公开(公告)号：CN101795215B

公开(公告)日：2012-02-01

申请号：CN201010101883.7

申请日：2010-01-28

Applicant: 哈尔滨工程大学

Inventor： 杨武 ,  王巍 ,  苘大鹏 ,  何晓冰 ,  玄世昌 ,  王晴

IPC: H04L12/26 ,  H04L12/56

Abstract: 本发明是一种网络流量异常检测方法及检测装置。包括数据选取单元，用于选取待检测的网络指标数据，建立属性记录；分布分析单元，考察网络中各个主机发起连接和被连接中的所述属性记录的各个属性的分布状况；观测信息熵获得单元，用于当时间间隔到达设定的时间阈值时，根据所述属性分布状况获得观测信息熵；预测单元，根据所述观测信息熵预测下一个时间间隔的网络指标数据的信息熵；置信区间获得单元，根据所述观测信息熵和所述预测信息熵获得异常判决所需置信区间；异常判决单元，分析所述观测信息熵在所述置信区间的分布，根据分析结果确定网络流量是否异常。解决了现有技术用于网络流量异常检测时可操作性不强、灵活性较差的问题。

公开(公告)号：CN101795215A

公开(公告)日：2010-08-04

申请号：CN201010101883.7

申请日：2010-01-28

Applicant: 哈尔滨工程大学

Inventor： 杨武 ,  王巍 ,  苘大鹏 ,  何晓冰 ,  玄世昌 ,  王晴

IPC: H04L12/26 ,  H04L12/56

Abstract: 本发明是一种网络流量异常检测方法及检测装置。包括数据选取单元，用于选取待检测的网络指标数据，建立属性记录；分布分析单元，考察网络中各个主机发起连接和被连接中的所述属性记录的各个属性的分布状况；观测信息熵获得单元，用于当时间间隔到达设定的时间阈值时，根据所述属性分布状况获得观测信息熵；预测单元，根据所述观测信息熵预测下一个时间间隔的网络指标数据的信息熵；置信区间获得单元，根据所述观测信息熵和所述预测信息熵获得异常判决所需置信区间；异常判决单元，分析所述观测信息熵在所述置信区间的分布，根据分析结果确定网络流量是否异常。解决了现有技术用于网络流量异常检测时可操作性不强、灵活性较差的问题。