網(wǎng)絡(luò)行為異常檢測(cè)研究綜述

張 雁， 劉才銘， 敬思遠(yuǎn)， 張貴紅

（樂(lè)山師范學(xué)院 計(jì)算機(jī)科學(xué)學(xué)院，四川 樂(lè)山 614000）

0 引言

網(wǎng)絡(luò)行為（Network Behavior）[1]表現(xiàn)為具體的網(wǎng)絡(luò)活動(dòng)及網(wǎng)絡(luò)運(yùn)行的動(dòng)態(tài)變化規(guī)律[2]。中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）報(bào)告指出，當(dāng)前的互聯(lián)網(wǎng)行為主要體現(xiàn)在搜索引擎、社交網(wǎng)站、電商應(yīng)用、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)游戲、移動(dòng)互聯(lián)網(wǎng)等六個(gè)方面。隨著互聯(lián)網(wǎng)業(yè)務(wù)的不斷擴(kuò)展和用戶規(guī)模的快速增長(zhǎng)，網(wǎng)絡(luò)行為的種類逐漸增多，網(wǎng)絡(luò)行為的數(shù)量呈大規(guī)模上升趨勢(shì)。

2013年8月，國(guó)務(wù)院發(fā)布《關(guān)于促進(jìn)信息消費(fèi)擴(kuò)大內(nèi)需的若干意見(jiàn)》，該意見(jiàn)的出臺(tái)進(jìn)一步促使了我國(guó)超大規(guī)模互聯(lián)網(wǎng)用戶網(wǎng)絡(luò)活動(dòng)頻率的迅速上升，從而致使互聯(lián)網(wǎng)的網(wǎng)絡(luò)行為規(guī)模急劇加大[3]。2017年1月，CNNIC發(fā)布《第39次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，據(jù)該報(bào)告統(tǒng)計(jì)，2016年，我國(guó)有70.5%的網(wǎng)民遭遇過(guò)網(wǎng)絡(luò)安全問(wèn)題，我國(guó)個(gè)人互聯(lián)網(wǎng)使用的安全狀況不容樂(lè)觀[4]。

殘酷的互聯(lián)網(wǎng)安全現(xiàn)狀表明，在正常網(wǎng)絡(luò)行為背后，還隱藏著大量的異常網(wǎng)絡(luò)行為，這些大規(guī)模異常網(wǎng)絡(luò)行為帶來(lái)后果的嚴(yán)重性從權(quán)威機(jī)構(gòu)發(fā)布的報(bào)告中可見(jiàn)端倪。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT/CC）抽樣監(jiān)測(cè)顯示，2015年，我國(guó)共發(fā)現(xiàn)10.5萬(wàn)余個(gè)木馬和僵尸網(wǎng)絡(luò)控制端，控制了我國(guó)境內(nèi)1978萬(wàn)余臺(tái)主機(jī)，CNCERT/CC捕獲及通過(guò)廠商交換獲得的移動(dòng)互聯(lián)網(wǎng)惡意程序樣本數(shù)量多達(dá)147萬(wàn)余個(gè)，我國(guó)境內(nèi)被篡改網(wǎng)站數(shù)量達(dá)2萬(wàn)余個(gè)[5]。

異常網(wǎng)絡(luò)行為給網(wǎng)絡(luò)安全管理帶來(lái)了巨大的難題，如何從千變?nèi)f化的網(wǎng)絡(luò)行為中發(fā)現(xiàn)異常信息，成為了網(wǎng)絡(luò)安全管理研究的熱點(diǎn)。網(wǎng)絡(luò)行為模式錯(cuò)綜復(fù)雜、瞬息萬(wàn)變，對(duì)大規(guī)模網(wǎng)絡(luò)行為的監(jiān)測(cè)難度也日漸加大，網(wǎng)絡(luò)行為監(jiān)測(cè)工作已引起了政府[6]、學(xué)術(shù)研究機(jī)構(gòu)[7]、網(wǎng)絡(luò)安全工業(yè)界[8]的高度重視。網(wǎng)絡(luò)行為異常檢測(cè)可以發(fā)現(xiàn)互聯(lián)網(wǎng)中異常網(wǎng)絡(luò)行為的活動(dòng)規(guī)律，在當(dāng)前嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)下，建立有效的網(wǎng)絡(luò)行為分析及異常檢測(cè)技術(shù)顯得格外迫切，為了遏制異常網(wǎng)絡(luò)行為帶來(lái)的網(wǎng)絡(luò)危害，工業(yè)界和學(xué)術(shù)界對(duì)網(wǎng)絡(luò)行為的異常檢測(cè)展開(kāi)了相關(guān)的研究工作[9]，以便為主動(dòng)的網(wǎng)絡(luò)安全管理提供科學(xué)的依據(jù)。

本文分析了異常網(wǎng)絡(luò)行為的產(chǎn)生原因，介紹了幾種典型的異常網(wǎng)絡(luò)行為的根源，梳理了網(wǎng)絡(luò)行為異常檢測(cè)的研究進(jìn)展，介紹了與之緊密相關(guān)的幾個(gè)研究領(lǐng)域，分析了當(dāng)前網(wǎng)絡(luò)行為異常檢測(cè)的研究難點(diǎn)，并對(duì)未來(lái)的研究方向進(jìn)行了展望。

