一种网络流量异常检测方法、装置、终端及介质与流程

1.本发明涉及网络流量技术领域，尤其涉及一种网络流量异常检测方法、装置、终端及介质。


背景技术：

2.正常网络流量在时间大尺度下具有统计意义上的自相似性，一旦网络受到攻击(ddos、蠕虫等)后，网络流量的自相似性必然出现显著性降低，并趋向于泊松变化，这种变化使得衡量网络流量时间序列的自相关性的一个重要的性能指标——hurst参数趋向于0.5。于是有一些学者采用网络流量hurst参数与hurst参数基准值(通常设置在0.6-0.75之间)进行比较，如果两者之间的差值大于某个设定的阈值(0.1-0.15)之间，那么就认定网络流量存在异常。这种方法在网络流量波动性很小或者网络规模较小的情况下确实具有较高的检测率。但是，随着网络规模的变化，目前规模还在以一定数量级增大以及用户本身的随机行为对网络流量的影响，网络流量呈现出较大的动态变化性，网络流量hurst参数也在呈现很大的变化，因此，hurst参数基准值如果还以固定值来设定的话，必然带来较高的误报率，故，针对当前日趋变化的网络环境，如何调整hurst参数基准值，以降低网络流量异常的误报率是非常重要的。


技术实现要素：

3.本发明提供一种网络流量异常检测方法、装置、终端及设备，采用常态的小波变化来求解hurst参数，引入带有网络流量波动变量控制值的修正因子来更新hurst参数基准值，当波动情况发生较大的变化时，波动变量控制值将随着网络变化波动规则进行取值，从而实现hurst参数基准值的动态调整，以降低网络流量异常的误报率。
4.为了实现上述目的，第一方面，本发明实施例提供了一种网络流量异常检测方法，包括：
5.实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数的方差和期望，从而算出网络流量hurst系数；
6.基于所述各尺度下小波系数的方差和期望计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值；
7.根据所述hurst系数与所述hurst系数基准值的差值，判断所述网络流量是否存在异常；
8.若所述网络流量存在异常，则查找所述网络流量的异常时间，进行网络攻击追溯。
9.作为上述方案的改进，所述实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数的方差和期望，从而算出网络流量hurst系数，具体包括：
10.实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数，得到所述小波系数的期望；
11.对任意两个不同尺度下小波系数进行相关性处理后进行傅里叶变换得到所述小波系数的相关性期望；
12.计算所述小波系数的方差和标准差，进而算出所述两个不同尺度下小波系数进行线性拟合所得到直线的拟合斜率；
13.基于hurst系数与所述拟合斜率的关系，获得网络流量hurst系数；
14.其中，所述各尺度下小波系数的表达式为
[0015][0016]
式中，d
j,k
为j尺度下的小波系数，j是尺度因子，用于实现小波函数的缩小或放大；k表示所述j尺度下离散小波变换的平移参数，x(t)为t时刻的网络流量数据，是哈尔小波函数；
[0017]
所述小波系数的期望表达式为
[0018][0019]
式中，e[d
j,k
]为所述j尺度下的小波系数的期望，e[x(t)]为所述t时刻的网络流量数据的期望，
[0020]
所述小波系数的相关性期望表达式为
[0021][0022]
式中，为所述j和j1尺度下的小波系数的相关性期望，为所述j1尺度下的小波系数，k1表示所述j1尺度下离散小波变换的平移参数，为所述网络流量数据的方差，ω是频率，
γ
为所述网络流量的小波系数在最小方差意义下进行线性拟合所得到直线的拟合斜率，ψ(2jω)为所述j尺度下傅里叶变换后的哈尔小波函数，为所述j1尺度下傅里叶变换后的哈尔小波函数；
[0023]
所述小波系数的方差表达式为
[0024][0025]
式中，为所述j尺度下的小波系数的方差；
[0026]
所述小波系数的标准差表达式为
[0027]
var[d
j,k
]＝σ
x2jγ
，
[0028]
式中，var[d
j,k
]为所述j尺度下的小波系数的标准差，σ
x
为所述网络流量数据的标准差；
[0029]
所述拟合斜率的计算公式为
[0030]
log2var[d
j,k
]＝log2σ
x
+jγ，
[0031]
所述网络流量hurst系数表达式为
[0032][0033]
式中，h(t)为t时刻hurst系数。
[0034]
作为上述方案的改进，所述基于所述各尺度下小波系数的方差和期望计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值，具体包括：
[0035]
