网络攻击流量检测技术简述

2023年11月23日16:29:12评论21 views字数 5671阅读18分54秒阅读模式

摘要

在网络安全领域，流量检测是一种常见的攻击防御方法，用于检测和防御网络中的攻击行为。网络流量攻击检测技术是指通过有效的检测手段对网络空间的通信流量进行分析，从中识别出具有不同于正常通信流量特征的流量数据。流量检测可以通过监测网络中的数据流量来检测恶意活动，例如攻击、蠕虫和病毒传播等。随着网络的逐渐发展，异常流量检测技术也在迅速发展。本文主要对已有的异常流量检测方法进行介绍。已有的研究主要分为三种关键技术：基于统计特征的异常流量检测技术、基于机器学习的异常流量检测技术和基于深度学习的异常流量检测技术。最后，本文总结了已有三种方法的缺点，为后续的研究提供思路。

基于统计特征的攻击流量检测技术

网络攻击流量检测是一种检测攻击行为的常见方法。它可以对网络中的流量进行分析和监测，并通过检测异常的网络活动来发现潜在的攻击行为。它的主要思想是通过观察网络中用户主体的行为，为其生成行为记录。若在网络中出现与正常用户行为明显不同的行为记录，或者成功匹配到与攻击行为用户完全一致的行为记录，则产生攻击告警。

图 1 网络入侵检测系统的部署

流量数据包根据OSI七层网络协议的要求封装，在网络中进行传输。因此在记录用户行为过程中，基于网络流量提取的用户行为主要关注流量在不同传输协议层中的特征。

在应用层，可以提取的特征包括数据包的负载，如HTTP请求、响应、数据文件等。
在会话层，可以提取的特征包括数据包的时间戳、数据包的长度和数量等。
在传输层，可以提取的特征包括源IP地址和端口、目的IP地址和端口、数据包的标记位（如TCP标志位）、传输协议（如TCP、UDP、ICMP等）、数据包的传输方向（入站、出站）、数据包的传输路径（源到目的的路由路径）等。

在这些特征基础上，还可以进一步计算数据包的流量统计特征（如平均速率、方差、峰值等）。根据总结以上特征的规律，就可以在流量监测的过程中发现与正常行为明显不同的异常行为。

基于统计特征的异常流量检测方法有很多优点：首先，基于统计特征的异常流量检测方法可以不需要事先了解安全缺陷和攻击本身。基于正常用户行为建立的行为记录可以明确的将明显不同的异常行为区分出来，并产生告警。因此，这些系统有能力检测 0-day或最新的攻击。此外，统计方法可以提供攻击行为的准确通知。如果攻击行为发生在较长的时间段内，例如拒绝服务攻击，它将会是很好的检测工具。通常情况下，拒绝服务攻击的端口扫描分布与正常的流量分布相比是非常异常的。同时，数据包中会包含攻击者和受攻击者的信息，因此在检测的过程中会被快速准确地发现。

图 2 基于用户正常行为的异常检测

但是，基于统计特征的方法也有十分明显的缺陷：随着网络规模的扩大，用户人数的增多，海量的数据产生，为正常用户建立行为记录的工作量是巨大的，其开销也是巨大的。同时，基于统计特征的检测技术的特征维度有限，不能应对日渐进化更新的攻击行为，难以适应网络攻击的复杂变化。为了解决上述问题，基于机器学习的异常流量检测技术被提出。

基于机器学习的攻击流量检测技术

随着网络规模的逐渐增大，用户的数量也在急剧增长，海量的流量数据会在短时间内快速产生。为了能够在大量数据更加快速的检测攻击流量，基于机器学习的异常流量检测方法应运而生。

基于机器学习的网络流量攻击检测技术是目前研究的热点之一[1-3]，其主要思想是结合网络流量特征对网络态势进行分析,通过机器学习算法判断是否出现有别于正常流量的攻击行为流量｡其中，机器学习算法主要包括朴素贝叶斯、决策树、支持向量机等，它们通过对网络流量数据的分类、聚类等方式进行异常检测。这一类识别算法中,目前研究较多的是基于统计和基于行为的方法｡两种方向都遵循传统机器学习方法的思路:设计一组流量特征集,根据实际需求构建机器学习模型,将己知标签的特征数据输入模型中完成参数的训练,并通过未知标签的流量数据测试模型的识别性能｡与基于规则的方法相比,这种方法避免了端口和流量关键字的研究过程,而且可适应加密流量以及许多复杂的流量模式,计算复杂度相对不高,因此近年来受到学术界越来越多的关注。

Chan[4]使用聚类方法，与已有的规则方法进行了实验对比，发现机器学习方法对未标记的攻击流量数据中有很高的识别性能。

Omar[5]探索了不同机器学习方法，有监督算法和无监督算法，在异常检测准确率上的性能问题，最终发现无监督方法在未知攻击中的性能更好，但是有监督方法对已知攻击有更高的检测准确率。

Casas[6]在大规模的网络流量下使用基于决策塔的简单检测模型，对机器学习方法在异常流量检测问题上的性能研究，发现面对大量的流量数据模型仍旧有很好的检测性能。

但是有研究者发现：模型能够维持很高的识别性能主要依赖于大量的特征工程，其质量会直接影响网络的分类性能,这部分往往需要耗费大量工作[7]。因为机器学习算法需要明确的输入特征，所以特征提取对于检测效果至关重要。但是，网络流量中的信息量很大且攻击者会采取各种隐蔽的手段来隐藏攻击流量，因此特征提取是一项困难的任务，不同的特征提取方法会导致不同的性能表现。由于机器学习算法的训练数据是历史数据，因此对于新出现的攻击行为缺乏泛化能力。攻击者会不断尝试新的攻击手段来规避检测系统，因此算法需要不断更新和优化以适应新的攻击方式。

