基于流量特征建模的网络异常行为检测技术
网络防护中的网络流量监测与分析方法(二)
网络防护中的网络流量监测与分析方法随着互联网的快速发展,网络安全问题日益凸显。
网络攻击、黑客入侵等威胁时有发生,给个人和企业的信息资产造成了严重的威胁。
为了保障网络的安全,网络流量监测与分析成为了不可或缺的一环。
网络流量监测是指对网络中传输的数据进行实时监控和分析的过程。
通过对网络流量的监测,可以及时发现异常的网络流量行为,进而采取相应的措施保护网络安全。
下面将介绍几种常见的网络流量监测与分析方法。
一、基于状态的流量监测与分析方法基于状态的流量监测与分析方法是通过对网络流量的状态进行实时监测和分析来判断网络的安全状况。
主要包括以下几个方面:1.流量的统计分析:通过对网络流量的统计分析,可以获得网络的整体流量情况,识别出异常的流量行为。
2.异常流量检测:通过对网络流量的变化趋势进行监测和分析,可以发现异常的流量行为。
比如,当数据包的数量超过了正常范围,或者某个端口的流量明显增加,就可能存在网络攻击或黑客入侵。
3.流量的实时监测:通过实时监测网络流量的状态变化,可以及时发现并阻止恶意流量,保护网络安全。
二、基于行为的流量监测与分析方法基于行为的流量监测与分析方法是通过对网络流量的行为特征进行监测和分析来判断网络的安全状况。
它主要包括以下几个方面:1.基于模式识别的流量分析:通过对网络流量数据的特征进行模式识别,可以发现不同类型的流量行为。
比如,通过检测网络中大量的异常请求,可以判断是否存在DDoS攻击。
2.基于机器学习的流量分类:通过训练机器学习模型,可以对网络流量进行分类,识别出正常流量和恶意流量。
通过对网络流量的分类,可以及时发现并阻止攻击行为。
3.行为分析与异常检测:通过对网络流量的行为进行分析,可以发现一些异常的行为。
比如,当某个用户的网络流量突然增加,或者某个应用的流量与正常情况不符,就可能存在异常行为,需要进一步分析和处理。
三、基于流量日志的分析方法基于流量日志的分析方法是通过对网络中传输的数据进行分析,发现网络攻击和异常行为。
网络防护中的数据包和报文检测方法(九)
网络防护中的数据包和报文检测方法一、引言在当今信息时代,网络安全问题愈发重要。
为了保护网络资源和用户隐私,数据包和报文的检测方法成为了网络防护的关键。
本文将探讨数据包和报文检测的方法,以提高网络防护的效果。
二、数据包的检测方法数据包是网络传输中的基本单位,它包含了网络通信的各种信息。
为了保护网络安全,必须对数据包进行有效的检测。
以下为几种常见的数据包检测方法:1. 签名检测:签名检测是通过比对数据包的特征与已知的攻击策略相匹配来判断是否受到攻击。
这种方法基于已知的攻击样本,并通过对比数据包内容来判断其是否属于攻击类型。
签名检测方法可高效地检测已知攻击,但对于未知攻击则束手无策。
2. 行为分析检测:行为分析检测是通过对数据包的流量和行为进行分析,侦测网络中的异常行为。
这种方法通过建立基线行为模型,检测是否存在异常流量或异常行为。
例如,异常大量的出站流量可能代表有恶意软件存在。
行为分析检测方法可以辅助发现未知的攻击,但也容易产生误报。
3. 机器学习检测:机器学习是一种广泛应用于数据包检测的方法。
通过对已有的数据包进行训练,机器学习算法可以发现数据包中的规律和异常。
例如,支持向量机(SVM)和随机森林(Random Forest)等算法在数据包检测中被广泛使用。
机器学习检测方法可以根据数据包特征自动进行分类,但需要足够多的训练数据。
三、报文的检测方法报文是在网络中传输的具有特定格式的数据单元。
有效的报文检测方法可以及时发现和拦截网络攻击。
以下为几种常见的报文检测方法:1. 协议分析:报文通常遵循特定的协议格式,协议分析检测方法通过解析报文的协议头部和载荷来判断是否存在异常或恶意行为。
例如,检测重放攻击、SQL注入等。
