公开(公告)号：CN101668006A

公开(公告)日：2010-03-10

申请号：CN200910073048.4

申请日：2009-10-12

Applicant: 哈尔滨工程大学

Inventor： 杨武 ,  王巍 ,  苘大鹏 ,  何晓冰 ,  玄世昌 ,  莫锡昌 ,  康喜 ,  司贺华

IPC: H04L29/06

Abstract: 本发明提供的是一种用于异常检测的自适应网络流量采样方法。基于时间分层的思想，把时间分成一些预先确定的、不重叠的称为块或层的间隔。同一个时间间隔内，用同一概率对属于相同流的所有数据报文进行采样，并实时检测流是否期满。时间间隔结束时，用当前时间间隔采样到的报文数目和采样概率估计流大小，并预测下一个时间间隔的流大小分布，然后把预测的流大小作为确定下一个时间间隔的采样概率的重要参数，同时结合强制采样方法对较小流的数据报文进行强制采样。与现有技术相比，本发明的优点是：算法简便、灵活，能为异常检测提供正确的数据源，同时能够提高处理速度和节约存储空间。

公开(公告)号：CN101795215B

公开(公告)日：2012-02-01

申请号：CN201010101883.7

申请日：2010-01-28

Applicant: 哈尔滨工程大学

Inventor： 杨武 ,  王巍 ,  苘大鹏 ,  何晓冰 ,  玄世昌 ,  王晴

IPC: H04L12/26 ,  H04L12/56

Abstract: 本发明是一种网络流量异常检测方法及检测装置。包括数据选取单元，用于选取待检测的网络指标数据，建立属性记录；分布分析单元，考察网络中各个主机发起连接和被连接中的所述属性记录的各个属性的分布状况；观测信息熵获得单元，用于当时间间隔到达设定的时间阈值时，根据所述属性分布状况获得观测信息熵；预测单元，根据所述观测信息熵预测下一个时间间隔的网络指标数据的信息熵；置信区间获得单元，根据所述观测信息熵和所述预测信息熵获得异常判决所需置信区间；异常判决单元，分析所述观测信息熵在所述置信区间的分布，根据分析结果确定网络流量是否异常。解决了现有技术用于网络流量异常检测时可操作性不强、灵活性较差的问题。

公开(公告)号：CN101795215A

公开(公告)日：2010-08-04

申请号：CN201010101883.7

申请日：2010-01-28

Applicant: 哈尔滨工程大学

Inventor： 杨武 ,  王巍 ,  苘大鹏 ,  何晓冰 ,  玄世昌 ,  王晴

IPC: H04L12/26 ,  H04L12/56

Abstract: 本发明是一种网络流量异常检测方法及检测装置。包括数据选取单元，用于选取待检测的网络指标数据，建立属性记录；分布分析单元，考察网络中各个主机发起连接和被连接中的所述属性记录的各个属性的分布状况；观测信息熵获得单元，用于当时间间隔到达设定的时间阈值时，根据所述属性分布状况获得观测信息熵；预测单元，根据所述观测信息熵预测下一个时间间隔的网络指标数据的信息熵；置信区间获得单元，根据所述观测信息熵和所述预测信息熵获得异常判决所需置信区间；异常判决单元，分析所述观测信息熵在所述置信区间的分布，根据分析结果确定网络流量是否异常。解决了现有技术用于网络流量异常检测时可操作性不强、灵活性较差的问题。