趙　雷,　蘇慶剛，　羅宜元

(上海電機(jī)學(xué)院 電子信息學(xué)院， 上海 200240)

?

一種基于MIB信息熵統(tǒng)計(jì)的網(wǎng)絡(luò)異常檢測(cè)方法

趙雷,蘇慶剛，羅宜元

(上海電機(jī)學(xué)院 電子信息學(xué)院， 上海 200240)

摘要:針對(duì)網(wǎng)絡(luò)發(fā)展中出現(xiàn)的犯罪和攻擊，研究了基于管理信息庫(kù)(MIB)信息熵統(tǒng)計(jì)的網(wǎng)絡(luò)異常發(fā)現(xiàn)方法。給出了基于MIB的網(wǎng)絡(luò)異常發(fā)現(xiàn)的相關(guān)概念及實(shí)現(xiàn)方法。在此基礎(chǔ)上，討論了固定時(shí)間窗口和滑動(dòng)時(shí)間窗口在該方法中的應(yīng)用。與傳統(tǒng)的網(wǎng)絡(luò)異常檢測(cè)方法相比，該方法能夠?qū)崟r(shí)、有效地檢測(cè)網(wǎng)絡(luò)異常的發(fā)生。選取大型網(wǎng)絡(luò)提供商的MIB數(shù)據(jù)為應(yīng)用背景，驗(yàn)證了方法的準(zhǔn)確性和精確性。

關(guān)鍵詞:網(wǎng)絡(luò)異常檢測(cè)； 管理信息庫(kù)； 信息熵； 時(shí)間窗口

近年來(lái)，隨著國(guó)際互聯(lián)網(wǎng)的迅速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)在現(xiàn)代社會(huì)中發(fā)揮著日益重要的作用。隨著網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)應(yīng)用、服務(wù)相應(yīng)增多，網(wǎng)絡(luò)已成為犯罪或敵人攻擊的目標(biāo)之一。如何快速有效地檢測(cè)網(wǎng)絡(luò)異常并提高檢測(cè)可靠性已成為一大研究熱點(diǎn)。

異常檢測(cè)(anomaly detection)是指建立系統(tǒng)正常的模式輪廓，若實(shí)時(shí)獲得的系統(tǒng)或用戶的輪廓值與正常值的差異超出指定的閾值，就進(jìn)行入侵報(bào)警[1-3]。異常檢測(cè)依賴于異常模型的建立，模型不同，檢測(cè)方法也不同。常用的異常入侵檢測(cè)方法包括基于機(jī)器學(xué)習(xí)的方法[1-2]、基于統(tǒng)計(jì)的入侵檢測(cè)方法[3-6]、基于小波分析的方法[7]、基于貝葉斯網(wǎng)絡(luò)和貝葉斯推理的異常檢測(cè)方法[8-9]、基于數(shù)據(jù)挖掘的異常檢測(cè)方法等[10-14]。其中，基于統(tǒng)計(jì)的方法由于具有建模容易、檢測(cè)精度高、易于與其他方法結(jié)合使用等優(yōu)點(diǎn)而被廣泛使用。

