浅析面向网络空间安全的流量异常检测技术

田 鹤，王彦超，孟宪伟，费如纯，高 艳

(辽宁科技学院 曙光大数据学院，辽宁 本溪 117004)

网络空间(Cyberspace)融合了互联网、物联网、工业控制网、通信网等在内的泛在网络，还包括人类在其中活动而产生的影响，是连接人-信息-物相互作用的动态可交互虚拟空间，由此也被称为陆、海、空、太空之外的第五大空间[1-2]。随着网络空间发展模式的转变，网络互联逐步向跨区域、跨领域方向发展，以互联网为代表的计算机网络已经成为真正全球意义的信息共享与交互平台，深刻地改变了人类社会、政治、经济、军事以及日常工作和生活的各个方面[3]。“互联网+”所代表的资源开放与共享思想带动了全球经济的快速发展，人们获得了极大的收益，但与此同时，网络安全问题日渐突出。例如，一些安全漏洞使得黑客有机会通过发布蠕虫病毒或木马病毒窃取网络用户信息；
通过恶意主动攻击(DoS/DDoS)使受到攻击的目标服务器或者网络瘫痪，无法提供正常的网络服务。面对频繁发生的网络安全攻击事件以及各种安全威胁，构建一套更积极有效的检测防御体系势在必行。

网络流量是跟踪网络用户行为的重要载体，网络流量异常检测是发现网络攻击的重要手段[4]。随着网络用户和业务不断增多，网络的规模不断扩张，使得网络传输信息量与日俱增，网络中的数据流量急剧膨胀，时常造成网络运行异常以及网络拥塞等情况的发生。面对复杂的网络环境，传统入侵检测系统(IDS)[5]很难对网络异常做出准确的判断，因此，文章从问题本身出发，对网络流量异常检测行为的建模方法和网络流量异常检测方法两方面进行讨论和总结，探索未来异常检测技术的研究方向。

流量异常可以定义为当网络受到持续攻击或入侵时，任何网络事件或网络操作等行为偏离了正常的网络行为[6]。网络流的传输给整个网络赋予活力，可形象地比喻为网络的“命脉”，如图1所示的网络中流的一种形式。

图1 网络中流的举例说明

网络流量异常检测是保护网络安全的一道重要屏障。流量异常的原因主要分为两类：(1) 网络设备故障和网络性能；
(2)网络行为主体。在分组交换网络中，网络设备之间进行通信的核心是信息流的存储转发，网络异常检测通常关注物理故障、网络扫描(主机/端口)、BGP前缀劫持、蠕虫、DoS/DDoS攻击等方面[7]，这些是造成网络流量特征改变的主要因素。异常检测是一个多阶段的过程，需要将流量数据进行预处理，即提取或构建流量特征，数据包和网络流的数目是主要对象，然而，数据流量常伴有大量的噪声，要从其中识别、分类和解释异常现象变得非常复杂，以往的研究虽然对异常检测技术的理论或应用取得一定的进步，但网络流量异常检测仍面临三个问题：

(1) 准确地描述并实时地监测网络流量问题。

(2) 不同的网络异常环境下网络流之间的关系表示问题。

理论研究、建模方法和特征分析构成了异常检测概念的核心框架。面向通信信息流的网络空间的异常行为，能够准确地检测网络流量异常是建设网络空间安全领域的持续性研究工作。

网络流量异常检测系统的最终目标是监视整个网络资源的使用状态，在此过程中联合各种防火墙和入侵检测系统来主动地防御各种网络恶意入侵来应对流量异常情况，如图2所示。从这个角度出发，对网络流量的研究可以分为三个层次，即数据包、网络流和主机。其中，正确地描述网络流之间的关系是关键，这里通常搭建统一的网络模型以简化网络流之间的相互作用关系，从而提高网络流量异常检测效率。

图2 网络流量异常检测模型

2.1 大规模网络流量的行为建模

根据异常类别和行为信息的不同，主要采用三种建模方式：

(1) 基于统计过程的流量行为建模

利用统计技术来分析网络流量，关键是先假设网络流量服从某个特定的分布。构建一个统计模型去计算网络流量数据的特征量的概率密度函数(有参/无参)是最常用的简便方法，在此基础上，测试未知样本数据[8]。采用统计技术提取网络数据包和网络流等离散或连续的信息，并构建模型来表达其通信行为是目前最普遍的手段。

(2) 基于通信内容的网络流量行为建模

一般来说，网络中信息传输内容主要有两部分，即头部和数据。头部内容是通信协议的确定字段，而数据内部却是不确定的。因此，通常会对头部内容的网络流量建模[9], 可以构建用户、流量和服务器之间的数据流图，或者使用多部图来刻画单一应用或者主机间的源地址、目的地址和端口之间的关联性[10]，这种是基于通信内容的最常见的网络流量行为建模方法。

