公开(公告)号：CN101771584A

公开(公告)日：2010-07-07

申请号：CN200910273494.X

申请日：2009-12-31

Applicant: 华中科技大学

Inventor： 胡汉平 ,  熊伟 ,  杨越 ,  丁帆

IPC: H04L12/26 ,  H04L12/24 ,  H04L12/56 ,  H04L29/06

Abstract: 本发明公开了一种网络流量异常检测方法，①对网络流量样本数据进行归一化和均值化处理，得到网络流量样本数据向量vk，1≤k≤M，M代表网络流量样本数据的类别数，对识别的网络流量测试数据进行归一化和均值化处理，得到网络流量测试数据向量q(0)；②计算网络流量异常的注意参数，并求出网络流量样本数据向量对应的伴随向量；③根据所述伴随向量计算序参量的初始值；④利用所述注意参数对序参量进行循环计算，当循环结束时，得到检测结果。该方法具有计算复杂度低，检出率高和误检率低，具有较好的实时性等特点。

公开(公告)号：CN101771584B

公开(公告)日：2012-08-15

申请号：CN200910273494.X

申请日：2009-12-31

Applicant: 华中科技大学

Inventor： 胡汉平 ,  熊伟 ,  杨越 ,  丁帆

IPC: H04L12/26 ,  H04L12/24 ,  H04L12/56 ,  H04L29/06

Abstract: 本发明公开了一种网络流量异常检测方法，①对网络流量样本数据进行归一化和均值化处理，得到网络流量样本数据向量vk，1≤k≤M，M代表网络流量样本数据的类别数，对识别的网络流量测试数据进行归一化和均值化处理，得到网络流量测试数据向量q(0)；②计算网络流量异常的注意参数，并求出网络流量样本数据向量对应的伴随向量；③根据所述伴随向量计算序参量的初始值；④利用所述注意参数对序参量进行循环计算，当循环结束时，得到检测结果。该方法具有计算复杂度低，检出率高和误检率低，具有较好的实时性等特点。

公开(公告)号：CN101286897B

公开(公告)日：2010-12-29

申请号：CN200810047728.4

申请日：2008-05-16

Applicant: 华中科技大学

Inventor： 胡汉平 ,  王祖喜 ,  陈冬 ,  陈江航 ,  熊伟 ,  杨越 ,  王一 ,  丁帆

IPC: H04L12/26 ,  H04L12/24 ,  H04L12/56 ,  H04L29/06

Abstract: 本发明公开了一种基于超统计理论的网络流量异常检测方法，包括：①根据网络流量的实际特性选择一种分布模型，并且该分布符合网络流量的分布拟合检验要求；②根据此分布模型计算网络流量时间序列的慢变量序列，即分布参数序列；③根据慢变量序列的异常波动来检测网络流量异常。本发明通过建立基于超统计(即统计之统计)的网络流量模型，可以描述表现出突发性、非平稳、长相关性以及重尾性的网络流量时间序列并对网络流量进行异常检测。通过本发明所计算的网络流量时间序列的慢变量序列准确描述了网络流量的特征，通过分析慢变量序列可以准确分析网络流量，并大大减少了计算量，实验说明基于慢变量的网络流量异常检测明显优于传统检测方法。

公开(公告)号：CN101753381A

公开(公告)日：2010-06-23

申请号：CN200910273376.9

申请日：2009-12-25

Applicant: 华中科技大学

Inventor： 胡汉平 ,  杨越 ,  熊伟 ,  丁帆

IPC: H04L12/26 ,  H04L12/56

Abstract: 本发明公开了一种检测网络攻击行为的方法，步骤为：①根据网络流量的复杂非线性特性将待检测的网络流量时间序列重构到多维相空间，并根据正常网络流量时间序列建立统计分布模型；②对待检测的网络流量时间序列进行平稳化处理，将其分成子窗；③按照统计分布模型计算平稳化处理后的网络流量时间序列的各子窗的参数，得到一个参数序列，再根据该参数序列建立综合判决模型，检测异常。本发明将网络流量重构到多维空间里，充分显示其蕴藏在一维空间的信息，并降低了每个维度空间的计算复杂程度，提高运行的速度，本发明提高了系统的鲁棒性和准确性，具有计算复杂度低，检出率高和误检率低的特点。

公开(公告)号：CN101286897A

公开(公告)日：2008-10-15

申请号：CN200810047728.4

申请日：2008-05-16

Applicant: 华中科技大学

Inventor： 胡汉平 ,  王祖喜 ,  陈冬 ,  陈江航 ,  熊伟 ,  杨越 ,  王一 ,  丁帆

IPC: H04L12/26 ,  H04L12/24 ,  H04L12/56 ,  H04L29/06

Abstract: 本发明公开了一种基于超统计理论的网络流量异常检测方法，包括：①根据网络流量的实际特性选择一种分布模型，并且该分布符合网络流量的分布拟合检验要求；②根据此分布模型计算网络流量时间序列的慢变量序列，即分布参数序列；③根据慢变量序列的异常波动来检测网络流量异常。本发明通过建立基于超统计(即统计之统计)的网络流量模型，可以描述表现出突发性、非平稳、长相关性以及重尾性的网络流量时间序列并对网络流量进行异常检测。通过本发明所计算的网络流量时间序列的慢变量序列准确描述了网络流量的特征，通过分析慢变量序列可以准确分析网络流量，并大大减少了计算量，实验说明基于慢变量的网络流量异常检测明显优于传统检测方法。

公开(公告)号：CN101753381B

公开(公告)日：2012-10-10

申请号：CN200910273376.9

申请日：2009-12-25

Applicant: 华中科技大学

Inventor： 胡汉平 ,  杨越 ,  熊伟 ,  丁帆

IPC: H04L12/26 ,  H04L12/56

Abstract: 本发明提公开了一种检测网络攻击行为的方法，步骤为：①根据网络流量的复杂非线性特性将待检测的网络流量时间序列重构到多维相空间，并根据正常网络流量时间序列建立统计分布模型；②对待检测的网络流量时间序列进行平稳化处理，将其分成子窗；③按照统计分布模型计算平稳化处理后的网络流量时间序列的各子窗的参数，得到一个参数序列，再根据该参数序列建立综合判决模型，检测异常。本发明将网络流量重构到多维空间里，充分显示其蕴藏在一维空间的信息，并降低了每个维度空间的计算复杂程度，提高运行的速度，本发明提高了系统的鲁棒性和准确性，具有计算复杂度低，检出率高和误检率低的特点。