早期用于網(wǎng)絡(luò)異常檢測(cè)的方法是統(tǒng)計(jì)假設(shè)檢驗(yàn)，其中，順序概率比測(cè)試(Sequential Probability Ratio Test, SPRT)和似然比(likelihood Ratio, LR)檢驗(yàn)[3]是較為典型的網(wǎng)絡(luò)異常檢測(cè)方法。Wald證明了有效天SPRT族中一定存在一個(gè)一致最有效的貫序檢驗(yàn)，但不易檢測(cè)突發(fā)性異常；LR檢驗(yàn)對(duì)于網(wǎng)絡(luò)異常檢測(cè)具有顯著的適用性和良好的統(tǒng)計(jì)性，但缺點(diǎn)是缺乏容錯(cuò)能力[3]。近年來(lái)，基于統(tǒng)計(jì)的方法被廣泛應(yīng)用。文獻(xiàn)[4]中通過(guò)定義一個(gè)新的統(tǒng)計(jì)量并建立AR模型，可以實(shí)時(shí)和有效地發(fā)現(xiàn)連續(xù)網(wǎng)絡(luò)數(shù)據(jù)流中的異常特征。文獻(xiàn)[5]中提出了一種基于統(tǒng)計(jì)推演的異常檢測(cè)技術(shù)。文獻(xiàn)[7]中結(jié)合統(tǒng)計(jì)方法和機(jī)器學(xué)習(xí)，提出了基于樸素貝葉斯分類的網(wǎng)絡(luò)異常檢測(cè)模型，具有較高的發(fā)現(xiàn)精確度。文獻(xiàn)[8]中將文本分類中的最大信息熵技術(shù)應(yīng)用于網(wǎng)絡(luò)異常分類中，對(duì)連續(xù)流量特征的網(wǎng)絡(luò)進(jìn)行分類。文獻(xiàn)[12]中提出了一種大規(guī)模高速網(wǎng)絡(luò)環(huán)境中網(wǎng)絡(luò)熵值估算的方法，將基于熵的網(wǎng)絡(luò)流量異常檢測(cè)應(yīng)用于大規(guī)模高速網(wǎng)絡(luò)環(huán)境中。文獻(xiàn)[13]中使用機(jī)器學(xué)習(xí)和統(tǒng)計(jì)方法，對(duì)網(wǎng)絡(luò)數(shù)據(jù)流的時(shí)間序列和特征空間進(jìn)行綜合檢測(cè)，具有較好的實(shí)時(shí)特性。通過(guò)選取路由器中的管理信息庫(kù)(Management Information Base, MIB)數(shù)據(jù)，文獻(xiàn)[14]中提出了針對(duì)大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流和網(wǎng)絡(luò)管理漏洞進(jìn)行異常檢測(cè)的策略。目前，大部分的異常檢測(cè)策略都具有不依賴于攻擊特征，立足于受檢測(cè)的目標(biāo)發(fā)現(xiàn)入侵行為的優(yōu)點(diǎn)。但是，如何建立異常指標(biāo)、定義正常的模式輪廓、降低誤報(bào)率，是異常檢測(cè)難以解決的問(wèn)題[15]。

本文嘗試建立新的網(wǎng)絡(luò)異常指標(biāo)與正常模式輪廓，將MIB數(shù)據(jù)與信息熵統(tǒng)計(jì)方法相結(jié)合，研究了基于MIB信息熵統(tǒng)計(jì)的網(wǎng)絡(luò)異常發(fā)現(xiàn)方法，給出了基于MIB的網(wǎng)絡(luò)異常發(fā)現(xiàn)的相關(guān)概念及方法；在此基礎(chǔ)上，討論了固定時(shí)間窗口和滑動(dòng)時(shí)間窗口在該方法中的應(yīng)用；并選取大型網(wǎng)絡(luò)提供商的MIB數(shù)據(jù)為應(yīng)用背景，結(jié)果顯示該方法能夠有效、實(shí)時(shí)地檢測(cè)網(wǎng)絡(luò)異常，并具有一定的準(zhǔn)確性和精確性。

1基于MIB的異常檢測(cè)

異常檢測(cè)系統(tǒng)主要分為3個(gè)部分： 數(shù)據(jù)預(yù)處理單元、數(shù)據(jù)處理單元和異常檢測(cè)單元。檢測(cè)流程如圖1所示。

圖1　基于MIB的網(wǎng)絡(luò)異常檢測(cè)流程Fig.1　 Overview of network anomaly detection using MIB

