基于时间序列的网络行为异常检测

０引言随着互联网的飞速发展，网络安全问题日益突出。基于特征库的入侵检测系统，对于已知攻击类型产生的异常网络流量具有较好的检测效果，对于攻击特征超出特征库范围或是未知攻击防范效果有限。因此，基于异常的检测技术成为学术界和产业界研究的热点。对于基于时间序列的网络异常检测，利用时间序列模型预测网络流量，为网络流量行为分析提供了借鉴和参考。利用改进的Holt-Winters算法进行网络流量异常检测，取得了一定的效果。但是其仅对网络整体流量进行检测，提取的特征有限，无法较为全面地检测网络业务的变化。提出了一种基于多维时间序列的检测方法，利用多维特征对网络流量进行描述和异常检测，对基于TCP协议的流量检测取得了较好的效果。但是其仅提取TCP总的上下行流量、通信IP数、连接数等特征，无法准确检测单用户的行为异常。本文首先分析了用户行为特征，提取多个网络特征信息并建模，根据历史行为预测置信区间，然后利用置信区间对用户实际行为进行检测，结果表明该方法能够有效地检测用户的违规操作及网络攻击行为。1用户行为特征分析及提取指出通常采用属性向量对网络用户行为进行表示。例如，有n个属性的某种用户行为可表示为：<属性1,属性2,<span="">…,属性n>。通过对某公司内部用户的实际流量统计分析，单用户具有访问业务有限、流量相对稳定的特点。如果用户访问不常用的业务，可能是网络违规行为；用户访问常用业务流量异常，可能是攻击行为。本文对实测到的用户流量属性进行筛选后，采用向量：<用户ip,业务目的ip,协议,端口号,上行流量,下行流量,上行数据包数,下行数据包数>描述单用户行为。其中，用户IP是用户网络地址，业务目的IP是用户访问的服务器或主机的网络地址，协议和端口号描述具体应用，其余的属性表示时间窗口t内上下行流量及上下行数据包数量的统计值。

2时间序列分析2.1季节ARIMA模型原理ARMA模型用于平稳的时间序列，是AR模型和MA模型的结合。令{Yt}表示观测到的时间序列，令{et}代表白噪声序列。如果满足：则称{Yt}为自回归滑动平均混合过程，AR和MA的阶数分别为p和q，记为ARMA(p,q)。如果一个时间序列{Yt}的d次差分是一个平稳的ARMA过程，则称{Yt}为自回归滑动平均求和模型。如果Wt服从ARMA(p,q)模型，称{Yt}是ARIMA(p,d,q)过程。定义季节周期为s的P阶季节AR(P)模型如下：定义季节周期为s的Q阶季节MA(Q)模型如下：定义季节周期为s的乘法季节ARMA(p,q)×(P,Q)s模型是AR特征多项式为、MA特征多项式为的模型，其中如果差分序列满足季节周期为s的ARMA(p,q)×(P,Q)s模型，{Yt}称为季节周期为s的ARIMA(p,d,q)×(P,D,Q)s模型。2.2异常检测残差是实际值和预测值间的偏差。根据文献[6]的置信区间来设定残差的阈值用于异常检测，具体异常检测方式如下：（1）对于某一流量特征构成的时间序列{Yt}，如果流量特征历史不为0，首先确定ARIMA模型参数，然后利用历史数据{Yt-1,Yt-2,…,Yt-p}来预测未来的流量特征值yt；如果流量特征历史为0，一旦产生了该类型流量，则认为是异常，跳过后续步骤。（2）根据实际值和预测值计算残差序列{}，设Yt为t时刻的实际值，yt是t时刻的预测值，令

(7)（3）计算残差序列的均和标准差。（4）计算残差的置信区间：其中表示对残差上界的容忍程度，表示对残差下界的容忍程度。如果残差在置信区间外，则说明出现异常值，更新该处残差为置信区间边界值。3实验结果分析

3.1实验数据为验证本文算法的有效性，对公司内部某用户的流量进行采集，发现该用户的业务集中在访问公司HTTP服务器，对其他业务没有访问流量。图1至图4分别是对该用户连续4周在周一到周五每天9点到17点共160小时，采样间隔为1小时访问HTTP服务的流量特征信息统计。图1HTTP服务下行流量信息图2HTTP服务上行流量信息图3HTTP服务下行数据包信息图4HTTP服务上行数据包信息可以看出，用户访问HTTP服务的网络流量具有周期性，采用季节模型进行拟合。3.2参数确定对采样数据进行1阶8步差分后，发现序列具有平稳性。根据扩展自相关函数对模型定阶，用户的上下行流量、上下行数据包个数均采用ARIMA(0,1,9)×(0,1,0)8模型拟合。模型参数采用极大似然估计，得到参数值如表1所示。表1

参数估计特征参数下行流量上行流量下行包数上行包数Ma1-0.3501-0.5521-0.3077-0.5603Ma2-0.1830-0.0483-0.1863-0.0450Ma3-0.02240.0746-0.0275-0.0914Ma40.0419-0.02050.0254-0.0015Ma50.0155-0.03980.00540.0423Ma60.02100.08820.0330-0.0166Ma7-0.09090.0029-0.0917-0.0109Ma8-0.8798-1.0194-0.8721-0.9368Ma90.44790.51430.42140.62033.3检测结果及分析根据2.2节的异常检测方法，预测未来8小时的用户流量特征信息分别如表2所示。表2

预测值

特征时间下行流量(MB)上行流量(MB)下行包数(个)上行包数(个)1784.41183812260621587.82441254539731437.0224302441394493.273342198345864.61362622736361597.82484084725571667.8258697514028834.413217729278按照式(7)求出残差序列，令式(8)的和均为3。在用户PC机上执行违规操作和网络攻击，异常类型和实验结果如表3所示。表3

异常类型和检测结果异常类型置信区间实际值违规访问ftp服务所有特征均为0特征不为0大文件违规下载122MB≤下行流量≤193MB下行流量：647MBSynflood攻击30581≤上行包数≤574405.1MB≤上行流量≤8.9MB上行包数:760258上行流量:45MBUdpflood攻击所有特征均为0特征不为0暴力破解6277≤上行包数≤3313615666≤下行包数≤129280上行包数:4327155下行包数:4335247从表3可以看出，用户的违规操作和网络攻击行为会造成一个或多个特征值异常。4结语通过对真实用户网络流量进行观测，构造描述单用户行为的特征向量，通过对历史流量进行