1 異常網(wǎng)絡(luò)行為的根源

網(wǎng)絡(luò)行為的根源來(lái)自于網(wǎng)絡(luò)活動(dòng)，正常的網(wǎng)絡(luò)行為符合網(wǎng)絡(luò)設(shè)計(jì)的初衷，它產(chǎn)生的網(wǎng)絡(luò)活動(dòng)滿足網(wǎng)絡(luò)管理的預(yù)期，異常的網(wǎng)絡(luò)行為產(chǎn)生于網(wǎng)絡(luò)設(shè)計(jì)的缺陷和網(wǎng)絡(luò)管理的漏洞，其根源在于惡意的網(wǎng)絡(luò)活動(dòng)、或非惡意的網(wǎng)絡(luò)設(shè)計(jì)缺陷和管理疏忽帶來(lái)的網(wǎng)絡(luò)活動(dòng)。但無(wú)論異常網(wǎng)絡(luò)行為是否惡意，都會(huì)給網(wǎng)絡(luò)的正常運(yùn)行帶來(lái)問(wèn)題。按照異常網(wǎng)絡(luò)行為產(chǎn)生的主觀性，將網(wǎng)絡(luò)行為分為非惡意和惡意，非惡意異常網(wǎng)絡(luò)行為的根源有網(wǎng)絡(luò)管理不當(dāng)、網(wǎng)絡(luò)用戶誤操作和使用不正常網(wǎng)絡(luò)服務(wù)等，惡意異常網(wǎng)絡(luò)行為的根源有網(wǎng)絡(luò)攻擊、惡意軟件等，下面列舉幾個(gè)典型的異常網(wǎng)絡(luò)行為根源。

1.1 網(wǎng)絡(luò)管理不當(dāng)

網(wǎng)絡(luò)管理可以監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù)[10]，從而讓網(wǎng)絡(luò)在設(shè)計(jì)的規(guī)則下正常地運(yùn)行。理論上講，在科學(xué)的網(wǎng)絡(luò)管理下進(jìn)行的網(wǎng)絡(luò)活動(dòng)，都會(huì)產(chǎn)生正常的網(wǎng)絡(luò)行為。但是，很多網(wǎng)絡(luò)在管理上都存在著漏洞，造成網(wǎng)絡(luò)管理不當(dāng)，例如，網(wǎng)絡(luò)管理制度不健全、網(wǎng)絡(luò)配置存在疏忽、網(wǎng)絡(luò)安全設(shè)備缺失、不重視網(wǎng)絡(luò)系統(tǒng)日志、對(duì)網(wǎng)絡(luò)用戶的安全引導(dǎo)不到位等。網(wǎng)絡(luò)管理不當(dāng)?shù)暮蠊蔷W(wǎng)絡(luò)中將存在大量的異常甚至非法網(wǎng)絡(luò)活動(dòng)，其帶來(lái)的異常網(wǎng)絡(luò)行為危害巨大，讓整個(gè)網(wǎng)絡(luò)都處于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)之中。

1.2 網(wǎng)絡(luò)用戶誤操作

用戶在使用互聯(lián)網(wǎng)時(shí)，在正常的鍵盤或鼠標(biāo)操作過(guò)程中，可能會(huì)由于疏忽進(jìn)行一些誤操作[11]，從而產(chǎn)生一些不可預(yù)期的網(wǎng)絡(luò)行為，這些異常網(wǎng)絡(luò)行為有時(shí)甚至可以對(duì)網(wǎng)絡(luò)的運(yùn)行產(chǎn)生威脅。例如，不小心發(fā)出大面積的網(wǎng)絡(luò)掃描指令，可能造成突發(fā)性的網(wǎng)絡(luò)數(shù)據(jù)擁堵，這種網(wǎng)絡(luò)掃描活動(dòng)帶來(lái)的網(wǎng)絡(luò)行為具有顯著的異常性特征。另一個(gè)例子是，用戶安裝程序時(shí)，時(shí)常會(huì)遇到“未簽名內(nèi)容”提示，用戶在不經(jīng)意間，可能點(diǎn)擊允許了不被認(rèn)可的軟件，這就可能導(dǎo)致不正常的網(wǎng)絡(luò)活動(dòng)。

1.3 使用不正常網(wǎng)絡(luò)服務(wù)

互聯(lián)網(wǎng)里接入了千奇百怪的資源，讓網(wǎng)絡(luò)用戶想不斷地去探尋新的信息。用戶受好奇心驅(qū)使，或者抱著嘗試的態(tài)度，或者受到誘騙，往往會(huì)使用一些不正常的網(wǎng)絡(luò)服務(wù)，例如下載并安裝帶木馬的軟件、瀏覽釣魚(yú)網(wǎng)站、訪問(wèn)非法賭博網(wǎng)站等。一般地，用戶對(duì)這些不正常的網(wǎng)絡(luò)服務(wù)并不知情，但這些網(wǎng)絡(luò)活動(dòng)產(chǎn)生的異常網(wǎng)絡(luò)行為，會(huì)給用戶帶來(lái)?yè)p失，例如隱私暴露、數(shù)據(jù)外泄、資金損失等。