协议分析检测可以准确判断协议违规行为,但对于加密的报文无法解析。
2. 异常检测:异常检测通过统计和建模网络流量的特征,检测出与正常行为有明显偏差的报文。
这种方法可以发现未知攻击或异常行为,但也容易出现误报。
基于深度学习的网络流量异常检测研究
基于深度学习的网络流量异常检测研究近年来,随着互联网的迅速发展和人们对网络安全的重视,网络流量异常检测成为了一个备受关注的领域。
深度学习作为一种强大的机器学习技术,已经在各个领域展现出了惊人的潜力。
在网络流量异常检测中,基于深度学习的方法也逐渐受到了研究者的关注。
首先,我们需要了解什么是网络流量异常检测。
在互联网上,每时每刻都有大量的数据在各个网络节点之间传输,这些数据被封装成为网络流量。
然而,在这些庞大的网络流量中,可能存在异常的数据包,如攻击或病毒传播。
网络流量异常检测就是要通过对网络流量的分析和处理,发现其中的异常数据包,并及时采取措施防止威胁的发生。
然而,传统的网络流量异常检测方法往往需要依赖于复杂的特征工程和手动设计的规则集。
这种方法在实际应用中存在一定的局限性,不适应网络环境的动态变化。
而基于深度学习的方法则可以通过学习大量的网络流量数据,自动地学习和提取特征,从而实现更加准确和灵活的异常检测。
深度学习可以利用神经网络的层次化结构和分布式表达能力来对网络流量数据进行建模和学习。
其中,卷积神经网络(CNN)和循环神经网络(RNN)是两种最常见的深度学习模型。
CNN通过卷积操作可以提取局部特征,并且具有平移不变性,适合用于处理网络流量中的空间关系。
而RNN则可以捕捉到网络流量数据的时间依赖性,适用于序列数据的建模和学习。
在基于深度学习的网络流量异常检测中,常用的方法包括有监督学习和无监督学习。
有监督学习是指利用带有标签的数据进行训练,通过监督的方式来学习和预测网络流量的正常与异常。
而无监督学习则是不依赖于标签数据,通过学习网络流量数据的分布和特征来判断异常。
这两种方法各有优劣,研究者可以根据具体的场景和需求来选择适合的方法。
当前,基于深度学习的网络流量异常检测已经取得了一些令人鼓舞的研究成果。
例如,研究人员提出了一种基于CNN和RNN相结合的网络流量异常检测方法,通过同时考虑网络流量的空间和时间特征来提高检测的准确性。
异常行为识别与分析技术研究
异常行为识别与分析技术研究摘要:异常行为识别与分析技术是一种重要的研究领域,它在各个领域中都具有广泛的应用。
本文将对异常行为识别与分析技术的研究进行探讨,介绍其在网络安全、金融欺诈检测、医学诊断等领域中的应用,并对其未来发展进行展望。
1. 异常行为识别与分析技术概述异常行为是指在某个系统或者过程中不符合正常模式或者正常规律的行为。
异常行为可能是由于系统故障、攻击、欺诈等原因引起的。
因此,对于异常行为的准确检测和及时响应具有重要意义。
异常行为识别与分析技术是一种通过对系统或者过程中产生的数据进行分析和建模来检测和预测异常行为的方法。
2. 异常行为识别与分析技术在网络安全中的应用随着互联网和信息通信技术的发展,网络安全问题日益突出。
传统基于规则或者特征匹配方法已经无法满足复杂网络环境下的安全需求。
异常行为识别与分析技术可以通过分析网络流量、用户行为等数据来检测网络攻击、入侵等异常行为。
通过对异常行为的识别和分析,可以及时采取相应的安全措施,保护网络安全。
3. 异常行为识别与分析技术在金融欺诈检测中的应用金融欺诈是指在金融交易中以非法手段获取利益的行为。
传统的欺诈检测方法主要依靠人工经验和规则,效果有限。
而异常行为识别与分析技术可以通过对金融交易数据进行建模和分析,检测出潜在的欺诈行为。
通过对异常交易模式和规律进行建模,可以提高欺诈检测的准确性和效率。
4. 异常行为识别与分析技术在医学诊断中的应用医学领域是一个复杂而庞大的系统,其中存在着各种各样复杂多样化、时有变化、不确定性很大等特点。