基于所述各尺度下小波系数的方差和期望计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值；
[0036]
其中，所述网络流量波动变量控制值为
[0037][0038]
所述hurst系数基准值的表达式为
[0039]h0,t+1
＝h
0,t
ξ，
[0040]
式中，h
0,t+1
为t+1时刻的hurst系数基准值，h
0,t
为所述t时刻的hurst系数基准值，ε为修正因子。
[0041]
作为上述方案的改进，所述根据所述hurst系数与所述hurst系数基准值的差值，判断所述网络流量是否存在异常，具体为：
[0042]
根据所述hurst系数与所述hurst系数基准值的差值，判断所述网络流量是否存在异常，若所述差值大于预设阈值，则所述网络流量存在异常，若所述差值小于或等于预设阈值，则所述网络流量不存在异常。
[0043]
作为上述方案的改进，所述若所述网络流量存在异常，则查找所述网络流量的异常时间，进行网络攻击追溯，具体包括：
[0044]
若所述网络流量存在异常，则获取所述网络流量数据的不同尺度下的极大值点，将所述极大值点两两相连，得到所述极大值线，并计算所述极大值线的斜率并根据所述极大值线的斜率和设定阈值，确定所述网络流量存在异常的时刻；
[0045]
将所有所述网络流量存在异常的时刻按照时间顺序进行排序，得出不同位置网络流量存在异常的时间，从而得到整个网络攻击行为的时空分布图，以进行网络攻击追溯。
[0046]
第二方面，本发明实施例提供了一种网络流量异常检测装置，包括：
[0047]
实时采集模块，用于实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数的方差和期望，从而算出网络流量hurst系数；
[0048]
计算调整模块，用于基于所述各尺度下小波系数的方差和期望计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值；
[0049]
异常判断模块，用于根据所述hurst系数与所述hurst系数基准值的差值，判断所述网络流量是否存在异常；
[0050]
查找追溯模块，用于若所述网络流量存在异常，则查找所述网络流量的异常时间，进行网络攻击追溯。
[0051]
作为上述方案的改进，所述实时采集模块，具体用于：
[0052]
实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数，得到所述小波系数的期望；
[0053]
对任意两个不同尺度下小波系数进行相关性处理后进行傅里叶变换得到所述小波系数的相关性期望；
[0054]
计算所述小波系数的方差和标准差，进而算出所述两个不同尺度下小波系数进行
线性拟合所得到直线的拟合斜率；
[0055]
基于hurst系数与所述拟合斜率的关系，获得网络流量hurst系数；
[0056]
其中，所述各尺度下小波系数的表达式为
[0057][0058]
式中，d
j,k
为j尺度下的小波系数，j是尺度因子，用于实现小波函数的缩小或放大；k表示所述j尺度下离散小波变换的平移参数，x(t)为t时刻的网络流量数据，是哈尔小波函数；
[0059]
所述小波系数的期望表达式为
[0060][0061]
式中，e[d
j,k
]为所述j尺度下的小波系数的期望，e[x(t)]为所述t时刻的网络流量数据的期望，
[0062]
所述小波系数的相关性期望表达式为
[0063][0064]
式中，为所述j和j1尺度下的小波系数的相关性期望，为所述j1尺度下的小波系数，k1表示所述j1尺度下离散小波变换的平移参数，为所述网络流量数据的方差，ω是频率，
γ
为所述网络流量的小波系数在最小方差意义下进行线性拟合所得到直线的拟合斜率，ψ(2jω)为所述j尺度下傅里叶变换后的哈尔小波函数，为所述j1尺度下傅里叶变换后的哈尔小波函数；
[0065]
所述小波系数的方差表达式为
[0066][0067]
式中，为所述j尺度下的小波系数的方差；
[0068]
所述小波系数的标准差表达式为
[0069]
var[d
j,k
]＝σ
x2jγ
，
[0070]
式中，var[d
j,k
]为所述j尺度下的小波系数的标准差，σ
x
为所述网络流量数据的标准差；
[0071]
所述拟合斜率的计算公式为
[0072]
log2var[d
j,k
]＝log2σ
x
+jγ，
[0073]
所述网络流量hurst系数表达式为
[0074][0075]
式中，h(t)为t时刻hurst系数。
[0076]
作为上述方案的改进，所述计算调整模块，具体用于：
[0077]
基于所述各尺度下小波系数的方差和期望计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值；
[0078]
其中，所述网络流量波动变量控制值为
[0079][0080]
所述hurst系数基准值的表达式为
[0081]h0,t+1
＝h
0,t
ξ，
[0082]
