针对网络异常流量检测中大数据小异常造成的难题,提出了一种新的基于残差分析的网络异常流量检测方法。从多个角度提取网络流量的特征属性,以准确刻画正常行为和异常行为之间的差异性。利用提取的特征属性构建属性矩阵,采用流之间的相似性构建邻接矩阵。使用属性矩阵和邻接矩阵构建网络异常检测模型,采用CUR矩阵分解方法重构属性矩阵得到主模式,对属性矩阵和重构的属性矩阵进行残差计算进而获得残差矩阵。对残差矩阵中的每一个流计算其残差,根据每个流的残差和预设阈值进行异常判定。采集了西安交通大学校园网流量数据进行实验,实验结果表明:所提方法在不需要任何先验知识的情况下能够使异常检测率达到90%以上;与其他异常检测方法相比,所提方法不仅具有较高的检测率,而且能够实现异常源定位。

• 单位
  西安空间无线电技术研究所; 西安交通大学