圖中，數(shù)據(jù)預(yù)處理單元與數(shù)據(jù)處理單元的主要功能是從MIB中選擇適當(dāng)?shù)淖兞窟M(jìn)行分析。如MIB中有11類對(duì)象數(shù)據(jù)，包括系統(tǒng)基本信息(如system類)或與協(xié)議相關(guān)的信息(如IP類和TCP類)等，由于這些數(shù)據(jù)的非數(shù)值型以及與網(wǎng)絡(luò)應(yīng)用的相關(guān)性太強(qiáng)，不適合用作普遍性的異常檢測(cè)。本文選取MIB中的interfaces類為指標(biāo)集。該類型標(biāo)識(shí)的內(nèi)容是網(wǎng)絡(luò)接口的信息，如通過(guò)接口的數(shù)據(jù)包數(shù)量等，而與具體的協(xié)議無(wú)關(guān)，具有與應(yīng)用無(wú)關(guān)的普遍性，適合用作普遍性異常檢測(cè)。

在變量的選取方面，也可以通過(guò)合并對(duì)象的方式進(jìn)行研究，如MIB中ifInOctets指標(biāo)集隨時(shí)間變化的指標(biāo)用x(t)表示，而MIB中ifInDiscards指標(biāo)集隨時(shí)間變化的指標(biāo)用y(t)表示。若綜合考查兩項(xiàng)指標(biāo)，也可以將它們結(jié)合起來(lái)，用變量z(t)=x(t)+αy(t)表示，其中，α為變量y(t)的權(quán)值。本文采用基于信息熵統(tǒng)計(jì)的網(wǎng)絡(luò)異常檢測(cè)方法。

定義1信息熵。設(shè)一個(gè)離散隨機(jī)變量xi和它的分布概率為p(xi)，i=1,2,…,r,則r個(gè)隨機(jī)變量的不確定性的度量簡(jiǎn)稱為熵，記為

(1)

定義2固定時(shí)間窗口。按照時(shí)間順序依次選取固定時(shí)間段的方法稱為固定窗口，如圖2所示。

圖2　固定時(shí)間窗口設(shè)置Fig. 2　Fixed time window model

定義3滑動(dòng)時(shí)間窗口。設(shè)一個(gè)時(shí)間窗口內(nèi)部有m個(gè)時(shí)間點(diǎn)?；瑒?dòng)窗口是后繼時(shí)間窗口作為前時(shí)間窗口向前滑動(dòng)p(p

圖3　滑動(dòng)時(shí)間窗口設(shè)置Fig.3　Sliding time window model

定義4熵比。在固定窗口或滑動(dòng)窗口中，前s(s≥1)個(gè)時(shí)間窗口指標(biāo)變量具有的平均信息熵與當(dāng)前窗口指標(biāo)變量信息熵的比值，稱為熵比。熵比在一定程度上反映了最近一段時(shí)間內(nèi)信息熵的變化程度。

2基于MIB的信息熵統(tǒng)計(jì)的異常檢測(cè)

2.1　數(shù)據(jù)采集與指標(biāo)選取

interfaces類指標(biāo)集主要包括12種數(shù)值型變量指標(biāo)，如表1所示。

表1　MIB中interfaces類主要指標(biāo)列表Tab.1　Indicators of interface class in MIB

本文數(shù)據(jù)采自某大型網(wǎng)絡(luò)設(shè)備供應(yīng)商提供的實(shí)時(shí)MIB數(shù)據(jù)記錄，路由器中每2min都會(huì)對(duì)MIB進(jìn)行更新。圖4給出了該MIB中部分interfaces類的指標(biāo)記錄，依次記錄了表1中12種數(shù)值型變量指標(biāo)值。

圖4　MIB中interface類的指標(biāo)記錄舉例Fig.4　Example of records for interface class in MIB

由圖4可見(jiàn)，8月4日星期一11：44接口收到的總比特?cái)?shù)(ifInOctets指標(biāo))為828590480，接口收到并丟棄的包數(shù)(ifInDiscards指標(biāo))為0，接口傳送出的單播包數(shù)(ifOutVcastPkts)為3108960798。