1.4 網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊（Network Attack）通過(guò)互聯(lián)網(wǎng)非法入侵受害者的系統(tǒng)，以達(dá)到破壞網(wǎng)絡(luò)正常運(yùn)行、竊取私密信息、破壞關(guān)鍵數(shù)據(jù)等目的。完成一次網(wǎng)絡(luò)攻擊，就構(gòu)成了一個(gè)完整的網(wǎng)絡(luò)行為。網(wǎng)絡(luò)攻擊行為產(chǎn)生的網(wǎng)絡(luò)活動(dòng)數(shù)據(jù)，利用了網(wǎng)絡(luò)設(shè)計(jì)的缺陷，在互聯(lián)網(wǎng)上得以傳輸，它利用受害者系統(tǒng)的漏洞，從而規(guī)避網(wǎng)絡(luò)安全防御措施。網(wǎng)絡(luò)攻擊產(chǎn)生的網(wǎng)絡(luò)行為表面上正常，但通過(guò)科學(xué)有效的數(shù)據(jù)分析，會(huì)發(fā)現(xiàn)其異常性特征，例如數(shù)據(jù)傳輸頻度、數(shù)據(jù)傳輸數(shù)量、訪問(wèn)網(wǎng)絡(luò)習(xí)慣等。

1.5 惡意軟件

惡意軟件（Malware）是危害網(wǎng)絡(luò)安全的主要威脅之一，它在未經(jīng)授權(quán)的情況下，在系統(tǒng)中進(jìn)行安裝、執(zhí)行，以達(dá)到不正當(dāng)?shù)哪康腫5]。在互聯(lián)網(wǎng)深入到各個(gè)領(lǐng)域的當(dāng)今，惡意軟件也通過(guò)網(wǎng)絡(luò)進(jìn)行傳播、感染和破壞，造成信息失竊、數(shù)據(jù)破壞、帶寬消耗等危害。惡意軟件通過(guò)網(wǎng)絡(luò)達(dá)到其目的時(shí)，將產(chǎn)生一系列有潛在規(guī)律的網(wǎng)絡(luò)活動(dòng)，其設(shè)計(jì)者盡力掩蓋其形成的網(wǎng)絡(luò)行為，但無(wú)論如何這些網(wǎng)絡(luò)行為都帶有異常性特征。

2 研究進(jìn)展

在互聯(lián)網(wǎng)環(huán)境下，海量的網(wǎng)絡(luò)活動(dòng)構(gòu)成了數(shù)量龐大的網(wǎng)絡(luò)行為，而異常網(wǎng)絡(luò)行為就隱藏在其中。為了解決異常網(wǎng)絡(luò)行為的檢測(cè)問(wèn)題，研究人員對(duì)網(wǎng)絡(luò)行為異常檢測(cè)相關(guān)的技術(shù)開(kāi)展了廣泛的研究，目前這些研究主要集中在網(wǎng)絡(luò)測(cè)量[12]、網(wǎng)絡(luò)行為建模[13]、網(wǎng)絡(luò)行為分析[14]、網(wǎng)絡(luò)流量異常檢測(cè)[15]等方面。表1列舉了網(wǎng)絡(luò)行為異常檢測(cè)相關(guān)研究領(lǐng)域的主要文獻(xiàn)。

表1 主要研究文獻(xiàn)

下面結(jié)合相關(guān)研究文獻(xiàn)，對(duì)網(wǎng)絡(luò)行為異常檢測(cè)相關(guān)的主要領(lǐng)域進(jìn)行介紹。

2.1 網(wǎng)絡(luò)測(cè)量

網(wǎng)絡(luò)測(cè)量為網(wǎng)絡(luò)行為異常檢測(cè)提供了數(shù)據(jù)分析的基礎(chǔ)，它也是早期網(wǎng)絡(luò)行為測(cè)量的重要前提。網(wǎng)絡(luò)測(cè)量通過(guò)捕獲網(wǎng)絡(luò)活動(dòng)數(shù)據(jù)，分析網(wǎng)絡(luò)流量的變化規(guī)律，達(dá)到動(dòng)態(tài)描述網(wǎng)絡(luò)及其結(jié)構(gòu)和行為的目的，其測(cè)量的結(jié)果可以用于優(yōu)化網(wǎng)絡(luò)的性能[1]，其獲得的網(wǎng)絡(luò)數(shù)據(jù)變化規(guī)律，為網(wǎng)絡(luò)行為的異常檢測(cè)提供了重要的依據(jù)。網(wǎng)絡(luò)測(cè)量分為主動(dòng)測(cè)量和被動(dòng)測(cè)量，它們的區(qū)別在于是否向被測(cè)試網(wǎng)絡(luò)發(fā)送了數(shù)據(jù)。主動(dòng)測(cè)量通過(guò)向網(wǎng)絡(luò)發(fā)送流量，再獲取網(wǎng)絡(luò)的各項(xiàng)參數(shù)，并觀察網(wǎng)絡(luò)活動(dòng)情況。被動(dòng)測(cè)量通過(guò)捕獲被測(cè)網(wǎng)絡(luò)中的傳輸數(shù)據(jù)，再分析網(wǎng)絡(luò)流量的傳輸規(guī)律[16]。