传统医学诊断主要依靠医生经验和规则来判断疾病类型和治疗方案。
而异常行为识别与分析技术可以通过对医学数据进行分析和建模,识别出潜在的异常病例和异常行为。
通过对异常病例的分析,可以提高医学诊断的准确性和效率。
5. 异常行为识别与分析技术的发展趋势随着大数据、人工智能等技术的发展,异常行为识别与分析技术也在不断进步。
未来,随着数据规模和复杂性的增加,异常行为识别与分析技术将面临更大的挑战。
基于深度学习的网络入侵检测方法研究
基于深度学习的网络入侵检测方法研究网络入侵是指攻击者利用网络空间漏洞,从而获取敏感信息、破坏系统或者窃取资源。
随着网络技术的不断发展,网络入侵已经成为一种常见的安全威胁。
传统的入侵检测方法主要基于规则匹配、特征识别等技术,具有一定的局限性。
而基于深度学习的网络入侵检测方法则可以通过学习网络流量数据的特征,实现更加精确和高效的入侵检测,本文将介绍基于深度学习的网络入侵检测方法的原理、关键技术、应用现状以及未来发展前景。
一、基于深度学习的网络入侵检测方法的原理基于深度学习的网络入侵检测方法基于神经网络进行建模,通过学习网络流量数据的特征,实现了对异常流量的检测。
具体来说,该方法分为两个阶段:模型训练和入侵检测。
首先是模型训练阶段。
在这个阶段中,首先需要构建深度神经网络的模型架构,然后使用标记的数据集对模型进行训练。
其中标记的数据集是指标注了正常流量和异常流量的网络数据集。
模型通过学习这些标记的数据集,提取并学习数据的特征,建立了一个能够准确反映数据特征的模型。
这个模型训练好以后,就可以用于后续的入侵检测。
其次是入侵检测阶段。
在这个阶段中,该方法将网络流量数据送入已经训练好的深度神经网络模型中,从而得到一个预测结果。
如果模型预测结果表明当前的网络流量数据是异常流量,则会触发警报或者防御措施,从而保护网络安全。
二、基于深度学习的网络入侵检测方法的关键技术基于深度学习的网络入侵检测方法的关键技术主要包括数据预处理,模型的选择和训练,以及模型的评估和调整。
1. 数据预处理在进行深度学习网络入侵检测之前,需要进行数据预处理。
数据预处理可以通过一系列技术来清洗数据、去除噪声和预处理特征。
这可以减少模型的复杂度,提高训练效果。
数据预处理方法主要包括数据标准化、数据降维以及特征工程。
2. 模型的选择和训练选择合适的深度神经网络模型是关键的。
目前,常用的网络模型包括卷积神经网络、循环神经网络和深度信念网络等。
在选择模型之后,需要使用数据集对模型进行训练,并优化模型参数。
如何使用网络流量分析技术识别网络恶意软件(四)
网络恶意软件是指在互联网上传播、植入计算机系统、危害计算机系统安全的一类恶意软件。
随着网络的快速发展,网络恶意软件的数量和种类也愈发猖獗和复杂,给广大用户的信息安全带来了巨大威胁。
为了及时发现和识别网络恶意软件,网络流量分析技术成为了一种重要的手段。
网络流量分析技术是指通过分析网络统计数据,监测和识别网络中流动的数据流。
利用网络流量分析技术可以追踪、监控、分析和识别各种网络行为和数据的特征。
在网络恶意软件识别中,网络流量分析技术发挥了重要作用。
首先,网络流量分析技术可以通过检测异常流量来识别网络恶意软件。
网络恶意软件通常会与异常流量相伴而生,例如大量的传出和传入数据流、频繁而又瞬时的数据传输,以及突然增加的网络通信。
通过对网络流量进行实时监测和分析,可以及时发现这些异常流量,并进一步对其进行深入分析,从而识别出可能存在的网络恶意软件。
其次,网络流量分析技术可以通过检测特定网络行为来识别网络恶意软件。
网络恶意软件通常会向外部发起指定端口的连接请求、向指定域名发送特定类型的数据包等。
通过对网络流量进行深入分析,可以发现这些特定的网络行为,并将其与已知的网络恶意软件特征进行比对,从而确定是否存在网络恶意软件。
另外,网络流量分析技术还可以通过分析网络传输内容来识别网络恶意软件。