2.2　基于MIB信息熵統(tǒng)計(jì)的網(wǎng)絡(luò)異常檢測(cè)及算法

本文以對(duì)MIB中ifInOctets指標(biāo)進(jìn)行網(wǎng)絡(luò)異常檢測(cè)為例，設(shè)時(shí)間窗口TWk為時(shí)間點(diǎn)k到k+w的時(shí)間段，其中，窗口大小為w；時(shí)間點(diǎn)t(t=k,k+1,…,k+w)處的ifInOctets指標(biāo)值(即時(shí)間點(diǎn)t處接口收到的總比特?cái)?shù))為bt，時(shí)間點(diǎn)單位為min，則接口在時(shí)間點(diǎn)i接收到的比特?cái)?shù)為

xt=bt-bt-1

(2)

為衡量時(shí)間窗TWk內(nèi)接收比特xt的不確定性，可以通過(guò)其信息熵來(lái)體現(xiàn)。歸一化xt,令

(3)

假設(shè)zt近似服從某種概率分布，若為正態(tài)分布，則zt滿足

(4)

時(shí)間窗TWk在變量zt上的信息熵為

(5)

由于p(zi)取值區(qū)間為(0,1]，故logp(zt)≤0且隨p(zt)單調(diào)遞增，則E(TWk)也隨p(zt)單調(diào)遞增。因此，若窗口內(nèi)部接收到的比特?cái)?shù)發(fā)生異常，則zt滿足正態(tài)分布的概率降低，熵值變??；反之亦然。

為了更好地反映近一段時(shí)間內(nèi)網(wǎng)絡(luò)接收比特的變化，可以通過(guò)計(jì)算前一段時(shí)間(如前個(gè)時(shí)間窗口)的平均熵和當(dāng)前窗口熵的比值來(lái)反映當(dāng)前熵的變化。定義第s個(gè)窗口的熵比為

(6)

式中，j為循環(huán)變量。

若熵比超出給定閾值，則可判定此時(shí)間窗口內(nèi)發(fā)生了網(wǎng)絡(luò)異常。在時(shí)間窗口的設(shè)置時(shí)，則可以采取固定和滑動(dòng)窗口兩種方法。

本文以ifInOctets指標(biāo)為例，給出基于MIB信息熵統(tǒng)計(jì)的異常檢測(cè)算法。

步驟1定義窗口大小n和窗口的滑動(dòng)距離p。

步驟2按照滑動(dòng)窗口設(shè)置依次遞進(jìn)計(jì)算每個(gè)窗口的熵值和熵比值。

(1) 計(jì)算時(shí)間窗口內(nèi)各時(shí)間點(diǎn)的比特?cái)?shù)xt和歸一化值z(mì)t；

(2) 計(jì)算各時(shí)間點(diǎn)上zt的概率p(zt)；

(3) 計(jì)算窗口在zt上的熵值和熵比值。

步驟3異常判斷。將所得熵值或熵比值與給定閾值進(jìn)行比較，若超出范圍，即判斷此時(shí)間窗口內(nèi)有數(shù)據(jù)突變或有不符合之前規(guī)律的情況發(fā)生，即可能發(fā)生異常。

3實(shí)驗(yàn)及分析

在思科研究中心模擬一個(gè)小型網(wǎng)絡(luò)，其中1臺(tái)路由器連接3個(gè)子網(wǎng)，路由器采用思科Cisco 7500。3個(gè)子網(wǎng)中1個(gè)連接HTTP服務(wù)器，1個(gè)子網(wǎng)上具有一個(gè)SQL Server數(shù)據(jù)庫(kù)服務(wù)器，最后1個(gè)子網(wǎng)用來(lái)模擬DDoS攻擊。人為制造4種網(wǎng)絡(luò)異常類型，包括：服務(wù)器CPU占用、DDoS攻擊、數(shù)據(jù)庫(kù)關(guān)閉和HTTP服務(wù)器中斷。模擬運(yùn)行時(shí)間為24h，在路由器上收集MIB數(shù)據(jù)，用Matlab軟件進(jìn)行模擬軟件編程實(shí)現(xiàn)，其中運(yùn)行軟件的計(jì)算機(jī)CPU主頻為2.4GHz，內(nèi)存為2GB。

