)絡(luò)正常狀態(tài)流量獲取測(cè)度的經(jīng)驗(yàn)分布，實(shí)際檢測(cè)階段將實(shí)測(cè)數(shù)據(jù)獲取的測(cè)度分布與正常測(cè)度分布計(jì)算模糊相對(duì)熵，并計(jì)算多個(gè)測(cè)度的加權(quán)模糊相對(duì)熵，根據(jù)閾值判定網(wǎng)絡(luò)異常情況，方法流程如下：

Step1：獲取網(wǎng)絡(luò)特征正常流量的參數(shù)分布。通過樣本數(shù)據(jù)或監(jiān)測(cè)網(wǎng)絡(luò)正常狀態(tài)流量獲取各測(cè)度的經(jīng)驗(yàn)分布。

Step2：獲取網(wǎng)絡(luò)特征異常常流量的參數(shù)分布。對(duì)選取網(wǎng)絡(luò)特征參數(shù)異常流量進(jìn)行檢測(cè)獲取各種測(cè)度的概率分布。

Step3：依據(jù)公式（2）計(jì)算單測(cè)度正常流量和異常流量間模糊相對(duì)熵Si。

Step4：計(jì)算多測(cè)度加權(quán)模糊相對(duì)熵S。

S=α1S1+α2S2+…+αkSk （3）

式中αk表示第k個(gè)測(cè)度的權(quán)重系數(shù)，由測(cè)評(píng)數(shù)據(jù)集統(tǒng)計(jì)分析獲得。

最終，根據(jù)S建立不同的等級(jí)閾值來表征網(wǎng)絡(luò)異常情況。S越大，表示網(wǎng)絡(luò)流量特征參數(shù)分布偏離正常狀態(tài)越多，網(wǎng)絡(luò)中出現(xiàn)異常流量的概率越大；S越小，表示網(wǎng)絡(luò)流量特征參數(shù)分布與正常狀態(tài)吻合度越好，網(wǎng)絡(luò)中出現(xiàn)異常流量的概率越小。

3 測(cè)試驗(yàn)證

為測(cè)試方法的有效性，搭建如圖1所示的實(shí)驗(yàn)環(huán)境，模擬接入層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、流量類型和流量負(fù)載情況。測(cè)試環(huán)境流量按業(yè)務(wù)域類型分類，主要分為視頻、語(yǔ)音、數(shù)據(jù)三種業(yè)務(wù)域，按每個(gè)業(yè)務(wù)單路帶寬需求計(jì)算，總帶寬需求約為2368kbps～3200kbps。

（1）檢測(cè)系統(tǒng)接入交換機(jī)鏡像端口，系統(tǒng)部署環(huán)境。

①硬件環(huán)境：Intel（R） Core（TM） 2 Duo CPU 2.00GHz，2.0G內(nèi)存；②操作系統(tǒng)環(huán)境：Windows XP，.NET Framework 3.5；③數(shù)據(jù)庫(kù)系統(tǒng)：Microsoft SQL Server 2005 9.00.1399.06 （Build 2600： Service Pack 3）。

測(cè)試環(huán)境交換機(jī)采用華為S3050C，用戶主機(jī)接入點(diǎn)配置如表1所示。

測(cè)試網(wǎng)絡(luò)正常流量狀態(tài)方案配置。

①1號(hào)主機(jī)架設(shè)視頻服務(wù)器模擬視頻業(yè)務(wù)域，單路平均帶寬需求2.59Mbps；②2、3號(hào)主機(jī)架設(shè)音頻服務(wù)器模擬語(yǔ)音業(yè)務(wù)域，單路平均帶寬需求128kbps；③4、5、6號(hào)主機(jī)采用應(yīng)用層專用協(xié)議和傳輸U(kuò)DP協(xié)議模擬發(fā)包程序模擬數(shù)據(jù)業(yè)務(wù)域，單路平均帶寬需求64kbps。

按上述方案配置網(wǎng)絡(luò)環(huán)境，交換機(jī)網(wǎng)絡(luò)流量負(fù)載約為2.996Mbps。

3.1 測(cè)試用例設(shè)計(jì)