网络恶意软件的传输内容通常具备特定的模式和特征,例如包含特定的关键字、特定的数据包格式等。
通过对网络流量进行内容分析,可以发现其中的模式和特征,并将其与已知的网络恶意软件进行比对,从而判断是否存在网络恶意软件。
此外,网络流量分析技术还可以通过行为分析来识别网络恶意软件。
网络恶意软件通常表现出特定的行为模式,例如扫描其他主机、进行横向移动、利用漏洞进行攻击等。
通过对网络流量进行行为分析,可以发现这些特定的行为模式,并将其与已知的网络恶意软件进行比对,从而判断是否存在网络恶意软件。
最后,网络流量分析技术还可以与机器学习技术相结合,通过建立网络恶意软件的特征库和模型来识别网络恶意软件。
基于机器学习的行为识别与异常检测模型
基于机器学习的行为识别与异常检测模型行为识别与异常检测模型是一种基于机器学习的关键技术,它可以通过对用户行为数据进行分析和建模,检测出异常操作、作弊行为或非正常操作。
这种模型被广泛应用于许多领域,如网络安全、金融风险管理、电子商务和智能家居等领域。
在行为识别与异常检测模型中,机器学习算法被用来学习用户的正常行为模式,并根据学习到的模式进行异常检测。
首先,需要收集大量的用户行为数据,例如用户的点击、购买、浏览历史等信息。
然后,通过特征工程将数据转换为可供机器学习算法处理的形式。
常用的特征包括时间、频率、持续时间等。
接下来,选择适合的机器学习算法进行训练和建模。
常用的算法包括支持向量机、决策树、随机森林和深度学习模型等。
最后,使用训练好的模型对新的用户行为数据进行预测和分类,判断其是否为正常行为或异常行为。
行为识别与异常检测模型的应用很广泛。
在网络安全领域,可以通过分析网络数据流量识别和预测网络攻击行为,保护计算机和网络安全。
金融风险管理也是一个非常重要的领域,通过对用户的交易数据进行建模和分析,可以及时探测到欺诈行为,减少金融风险。
在电子商务领域,行为识别与异常检测模型可以帮助电商平台发现用户的购买偏好和消费习惯,为用户提供个性化的推荐服务。
此外,在智能家居领域,通过对家庭成员的行为数据进行分析,可以识别出异常事件,如家庭安全问题或老年人健康问题。
为了提高行为识别与异常检测模型的性能,还可以考虑一些高级的技术。
例如,集成学习可以结合多个不同的模型,从而提高模型的准确性和鲁棒性。
特征选择技术可以排除冗余和无关的特征,减少特征空间的维度,提高模型的效率和可解释性。
此外,增量学习技术可以在不重新训练整个模型的情况下,对新的用户行为数据进行更新和迭代,适应不断变化的环境。
然而,行为识别与异常检测模型也存在一些挑战和限制。
首先,数据的质量和完整性对模型的性能至关重要。
如果数据质量较差或缺乏足够的特征信息,模型的性能可能会下降。
基于Transformer的网络异常检测系统
基于Transformer的网络异常检测系统Transformer是一种近年来在自然语言处理领域取得巨大成功的神经网络架构,但其在其他领域的应用也逐渐得到了广泛的关注和探索。
本文将探讨基于Transformer的网络异常检测系统,介绍其原理、设计思路和实际应用情况。
一、背景介绍网络异常检测是网络安全领域中非常重要的一环,通过监控网络流量和行为,及时发现和应对网络中的异常情况,以保障网络的安全稳定运行。
传统的网络异常检测系统往往基于规则或者统计方法,但这些方法在面对复杂多变的网络环境时表现并不理想,因此需求一种更加先进且适应性更强的网络异常检测技术。
二、Transformer在网络异常检测中的应用Transformer是由Google提出的一种强大的神经网络架构,其独特的自注意力机制使其在处理序列数据时表现出色。
在网络异常检测中,我们可以利用Transformer对网络流量数据进行建模和分析,发现其中的异常模式和规律。
通过将网络流量数据输入Transformer模型进行训练,我们可以让模型学习正常的网络流量特征,从而能够检测出与正常情况不同的异常数据。
