鄧緋,韓文智,朱倩,錢立

四川職業(yè)技術(shù)學院計算機科學系,四川遂寧62900

改進的CUSUM網(wǎng)絡(luò)流量異常檢測

鄧緋,韓文智,朱倩,錢立

四川職業(yè)技術(shù)學院計算機科學系,四川遂寧62900

網(wǎng)絡(luò)已是人們學習生活不可缺少的一部分，如何能夠準確、快速地檢測出網(wǎng)絡(luò)流量異常，并做出合理的響應(yīng)，是網(wǎng)絡(luò)正常運行的保證。本文提出改進的CUSUM流量異常檢測算法，通過對CUSUM算法對網(wǎng)絡(luò)流量進行檢測，在警告判斷條件和增加約束條件兩方面進行改進。最后實驗結(jié)果表明，CUSUM算法實現(xiàn)簡單，在提高異常流量檢測的誤報率和漏報率方面有較大改進。

網(wǎng)絡(luò)流量;CUSUM算法;檢測

隨著計算機在各行各業(yè)的快速應(yīng)用和發(fā)展，計算機網(wǎng)絡(luò)通信成為現(xiàn)代社會最重要的基礎(chǔ)設(shè)施之一。因此，諸如服務(wù)器過載，網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)病毒等等帶來許多網(wǎng)絡(luò)安全問題，將影響網(wǎng)絡(luò)的正常運行，甚至可能導致網(wǎng)絡(luò)癱瘓。為了保證網(wǎng)絡(luò)的正常運行，網(wǎng)絡(luò)安全管理工作顯得尤為重要。網(wǎng)絡(luò)流量異常檢測是其有效方法之一，通過網(wǎng)絡(luò)流量的異常檢測，可以及時發(fā)現(xiàn)可能存在的入侵或攻擊等行為，從而可以提前做出防范，起到網(wǎng)絡(luò)安全的管理。在DDOS、防火墻和路由器的流量管控等有廣泛的應(yīng)用。

在異常檢測中，目前有閾值檢測，小波分析，統(tǒng)計等等方法。本文根據(jù)研制“異常流量檢測與監(jiān)控”算法的任務(wù)，以及網(wǎng)絡(luò)異常流量識別與監(jiān)控技術(shù)研究中的涉及的算法為主[1]，考慮DOS、DDOS、路由器或防火墻流量管理與控制中需要用到的總體流量或單一輸入輸出通道的流量異常檢測算法——CUSUM算法，并在此基礎(chǔ)上根據(jù)實際情況進行改進。

在使用CUSUM算法來進行網(wǎng)絡(luò)流量異常檢測中，目前有較多為文獻提出了相關(guān)方法。文獻[2]把CUSUM算法和改進的閾值法做了實驗比較，證明了使用CUMSUM算法可以更好的檢測網(wǎng)絡(luò)攻擊，文獻[3]引入統(tǒng)計學中非參數(shù)改變點檢測方法，應(yīng)用CUMSUM算法的檢測系統(tǒng)，具有較好的誤報率和漏報率；文獻[4]通過增加Bloom Filter對數(shù)據(jù)包進行過濾，再運用CUSUM算法進行檢測；文獻[5]針對使用CUSUM算法進行流量異常檢測時產(chǎn)生的累積效果，提出用自適應(yīng)算法消除累積影響，文獻[6]提出了使用改進的非參數(shù)遞歸CUMSUM算法檢測DDoS攻擊，并在檢測同時記錄攻擊包；文獻[7]提出基于CUSUM的自適應(yīng)攻擊檢測算法，可以快速檢測DDoS攻擊。

本文利用CUSUM算法來檢測網(wǎng)絡(luò)流量異常，同時對CUSUM算法異常判斷，增加告警約束條件對網(wǎng)絡(luò)流量進行分析,以提高網(wǎng)絡(luò)流量異常檢測的漏報率和誤報率。

1CUSUM算法介紹

1.1 CUSUM算法簡介

CUSUM主要思想為如果統(tǒng)計量有變化，則隨機序列的概率分布也會發(fā)生變化。該算法令x1, x2,...,xt是獨立的N(0,1)同分布，xt+1,xt+2,xt+3,...，為獨立的N(δ,1)同分布，其中t為未知變點，對于給定的序列x1, x2,...,xn，假設(shè)t=v( v＜n)，對于原假設(shè)t=∞的似然比統(tǒng)計量為（以φ(·)表示標準正態(tài)分布的密度函數(shù)）：

1.2 CUSUM算法特點

根據(jù)基礎(chǔ)CUSUM流量異常檢測算法步驟，以及仿真結(jié)果，該算法的優(yōu)點是能夠檢測到流量的變化點，速度較快；判斷比較直接，可以應(yīng)用于流量異常的粗粒度的判斷和管理控制。而不足之處是基于假設(shè)檢驗方法，假設(shè)流量數(shù)據(jù)都服從相同的分布，與實際有一定的偏差；統(tǒng)計學的方法，有一定的滯后性；通過仿真，誤報率比較高。

分析發(fā)現(xiàn)該算法由于沒有考慮告警的撤銷，在產(chǎn)生異常流量數(shù)據(jù)告警后，由于判斷統(tǒng)計條件的值具有累加性，導致之后會持續(xù)告警，因此需要改進該算法。

2 改進CUSUM算法

在上述基礎(chǔ)算法中，主要存在一旦異常流量數(shù)據(jù)產(chǎn)生并告警后，判斷條件的值一般是超過閥值了的。由于判斷條件的累加性公式，前一個流量點的判斷值會加入到后一個流量值的判斷條件中，因此會影響后一個流量值異常的判斷，導致一旦出現(xiàn)異常告警后，后續(xù)的判斷條件值都超過閥值，因而持續(xù)報警。