網(wǎng)絡(luò)中的異常行為主要包括非法網(wǎng)絡(luò)接入、合法用戶的違規(guī)通信行為、網(wǎng)絡(luò)攻擊及未知的異常流量類型等，系統(tǒng)將其定義為四類：帶寬占用、非法IP地址、非法IP會(huì)話、模糊相對(duì)熵異常四類異常事件，其中模糊相對(duì)熵異?？筛鶕?jù)經(jīng)驗(yàn)數(shù)據(jù)設(shè)定多個(gè)閾值等級(jí)。測(cè)試用例以網(wǎng)絡(luò)正常流量為背景流量，根據(jù)測(cè)試目的添加異常流量事件。測(cè)試用例設(shè)計(jì)及實(shí)驗(yàn)測(cè)試過程如表2所示。

3.2 結(jié)果分析

測(cè)試用例持續(xù)監(jiān)測(cè)網(wǎng)絡(luò)兩小時(shí)。根據(jù)模糊相對(duì)熵?cái)?shù)據(jù)輸出，繪制ROC曲線，檢測(cè)率與誤警率的關(guān)系如圖2所示。通過ROC曲線，能夠準(zhǔn)確反映模糊相對(duì)熵異常流量檢測(cè)方法檢測(cè)率與誤警率的關(guān)系。權(quán)衡檢測(cè)率與誤警率，選擇合適的閾值。當(dāng)模糊相對(duì)熵閾值設(shè)定為39.6時(shí)，系統(tǒng)檢測(cè)率為84.36%，誤警率為3.86%，表明檢測(cè)系統(tǒng)對(duì)未知異常流量具有較好的檢測(cè)效果。

4 結(jié)束語(yǔ)

基于模糊相對(duì)熵的網(wǎng)絡(luò)異常流量檢測(cè)方法可以在不具備網(wǎng)絡(luò)歷史流量信息的情況下，通過對(duì)網(wǎng)絡(luò)流量特征進(jìn)行假設(shè)檢驗(yàn)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異常行為的檢測(cè)發(fā)現(xiàn)。實(shí)驗(yàn)測(cè)試結(jié)果表明，設(shè)定合理的模糊相對(duì)熵閾值，該方法的檢測(cè)率可達(dá)84.36%。在下一步的工作中，將研究自學(xué)習(xí)式閾值設(shè)定方法，以及對(duì)模糊相對(duì)熵方法進(jìn)一步優(yōu)化，提升方法的準(zhǔn)確性和效率。

參考文獻(xiàn)

[1] 蔣建春，馮登國(guó)等.網(wǎng)絡(luò)入侵檢測(cè)原理與技術(shù)[M].北京： 國(guó)防工業(yè)出版社，2001.

[2] 蔡明，嵇海進(jìn).基于ISP網(wǎng)絡(luò)的DDoS攻擊防御方法研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2008， 29（7）：1644-1646.

[3] Francois Bavaud. Relative Entropy and Statistics[EB/OL].http：//www.unil.ch/webdav/site/imm/users/ fbavaud/private/IT_statistics_bavaud.pdf.，2011-05-16.

[4] 張亞玲，韓照國(guó)，任姣霞.基于相對(duì)熵理論的多測(cè)度網(wǎng)絡(luò)異常檢測(cè)方法[J].計(jì)算機(jī)應(yīng)用，2010， 30（7）：1771-1774.

[5] 李涵秋，馬艷，雷磊.基于相對(duì)熵理論的網(wǎng)絡(luò)Dos攻擊檢測(cè)方法[J].電訊技術(shù)， 2011， 51（3）：89-92.

[6] 張登銀，廖建飛.基于相對(duì)熵理論網(wǎng)絡(luò)流量異常檢測(cè)方法[J].南京郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2012， 32（5）：26-31.

[7] 胡為，胡靜濤.加權(quán)模糊相對(duì)熵在電機(jī)轉(zhuǎn)子故障模糊識(shí)別中的應(yīng)用[J].信息與控制，2009， 38（3）：326-331.