式中，h
0,t+1
为t+1时刻的hurst系数基准值，h
0,t
为所述t时刻的hurst系数基准值，ε为修正因子。
[0083]
第三方面，本发明实施例对应提供了一种终端设备，包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序，所述处理器执行所述计算机程序时实现上述网络流量异常检测方法。
[0084]
此外，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述网络流量异常检测方法。
[0085]
与现有技术相比，本发明实施例公开的一种网络流量异常检测方法、装置、终端及介质，通过实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数的方差和期望，从而算出网络流量hurst系数，计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值，根据所述hurst系数与所述hurst系数基准值的差值，判断所述网络流量是否存在异常，若所述网络流量存在异常，则查找所述网络流量的异常时间，进行网络攻击追溯。因此，本发明实施例能够衡量网络流量在各尺度下小波系数方差以及各尺度下小波系数期望值计算网络流量波动变量控制值，从而实现动态更新hurst系数的基准值降低网络流量异常的误报率，且通过对网络流量进行小波变换之后，对不同尺度的小波变换极大值点进行提取，然后将极大值点进行连接，从而计算极大值线，并借助极大值线的斜率来判断网络异常流量发生的时间，通过对网络异常流量发生的时间进行排序，从而实现了整个攻击行为在时空上的复现，从而得到整个网络攻击行为的时空分布图，从而实现网络攻击的追溯。
附图说明
[0086]
图1是本发明实施例提供的一种网络流量异常检测方法的流程示意图；
[0087]
图2是本发明实施例提供的一种网络流量异常检测装置的结构示意图。
具体实施方式
[0088]
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0089]
需要说明的是，本发明的术语“包括”和“具体”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0090]
请参阅图1，图1是本发明实施例提供的一种网络流量异常检测方法的流程示意图，该网络流量异常检测方法，包括步骤s11至s14：
[0091]
s11：实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数的方差和期望，从而算出网络流量hurst系数；
[0092]
s12：基于所述各尺度下小波系数的方差和期望计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值；
[0093]
s13：根据所述hurst系数与所述hurst系数基准值的差值，判断所述网络流量是否存在异常；
[0094]
s14：若所述网络流量存在异常，则查找所述网络流量的异常时间，进行网络攻击追溯。
[0095]
具体的，所述步骤s11中，具体包括：
[0096]
实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数，得到所述小波系数的期望；
[0097]
对任意两个不同尺度下小波系数进行相关性处理后进行傅里叶变换得到所述小波系数的相关性期望；
[0098]
计算所述小波系数的方差和标准差，进而算出所述两个不同尺度下小波系数进行线性拟合所得到直线的拟合斜率；
[0099]
基于hurst系数与所述拟合斜率的关系，获得网络流量hurst系数；
[0100]
其中，所述各尺度下小波系数的表达式为
[0101][0102]
式中，d
j,k
为j尺度下的小波系数，j是尺度因子，用于实现小波函数的缩小或放大；k表示所述j尺度下离散小波变换的平移参数，x(t)为t时刻的网络流量数据，是哈尔小波函数；
[0103]
所述小波系数的期望表达式为
[0104][0105]
式中，e[d
j,k
]为所述j尺度下的小波系数的期望，e[x(t)]为所述t时刻的网络流量数据的期望，
[0106]
所述小波系数的相关性期望表达式为
[0107][0108]
式中，为所述j和j1尺度下的小波系数的相关性期望，为所述j1尺度下的小波系数，k1表示所述j1尺度下离散小波变换的平移参数，为所述网络流量数据的方差，ω是频率，
γ
为所述网络流量的小波系数在最小方差意义下进行线性拟合所得到直线的拟合斜率，ψ(2jω)为所述j尺度下傅里叶变换后的哈尔小波函数，为所述j1尺度下傅里叶变换后的哈尔小波函数；
[0109]
基于所述小波系数的相关性期望，令j＝j1，k＝k1，得到所述小波系数的方差表达
式为
[0110][0111]
式中，为所述j尺度下的小波系数的方差；
[0112]
