基于时间序列的网络行为异常检测

admin 2022年6月27日09:41:15评论149 views字数 3476阅读11分35秒阅读模式

引用本文:李睿,贾悠,焦哲等. 基于时间序列的网络行为异常检测[J].通信技术,2020,56(10):.


摘 要

网络流量可以反映用户的网络行为,针对用户的网络行为,提出一种基于时间序列的异常检测方法。该方法首先对用户行为进行建模,预测用户行为发展趋势,再根据用户的实际行为进行异常检测。实验表明,该方法能够有效地检测用户的违规操作及网络攻击行为。

关键词时间序列;网络行为;异常检测;特征值
内容目录:

0 引 言

1 用户行为特征分析及提取

2 时间序列分析

2.1 季节ARIMA模型原理

2.2  异常检测

3  实验结果及分析

 3.1 实验数据

3.2 参数确定

3.3 检测结果及分析

4  结 语


引 言

随着互联网的飞速发展,网络安全问题日益突出。基于特征库的入侵检测系统,对于已知攻击类型产生的异常网络流量具有较好的检测效果,对于攻击特征超出特征库范围或是未知攻击防范效果有限。因此,基于异常的检测技术成为学术界和产业界研究的热点。
对于基于时间序列的网络异常检测,文献[3-4]利用时间序列模型预测网络流量,为网络流量行为分析提供了借鉴和参考。文献[5]利用改进的Holt-Winters算法进行网络流量异常检测,取得了一定的效果。但是其仅对网络整体流量进行检测,提取的特征有限,无法较为全面地检测网络业务的变化。文献[6]提出了一种基于多维时间序列的检测方法,利用多维特征对网络流量进行描述和异常检测,对基于TCP协议的流量检测取得了较好的效果。但是其仅提取TCP总的上下行流量、通信IP数、连接数等特征,无法准确检测单用户的行为异常。
本文首先分析了用户行为特征,提取多个网络特征信息并建模,根据历史行为预测置信区间,然后利用置信区间对用户实际行为进行检测,结果表明该方法能够有效地检测用户的违规操作及网络攻击行为。

1


用户行为特征分析及提取

 文献[7]指出通常采用属性向量对网络用户行为进行表示。例如,有n个属性的某种用户行为可表示为:<属性1,属性2,< span="">…,属性n>。
通过对某公司内部用户的实际流量统计分析,单用户具有访问业务有限、流量相对稳定的特点。如果用户访问不常用的业务,可能是网络违规行为;用户访问常用业务流量异常,可能是攻击行为。本文对实测到的用户流量属性进行筛选后,采用向量:<用户ip,业务目的ip,协议,端口号,上行流量,下行流量,上行数据包数,下行数据包数>描述单用户行为。其中,用户IP是用户网络地址,业务目的IP是用户访问的服务器或主机的网络地址,协议和端口号描述具体应用,其余的属性表示时间窗口t内上下行流量及上下行数据包数量的统计值。   

2


时间序列分析

2.1 季节ARIMA模型原理

ARMA模型用于平稳的时间序列,是AR模型和MA模型的结合。令{Yt}表示观测到的时间序列,令{et}代表白噪声序列。
如果满足:

基于时间序列的网络行为异常检测

则称{Yt}为自回归滑动平均混合过程,AR和MA的阶数分别为pq,记为ARMA(p,q)。
如果一个时间序列{Yt}的d次差分基于时间序列的网络行为异常检测是一个平稳的ARMA过程,则称{Yt}为自回归滑动平均求和模型。如果Wt服从ARMA(p,q)模型,称{Yt}是ARIMA(p,d,q)过程。
定义季节周期为sP阶季节AR(P)模型如下:

基于时间序列的网络行为异常检测

定义季节周期为sQ阶季节MA(Q)模型如下:

基于时间序列的网络行为异常检测

定义季节周期为s的乘法季节ARMA(p,q)×(P,Q)s模型是AR特征多项式为基于时间序列的网络行为异常检测、MA特征多项式为基于时间序列的网络行为异常检测的模型,其中

基于时间序列的网络行为异常检测

如果差分序列基于时间序列的网络行为异常检测满足季节周期为s的ARMA(p,q)×(P,Q)s模型,{Yt}称为季节周期为s的ARIMA(p,d,q)×(P,D,Q)s模型。

2.2  异常检测

残差是实际值和预测值间的偏差。根据文献[6]的置信区间来设定残差的阈值用于异常检测,具体异常检测方式如下:
(1)对于某一流量特征构成的时间序列{Yt},如果流量特征历史不为0,首先确定ARIMA模型参数,然后利用历史数据{Yt-1,Yt-2,…,Yt-p}来预测未来的流量特征值yt;如果流量特征历史为0,一旦产生了该类型流量,则认为是异常,跳过后续步骤。
(2)根据实际值和预测值计算残差序列{基于时间序列的网络行为异常检测},设Ytt时刻的实际值,ytt时刻的预测值,令

基于时间序列的网络行为异常检测                 (7)