作者簡(jiǎn)介：

姚宏林（1974-），男，碩士，副教授，從事信息安全教學(xué)與研究。

韓偉杰（1980-），男，碩士，講師，從事信息安全教學(xué)與研究。

吳忠望（1979-），男，博士，講師，從事信息安全教學(xué)與研究。endprint

【 摘 要 】 基于模糊相對(duì)熵的網(wǎng)絡(luò)異常流量檢測(cè)方法可以在缺乏歷史流量數(shù)據(jù)的情況下，通過對(duì)網(wǎng)絡(luò)流量特征進(jìn)行假設(shè)檢驗(yàn)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異常行為的檢測(cè)發(fā)現(xiàn)。通過搭建模擬實(shí)驗(yàn)環(huán)境，設(shè)計(jì)測(cè)試用例對(duì)基于模糊相對(duì)熵的網(wǎng)絡(luò)異常流量檢測(cè)方法進(jìn)行多測(cè)度測(cè)試驗(yàn)證，結(jié)果表明該方法在設(shè)定合理模糊相對(duì)熵閾值的情況下檢測(cè)率可達(dá)84.36%，具有良好的檢測(cè)效率。

【 關(guān)鍵詞 】 模糊相對(duì)熵；網(wǎng)絡(luò)異常行為；網(wǎng)絡(luò)異常流量檢測(cè)

【 中圖分類號(hào) 】 TP309.05 【 文獻(xiàn)標(biāo)識(shí)碼 】 A

1 引言

IP網(wǎng)絡(luò)具有體系架構(gòu)開放、信息共享靈活等優(yōu)點(diǎn)，但是因其系統(tǒng)開放也極易遭受各種網(wǎng)絡(luò)攻擊的入侵。網(wǎng)絡(luò)異常流量檢測(cè)屬于入侵檢測(cè)方法的一種，它通過統(tǒng)計(jì)發(fā)現(xiàn)網(wǎng)絡(luò)流量偏離正常行為的情形，及時(shí)檢測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的攻擊行為，為網(wǎng)絡(luò)安全防護(hù)提供保障。在網(wǎng)絡(luò)異常流量檢測(cè)方法中，基于統(tǒng)計(jì)分析的檢測(cè)方法通過分析網(wǎng)絡(luò)參數(shù)生成網(wǎng)絡(luò)正常行為輪廓，然后度量比較網(wǎng)絡(luò)當(dāng)前主體行為與正常行為輪廓的偏離程度，根據(jù)決策規(guī)則判定網(wǎng)絡(luò)中是否存在異常流量，具有統(tǒng)計(jì)合理全面、檢測(cè)準(zhǔn)確率高等優(yōu)點(diǎn)?；谙鄬?duì)熵的異常檢測(cè)方法屬于非參數(shù)統(tǒng)計(jì)分析方法，在檢測(cè)過程中無(wú)須數(shù)據(jù)源的先驗(yàn)知識(shí)，可對(duì)樣本分布特征進(jìn)行假設(shè)檢驗(yàn)，可在缺乏歷史流量數(shù)據(jù)的情況下實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異常行為的檢測(cè)與發(fā)現(xiàn)。本文系統(tǒng)研究了模糊相對(duì)熵理論在網(wǎng)絡(luò)異常流量檢測(cè)中的應(yīng)用，并搭建模擬實(shí)驗(yàn)環(huán)境對(duì)基于模糊相對(duì)熵的網(wǎng)絡(luò)異常流量檢測(cè)方法進(jìn)行了測(cè)試驗(yàn)證。

2 基于模糊相對(duì)熵的多測(cè)度網(wǎng)絡(luò)異常流量檢測(cè)方法

2.1 模糊相對(duì)熵的概念

相對(duì)熵（Relative Entropy）又稱為K-L距離（Kullback-Leibler divergence），常被用作網(wǎng)絡(luò)異常流量的檢測(cè)方法。本文引入模糊相對(duì)熵的概念，假定可用來度量?jī)蓚€(gè)概率分布P={p1，p2，...，...，pn}和Q={q1，q2，...，...，qn}的差別，其中，P、Q是描述同一隨機(jī)過程的兩個(gè)過程分布，P、Q的模糊相對(duì)熵定義為：