貝爾實(shí)驗(yàn)室（Bell Labs）在1998年夏天啟動(dòng)了互聯(lián)網(wǎng)測(cè)繪項(xiàng)目（The Internet Mapping Project），該項(xiàng)目的目標(biāo)是經(jīng)過(guò)一段時(shí)間的測(cè)量，獲取互聯(lián)網(wǎng)的拓?fù)鋽?shù)據(jù)[17]。互聯(lián)網(wǎng)測(cè)繪項(xiàng)目是早期開(kāi)展互聯(lián)網(wǎng)測(cè)量的研究之一，根據(jù)1998年9月中旬收集的互聯(lián)網(wǎng)拓?fù)鋽?shù)據(jù)，該項(xiàng)目團(tuán)隊(duì)繪制了一系列網(wǎng)絡(luò)地圖，這些地圖包含了10萬(wàn)個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的信息，該系列地圖發(fā)表于1998年12月的Wired Magazine雜志。根據(jù)互聯(lián)網(wǎng)測(cè)繪項(xiàng)目的研究成果，該項(xiàng)目研究人員BURCH和CHESWICK撰寫(xiě)了論文Mapping the Internet，并將其發(fā)表在1999年的IEEE Computer上[18]。

加州大學(xué)圣地亞哥分校（UCSD）所屬SDSC（San Diego Supercomputer Center）的CAIDA（Center for Applied Internet Data Analysis），也開(kāi)展了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)現(xiàn)、網(wǎng)絡(luò)性能監(jiān)測(cè)等網(wǎng)絡(luò)測(cè)量方面的研究工作，并于1999年在Nature上發(fā)表互聯(lián)網(wǎng)拓?fù)浣Y(jié)構(gòu)論文成果[19]。CAIDA還開(kāi)發(fā)了一系列網(wǎng)絡(luò)測(cè)量工具軟件，并在不斷進(jìn)行更新，供大家研究使用[20]。DODGE和KITCHIN在1997-2004年開(kāi)展了網(wǎng)絡(luò)空間地理學(xué)（Cybergeography Re search）研究項(xiàng)目[21]，并于2000年出版了著作Mapping Cyberspace，該項(xiàng)目研究了互聯(lián)網(wǎng)的大量地理學(xué)特征，并根據(jù)地球的實(shí)際地理位置和網(wǎng)絡(luò)空間的抽象概念繪制了一系列網(wǎng)絡(luò)地圖。

另外，還有其他研究人員或機(jī)構(gòu)也在開(kāi)展網(wǎng)絡(luò)測(cè)量及其相關(guān)領(lǐng)域的研究工作，例如，LYON領(lǐng)導(dǎo)的The Opte Project項(xiàng)目組研究了互聯(lián)網(wǎng)地圖的繪制工作[22]，并發(fā)布了網(wǎng)絡(luò)地圖生成軟件LGL（Large Graph Layout），ACETO等[23]提出了一種網(wǎng)絡(luò)測(cè)量的統(tǒng)一架構(gòu)，實(shí)現(xiàn)了測(cè)量策略的自動(dòng)管理，該研究成果可用作端到端可用帶寬測(cè)量工具，YUAN等[24]根據(jù)應(yīng)用需求或網(wǎng)絡(luò)流量狀況定義的流序列，提出了一種可編程測(cè)量架構(gòu)ProgME，該架構(gòu)能夠?qū)崟r(shí)分析和統(tǒng)計(jì)網(wǎng)絡(luò)流量。

在國(guó)內(nèi)，據(jù)相關(guān)文獻(xiàn)報(bào)道，哈爾濱工業(yè)大學(xué)[1]、東南大學(xué)[16]、清華大學(xué)網(wǎng)絡(luò)行為研究所[7]等高校和研究機(jī)構(gòu)也對(duì)網(wǎng)絡(luò)測(cè)量分析、網(wǎng)絡(luò)測(cè)量在網(wǎng)絡(luò)行為中的應(yīng)用研究領(lǐng)域開(kāi)展了相關(guān)的研究。

2.2 網(wǎng)絡(luò)行為建模

網(wǎng)絡(luò)行為建模旨在歸納網(wǎng)絡(luò)活動(dòng)、網(wǎng)絡(luò)流量或數(shù)據(jù)傳輸?shù)囊?guī)律，通過(guò)構(gòu)建某種數(shù)學(xué)模型，以發(fā)現(xiàn)網(wǎng)絡(luò)行為模式。網(wǎng)絡(luò)行為異常檢測(cè)就是在目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)行為模式中，識(shí)別出異常的網(wǎng)絡(luò)行為，因此，網(wǎng)絡(luò)行為建模為網(wǎng)絡(luò)行為異常檢測(cè)提供了數(shù)據(jù)基礎(chǔ)。