基于深度学习的攻击流量检测技术

深度学习作为机器学习算法的重要分支，基于深度学习的网络流量攻击检测技术也受到广泛关注[8-15]。相比于传统机器学习方法，基于深度学习的方法可以自动提取网络流量中的高级特征，从而更加准确地检测网络攻击行为，解决了机器学习方法在特征工程中的局限性。

常见的基于深度学习的网络攻击检测算法包括DNN、卷积神经网络（Convolutional Neural Network，CNN）、循环神经网络（Recurrent Neural Network，RNN）、长短期记忆网络（Long Short-Term Memory， LSTM）和自编码器（Autoencoder）等。这些算法能够从原始的网络流量数据中提取出深层次、高阶的特征，具有很强的自适应性和泛化能力，可以有效地检测出各种类型的网络攻击。

基于自编码器的网络攻击流量检测方法：是指通过构建一个自编码器（Autoencoder）对正常流量数据进行训练，并使用该自编码器对异常流量进行检测。该方法的主要思想是，正常流量具有一定的规律性和特征，自编码器可以对其进行学习和提取，而异常流量与正常流量的特征不同，所以可以通过比较重构误差或者异常得分的方式进行检测。Xu[8]借助自编码器的方式对特征进行表征，成功实现在金融企业内部的异常检测。
基于卷积神经网络的网络攻击流量检测方法：是指通过构建一个卷积神经网络对流量数据进行训练，并使用该卷积神经网络对异常流量进行检测。该方法的主要思想是，使用卷积神经网络对流量数据进行特征提取和学习，从而可以更准确地对流量进行分类和检测。Lotfollahi[9]通过多层卷积和池化操作来提取数据包中的时空特征，然后通过全连接层和softmax层来实现数据包的检测与识别。
基于循环神经网络的网络攻击流量检测方法：通常采用长短时记忆网络或门控循环单元等循环神经网络模型，对网络流量数据进行建模和分析。这类方法通常将网络流量数据视为一个序列数据，并通过循环神经网络模型实现对网络流量数据的建模和分析，从而实现对网络攻击流量的检测和识别。

尽管深度学习模型在处理高复杂度的运算和数据方面表现出色，同时也能够更有效地学习到流量中的时间、空间特征，然而，其可解释性较差。由于特征缺乏明确的定义，这可能导致模型训练结果的可信度受到质疑。

总之，现有的攻击流量检测技术在复杂的网络环境中得到了广泛的应用，并成功解决了许多安全问题。然而，我们也不能忽略网络流量和模型本身存在的限制性问题：机器学习模型对数据的要求较高，因此数据的不平衡问题会影响这类模型在攻击流量检测时的准确性。所以在研究中需要将上述技术中存在的问题进行考虑，并提出新的攻击流量检测方法。

参考文献

[1] Abbasi M , Shahraki A , Taherkordi A .Deep learning for Network Traffic Monitoring and Analysis (NTMA): A survey[J].Computer Communications, 2021(3).DOI:10.1016/j.comcom.2021.01.021.

[2] Alhawi O M K, Baldwin J, Dehghantanha A. Leveraging machine learning techniques for windows ransomware network traffic detection[J]. Cyber threat intelligence, 2018: 93-106.

[3] Yang B, Liu D. Research on network traffic identification based on machine learning and deep packet inspection[C]//2019 IEEE 3rd Information Technology, Networking, Electronic and Automation Control Conference (ITNEC). IEEE, 2019: 1887-1891.

[4] Chan P K, Mahoney M V, Arshad M H. A machine learning approach to anomaly detection[J]. 2003.

[5] Omar S, Ngadi A, Jebur H H. Machine learning techniques for anomaly detection: an overview[J]. International Journal of Computer Applications, 2013, 79(2).

[6] Casas P, Fiadino P, D'Alconzo A. Machine-Learning Based Approaches for Anomaly Detection and Classification in Cellular Networks[C]//TMA. 2016: 1-8.

[7] Kwon D, Kim H, Kim J, et al. A survey of deep learning-based network anomaly detection[J]. Cluster Computing, 2019, 22: 949-961.

[8] Xu H, Chen W, Zhao N, et al. Unsupervised anomaly detection via variational auto-encoder for seasonal kpis in web applications[C]//Proceedings of the 2018 world wide web conference. 2018: 187-196.

[9] Lotfollahi M, Jafari Siavoshani M, Shirali Hossein Zade R, et al. Deep packet: A novel approach for encrypted traffic classification using deep learning[J]. Soft Computing, 2020, 24(3): 1999-2012.

[10] Shiravi A, Shiravi H, Tavallaee M, et al. Toward develo** a systematic approach to generate benchmark datasets for intrusion detection[J]. computers & security, 2012, 31(3): 357-374.

[11] Wang Z. The applications of deep learning on traffic identification[J]. BlackHat USA, 2015, 24(11): 1-10.

[12] Hwang R H, Peng M C, Huang C W, et al. An unsupervised deep learning model for early network traffic anomaly detection[J]. IEEE Access, 2020, 8: 30387-30399.

[13] Li J, Pan Z. Network Traffic Classification Based on Deep Learning[J]. KSII Transactions on Internet & Information Systems, 2020, 14(11).

[14] Sohn I. Deep belief network based intrusion detection techniques: A survey[J]. Expert Systems with Applications, 2021, 167: 114170.

[15] Alom M Z, Bontupalli V R, Taha T M. Intrusion detection using deep belief networks[C]//2015 National Aerospace and Electronics Conference (NAECON). IEEE, 2015: 339-344.

中国保密协会

科学技术分会

长按扫码关注我们