所述小波系数的标准差表达式为
[0113]
var[d
j,k
]＝σ
x2jγ
，
[0114]
式中，var[d
j,k
]为所述j尺度下的小波系数的标准差，σ
x
为所述网络流量数据的标准差；
[0115]
所述拟合斜率的计算公式为
[0116]
log2var[d
j,k
]＝log2σ
x
+jγ，
[0117]
所述网络流量hurst系数表达式为
[0118][0119]
式中，h(t)为t时刻hurst系数。
[0120]
需要说明的是，所述小波系数的期望为零，小波系数的标准差与尺度因子、网络流量数据的方差以及小波变换系数在最小方差意义下进行线性拟合的拟合斜率有关。
[0121]
具体的，所述步骤s12中，具体包括：
[0122]
基于所述各尺度下小波系数的方差和期望计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值；
[0123]
其中，所述网络流量波动变量控制值为
[0124][0125]
所述hurst系数基准值的表达式为
[0126]h0,t+1
＝h
0,t
ξ，
[0127]
式中，h
0,t+1
为t+1时刻的hurst系数基准值，h
0,t
为所述t时刻的hurst系数基准值。
[0128]
需要说明的是，在实际情况中，hurst系数的基准值不应该固定的，这是因为现有的网络流量会有很多种随机因素影响，如果将其设为一个固定值，很容易导致误报情况的出现，因此，通过衡量网络流量在各尺度下小波系数方差以及各尺度下小波系数期望值计算网络流量波动变量控制值，并基于这个控制值来动态调整t时刻hurst系数的基准值，降低网络流量异常的误报率。当网络流量波动越大，那么波动变量控制值反而越小。当网络流量hurst系数在0.6-0.7(网络流量波动越小，hurst系数越大)之间时，ε设为05-0.9之间；当网络流量hurst系数小于0.6时(网络流量波动越大，hurst系数越小)，设为ε设为0-0.5之间。这个实现的原理是根据网络流量波动设定一个动态修正因子，动态修正因子其实就是带有波动变量控制值。
[0129]
具体的，所述步骤s13中，具体包括：
[0130]
根据所述hurst系数与所述hurst系数基准值的差值，判断所述网络流量是否存在异常，若所述差值大于预设阈值，则所述网络流量存在异常，若所述差值小于或等于预设阈值，则所述网络流量不存在异常。
[0131]
示例的，计算网络流量hurst系数与hurst系数基准值的差值，判定网络流量存在异常。
[0132]
θ(t)＝h(t)-h
0,t
，
[0133]
如果θ(t)大于0.12，那么认为网络流量存在异常；否则，认为网络流量是正常的。
[0134]
具体的，所述步骤s14中，具体包括：
[0135]
若所述网络流量存在异常，则获取所述网络流量数据的不同尺度下的极大值点，将所述极大值点两两相连，得到所述极大值线，并计算所述极大值线的斜率并根据所述极大值线的斜率和设定阈值，确定所述网络流量存在异常的时刻；
[0136]
将所有所述网络流量存在异常的时刻按照时间顺序进行排序，得出不同位置网络流量存在异常的时间，从而得到整个网络攻击行为的时空分布图，以进行网络攻击追溯。
[0137]
具体实施当中，一旦发现网络流量存在异常，通过对步骤s11对网络流量数据为x(t)进行各尺度小波变换中获得不同尺度(j1,j2,...,jn)的极大值点分别为)的极大值点分别为将上述的两两离散点进行相连，得到1条极大值线，通过计算极大值线的斜率k，并将k与0.5比较，如果k-0.5小于设定阈值λ(阈值设为1)，那么认为该时刻存在流量异常。通过将有异常的网络流量按照时间顺序进行排序，那么就能发现不同位置发生网络异常的时间，通过将时间与位置进行关联，得到整个网络攻击行为的时空分布图，从而实现网络攻击的追溯。
[0138]
图2是本发明实施例提供的一种网络流量异常检测装置的结构示意图，该网络流量异常检测装置，包括：
[0139]
实时采集模块21，用于实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数的方差和期望，从而算出网络流量hurst系数；
[0140]
计算调整模块22，用于基于所述各尺度下小波系数的方差和期望计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值；
[0141]
异常判断模块23，用于根据所述hurst系数与所述hurst系数基准值的差值，判断所述网络流量是否存在异常；
[0142]
查找追溯模块24，用于若所述网络流量存在异常，则查找所述网络流量的异常时间，进行网络攻击追溯。
[0143]
具体的，所述实时采集模块21，具体用于：
[0144]
实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数，得到所述小波系数的期望；
[0145]