S（P，Q）=[Pi ln+（1-pi）ln] （1）

上式中qi可以接近0或1，這會(huì)造成部分分式分母為零，因此對(duì)（1）式重新定義：

S'（P，Q）=[Pi ln+（1-pi）ln]（2）

模糊相對(duì)熵為兩種模糊概率分布的偏差提供判斷依據(jù)，值越小說明越一致，反之亦然。

2.2 多測(cè)度網(wǎng)絡(luò)異常流量檢測(cè)方法流程

基于模糊相對(duì)熵理論的多測(cè)度網(wǎng)絡(luò)異常檢測(cè)具體實(shí)施分為系統(tǒng)訓(xùn)練和實(shí)際檢測(cè)兩個(gè)階段。系統(tǒng)訓(xùn)練階段通過樣本數(shù)據(jù)或監(jiān)測(cè)網(wǎng)絡(luò)正常狀態(tài)流量獲取測(cè)度的經(jīng)驗(yàn)分布，實(shí)際檢測(cè)階段將實(shí)測(cè)數(shù)據(jù)獲取的測(cè)度分布與正常測(cè)度分布計(jì)算模糊相對(duì)熵，并計(jì)算多個(gè)測(cè)度的加權(quán)模糊相對(duì)熵，根據(jù)閾值判定網(wǎng)絡(luò)異常情況，方法流程如下：

Step1：獲取網(wǎng)絡(luò)特征正常流量的參數(shù)分布。通過樣本數(shù)據(jù)或監(jiān)測(cè)網(wǎng)絡(luò)正常狀態(tài)流量獲取各測(cè)度的經(jīng)驗(yàn)分布。

Step2：獲取網(wǎng)絡(luò)特征異常常流量的參數(shù)分布。對(duì)選取網(wǎng)絡(luò)特征參數(shù)異常流量進(jìn)行檢測(cè)獲取各種測(cè)度的概率分布。

Step3：依據(jù)公式（2）計(jì)算單測(cè)度正常流量和異常流量間模糊相對(duì)熵Si。

Step4：計(jì)算多測(cè)度加權(quán)模糊相對(duì)熵S。

S=α1S1+α2S2+…+αkSk （3）

式中αk表示第k個(gè)測(cè)度的權(quán)重系數(shù)，由測(cè)評(píng)數(shù)據(jù)集統(tǒng)計(jì)分析獲得。

最終，根據(jù)S建立不同的等級(jí)閾值來表征網(wǎng)絡(luò)異常情況。S越大，表示網(wǎng)絡(luò)流量特征參數(shù)分布偏離正常狀態(tài)越多，網(wǎng)絡(luò)中出現(xiàn)異常流量的概率越大；S越小，表示網(wǎng)絡(luò)流量特征參數(shù)分布與正常狀態(tài)吻合度越好，網(wǎng)絡(luò)中出現(xiàn)異常流量的概率越小。

3 測(cè)試驗(yàn)證

為測(cè)試方法的有效性，搭建如圖1所示的實(shí)驗(yàn)環(huán)境，模擬接入層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、流量類型和流量負(fù)載情況。測(cè)試環(huán)境流量按業(yè)務(wù)域類型分類，主要分為視頻、語(yǔ)音、數(shù)據(jù)三種業(yè)務(wù)域，按每個(gè)業(yè)務(wù)單路帶寬需求計(jì)算，總帶寬需求約為2368kbps～3200kbps。

（1）檢測(cè)系統(tǒng)接入交換機(jī)鏡像端口，系統(tǒng)部署環(huán)境。

①硬件環(huán)境：Intel（R） Core（TM） 2 Duo CPU 2.00GHz，2.0G內(nèi)存；②操作系統(tǒng)環(huán)境：Windows XP，.NET Framework 3.5；③數(shù)據(jù)庫(kù)系統(tǒng)：Microsoft SQL Server 2005 9.00.1399.06 （Build 2600： Service Pack 3）。

測(cè)試環(huán)境交換機(jī)采用華為S3050C，用戶主機(jī)接入點(diǎn)配置如表1所示。

測(cè)試網(wǎng)絡(luò)正常流量狀態(tài)方案配置。

①1號(hào)主機(jī)架設(shè)視頻服務(wù)器模擬視頻業(yè)務(wù)域，單路平均帶寬需求2.59Mbps；②2、3號(hào)主機(jī)架設(shè)音頻服務(wù)器模擬語(yǔ)音業(yè)務(wù)域，單路平均帶寬需求128kbps；③4、5、6號(hào)主機(jī)采用應(yīng)用層專用協(xié)議和傳輸U(kuò)DP協(xié)議模擬發(fā)包程序模擬數(shù)據(jù)業(yè)務(wù)域，單路平均帶寬需求64kbps。

按上述方案配置網(wǎng)絡(luò)環(huán)境，交換機(jī)網(wǎng)絡(luò)流量負(fù)載約為2.996Mbps。

3.1 測(cè)試用例設(shè)計(jì)