3.1　時(shí)間窗口MIB數(shù)據(jù)信息熵的計(jì)算

本文考察IfInOctets和IfInDiscards指標(biāo)變量在0~12000min內(nèi)的變化情況，如圖5所示。

圖5　IfInOctets和IfInDiscard指標(biāo)變量數(shù)據(jù)分布Fig.5　Distribution of IfInOctets and IfInDiscard indicators

合并考察IfInDiscards(用x(t)表示)和IfInOctets(用y(t)表示)，得到新的變量指標(biāo)z(t)，其中，α=3000。其數(shù)據(jù)分布如圖6所示。

以z(t)為例進(jìn)行測(cè)試，隨機(jī)取6個(gè)時(shí)間窗口內(nèi)的信息熵值如圖7所示。由圖7可見(jiàn)，曲線越平緩，其熵值越小。由熵的定義可知[6]，熵值越小，規(guī)則性越明顯，則判定異常發(fā)生的可能性越大，反之亦然。另一方面，熵比越大，則當(dāng)前信息熵與過(guò)去一段時(shí)間內(nèi)的平均信息熵相比越小，反映在網(wǎng)絡(luò)上則認(rèn)為發(fā)生異常的可能性越大。

圖6　IfInOctets和IfInDiscard合并后的數(shù)據(jù)分布Fig.6　 Combinations of IfInOctets and IfInDiscard indicators

圖7　z(t)變量6個(gè)時(shí)間窗口的熵的計(jì)算Fig.7　Example of entropy computing for 6 different time windows

3.2　異常檢測(cè)實(shí)驗(yàn)及分析

本文根據(jù)圖7，設(shè)窗口大小為10，采用固定窗口，利用基于MIB信息熵統(tǒng)計(jì)的異常檢測(cè)算法1計(jì)算4320~4560時(shí)間段內(nèi)各窗口熵值和熵比值，如圖8所示。

圖中，有圓圈標(biāo)注的窗口z(t)發(fā)生了突變。利用實(shí)驗(yàn)計(jì)算可以得到圖8中各時(shí)間窗口的數(shù)據(jù)，其中上方為窗口的熵值，下方為各窗口的熵比值(本文采用當(dāng)前窗口熵與之前12個(gè)窗口(即2min)的平均熵的比值)。由圖可見(jiàn)，時(shí)間窗口[4410，4420]的熵值和熵比值分別為2.7659×10-8和6.2034;時(shí)間窗口[4430，4440]的熵值和熵比值分別為1.4009×10-8和9.0558；時(shí)間窗口[4440，4450]的熵值和熵比值分別為1.7876×10-8和5.7915。閾值可以動(dòng)態(tài)設(shè)定為當(dāng)前窗口之前的n個(gè)正常窗口熵或熵比的平均值，試驗(yàn)中設(shè)n=5。經(jīng)計(jì)算，這3個(gè)窗口的計(jì)算值都遠(yuǎn)遠(yuǎn)超出了對(duì)應(yīng)閾值，因此可診斷網(wǎng)絡(luò)有異常發(fā)生。

圖8　4320~4560min內(nèi)各時(shí)間窗口熵值和熵比值Fig.8　Entropy values computed in time 4320-4560 minutes