对任意两个不同尺度下小波系数进行相关性处理后进行傅里叶变换得到所述小波系数的相关性期望；
[0146]
计算所述小波系数的方差和标准差，进而算出所述两个不同尺度下小波系数进行线性拟合所得到直线的拟合斜率；
[0147]
基于hurst系数与所述拟合斜率的关系，获得网络流量hurst系数；
[0148]
其中，所述各尺度下小波系数的表达式为
[0149][0150]
式中，d
j,k
为j尺度下的小波系数，j是尺度因子，用于实现小波函数的缩小或放大；
k表示所述j尺度下离散小波变换的平移参数，x(t)为t时刻的网络流量数据，是哈尔小波函数；
[0151]
所述小波系数的期望表达式为
[0152][0153]
式中，e[d
j,k
]为所述j尺度下的小波系数的期望，e[x(t)]为所述t时刻的网络流量数据的期望，
[0154]
所述小波系数的相关性期望表达式为
[0155][0156]
式中，为所述j和j1尺度下的小波系数的相关性期望，为所述j1尺度下的小波系数，k1表示所述j1尺度下离散小波变换的平移参数，为所述网络流量数据的方差，ω是频率，
γ
为所述网络流量的小波系数在最小方差意义下进行线性拟合所得到直线的拟合斜率，ψ(2jω)为所述j尺度下傅里叶变换后的哈尔小波函数，为所述j1尺度下傅里叶变换后的哈尔小波函数；
[0157]
所述小波系数的方差表达式为
[0158][0159]
式中，为所述j尺度下的小波系数的方差；
[0160]
所述小波系数的标准差表达式为
[0161]
var[d
j,k
]＝σ
x2jγ
，
[0162]
式中，var[d
j,k
]为所述j尺度下的小波系数的标准差，σ
x
为所述网络流量数据的标准差；
[0163]
所述拟合斜率的计算公式为
[0164]
log2var[d
j,k
]＝log2σ
x
+jγ，
[0165]
所述网络流量hurst系数表达式为
[0166][0167]
式中，h(t)为t时刻hurst系数。
[0168]
具体的，所述计算调整模块22，具体用于：
[0169]
基于所述各尺度下小波系数的方差和期望计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值；
[0170]
其中，所述网络流量波动变量控制值为
[0171][0172]
所述hurst系数基准值的表达式为
[0173]h0,t+1
＝h
0,t
ξ，
[0174]
式中，h
0,t+1
为t+1时刻的hurst系数基准值，h
0,t
为所述t时刻的hurst系数基准值，ε为修正因子。
[0175]
本发明实施例所提供的一种网络流量异常检测装置能够实现上述实施例的网络流量异常检测方法的所有流程，装置中的各个模块的作用以及实现的技术效果分别与上述实施例的网络流量异常检测方法的作用以及实现的技术效果对应相同，这里不再赘述。
[0176]
本发明实施例对应提供的一种终端设备，所述终端设备包括：处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序。所述处理器执行所述计算机程序时实现上述网络流量异常检测方法实施例中的步骤。或者，所述处理器执行所述计算机程序时实现上述网络流量异常检测装置实施例中各模块的功能。
[0177]
所述终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端设备可包括，但不仅限于，处理器、存储器。本领域技术人员可以理解，所述示意图仅仅是终端设备的示例，并不构成对终端设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述终端设备还可以包括输入输出设备、网络接入设备、总线等。
[0178]
所述处理器可以是中央处理单元，还可以是其他通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，所述处理器是所述终端设备的控制中心，利用各种接口和线路连接整个终端设备的各个部分。
[0179]
存储器可用于存储所述计算机程序和/或模块，所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块，以及调用存储在存储器内的数据，实现所述终端设备的各种功能。存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
[0180]
需说明的是，以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
[0181]
本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如上述实施例的网络流量异常检测方法。
[0182]