三、基于Transformer的网络异常检测系统设计基于Transformer的网络异常检测系统主要包括数据预处理、Transformer模型构建、异常检测和反馈等步骤。
首先,我们需要对网络流量数据进行预处理,将其转换为适合Transformer模型输入的格式。
然后,我们设计一个多层Transformer模型,通过多个Encoder层和Decoder层对输入数据进行编码和解码,从而提取出网络流量数据中的特征信息。
接着,我们通过构建一个异常检测器,利用Transformer提取的特征信息进行异常检测,当检测到异常情况时可以及时发送警报或采取相应的防御措施。
最后,我们可以通过对异常检测结果的反馈,不断改进和优化系统性能,提高网络异常检测的准确率和可靠性。
异常行为识别技术指南
异常行为识别技术指南异常行为识别(Anomaly Detection)是指通过分析和建模系统或过程的正常行为模式,从而发现并识别出与正常行为不符的异常行为的技术和方法。
异常行为可能是由系统故障、黑客攻击、病毒感染等因素引起的。
异常行为识别技术在信息安全、网络监控、金融风控等领域具有广泛的应用。
首先是数据采集。
数据采集是异常行为识别的第一步,其目的是收集系统或过程的相关数据以供分析。
数据的质量和完整性对于异常行为识别的准确性至关重要。
数据采集可以通过传感器、网络流量监测设备、日志文件等方式进行。
接下来是特征提取。
特征提取是将原始数据转化为可供分析和建模的特征的过程。
选择合适的特征对于异常行为识别的准确性和效果至关重要。
常用的特征提取方法包括统计特征提取、频域特征提取、时域特征提取等。
然后是模型训练。
模型训练是利用历史数据对系统或过程的正常行为模式进行建模的过程。
建模方法可以选择监督学习、无监督学习或半监督学习等。
常用的模型包括贝叶斯网络、支持向量机、神经网络等。
在模型训练过程中,通常需要进行特征选择、样本平衡、参数优化等步骤。
最后是异常行为识别。
在建立了模型之后,就可以利用模型对新的数据进行分类,并识别出其中的异常行为。
异常行为识别常用的方法包括基于阈值的方法、基于统计的方法、基于聚类的方法等。
根据不同领域和应用需求,可以选择适合的方法进行异常行为识别。
除了基本流程之外,还有一些常用的增强技术和方法可以提高异常行为识别的准确性和效果。
例如,可以引入时间序列分析方法来对时序数据进行建模和分析;可以使用集成学习方法来融合多个模型的结果;可以利用深度学习方法来挖掘数据中的深层次特征等。
在实际应用中,异常行为识别技术面临一些挑战和难点。
例如,正常行为模式的建模和维护需要持续的数据采集和更新;异常行为定义和判断没有统一的标准,需要根据具体场景进行定义和优化;大规模数据的处理和计算需要高效的算法和工具等。
总之,异常行为识别技术在信息安全、网络监控、金融风控等领域具有重要的应用价值。
异常检测技术掌握异常检测算法在不同领域的应用
异常检测技术掌握异常检测算法在不同领域的应用异常检测技术是一种在大数据分析中广泛使用的方法,它能够有效地识别和捕捉数据中的异常点或异常模式。
随着数据量的不断增长和复杂性的增加,异常检测技术在许多领域中发挥着重要的作用。
本文将介绍异常检测技术的基本原理以及在不同领域中的应用。
一、异常检测技术的基本原理异常检测技术主要通过对数据进行分析和建模,来识别和捕捉数据集中的异常点。
常用的异常检测算法包括基于统计的方法、基于聚类的方法、基于分类的方法和基于神经网络的方法等。
基于统计的方法是最常见的异常检测算法之一。
它通过计算数据的统计特征,如均值、标准差等,来判断数据是否异常。
常用的统计方法包括Z-Score方法和箱线图方法。
基于聚类的方法是另一种常用的异常检测算法。
它将数据点组织成不同的群集,并通过计算数据点与聚类中心的距离来确定异常点。
