浅析面向网络空间安全的流量异常检测技术

浅析面向网络空间安全的流量异常检测技术

刘力江

江苏大学  江苏镇江  212013

摘要：“互联网＋”所代表的资源开放与共享思想带动了全球经济的快速发展，人们获得了极大的收益，但与此同时，网络安全问题日渐突出。例如，一些安全漏洞使得黑客有机会通过发布蠕虫病毒或木马病毒窃取网络用户信息；通过恶意主动攻击（DoS／DDoS）使受到攻击的目标服务器或者网络瘫痪，无法提供正常的网络服务。面对频繁发生的网络安全攻击事件以及各种安全威胁，构建一套更积极有效的检测防御体系势在必行。

关键词：异常检测；网络流；网络空间安全；异常流量

1 网络流量异常检测问题

流量异常可以定义为当网络受到持续攻击或入侵时，任何网络事件或网络操作等行为偏离了正常的网络行为。网络流的传输给整个网络赋予活力，可形象地比喻为网络的“命脉”。网络流量异常检测是保护网络安全的一道重要屏障。

流量异常的原因主要分为两类：（1）网络设备故障和网络性能；（2）网络行为主体。在分组交换网络中，网络设备之间进行通信的核心是信息流的存储转发，网络异常检测通常关注物理故障、网络扫描（主机/端口）、BGP前缀劫持、蠕虫、DoS/DDoS攻击等方面，这些是造成网络流量特征改变的主要因素。

异常检测是一个多阶段的过程，需要将流量数据进行预处理，即提取或构建流量特征，数据包和网络流的数目是主要对象，然而，数据流量常伴有大量的噪声，要从其中识别、分类和解释异常现象变得非常复杂，以往的研究虽然对异常检测技术的理论或应用取得一定的进步，但网络流量异常检测仍面临三个问题：（1）准确地描述并实时地监测网络流量问题。（2）不同的网络异常环境下网络流之间的关系表示问题。（3）判断待测网络状态的量化标准问题。理论研究、建模方法和特征分析构成了异常检测概念的核心框架。面向通信信息流的网络空间的异常行为，能够准确地检测网络流量异常是建设网络空间安全领域的持续性研究工作。

2 流量异常检测技术

网络流量异常检测系统的最终目标是监视整个网络资源的使用状态，在此过程中联合各种防火墙和入侵检测系统来主动地防御各种网络恶意入侵来应对流量异常情况。对网络流量的研究可以分为三个层次，即数据包、网络流和主机。其中，正确地描述网络流之间的关系是关键，这里通常搭建统一的网络模型以简化网络流之间的相互作用关系，从而提高网络流量异常检测效率。

2.1 大规模网络流量的行为建模

根据异常类别和行为信息的不同，主要采用三种建模方式：

（1）基于统计过程的流量行为建模利用统计技术来分析网络流量，关键是先假设网络流量服从某个特定的分布。构建一个统计模型去计算网络流量数据的特征量的概率密度函数（有参/无参）是最常用的简便方法，在此基础上，测试未知样本数据。采用统计技术提取网络数据包和网络流等离散或连续的信息，并构建模型来表达其通信行为是目前最普遍的手段。

（2）基于通信内容的网络流量行为建模一般来说，网络中信息传输内容主要有两部分，即头部和数据。头部内容是通信协议的确定字段，而数据内部却是不确定的。因此，通常会对头部内容的网络流量建模，可以构建用户、流量和服务器之间的数据流图，或者使用多部图来刻画单一应用或者主机间的源地址、目的地址和端口之间的关联性，这种是基于通信内容的最常见的网络流量行为建模方法。

（3）基于主机交互的网络流量行为建模网络通信的本质是主机间信息传输的过程，这种交互过程可以利用提取网络流量展现某种应用下主机交互模式，因此需要定义不同层次、协议或者端口等来解释不同应用下的交互过程。随着研究不断深入，网络主机间的交互也越来越丰富，不同网络协议下的各个主机间的网路流实时交互情况构建了面向不同应用的网络流量行为模型，在此基础上开发了多种检测平台。评估网络流量行为建模方法的研究工作有很多，但由于问题的多维性，构建统一的异常检测框架比较困难，在实际网络诊断或预测时，还需充分考虑不同的应用场景。