综上所述，本发明实施例公开的一种网络流量异常检测方法、装置、终端及介质，通过实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数的方差和期望，从而算出网络流量hurst系数，计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值，根据所述hurst系数与所述hurst系数基准值的差值，判断所述网络流量是否存在异常，若所述网络流量存在异常，则查找所述网络流量的异常时间，进行网络攻击追溯。因此，本发明实施例能够衡量网络流量在各尺
度下小波系数方差以及各尺度下小波系数期望值计算网络流量波动变量控制值，从而实现动态更新hurst系数的基准值降低网络流量异常的误报率，且通过对网络流量进行小波变换之后，对不同尺度的小波变换极大值点进行提取，然后将极大值点进行连接，从而计算极大值线，并借助极大值线的斜率来判断网络异常流量发生的时间，通过对网络异常流量发生的时间进行排序，从而实现了整个攻击行为在时空上的复现，从而得到整个网络攻击行为的时空分布图，从而实现网络攻击的追溯。
[0183]
以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。

技术特征：
1.一种网络流量异常检测方法，其特征在于，包括：实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数的方差和期望，从而算出网络流量hurst系数；基于所述各尺度下小波系数的方差和期望计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值；根据所述hurst系数与所述hurst系数基准值的差值，判断所述网络流量是否存在异常；若所述网络流量存在异常，则查找所述网络流量的异常时间，进行网络攻击追溯。2.如权利要求1所述的网络流量异常检测方法，其特征在于，所述实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数的方差和期望，从而算出网络流量hurst系数，具体包括：实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数，得到所述小波系数的期望；对任意两个不同尺度下小波系数进行相关性处理后进行傅里叶变换得到所述小波系数的相关性期望；计算所述小波系数的方差和标准差，进而算出所述两个不同尺度下小波系数进行线性拟合所得到直线的拟合斜率；基于hurst系数与所述拟合斜率的关系，获得网络流量hurst系数；其中，所述各尺度下小波系数的表达式为式中，d
j,k
为j尺度下的小波系数，j是尺度因子，用于实现小波函数的缩小或放大；k表示所述j尺度下离散小波变换的平移参数，x(t)为t时刻的网络流量数据，是哈尔小波函数；所述小波系数的期望表达式为式中，e[d
j,k
]为所述j尺度下的小波系数的期望，e[x(t)]为所述t时刻的网络流量数据的期望，所述小波系数的相关性期望表达式为式中，为所述j和j1尺度下的小波系数的相关性期望，为所述j1尺度下的小波系数，k1表示所述j1尺度下离散小波变换的平移参数，为所述网络流量数据的方差，ω是频率，γ为所述网络流量的小波系数在最小方差意义下进行线性拟合所得到直线的拟合斜率，ψ(2
j
ω)为所述j尺度下傅里叶变换后的哈尔小波函数，ψ(2
j1
ω)为所述j1尺度下傅里叶变换后的哈尔小波函数；所述小波系数的方差表达式为
式中，为所述j尺度下的小波系数的方差；所述小波系数的标准差表达式为var[d
j,k
]＝σ
x2jγ
，式中，var[d
j,k
]为所述j尺度下的小波系数的标准差，σ
x
为所述网络流量数据的标准差；所述拟合斜率的计算公式为log2var[d
j,k
]＝log2σ
x
+jγ，所述网络流量hurst系数表达式为式中，h(t)为t时刻hurst系数。3.如权利要求1所述的网络流量异常检测方法，其特征在于，所述基于所述各尺度下小波系数的方差和期望计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值，具体包括：基于所述各尺度下小波系数的方差和期望计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值；其中，所述网络流量波动变量控制值为所述hurst系数基准值的表达式为h
0,t+1
＝h
0,t
ξ，式中，h
0,t+1
为t+1时刻的hurst系数基准值，h
0,t