其中,DBSCAN聚类算法和K-Means聚类算法是常用的方法。
基于分类的方法是一种有监督的异常检测算法。
它通过训练一个分类器,来区分正常数据和异常数据。
常用的分类方法包括支持向量机(SVM)和随机森林。
基于神经网络的方法是一种较新兴的异常检测算法。
它利用神经网络的强大学习能力,通过对数据进行训练,来捕捉和识别异常模式。
二、异常检测技术在不同领域的应用1. 金融领域在金融领域,异常检测技术被广泛应用于欺诈检测和异常交易监测等场景。
通过对大量的交易数据进行分析,异常检测技术能够及时发现异常交易行为,减少金融风险。
2. 网络安全领域在网络安全领域,异常检测技术可以帮助识别网络攻击和异常行为。
通过对网络流量、登录行为等数据进行监测和分析,异常检测技术能够及时发现潜在的安全威胁,并采取相应的防御措施。
3. 工业制造领域在工业制造领域,异常检测技术被广泛应用于故障检测和质量控制。
通过对工业设备的传感器数据进行实时监测和异常检测,可以及时发现设备故障和生产异常,从而提高生产效率和产品质量。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第8卷第4期2019年7月Vol. 8 No. 4Jul. 2019网络新媒体技术基于流量特征建模的网络异常行为检测技术**本文于2018 -05 -09收到。
*中科院率先行动计划项目:端到端关键技术研究与系统研发(编号:SXJH201609)。
黄河▽邓浩江3陈君IC 中国科学院声学研究所国家网络新媒体工程技术研究中心北京100190 2中国科学院大学北京100190)摘要:基于流量特征建模的网络异常行为检测技术通过对网络流量进行特征匹配与模式识别,进而检测岀潜在的、恶意入侵 的网络流量,是网络异常行为检测的有效手段。
根据检测数据来源的不同,传统检测方法可以分为基于传输层信息、载荷信 息、主机行为特征等三类,而近年来兴起的深度学习方法已经开始应用于这三类数据,并可以综合应用三类数据,本文从技术 原理与特点、实验方式、取得的成果等方面对上述技术路线进行了综述,并分析了存在的主要问题和发展趋势。
关键词:网络异常行为,异常检测,模式识别,流量特征建模,深度学习Network Abnormal Behavior Detection TechnologiesBased on Traffic - feature ModelingHUANG He 1'2, DENG Haojiang 1'2, CHEN Jun 1(1 National Network New Media Engineering Research Center, Institute of Acoustics , Beijing, 100190, China ,2University of Chinese Academy of Science , Beijing, 100190, China)Abstract : The network abnormal behavior detection technology based on traffic - feature modeling can detect potential and malicious intrusion of network traffic by feature matching and pattern recognition of network traffic , and is an effective measure of network abnor - mal behavior detection. According to the different sources of detection data , traditional detection methods can be classified into three