使用Lisrel8.70集进行验证性因素分析，结果见表4，修订以后量表的二因素模型拟合情况优于单因素模型和三因素模型。

(3) 基于主机交互的网络流量行为建模

网络通信的本质是主机间信息传输的过程，这种交互过程可以利用提取网络流量展现某种应用下主机交互模式，因此需要定义不同层次、协议或者端口等来解释不同应用下的交互过程[11]。随着研究不断深入，网络主机间的交互也越来越丰富，不同网络协议下的各个主机间的网路流实时交互情况构建了面向不同应用的网络流量行为模型，在此基础上开发了多种检测平台。

评估网络流量行为建模方法的研究工作有很多，但由于问题的多维性，构建统一的异常检测框架比较困难，在实际网络诊断或预测时，还需充分考虑不同的应用场景。

2.2 网络流量异常检测方法

根据现有的检测规则、理论和方法，网络流量异常检测方法主要分为三类，即统计分析方法、理论方法和机器学习，相应的具体方法举例如图3所示。

图3 异常检测方法的分类

(1) 基于统计分析的异常检测

利用统计方法首先需要建立统计模型，捕捉特定的动态，进而分析网络运行时的异常事件和正常事件。在网络流量异常检测过程中，统计数据分析贯穿始终，常用两种统计方式，即描述性统计和推论统计。其中，描述性统计相对简单，如均值和方差等；
推论统计是指假设检验、时间序列和回归分析等。将收集采集的实时网络流量数据特征指标与历史数据训练得到的统计指标进行对比，进而判断网络异常是否发生。该方法能自适应地学习，且检测时间跨度较长，但忽略了事件间的相互关系，在对真实的网络流量异常检测过程中需要平衡漏报率和误报率。

(2) 基于理论方法的异常检测

常见的检测方式是根据流量数据、通信协议等已有的网络流数据来捕获网络异常，利用D-S证据理论、图论和相对熵理论等。该方法的灵活性和健壮性较高，但如果要构建高质量的数据库是比较困难的。这方面典型的应用是专家统计。

(3) 基于机器学习的异常检测

一个面向应用的机器学习过程主要包括收集数据、数据格式化、数据解析、训练数据、测试数据和实际应用六个方面[12]。该方法的重点是利用合适的机器学习算法构建一个能够自我学习历史成果的系统，提取流量的特征，实现异常检测。该方法的功能拓展性较强，但所需资源也是很昂贵的。

不同的流量异常检测方法有其自身的优缺点，在实际应用中还需要综合考虑处理成本、检测粒度、理论方法和流量特征进行选择。

网络空间是信息时代发展的产物，是人类生存和国家竞争的新战场。互联网的高速发展为人们生活带来便利的同时，网络恶意攻击行为正逐步践踏防御底线，网络空间安全的研究是一项长期而艰巨的任务。

网络异常行为最明显的后果是网络流的暴增，使网络信息的传输遭到破坏。网络异常检测的目的是在破坏发生之前，通过对网络流的实时监测来预判网络的异常。目前，异常检测中面临的主要问题和挑战如下：

(1) 异常检测技术通常适用于不同的应用场景，从而设计不同的研究方法，虽然检测技术有很多种，但并没有普适的模型和方法。例如，在有线环境下和无线环境下，流量异常检测技术的差别很大。而当新出现的未定义的异常行为出现时，以往的检测方法可能无法适应，使异常检测的准确率下降。

(2) 有很多网络异常检测技术缺乏可用于流量异常检测的公开标注数据集。目前，大多公开可利用的数据集都是由专业人员进行标注的。

(3) 异常行为的定义并不是一直不变的。在某些应用场景下，当前定义的正常行为有可能在过一段时间后，被标注为异常行为。这是由于网络是持续运行的，且是不断变化的。所以，不能一直只选用一个异常检测技术，需要定期变换更加高效的检测技术。

互联网的飞速发展使得网络数据流量剧增，各个学科交叉融合于网络的研究中，网络环境变得越来越复杂，伴随着网络安全事件频繁发生。保护网络空间安全离不开异常检测技术，文章对目前常用的异常行为建模和异常检测方法进行了梳理、分析和讨论，为未来针对网络异常检测类型的深入研究做理论储备，进而研究和规划相应的解决方案。

猜你喜欢 网络流量网络空间建模 基于多元高斯分布的网络流量异常识别方法淮阴师范学院学报（自然科学版）(2022年3期)2022-09-22大数据驱动和分析的舰船通信网络流量智能估计舰船科学技术(2022年10期)2022-06-17联想等效，拓展建模——以“带电小球在等效场中做圆周运动”为例中学生数理化(高中版.高考理化)(2020年11期)2020-12-14网络空间并非“乌托邦”传媒评论(2018年8期)2018-11-10基于PSS/E的风电场建模与动态分析电子制作(2018年17期)2018-09-28不对称半桥变换器的建模与仿真通信电源技术(2018年5期)2018-08-23军地联动共治涉军舆情 打造清朗网络空间中国军转民(2017年9期)2017-12-19AVB网络流量整形帧模型端到端延迟计算北京航空航天大学学报(2017年7期)2017-11-24网络空间“云作战”模型及仿真分析研究军事运筹与系统工程(2016年3期)2016-09-26三元组辐射场的建模与仿真现代防御技术(2014年6期)2014-02-28

推荐访问:浅析 检测技术 流量