为所述t时刻的hurst系数基准值，ε为修正因子。4.如权利要求1所述的网络流量异常检测方法，其特征在于，所述根据所述hurst系数与所述hurst系数基准值的差值，判断所述网络流量是否存在异常，具体为：根据所述hurst系数与所述hurst系数基准值的差值，判断所述网络流量是否存在异常，若所述差值大于预设阈值，则所述网络流量存在异常，若所述差值小于或等于预设阈值，则所述网络流量不存在异常。5.如权利要求1所述的网络流量异常检测方法，其特征在于，所述若所述网络流量存在异常，则查找所述网络流量的异常时间，进行网络攻击追溯，具体包括：若所述网络流量存在异常，则获取所述网络流量数据的不同尺度下的极大值点，将所述极大值点两两相连，得到所述极大值线，并计算所述极大值线的斜率并根据所述极大值线的斜率和设定阈值，确定所述网络流量存在异常的时刻；将所有所述网络流量存在异常的时刻按照时间顺序进行排序，得出不同位置网络流量存在异常的时间，从而得到整个网络攻击行为的时空分布图，以进行网络攻击追溯。6.一种网络流量异常检测装置，其特征在于，包括：实时采集模块，用于实时采集网络流量数据，对所述网络流量数据进行离散小波变换
并计算各尺度下小波系数的方差和期望，从而算出网络流量hurst系数；计算调整模块，用于基于所述各尺度下小波系数的方差和期望计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值；异常判断模块，用于根据所述hurst系数与所述hurst系数基准值的差值，判断所述网络流量是否存在异常；查找追溯模块，用于若所述网络流量存在异常，则查找所述网络流量的异常时间，进行网络攻击追溯。7.如权利要求6所述的网络流量异常检测装置，其特征在于，所述实时采集模块，具体用于：实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数，得到所述小波系数的期望；对任意两个不同尺度下小波系数进行相关性处理后进行傅里叶变换得到所述小波系数的相关性期望；计算所述小波系数的方差和标准差，进而算出所述两个不同尺度下小波系数进行线性拟合所得到直线的拟合斜率；基于hurst系数与所述拟合斜率的关系，获得网络流量hurst系数；其中，所述各尺度下小波系数的表达式为式中，d
j,k
为j尺度下的小波系数，j是尺度因子，用于实现小波函数的缩小或放大；k表示所述j尺度下离散小波变换的平移参数，x(t)为t时刻的网络流量数据，是哈尔小波函数；所述小波系数的期望表达式为式中，e[d
j,k
]为所述j尺度下的小波系数的期望，e[x(t)]为所述t时刻的网络流量数据的期望，所述小波系数的相关性期望表达式为式中，为所述j和j1尺度下的小波系数的相关性期望，为所述j1尺度下的小波系数，k1表示所述j1尺度下离散小波变换的平移参数，为所述网络流量数据的方差，ω是频率，γ为所述网络流量的小波系数在最小方差意义下进行线性拟合所得到直线的拟合斜率，ψ(2
j
ω)为所述j尺度下傅里叶变换后的哈尔小波函数，为所述j1尺度下傅里叶变换后的哈尔小波函数；所述小波系数的方差表达式为
式中，为所述j尺度下的小波系数的方差；所述小波系数的标准差表达式为var[d
j,k
]＝σ
x2jγ
，式中，var[d
j,k
]为所述j尺度下的小波系数的标准差，σ
x
为所述网络流量数据的标准差；所述拟合斜率的计算公式为log
2 var[d
j,k
]＝log2σ
x
+jγ，所述网络流量hurst系数表达式为式中，h(t)为t时刻hurst系数。8.如权利要求6所述的网络流量异常检测装置，其特征在于，所述计算调整模块，具体用于：基于所述各尺度下小波系数的方差和期望计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整hurst系数基准值；其中，所述网络流量波动变量控制值为所述hurst系数基准值的表达式为h
0,t+1
＝h
0,t
ξ，式中，h
0,t+1
为t+1时刻的hurst系数基准值，h
0,t
为所述t时刻的hurst系数基准值，ε为修正因子。9.一种终端设备，其特征在于，包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序，所述处理器执行所述计算机程序时实现如权利要求1-5中任意一项所述的网络流量异常检测方法。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如权利要求1-5中任意一项所述的网络流量异常检测方法。

技术总结
本发明公开了一种网络流量异常检测方法、装置、终端及介质，所述方法包括实时采集网络流量数据，对所述网络流量数据进行离散小波变换并计算各尺度下小波系数的方差和期望，从而算出网络流量Hurst系数，计算所述网络流量的波动变量控制值，并基于所述波动变量控制值动态调整Hurst系数基准值，根据所述Hurst系数与所述Hurst系数基准值的差值，判断所述网络流量是否存在异常，若所述网络流量存在异常，则查找所述网络流量的异常时间，进行网络攻击追溯。因此，本发明实施例能够衡量网络流量在各尺度下小波系数方差以及各尺度下小波系数期望值计算网络流量波动变量控制值，从而实现动态更新Hurst系数的基准值降低网络流量异常的误报率。误报率。误报率。


技术研发人员：李国
受保护的技术使用者：中电科普天科技股份有限公司
技术研发日：2023.05.16
技术公布日：2023/8/9