categories based on transport layer information , on load information , and on host behavior characteristics. In recent years , the deep learning method that has emerged has begun to be applied to these three types of data , and can be comprehensively applied. This paper summarizes the above technical routes in terms of technical principles and characteristics , experimental methods , and achievements , and analyzes the major problems and development trends..Keywords : Network abnormal behavior, Anomaly detection , Pattern recognition , Traffic - feature modeling, Deep learning 0引言“互联网是第一种由人类建造,但不为人类所理解之物,它是有史以来我们对无序状态最疯狂的实 验。
”⑴Google 公司前首席执行官Eric Schmidt 在2010年的这段公开谈话直观揭示了因特网的混沌性与复 杂性,其背后的逻辑在于因特网用户行为的多元化。
时至2018年,全球因特网的接入用户数量与数据总量 和2010年相比已经不可同日而语⑵,网络安全牵涉到信息社会中公共安全和个人隐私、财产的方方面面,网 络安全问题正成为学术研究和工程应用中亟待解决的难题。
本文涉及的是基于流量特征建模的网络异常 行为检测技术,这是网络安全技术的一个分支,它的核心思想是通过对网络流量进行特征匹配与模式识别,12网络新媒体技术2019 年进而检测出潜在的恶意入侵的网络流量。
Chandola 等人[3]在2009年将该类技术面临的挑战总结为以下 几个方面:①对入侵者的检测准确率往往不能适配应用的需求,这是因为一方面入侵者往往将自己伪装为 正常访问的用户,另一方面数据中所包含的噪音和异常入侵数据有一定相似性,这都影响了检测准确率的 提升;②在许多应用领域中,网络正常行为的定义不断变换,当前正常行为概念在接下来的时间段可能不再 具有典型性,需要提升检测技术对网络行为变化的快速适应能力;③定义一个涵盖所有可能的正常行为的 定义域是非常困难的;④对于不同的应用领域,异常的确切概念是不同的,需要根据具体领域设计功能细化 的异常检测器。
总而言之,以上4点可以依次归纳为异常检测的准确性、实时性、自适应性、兼容性等4个方 面,其中前两点是当前检测技术的研究重点。
Buczak 等人于2016年总结的一份近年来基于机器学习和数 据挖掘的入侵检测方法报告⑷指出,其详细列表比较的43项工作中,有39项重点在于检测准确性提升,14 项重点在于检测实时性提升,两点都涉及的有10项,两者都不涉及的为0项;而自适应性和兼容性在该报告 中没有体现。
在学术研究中,“准确性”的提高可以通过选择特定模型、特征工程、增加迭代深度来实现,但这些工作 会使得模型复杂度提升,反过来抑制了“实时性”的提高,两者相互制约,是该问题的技术瓶颈之一。
自80 年代以来,世界各地的研究者从传输层到应用层各种各样的数据入手,采用的工具从专家系统到深度学习, 逐渐提高了该类检测技术的各项性能。
近年来深度学习算法等自学习工具的应用,保障了准确性、实时性 的同时,也使得自适应性和兼容性得到了较大的改善。