網(wǎng)絡(luò)中的異常行為主要包括非法網(wǎng)絡(luò)接入、合法用戶的違規(guī)通信行為、網(wǎng)絡(luò)攻擊及未知的異常流量類型等，系統(tǒng)將其定義為四類：帶寬占用、非法IP地址、非法IP會(huì)話、模糊相對(duì)熵異常四類異常事件，其中模糊相對(duì)熵異?？筛鶕?jù)經(jīng)驗(yàn)數(shù)據(jù)設(shè)定多個(gè)閾值等級(jí)。測(cè)試用例以網(wǎng)絡(luò)正常流量為背景流量，根據(jù)測(cè)試目的添加異常流量事件。測(cè)試用例設(shè)計(jì)及實(shí)驗(yàn)測(cè)試過程如表2所示。

3.2 結(jié)果分析

測(cè)試用例持續(xù)監(jiān)測(cè)網(wǎng)絡(luò)兩小時(shí)。根據(jù)模糊相對(duì)熵?cái)?shù)據(jù)輸出，繪制ROC曲線，檢測(cè)率與誤警率的關(guān)系如圖2所示。通過ROC曲線，能夠準(zhǔn)確反映模糊相對(duì)熵異常流量檢測(cè)方法檢測(cè)率與誤警率的關(guān)系。權(quán)衡檢測(cè)率與誤警率，選擇合適的閾值。當(dāng)模糊相對(duì)熵閾值設(shè)定為39.6時(shí)，系統(tǒng)檢測(cè)率為84.36%，誤警率為3.86%，表明檢測(cè)系統(tǒng)對(duì)未知異常流量具有較好的檢測(cè)效果。

4 結(jié)束語(yǔ)

基于模糊相對(duì)熵的網(wǎng)絡(luò)異常流量檢測(cè)方法可以在不具備網(wǎng)絡(luò)歷史流量信息的情況下，通過對(duì)網(wǎng)絡(luò)流量特征進(jìn)行假設(shè)檢驗(yàn)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異常行為的檢測(cè)發(fā)現(xiàn)。實(shí)驗(yàn)測(cè)試結(jié)果表明，設(shè)定合理的模糊相對(duì)熵閾值，該方法的檢測(cè)率可達(dá)84.36%。在下一步的工作中，將研究自學(xué)習(xí)式閾值設(shè)定方法，以及對(duì)模糊相對(duì)熵方法進(jìn)一步優(yōu)化，提升方法的準(zhǔn)確性和效率。

參考文獻(xiàn)

[1] 蔣建春，馮登國(guó)等.網(wǎng)絡(luò)入侵檢測(cè)原理與技術(shù)[M].北京： 國(guó)防工業(yè)出版社，2001.

[2] 蔡明，嵇海進(jìn).基于ISP網(wǎng)絡(luò)的DDoS攻擊防御方法研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2008， 29（7）：1644-1646.

[3] Francois Bavaud. Relative Entropy and Statistics[EB/OL].http：//www.unil.ch/webdav/site/imm/users/ fbavaud/private/IT_statistics_bavaud.pdf.，2011-05-16.

[4] 張亞玲，韓照國(guó)，任姣霞.基于相對(duì)熵理論的多測(cè)度網(wǎng)絡(luò)異常檢測(cè)方法[J].計(jì)算機(jī)應(yīng)用，2010， 30（7）：1771-1774.

[5] 李涵秋，馬艷，雷磊.基于相對(duì)熵理論的網(wǎng)絡(luò)Dos攻擊檢測(cè)方法[J].電訊技術(shù)， 2011， 51（3）：89-92.

[6] 張登銀，廖建飛.基于相對(duì)熵理論網(wǎng)絡(luò)流量異常檢測(cè)方法[J].南京郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2012， 32（5）：26-31.

[7] 胡為，胡靜濤.加權(quán)模糊相對(duì)熵在電機(jī)轉(zhuǎn)子故障模糊識(shí)別中的應(yīng)用[J].信息與控制，2009， 38（3）：326-331.

作者簡(jiǎn)介：

姚宏林（1974-），男，碩士，副教授，從事信息安全教學(xué)與研究。

韓偉杰（1980-），男，碩士，講師，從事信息安全教學(xué)與研究。

吳忠望（1979-），男，博士，講師，從事信息安全教學(xué)與研究。endprint