網(wǎng)絡(luò)行為建模可以從互聯(lián)網(wǎng)用戶、網(wǎng)絡(luò)節(jié)點(diǎn)、網(wǎng)絡(luò)流量等方面著手構(gòu)建發(fā)現(xiàn)網(wǎng)絡(luò)行為模式的數(shù)學(xué)模型。文獻(xiàn)[25]從用戶行為的角度，概述了互聯(lián)網(wǎng)用戶行為的建模方法，它將互聯(lián)網(wǎng)用戶行為定義為用戶與互聯(lián)網(wǎng)環(huán)境及服務(wù)交互產(chǎn)生的一系列活動(dòng)，該文獻(xiàn)認(rèn)為，網(wǎng)絡(luò)用戶行為分類為用戶個(gè)體行為[26]和群體行為[27]，它介紹了三種互聯(lián)網(wǎng)用戶個(gè)體行為建模方法：基于個(gè)人歷史行為的概率序列模型、基于網(wǎng)絡(luò)結(jié)構(gòu)的條件隨機(jī)場(chǎng)模型、基于主題模型的行為預(yù)測(cè)模型；同時(shí)介紹了三種互聯(lián)網(wǎng)用戶群體行為的建模方法：基于隨機(jī)模型的用戶群體行為建模、基于時(shí)間序列模型的用戶群體行為建模、基于智能體的用戶群體行為建模。文獻(xiàn)[28]從網(wǎng)絡(luò)節(jié)點(diǎn)的角度，提出了一種基于信任的群體異常行為發(fā)現(xiàn)模型，該模型將網(wǎng)絡(luò)空間中的節(jié)點(diǎn)與節(jié)點(diǎn)在交互行為上所表現(xiàn)出的主觀性判斷定義為網(wǎng)絡(luò)信任，建立網(wǎng)絡(luò)節(jié)點(diǎn)間的信任矩陣，并通過(guò)信任度的量化來(lái)建立網(wǎng)絡(luò)行為的構(gòu)建模型。文獻(xiàn)[13]從網(wǎng)絡(luò)流量的角度，提出了一種構(gòu)建互聯(lián)網(wǎng)骨干網(wǎng)流量行為模式的通用方法，該方法歸納終端主機(jī)和服務(wù)的通信模式，采用數(shù)據(jù)挖掘和信息論技術(shù)，可以對(duì)通用網(wǎng)絡(luò)流量模式進(jìn)行分類。

2.3 網(wǎng)絡(luò)行為分析

網(wǎng)絡(luò)行為分析以網(wǎng)絡(luò)行為建模階段構(gòu)建的網(wǎng)絡(luò)行為模式為基礎(chǔ)，從某一方面的網(wǎng)絡(luò)活動(dòng)屬性著手，發(fā)現(xiàn)網(wǎng)絡(luò)行為的潛在規(guī)律，為網(wǎng)絡(luò)行為的異常檢測(cè)提供檢測(cè)分析方法基礎(chǔ)。目前，針對(duì)網(wǎng)絡(luò)行為分析的方法有流量行為分析、端至端行為分析等。流量行為分析方法采用網(wǎng)絡(luò)流量特征構(gòu)建網(wǎng)絡(luò)行為，通過(guò)發(fā)現(xiàn)網(wǎng)絡(luò)流量的活動(dòng)規(guī)律來(lái)分析網(wǎng)絡(luò)行為。端至端行為分析方法通過(guò)在端主機(jī)向網(wǎng)絡(luò)發(fā)送流量數(shù)據(jù)，再獲取并分析網(wǎng)絡(luò)響應(yīng)數(shù)據(jù)的延遲情況，這是一種主動(dòng)的網(wǎng)絡(luò)行為構(gòu)建和分析方法[16]。

目前，網(wǎng)絡(luò)行為分析的研究成果較多，已有大量文獻(xiàn)進(jìn)行了報(bào)道。KENT等[28]等針對(duì)大規(guī)模網(wǎng)絡(luò)的認(rèn)證數(shù)據(jù)，構(gòu)建了認(rèn)證圖，對(duì)網(wǎng)絡(luò)用戶行為進(jìn)行分析。ALBANESE等[30]針對(duì)不能采用已有模型進(jìn)行識(shí)別的網(wǎng)絡(luò)安全事件，提出了一種評(píng)估其發(fā)生概率的框架，通過(guò)分析網(wǎng)絡(luò)流量的規(guī)律，用于識(shí)別未知網(wǎng)絡(luò)行為。WANG等[31]以清華大學(xué)校園網(wǎng)為研究對(duì)象，利用基于網(wǎng)絡(luò)數(shù)據(jù)流的預(yù)測(cè)和推導(dǎo)技術(shù)，分析了輸入網(wǎng)絡(luò)數(shù)據(jù)流的特征，并通過(guò)對(duì)用戶上網(wǎng)行為的分析，得出了用戶對(duì)上網(wǎng)服務(wù)定價(jià)策略的傾向。TAN等[32]提出了一種基于SVM（Support Vector Machine）的TCP（Transmission Control Protocol）和UDP（User Datagram Protocol）網(wǎng)絡(luò)數(shù)據(jù)流的分類方法，并采用GA（Genetic Algorithm）算法和PSO（Particle Swarm Optimization）技術(shù)提高了網(wǎng)絡(luò)數(shù)據(jù)流的識(shí)別率。DU等[33]集成了端口分類技術(shù)、深層包檢測(cè)技術(shù)和統(tǒng)計(jì)學(xué)方法，提出了一種多級(jí)網(wǎng)絡(luò)數(shù)據(jù)流分類方法，該方法具有較好的網(wǎng)絡(luò)數(shù)據(jù)流實(shí)時(shí)識(shí)別率。

2.4 網(wǎng)絡(luò)流量異常檢測(cè)