1传统的网络异常检测方法对流量特征进行建模,研究的对象即为流量数据本身,需要根据合适的目标数据选用具体检测方法。
从目标数据的角度出发,国内外的传统研究可按提出的时间和性能的提升顺序,分为基于传输层数据、基于流量载 荷和基于主机行为信息3种循序渐进的方式。
1.1 基于传输层IP 、端口映射基于传输层IP 、端口映射检测方法将根据网包传输层的端口号映射到应用层协议类型⑸,也能把具体IP 与具体的服务提供者/攻击者相联系,它是最早被提出并投入应 用的检测方法。
最简洁的实现方式便是建立有关IP 信息和入侵可能性的映射的专家系统。
这一方法的首次实现在1988年, Lunt 等人[6]在此思想指导下,结合网络实时审计记录设计了实时的异常检测专家系统,这种使用预定义规则的方法能够实现实时检测以及精细到用户级别的调参,如图1所示。
系统会同步监听并保存每个用户的行为记录并定期更新,以此决定该用户的行为是否异常。
然而基于规则的专家系统的3个缺点:①规则之间层次关系不透明;②面 对大量规则时的低效搜索;③没有学习能力,制约了该方法的进一步发展,具体体现在当异常规则和用户数目过多 时,基于规则的专家系统面临的计算复杂度使得其难以应用。
为了对IP 信息的先验知识进行层次化梳理,Kumar 等 人[7]采用了 Petri 图进行表征学习,该结构不但能在一定程度上具有对未知流量的检测作用,也有利于设计异步的、多点并发的高性能检测系统,但其面对复杂特征异常行为检测监听得到原始数据解析出数据收器用户更新管理者界面二)异常行为记录-1 -监听记录用户记录显示器图1 Lunt的异常检测专家系统4期黄河等:基于流量特征建模的网络异常行为检测技术13的计算复杂度较高。
随着启发式算法在80年代的研究热潮,也被用到该类检测算法中。
Sinclair:8]采用遗传算法与决策树结合的方法,可从较为复杂的IP与端口数据集中学习出用于异常流量诊断的决策树。
Li的相关工作⑼只采用了遗传算法,但加入了网络日志中包含的流量时间特征,提高了检测能力。
然而这些方法的实验均集中在有限的实验室自身流量数据集上,在实时场景中的大多表现未予阐述。
采用基于传输层IP和端口映射的检测方法最大的优点是分类的快速,只需要根据网包包头的字段进行分类。
但随着网络应用的增加,基于Web的应用越来越丰富,企业和运营商也有将社会网络、网页邮件等基于Web的应用进行细粒度分类的需求,这都是基于传输层的方法无法满足的,也会给检测带来极高的时间复杂度。
根据Moore和Papagiannaki[10]在2005年的调查与对比实验,基于传输层IP和端口映射的方法只能达到不超过80%的准确率,长达十年,难以突破,网络异常检测需要引入对IP端口信息以外的非普适性的网络数据的分析才能进一步得到提高。
基于传输层IP 和端口映射检测方法准确率如表1所示。
表1基于传输层IP和端口映射的检测文献方法意义Lunt⑹基于规则的专家系统开创之作Kumar[7]Petri图引入了状态图方法,提升了自适应性Sinclair,厂遗传算法与决策树73%准确率,KDD口⑼遗传算法78%准确率,KDDMoore字符串匹配80.84%准确率,真实数据集1.2基于流量载荷信息随着网络用户在2000年之后的大幅增长,网络应用百花齐放,网络流量载荷中含有的信息也越来越丰富,一定程度上能够代表用户的行为特征,基于载荷信息的检测方法也应运而生。
基于流量载荷信息的分类方法将流量的载荷与预定义的一组特征规则匹配,每条特征规则代表一种应用层协议。
特征规则通常采用精确字符串、正则表达式以及协议解析器描述,通过流量匹配的特征规则可以判断流量的应用,并据此进行流量甄别I例如,匹配正则表达式规则“"ssh-[12]\.[0-9]”的是安全通道(secure shell,SSH)协议。
与特征已经预定义好的基于传输层IP和端口映射方法不同,基于载荷信息的网络异常行为检测可以解耦为应用特征提取和基于特征的流量甄别两个问题。