3.3　與其他方法的比較

在使用相同數(shù)據(jù)源的情況下，將本文方法與兩種異常檢測(cè)的最常見(jiàn)算法，即廣義似然比(Generalized Lkelihood Ratio, GLR)方法和主成分分析方法 (Principal Component Analysis, PCA)進(jìn)行比較分析。GLR方法要求預(yù)先給出數(shù)據(jù)的正常模式，并在假設(shè)數(shù)據(jù)符合自回歸(Auto Regressive, AR)模型的情況下計(jì)算測(cè)試數(shù)據(jù)的最大似然率[1]。PCA方法則主要用于對(duì)給定的數(shù)據(jù)進(jìn)行正常和異常部分的分類[7]，將MIB數(shù)據(jù)表示為時(shí)間向量序列并通過(guò)主成分方法進(jìn)行正常和異常數(shù)據(jù)的分類。利用給出的MIB數(shù)據(jù) ，考慮兩個(gè)相鄰的時(shí)間窗口u(t)和w(t)以及這兩個(gè)時(shí)間窗口的并集uw(t)，在GLR方法中，模擬每個(gè)窗口為AR模型并計(jì)算AR中的殘差，通過(guò)與給定的殘差閾值進(jìn)行比較，判斷是否發(fā)生異常。表2給出了3種方法下的CPU時(shí)間和內(nèi)存的耗費(fèi)。

表2　3種方法下的CPU時(shí)間和內(nèi)存耗費(fèi)比較Tab.2　 Comparision of CPU time consumption and memory needs among three methods

由表2可知，GLR方法和PCA方法需要較高的CPU時(shí)間，主要原因如下： GLR方法中，要對(duì)每個(gè)窗口中的數(shù)據(jù)進(jìn)行回歸分析，而PCA方法需要計(jì)算矩陣的特征值，故它們都耗費(fèi)了較高的CPU時(shí)間；同時(shí)，由于PCA方法處理的是由變量值構(gòu)成的矩陣向量，故需要占用較大的內(nèi)存空間。

利用本文的檢測(cè)方法對(duì)服務(wù)器CPU占用、數(shù)據(jù)庫(kù)性能問(wèn)題、數(shù)據(jù)庫(kù)關(guān)閉、服務(wù)器中斷4種不同的異常實(shí)驗(yàn)進(jìn)行準(zhǔn)確率和精確率的統(tǒng)計(jì)分析。其中，準(zhǔn)確率是正確檢測(cè)出網(wǎng)絡(luò)異常的次數(shù)和網(wǎng)絡(luò)總異常發(fā)生次數(shù)的比率，如在統(tǒng)計(jì)100次異常情況發(fā)生的情況下，系統(tǒng)檢測(cè)出了所有異常，則準(zhǔn)確率為100%；精確率是誤檢測(cè)發(fā)生的概率，即網(wǎng)絡(luò)正常情況被錯(cuò)判為異?；蚓W(wǎng)絡(luò)異常情況被錯(cuò)判為正常所發(fā)生的概率，如100次檢測(cè)中，有1次網(wǎng)絡(luò)正常被檢測(cè)為異常且有1次網(wǎng)絡(luò)異常被檢測(cè)為正常，則精確率為98%。表3給出了統(tǒng)計(jì)結(jié)果。

表3　異常檢測(cè)準(zhǔn)確率和精確率統(tǒng)計(jì)Tab.3　Accuracy and precision ratio of four abnormal types

由表3可見(jiàn)，該方法的準(zhǔn)確率及精確率都是相當(dāng)高的，實(shí)驗(yàn)結(jié)果令人滿意。

4結(jié)語(yǔ)

本文結(jié)合MIB指標(biāo)與信息熵統(tǒng)計(jì)技術(shù)，研究了基于MIB的信息熵統(tǒng)計(jì)進(jìn)行網(wǎng)絡(luò)異常檢測(cè)方法。對(duì)各指標(biāo)之間的相關(guān)性進(jìn)行深入研究，構(gòu)建時(shí)間窗口，通過(guò)檢測(cè)窗口內(nèi)熵值和熵比值變化情況判斷異常是否發(fā)生。實(shí)驗(yàn)檢測(cè)結(jié)果表明，該方法能以極高的準(zhǔn)確率及精確率對(duì)單個(gè)和多個(gè)異常節(jié)點(diǎn)的情況進(jìn)行檢測(cè)；對(duì)于建立網(wǎng)絡(luò)流量的真實(shí)視圖，準(zhǔn)確評(píng)估網(wǎng)絡(luò)蠕蟲(chóng)、網(wǎng)絡(luò)服務(wù)器故障等安全事件對(duì)網(wǎng)絡(luò)所造成的影響具有重要指導(dǎo)意義。