網(wǎng)絡(luò)流量異常檢測(cè)從網(wǎng)絡(luò)流量規(guī)律的角度來(lái)檢測(cè)異常網(wǎng)絡(luò)行為，雖然只識(shí)別了異常網(wǎng)絡(luò)行為的一個(gè)側(cè)面，但卻為網(wǎng)絡(luò)行為的異常檢測(cè)提供了一種可行的方法。

在網(wǎng)絡(luò)流量異常檢測(cè)方面，GOONATILAKE等[34]采用概率學(xué)方法和統(tǒng)計(jì)學(xué)模型，并基于網(wǎng)絡(luò)數(shù)據(jù)流的用途，提出了一種網(wǎng)絡(luò)數(shù)據(jù)流的異常檢測(cè)模型。LIU等[35]對(duì)目標(biāo)函數(shù)和距離函數(shù)進(jìn)行了改進(jìn)，在保持FCM（Fuzzy C-means Clustering）聚類準(zhǔn)確率的同時(shí)，降低了其計(jì)算復(fù)雜度，并結(jié)合FCM和GMM（Gaussian Mixture Model）聚類技術(shù)，提出了一種網(wǎng)絡(luò)數(shù)據(jù)流異常檢測(cè)技術(shù)。周愛(ài)平等[36]基于網(wǎng)絡(luò)流量的突發(fā)性特性提出峰值流量測(cè)度，建立了一種評(píng)價(jià)網(wǎng)絡(luò)運(yùn)行狀況和規(guī)劃容量的方法，該方法能夠?qū)π陆ㄐ@網(wǎng)的接入帶寬進(jìn)行準(zhǔn)確評(píng)估。董曉梅等[37]結(jié)合入侵檢測(cè)技術(shù)和數(shù)據(jù)流挖掘技術(shù)提出了一種大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流頻繁模式挖掘和檢測(cè)算法，該算法可以檢測(cè)出網(wǎng)絡(luò)流量異常。

2.5 智能檢測(cè)

為了提高網(wǎng)絡(luò)行為的異常檢測(cè)性能，研究人員將計(jì)算智能方法（Computational Intelligence）引入到其中，對(duì)于提高異常網(wǎng)絡(luò)行為的檢測(cè)質(zhì)量起到了一定的作用。文獻(xiàn)[38]提出了一種基于克隆選擇原理（Clonal Selection）[39]的異常網(wǎng)絡(luò)行為監(jiān)測(cè)方法，對(duì)TCP協(xié)議下的異常網(wǎng)絡(luò)行為進(jìn)行了監(jiān)測(cè)。克隆選擇原理是人工免疫系統(tǒng)（Artificial Immune System）[40]的關(guān)鍵算法，它具有較好的智能特性，有助于提高網(wǎng)絡(luò)行為異常檢測(cè)方法的適應(yīng)性。

文獻(xiàn)[38]構(gòu)建的異常網(wǎng)絡(luò)行為監(jiān)測(cè)方法流程如圖1所示，該方法構(gòu)建了收集網(wǎng)絡(luò)行為、構(gòu)建正常網(wǎng)絡(luò)行為模式庫(kù)、構(gòu)建異常網(wǎng)絡(luò)行為模式庫(kù)、模擬克隆選擇原理、識(shí)別異常網(wǎng)絡(luò)行為等過(guò)程。

文獻(xiàn)[38]提出的異常網(wǎng)絡(luò)行為監(jiān)測(cè)方法通過(guò)多接入點(diǎn)并行捕獲TCP流量，抽取網(wǎng)絡(luò)數(shù)據(jù)的關(guān)鍵特征，分析網(wǎng)絡(luò)操作的共性，并以此為基礎(chǔ)構(gòu)建網(wǎng)絡(luò)行為模式。該方法既利用傳統(tǒng)的網(wǎng)絡(luò)行為專家?guī)欤怖每寺∵x擇原理的動(dòng)態(tài)演化機(jī)制，學(xué)習(xí)出能夠識(shí)別異常網(wǎng)絡(luò)行為的監(jiān)測(cè)要素。該方法模擬了克隆選擇原理的親和力成熟和動(dòng)態(tài)適應(yīng)性機(jī)制，讓識(shí)別網(wǎng)絡(luò)行為的監(jiān)測(cè)要素能夠在網(wǎng)絡(luò)環(huán)境中進(jìn)行進(jìn)化，具有智能特性。

圖1 基于克隆選擇原理的異常網(wǎng)絡(luò)行為監(jiān)測(cè)方法

3 研究展望

網(wǎng)絡(luò)行為的大規(guī)模特性，給網(wǎng)絡(luò)行為的異常檢測(cè)帶來(lái)了巨大的難度。首先，要從海量的網(wǎng)絡(luò)行為中識(shí)別出概率很小的異常網(wǎng)絡(luò)行為，需要精確的數(shù)據(jù)分析技術(shù)，這要求網(wǎng)絡(luò)行為異常檢測(cè)方法能夠適應(yīng)大數(shù)據(jù)背景下的互聯(lián)網(wǎng)環(huán)境。其次，網(wǎng)絡(luò)行為的異常檢測(cè)技術(shù)還需要具有實(shí)時(shí)性，才能更好地為動(dòng)態(tài)的網(wǎng)絡(luò)管理提供科學(xué)的參考，而要在潮水般的網(wǎng)絡(luò)活動(dòng)中實(shí)時(shí)地識(shí)別出異常網(wǎng)絡(luò)行為，這對(duì)網(wǎng)絡(luò)行為異常檢測(cè)技術(shù)提出了更高的要求。