(3)计算残差序列的均基于时间序列的网络行为异常检测基于时间序列的网络行为异常检测标准差基于时间序列的网络行为异常检测
(4)计算残差基于时间序列的网络行为异常检测的置信区间:

基于时间序列的网络行为异常检测

其中基于时间序列的网络行为异常检测表示对残差上界的容忍程度,基于时间序列的网络行为异常检测表示对残差下界的容忍程度。如果残差在置信区间外,则说明出现异常值,更新该处残差为置信区间边界值。

3


实验结果分析

 3.1 实验数据

为验证本文算法的有效性,对公司内部某用户的流量进行采集,发现该用户的业务集中在访问公司HTTP服务器,对其他业务没有访问流量。
图1至图4分别是对该用户连续4周在周一到周五每天9点到17点共160小时,采样间隔为1小时访问HTTP服务的流量特征信息统计。

基于时间序列的网络行为异常检测

图 1 HTTP服务下行流量信息

基于时间序列的网络行为异常检测

图 2 HTTP服务上行流量信息

基于时间序列的网络行为异常检测

图 3 HTTP服务下行数据包信息

基于时间序列的网络行为异常检测

图 4 HTTP服务上行数据包信息
可以看出,用户访问HTTP服务的网络流量具有周期性,采用季节模型进行拟合。

3.2 参数确定

对采样数据进行1阶8步差分后,发现序列具有平稳性。根据扩展自相关函数[9]对模型定阶,用户的上下行流量、上下行数据包个数均采用ARIMA(0,1,9)×(0,1,0)8模型拟合。模型参数采用极大似然估计[10],得到参数值如表1所示。
表 1  参数估计
特征
参数
下行流量
上行流量
下行包数
上行包数
Ma1
-0.3501
-0.5521
-0.3077
-0.5603
Ma2
-0.1830
-0.0483
-0.1863
-0.0450
Ma3
-0.0224
0.0746
-0.0275
-0.0914
Ma4
0.0419
-0.0205
0.0254
-0.0015
Ma5
0.0155
-0.0398
0.0054
0.0423
Ma6
0.0210
0.0882
0.0330
-0.0166
Ma7
-0.0909
0.0029
-0.0917
-0.0109
Ma8
-0.8798
-1.0194
-0.8721
-0.9368
Ma9
0.4479
0.5143
0.4214
0.6203

3.3 检测结果及分析

根据2.2节的异常检测方法,预测未来8小时的用户流量特征信息分别如表2所示。
表 2  预测值
    特征
时间
下行流量
(MB)
上行流量
(MB)
下行包数
(个)
上行包数
(个)
1
78
4.4
118381
22606
2
158
7.8
244125
45397
3
143
7.0
224302
44139
4
49
3.2
73342
19834
5
86
4.6
136262
27363
6
159
7.8
248408
47255
7
166
7.8
258697
51402
8
83
4.4
132177
29278
按照式(7)求出残差序列,令式(8)的基于时间序列的网络行为异常检测基于时间序列的网络行为异常检测均为3。
在用户PC机上执行违规操作和网络攻击,异常类型和实验结果如表3所示。
表 3  异常类型和检测结果
异常类型
置信区间
实际值
违规访问ftp服务
所有特征均为0
特征不为0
大文件违规下载
122MB≤下行流量≤193MB
下行流量:647MB
Syn flood攻击
30581≤上行包数≤57440
5.1MB≤上行流量≤8.9MB
上行包数:
760258
上行流量:
45MB
Udp flood攻击
所有特征均为0
特征不为0
暴力破解
6277≤上行包数≤33136
15666≤下行包数≤129280
上行包数:
4327155
下行包数:
4335247
从表3可以看出,用户的违规操作和网络攻击行为会造成一个或多个特征值异常。

4


结 语

通过对真实用户网络流量进行观测,构造描述单用户行为的特征向量,通过对历史流量进行建模,得到用户行为的预测值,根据置信区间对用户行为进行检测,结果表明该方法可以有效地检测用户的违规操作和网络攻击行为。
本文提取的特征值有限,不能完全刻画用户行为,并且季节ARIMA模型不能完全符合所有的用户流量。下一步工作应对特征值进行扩展,研究更为有效的算法和模型,对用户行为作全面刻画。
作者简介 >>>

李  睿,硕士,工程师,主要研究方向为信息安全;

贾  悠,硕士,工程师,主要研究方向为信息安全;

焦  哲,硕士,工程师,主要研究方向为信息安全;

叶常华,硕士,工程师,主要研究方向为信息安全。

基金项目:四川省科技计划(No.2018JY0102)
选自《通信技术》2020年第10期(为便于排版,已省去原文参考文献)
基于时间序列的网络行为异常检测 

网络强国建设的思想库

安全产业发展的情报站

创新企业腾飞的动力源

投稿网址:http://www.txjszz.com

合作热线:010-88203306

基于时间序列的网络行为异常检测

原文始发于微信公众号(信息安全与通信保密杂志社):基于时间序列的网络行为异常检测

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月27日09:41:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   基于时间序列的网络行为异常检测http://cn-sec.com/archives/1026685.html

发表评论

匿名网友 填写信息