參考文獻(xiàn)：

[1]Gavalas D,Greenwood D,Ghanbari M,et al.Advanced network monitoring applications based on mobile/intelligent agent technoloy[J].Computer Communications,2002,23(8): 720-730.

[2]Tagliaferri R,Eleuteri A,Meneganti M,et al.Fuzzy min-max neural network: from classification to regression[J].Soft Computing,2001,5(1): 69-76.

[3]Basseville M,Nikiforov I V.Detection of abrupt changes: theory and application[M].New York: Prentice Hall,1993： 350-412.

[4]Simmross-Wattenberg F,Juan I A.Anomaly detection in network traffic based on statistical inference and alpha-stable modeling[J].IEEE Transactions on Dependable and Secure Computing,2011,8(4): 494-509.

[5]魏小濤,黃厚寬,田盛豐.在線自適應(yīng)網(wǎng)絡(luò)異常檢測(cè)系統(tǒng)模型與算法[J].計(jì)算機(jī)研究與發(fā)展,2010,47(3)： 485-492.

[6]曹敏,程?hào)|年,張建輝,等.基于自適應(yīng)閾值的網(wǎng)絡(luò)流量異常檢測(cè)算法[J].計(jì)算機(jī)工程,2009,35(19)： 164-166.

[7]Lakhina A,Crovella M,Diot C.Diagnosing network-wide traffic anomalies[C]∥Proceedings of the ACM SIGCOMM.Portland,Oregon,USA: ACM,2004: 219-230.

[8]錢葉魁,陳鳴,葉立新,等.基于多尺度主成分分析的全網(wǎng)絡(luò)異常檢測(cè)方法[J].軟件學(xué)報(bào),2012,23(2)： 361-377.

[9]卿斯?jié)h,蔣建春,馬恒太,等.入侵檢測(cè)技術(shù)研究綜述[J].通信學(xué)報(bào),2004,25(7)： 19-29.

[10]鄒柏賢.一種網(wǎng)絡(luò)異常實(shí)時(shí)檢測(cè)方法[J].計(jì)算機(jī)學(xué)報(bào),2003,26(8)： 940-948.

[11]宿嬌娜,李巍,唐發(fā)根,等.基于NB分類方法的網(wǎng)絡(luò)異常檢測(cè)模型[J].計(jì)算機(jī)應(yīng)用研究,2008,25(2)： 569-571.

[12]錢亞冠,關(guān)曉惠,王濱.基于最大信息熵模型的異常流量分類方法[J].計(jì)算機(jī)應(yīng)用研究,2012,29(3): 1019-1023.

[13]Limthong K.Real-time computer network anomaly detection using machine learning techniques[J].Journal of Advances in Computer Networks,2013(1): 1-5.

[14]俞承志,王淑靜,宋瀚濤.基于MIB-Ⅱ的網(wǎng)絡(luò)安全入侵檢測(cè)策略[J].北京理工大學(xué)學(xué)報(bào),2004,5(8)： 696-700. D,Greenwood D,Ghanbari M,et al.Advanced network monitoring applications based on mobile/intelligent agent technoloy[J].Computer Communications,2002,23(8): 720-730.

[2]Tagliaferri R,Eleuteri A,Meneganti M,et al.Fuzzy min-max neural network: from classification to regression[J].Soft Computing,2001,5(1): 69-76.