互聯(lián)網(wǎng)規(guī)模龐大、結(jié)構(gòu)復(fù)雜，這導(dǎo)致網(wǎng)絡(luò)行為模式復(fù)雜多變，傳統(tǒng)的檢測(cè)理論和技術(shù)對(duì)千變?nèi)f化的網(wǎng)絡(luò)環(huán)境適應(yīng)性不強(qiáng)，其對(duì)異常網(wǎng)絡(luò)行為進(jìn)行檢測(cè)的局限性越來(lái)越明顯。針對(duì)網(wǎng)絡(luò)行為異常檢測(cè)的研究，需要綜合運(yùn)用網(wǎng)絡(luò)測(cè)量、網(wǎng)絡(luò)行為建模、網(wǎng)絡(luò)行為分析和網(wǎng)絡(luò)流量異常檢測(cè)的最新研究成果，除此之外，還需要分析最新的網(wǎng)絡(luò)態(tài)勢(shì)，利用前沿的數(shù)據(jù)分析技術(shù)，大力提高檢測(cè)的質(zhì)量和效率。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)行為異常檢測(cè)能夠識(shí)別異常網(wǎng)絡(luò)行為的活動(dòng)規(guī)律，其檢測(cè)結(jié)果可以為網(wǎng)絡(luò)安全管理提供科學(xué)的依據(jù)，它對(duì)于維護(hù)網(wǎng)絡(luò)的正常運(yùn)行具有重要的意義。當(dāng)前，網(wǎng)絡(luò)行為異常檢測(cè)研究主要集中在網(wǎng)絡(luò)測(cè)量、網(wǎng)絡(luò)行為建模、網(wǎng)絡(luò)行為分析、網(wǎng)絡(luò)流量異常檢測(cè)等相關(guān)研究領(lǐng)域，它們?yōu)闄z測(cè)異常網(wǎng)絡(luò)行為奠定了理論和方法基礎(chǔ)。但是，網(wǎng)絡(luò)行為的大規(guī)模特性，使得異常網(wǎng)絡(luò)行為檢測(cè)的質(zhì)量和效率還有待提高，這促使現(xiàn)有的網(wǎng)絡(luò)行為異常檢測(cè)技術(shù)尚需進(jìn)一步改進(jìn)。

[1]張宏莉，方濱興，胡銘曾，等.Internet測(cè)量與分析綜述[J].軟件學(xué)報(bào)，2003，14（1）：110-116.

[2]王繼龍，吳建平.Internet網(wǎng)絡(luò)行為學(xué)[EB/OL].http：//wenku.baidu.com/link?url=6LXb8IWY7WaAs1vDc7jGAz0XRjqpjuV2diRnwz0MZEW4 5vcLHcbtCm6bJ62IDZtxJsloZRm0RkH8he_FkerBgEYAAdL0HmVyHbcQCwNlx1O.

[3]中國(guó)國(guó)務(wù)院.關(guān)于促進(jìn)信息消費(fèi)擴(kuò)大內(nèi)需的若干意見(jiàn)：國(guó)發(fā)〔2013〕32號(hào)[A/OL].2013-08-04[2017-03-20].gov.cn/zwgk/2013-08-14-content-2466856 htm.

[4]CNNIC.第 39次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告 [EB/OL].[2017-04-20].http：//www.cnnic.cn/hlwfzyj/hlwxzbg/hlwtjbg/201701/ P020170123364672657408.pdf，2017.1.

[5]CNCERT/CC.2015年中國(guó)互聯(lián)網(wǎng)絡(luò)安全報(bào)告[EB/OL].[2017-04-20].http：//www.cert.org.cn/publish/main/upload/File/2015annualreport. pdf，2016.6.

[6]中國(guó)國(guó)務(wù)院.關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)：國(guó)發(fā)〔2012〕23號(hào)[A/OL].2012-07-07[2017-03-20].gov.cn/ zwgk/2012-07/17-content-2184979.htm.

[7]清華大學(xué)網(wǎng)絡(luò)行為研究所本所介紹.[EB/OL].http：//thu-iib.org/.

[8]McAfee Network User Behavior Analysis[EB/OL].[2017-05-20].http：//www.mcafee.com/us/product s/network-uba.aspx.

[9]郭莉，牛溫佳，GANG L.《網(wǎng)絡(luò)安全行為分析》專輯前言[G].計(jì)算機(jī)學(xué)報(bào)，2014，37（1）：I0001-I0002.

[10]徐建華，張英，萬(wàn)發(fā)仁.影響網(wǎng)絡(luò)安全的因素及防控措施[J].農(nóng)業(yè)網(wǎng)絡(luò)信息，2008（8）：80-82.

[11]張潤(rùn)蓮，武小年，周勝源，等.一種基于實(shí)體行為風(fēng)險(xiǎn)評(píng)估的信任模型[J].計(jì)算機(jī)學(xué)報(bào)，2009（4）：688-698.

[12]COSTA L F，RODRIGUES F A，TRAVIESO G，et al.Characterization of complex networks：A survey of measurements[J].Advances in Physics，2007，56（1）：167-242.