2.2 网络流量异常检测方法

根据现有的检测规则、理论和方法，网络流量异常检测方法主要分为三类，即统计分析方法、理论方法和机器学习。

（1）基于统计分析的异常检测。利用统计方法首先需要建立统计模型，捕捉特定的动态，进而分析网络运行时的异常事件和正常事件。在网络流量异常检测过程中，统计数据分析贯穿始终，常用两种统计方式，即描述性统计和推论统计。其中，描述性统计相对简单，如均值和方差等；推论统计是指假设检验、时间序列和回归分析等。将收集采集的实时网络流量数据特征指标与历史数据训练得到的统计指标进行对比，进而判断网络异常是否发生。该方法能自适应地学习，且检测时间跨度较长，但忽略了事件间的相互关系，在对真实的网络流量异常检测过程中需要平衡漏报率和误报率。（2）基于理论方法的异常检测。常见的检测方式是根据流量数据、通信协议等已有的网络流数据来捕获网络异常，利用D-S证据理论、图论和相对熵理论等。该方法的灵活性和健壮性较高，但如果要构建高质量的数据库是比较困难的。这方面典型的应用是专家统计。（

3）基于机器学习的异常检测。一个面向应用的机器学习过程主要包括收集数据、数据格式化、数据解析、训练数据、测试数据和实际应用六个方面。该方法的重点是利用合适的机器学习算法构建一个能够自我学习历史成果的系统，提取流量的特征，实现异常检测。该方法的功能拓展性较强，但所需资源也是很昂贵的。不同的流量异常检测方法有其自身的优缺点，在实际应用中还需要综合考虑处理成本、检测粒度、理论方法和流量特征进行选择。

3 存在的问题与挑战

网络空间是信息时代发展的产物，是人类生存和国家竞争的新战场。互联网的高速发展为人们生活带来便利的同时，网络恶意攻击行为正逐步践踏防御底线，网络空间安全的研究是一项长期而艰巨的任务。网络异常行为最明显的后果是网络流的暴增，使网络信息的传输遭到破坏。网络异常检测的目的是在破坏发生之前，通过对网络流的实时监测来预判网络的异常。目前，异常检测中面临的主要问题和挑战如下：（1）异常检测技术通常适用于不同的应用场景，从而设计不同的研究方法，虽然检测技术有很多种，但并没有普适的模型和方法。例如，在有线环境下和无线环境下，流量异常检测技术的差别很大。而当新出现的未定义的异常行为出现时，以往的检测方法可能无法适应，使异常检测的准确率下降。（2）有很多网络异常检测技术缺乏可用于流量异常检测的公开标注数据集。目前，大多公开可利用的数据集都是由专业人员进行标注的。（3）异常行为的定义并不是一直不变的。在某些应用场景下，当前定义的正常行为有可能在过一段时间后，被标注为异常行为。这是由于网络是持续运行的，且是不断变化的。所以，不能一直只选用一个异常检测技术，需要定期变换更加高效的检测技术。

4 结语

互联网的飞速发展使得网络数据流量剧增，各个学科交叉融合于网络的研究中，网络环境变得越来越复杂，伴随着网络安全事件频繁发生。保护网络空间安全离不开异常检测技术，文章对目前常用的异常行为建模和异常检测方法进行了梳理、分析和讨论，为未来针对网络异常检测类型的深入研究做理论储备，进而研究和规划相应的解决方案。

参考文献：

[1]罗军舟,杨明,凌振,等.网络空间安全体系与关键技术[J].中国科学:信息科学,2016,46(8):939-968.

[2]王进法.网络空间异常行为检测与识别研究[D].沈阳:东北大学,2018.

作者简介：刘力江（2002—），男，汉族，河北沧州人，本科在读，研究方向：网络空间安全。