[3]Basseville M,Nikiforov I V.Detection of abrupt changes: theory and application[M].New York: Prentice Hall,1993： 350-412.

[4]Simmross-Wattenberg F,Juan I A.Anomaly detection in network traffic based on statistical inference and alpha-stable modeling[J].IEEE Transactions on Dependable and Secure Computing,2011,8(4): 494-509.

[5]魏小濤,黃厚寬,田盛豐.在線自適應(yīng)網(wǎng)絡(luò)異常檢測(cè)系統(tǒng)模型與算法[J].計(jì)算機(jī)研究與發(fā)展,2010,47(3)： 485-492.

[6]曹敏,程?hào)|年,張建輝,等.基于自適應(yīng)閾值的網(wǎng)絡(luò)流量異常檢測(cè)算法[J].計(jì)算機(jī)工程,2009,35(19)： 164-166.

[7]Lakhina A,Crovella M,Diot C.Diagnosing network-wide traffic anomalies[C]∥Proceedings of the ACM SIGCOMM.Portland,Oregon,USA: ACM,2004: 219-230.

[8]錢葉魁,陳鳴,葉立新,等.基于多尺度主成分分析的全網(wǎng)絡(luò)異常檢測(cè)方法[J].軟件學(xué)報(bào),2012,23(2)： 361-377.

[9]卿斯?jié)h,蔣建春,馬恒太,等.入侵檢測(cè)技術(shù)研究綜述[J].通信學(xué)報(bào),2004,25(7)： 19-29.

[10]鄒柏賢.一種網(wǎng)絡(luò)異常實(shí)時(shí)檢測(cè)方法[J].計(jì)算機(jī)學(xué)報(bào),2003,26(8)： 940-948.

[11]宿嬌娜,李巍,唐發(fā)根,等.基于NB分類方法的網(wǎng)絡(luò)異常檢測(cè)模型[J].計(jì)算機(jī)應(yīng)用研究,2008,25(2)： 569-571.

[12]錢亞冠,關(guān)曉惠,王濱.基于最大信息熵模型的異常流量分類方法[J].計(jì)算機(jī)應(yīng)用研究,2012,29(3): 1019-1023.

[13]Limthong K.Real-time computer network anomaly detection using machine learning techniques[J].Journal of Advances in Computer Networks,2013(1): 1-5.

[14]俞承志,王淑靜,宋瀚濤.基于MIB-Ⅱ的網(wǎng)絡(luò)安全入侵檢測(cè)策略[J].北京理工大學(xué)學(xué)報(bào),2004,5(8)： 696-700.

Entropy Statistics Method for Network Anomaly DetectionBased on Management Information Base

ZHAOLei,SUQinggang,LUOYiyuan

(School of Electronic Information Engineering, Shanghai Dianji University, Shanghai 200240, China)

Abstract:Networks play an increasingly vital role in the modern society, while they are also targets of attacks by criminals and enemies. This paper proposes an entropy-based real-time method that can report entropy contents of data provided by a management information base (MIB). Change of the entropy value indicates a massive network event, meaning that anomaly may happen. Application of fixed time windows and sliding time windows are considered. Experiments are carried out with data from a large network company. The result shows that the method is accurate and precise in a wide variety of computing environments.

Key words:network anomaly detection; management information base(MIB); information entropy; time window

文章編號(hào)2095-0020(2015)02-0102-08

作者簡(jiǎn)介：覃海煥(1978-)，女，博士，講師，主要研究方向?yàn)楣ぷ髁?、服?wù)計(jì)算、云計(jì)算和大數(shù)據(jù)，E-mail: qinhh@sdju.edu.cn

基金項(xiàng)目：上海電機(jī)學(xué)院重點(diǎn)學(xué)科建設(shè)項(xiàng)目資助(13XKJ01，A1-1201-14-005)

收稿日期:2015-02-02

中圖分類號(hào):TP 393.08

文獻(xiàn)標(biāo)志碼:A