解決該問題的辦法是增加告警撤銷的步驟，及流量異常后，撤銷異常流量數(shù)據(jù)值累加進下一個流量的判斷條件值，這樣避免持續(xù)異常和告警，避免誤報。

考慮改進告警判斷條件，增加約束條件，主要算法步驟如下：

（1）初始參數(shù)設(shè)定

確定初始參數(shù)：n——流量穩(wěn)定的觀察值個數(shù)，如設(shè)n=100；

v——異常變點(1)vn≤≤，如設(shè)v=50；

h——異常閥值，0h＞，為可調(diào)參數(shù)，可以根據(jù)實際網(wǎng)絡(luò)和流量情況進行調(diào)節(jié)，以達到異常判斷的準確性。

（2）讀入v個觀測值，并計算均值和估計方差

讀入x1, x2,...,xv；

計算穩(wěn)定均值：

（3）再讀入v+1到n個觀測值，計算均值

計算穩(wěn)定均值：

（4）計算δ

（5）判斷，并計算統(tǒng)計量

如果0δ＞，則計算

如果0δ＜，則計算

如果Zn＞h，且Zi≤h, i=1,2,...,n -1，或者Dn＜-h，且Di≥-h, i=1,2,...,n -1，則判斷流量異常發(fā)生，報警。

（7）繼續(xù)檢測判斷

繼續(xù)讀入新的20個觀測值，按隊列方式替換觀測時間最舊的數(shù)據(jù)，

（6）異常判斷，增加告警約束條件

循環(huán)步驟（2）～（6）；

（8）算法結(jié)束。

3 仿真實驗

通過MIT實驗室發(fā)布的DARPA數(shù)據(jù)，進行仿真，通過20000條流量數(shù)據(jù)的預處理，仿真實驗，采用wireshark讀取原始MIT數(shù)據(jù)，保存為CVS格式。仿真得到的流量數(shù)據(jù)與時間的關(guān)系圖,時間軸按序號,如圖1，時間與流量統(tǒng)計量的關(guān)系圖如圖2。

圖1 通過仿真得到的流量數(shù)據(jù)與時間的關(guān)系圖Fig.1 Flow and time relation based on simulation data

實驗結(jié)果在t為74.8324，130.5286，259.9628，263.7945，272.4515,529.2545告警進行報警。從曲線圖可看出，在流量值有異常的情況下，曲線都會有波動，可以檢測出流量異常的變點，消除了大量的明顯的誤報；降低了累加性造成的實際流量下降之后，判斷條件值持續(xù)較高的問題；不同的閥值h，告警結(jié)果有微小的差異，但基本反應(yīng)了流量的異常情況。取值，n=20000，v=1000，h=400按時間軸繪圖

圖2 時間與統(tǒng)計量關(guān)系圖Fig.2 Time and statistic variable relation

4 結(jié)論

本文采用CUSUM算法對網(wǎng)絡(luò)流量進行檢測，在警判斷條件和動態(tài)區(qū)域檢驗方面進行改進。仿真結(jié)果表明，CUSUM算法實現(xiàn)簡單，在提高異常流量檢測的誤報和漏報方面有較大改進。在將來的研究中需要考慮如下方面：算法中判斷條件Z值迭代與累加計算的正確性，需要進一步分析計算過程，得出結(jié)果；還未考慮一旦有異常流量值之后的告警撤銷的問題，即將異常的流量判斷條件值做正?；幚?。

[1]孫知信.網(wǎng)絡(luò)異常流量識別與監(jiān)控技術(shù)研究[M].北京:清華大學出版社,2010:45-46

[2]VA Siris,F Papagalou.Application of anomaly detection algorithms for detecting SYN flooding attacks[C]//Global Telecommunications Conference.IEEE:[s.n.],2004,14:2050-2054

[3]康健,鞠久濱.CUSUM算法在DDoS源端檢測中的應(yīng)用[J].計算機應(yīng)用,2006,26(6):1342-1344

[4]Sun C H,Fan J D,Liu B.A robust scheme to detect SYN flooding attacks[C]∥Proceedings of the Second International Conference on Communications and Network in China.Shanghai:[s.n.],2007:397-401

[5]步岳山,張海艷,王汝傳.基于改進CUSUM算法的網(wǎng)絡(luò)異常流量檢測[J].計算機應(yīng)用研究,2009,26(2):500-501

[6]嚴芬,陳軼群,黃浩,等.使用補償非參數(shù)CUSUM方法檢測DDoS攻擊[J].通信學報,2008,29(6):126-132

[7]賴會霞,馬劍波,張仕.基于CUSUM的自適應(yīng)攻擊檢測[J].福建師范大學學報(自然科學版),2011,27(5):34-39

Abnormal Detection on Network Traffic Based on the Improved CUSUM

DENG Fei,HAN Wen-zhi,ZHU Qian,QIAN Li
Department of Computer Science,College of Sichuan Vocation and Technology,Suining 629000,China

The network is an integral part in people living and learning.It is an assurance of a normal network running how to be able to detect the abnormal network traffic accurately and fast,and to make a reasonable response.This paper put forward the algorithm for an abnormal network traffic detection based on the improved CUSUM,it was improved through two parts of the warning judgement and improvement constraints according to the detection algorithm.Finally,experimental results showed that CUSUM algorithm was a simple,had a great of improvement in the aspects of improving traffic abnormal detection false positive negative rate.

Network traffic;CUSUM algorithm;detection

TP393.4文獻標示碼:A

1000-2324(2014)03-0356-04

2012-12-23

2013-02-12

四川省教育廳自然科學重點項目(14ZA0311)

鄧緋(1975-),女,本科,研究方向:計算機應(yīng)用.E-mail:155104226@qq.com