[13]XU K，ZHANG Z L，BHATTACHARYYA S.Profiling internet backbone traffic：behavior models and applications[J].ACM SIGCOMM Computer Communication Review，2005，35（4）：169-180.

[14]PAXSON V.End-to-End routing behavior in the Internet[J].IEEE/ACM Transactions on Networking，1997，5（5）：601-615.

[15]THOTTAN M，JI C.Anomaly detection in IP networks[J].IEEE Transactions on Signal Processing，2003，51（8）：2191-2204.

[16]程光，龔儉，丁偉.網(wǎng)絡(luò)測(cè)量及行為學(xué)研究綜述[J].計(jì)算機(jī)工程與應(yīng)用，2004，27：1-8.

[17]The Internet Mapping Project.http：//www.cheswick.com/ches/map/.

[18]BURCH H，CHESWICK B.Mapping the Internet[J].IEEE Computer，1999，32（4）：97-98.

[19]CLAFFY K，MONK T E，MCROBB D.Internet tomography[J/OL].Nature，1999，January 7.http：//www.nature.com/nature/webmatters/tomog/tomog.html.

[20]CAIDA Tools.http：//www.caida.org/tools/[EB].

[21]Cybergeography Research[EB/OL].[2017-04-20].http：//personalpages.manchester.ac.uk/staff/m.dodge/cybergeography/.

[22]He Opte Project[EB/OL].[2017-04-20].http：//www.opte.org.

[23]ACETO G，BOTTA A，PESCAPé A，et al.Unified architecture for network measurement：The case of available bandwidth[J].Journal of Network and Computer Applications，2012，35（5）：1402-1414.

[24]YUAN L H，CHUAH C N，MOHAPATRA P.ProgME：Towards Programmable Network Measurement[J].IEEE/ACM Transactions on Networking，2011，19（1）：115-128.

[25]孔慶超，毛文吉.互聯(lián)網(wǎng)用戶行為的建模與預(yù)測(cè)[J].中國(guó)自動(dòng)化學(xué)會(huì)通訊，2012，33（3）：27-30.

[26]MANAVOGLU E，PAVLOV D，GILES C L.Probabilistic User Behavior Models[C].Proc.of the 3rd IEEE International Conference on Data

Mining（ICDM）.Melbourne，IEEE，2003，pp.203-210.

[27]王元卓，于建業(yè)，等.網(wǎng)絡(luò)群體行為的演化博弈模型與分析方法[J].計(jì)算機(jī)學(xué)報(bào)，2015（2）：282-300.

[28]李喬，何慧，方濱興，等.基于信任的網(wǎng)絡(luò)群體異常行為發(fā)現(xiàn)[J].計(jì)算機(jī)學(xué)報(bào)，2014，37（1）：1-14.

[29]KENT A D，LIEBROCK L M，NEIL J C.Authentication graphs：Analyzing user behavior within an enterprise network[J].Computers&Security，2015，（48）：150-166.

[30]ALBANESE M，ERBACHER R F，JAJODIA S，et al.Recognizing Unexplained Behavior in Network Traf?c[J].Network Science and Cybersecurity Advances in Information Security，2014，55：39-62.

[31]WANG J H.，AN C Q，YANG J H.A study of traffic，user behavior and pricing policies in a large campus network[J].Computer Communications，2011，34（16）：1922-1931.

[32]TAN J，CHEN X，DU M.An Internet Traffic Identification Approach Based on GA and PSO-SVM[J].Journal of Computers，2012，7（1）：19-29.

[33]DU M，CHEN X，TAN J.Online Internet Traffic Identification Algorithm Based on Multistage Classifier[J].China Communications，2013，pp. 89-97.

[34]GOONATILAKE R，HERATH S，HERATH A.Probabilistic Models for Anomaly Detection Based on Usage of Network Traffic[J].Journal of Information Engineering and Applications，2013，3（9）：28-40.

[35]LIU D，LUNG C H，LAMBADANS I，SEDDIGH N.Network traffic anomaly detection using clustering techniques and performance comparison[C].2013 26th Annual IEEE Canadian Conference on Electrical and Computer Engineering（CCECE），Regina，SK，pp.1-4，2013.

[36]周愛(ài)平，程光.基于峰值流量的網(wǎng)絡(luò)行為特征及影響因子分析[J].通信學(xué)報(bào)，2012，33（10）：117-125.

[37]董曉梅，于戈，田玥，等.大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流異常檢測(cè)方法研究[J/OL].中國(guó)科技論文在線，http：//www.paper.edu.cn/releasepaper/ content/200610-319，2006.

[38]ZHANG Y，LIU C M，et al.Clonal Selection-based Surveillance Algorithm for Transmission Control Protocol Anomaly Network Behavior[C]. 2015 11th International Conference on Semantics，Knowledge and Grids（SKG 2015），Aug.19-21，2015，Beijing，China，pp.168-173.

[39]KIM J，BENTLEY P J.Towards an artificial immune system for network intrusion detection：an investigation of dynamic clonal selection[C]. Proc.of the Congress on Evolutionary Computation，pp.1015-1020，2002.

[40]DE CASTRO L N，TIMMIS J I.Artificial immune systems：a novel computational intelligence approach[M].London：Springer-Verlag，2002.