基于網絡通信異常識別的多步攻擊檢測方法

琚安康，郭淵博，李濤，葉子維

（戰略支援部隊信息工程大學密碼工程學院，河南 鄭州 450001）

1 引言

根據近年來國家互聯網應急中心發布的中國互聯網網絡安全報告，個人信息泄露、網絡釣魚等安全事件數量呈上升趨勢；網絡基礎設備、域名系統等基礎網絡和關鍵基礎設施依然面臨著較大的安全風險，網絡攻擊事件多有發生，針對重要信息系統的高強度、有組織的攻擊威脅形勢日益嚴峻，多步攻擊已經成為網絡攻擊的主要方式[1]。

網絡攻擊是嘗試破壞資源完整性、保密性和可用性的行為集合。當攻擊行為具有獨立的、不可分解的攻擊目的時，被稱為單步攻擊。多步攻擊是將單步攻擊按照一定的邏輯關系進行排列，在特定的時間和空間中形成一個攻擊序列，從而實現僅用單步攻擊無法實現的攻擊意圖[2]。

與傳統攻擊方式相比，多步攻擊采用的手段更加豐富，不僅包括拒絕服務（DoS, denial of service）攻擊、Web滲透（如跨站腳本攻擊等）、掃描攻擊、暴力破解等常見攻擊方式，還包括隱蔽式木馬、新型僵尸網絡等新型攻擊手段。采用新型攻擊手段的多步攻擊以復雜網絡攻擊[3]和 APT（advanced persistent threat）[4]為典型代表，其造成的危害更加嚴重且檢測難度較大，是影響當前網絡安全狀況的重要因素。APT是一種具有高度復雜性、強隱蔽性的多步攻擊，其檢測問題已成為網絡安全領域關注的重點，也是近年來學術研究的熱點課題[3,5]。

告警關聯分析[6-8]、攻擊圖[9]等技術為多步攻擊檢測提供了很好的解決思路，但這些方法都建立在已知攻擊特征的檢測技術基礎上，依賴于多步攻擊模式的專家知識，針對未知特征的攻擊行為沒有很好的檢測效果。異常檢測技術是應對APT等未知威脅的可行方法，但傳統單點檢測的方法只能發現某階段的局部異常事件，無法從局部異常事件還原出整體攻擊過程；同時，由于異常檢測技術本身誤報情況嚴重，如何降低誤報是異常檢測技術研究的關鍵問題。

GBAD（graph-based anomaly detection）在社區發現、模式識別等眾多領域得到廣泛應用，在入侵檢測領域同樣有著諸多研究成果[10]。結合典型企業網絡環境與攻擊鏈模型，本文提出了一種通過檢測網絡通信異常來識別多步攻擊的方法。分別采用基于圖的異常分析和小波分析方法識別多步攻擊帶來的2類共4種網絡異常行為，并給出關聯重構多步攻擊場景的方法，為檢測復雜網絡攻擊、APT等定制化多步攻擊提供方法。

2 多步攻擊示例與威脅模型

本節首先給出典型企業網絡部署示例，并舉例說明企業網絡環境下的多步攻擊實施過程，在此基礎上給出基本定義和多步攻擊威脅模型。

2.1 典型企業網絡環境及多步攻擊示例

企業網絡環境下多步攻擊場景可用擊殺鏈模型進行刻畫。擊殺鏈模型[11]是對攻擊行為的一種通用性描述，它最早由Jeffrey Carr于2008年提出，并在2013年經Lockheed Martin公司優化進而形成模型。擊殺鏈模型將攻擊概括為目標偵察、武器定制、投遞、利用、安裝、建立通道、行動實施等攻擊步驟。擊殺鏈實施過程如圖1所示。

圖1 擊殺鏈實施過程

擊殺鏈實施過程具體描述如下。攻擊者在采取攻擊行動之前，首先要對攻擊目標的相關情報進行收集，對目標網絡有一定的了解后，定制相應的攻擊工具，開始實施攻擊行為。初始入侵階段采用社會工程、漏洞利用等方法，對目標網絡中的弱點主機滲透侵入，并以此建立立足點。對立足點主機實現持續控制后，通過立足點主機對內網進行探測，分析網絡拓撲和可利用漏洞。之后向內網中弱點主機植入惡意軟件，提升用戶權限，并逐步向內網滲透。在收集獲取到目標數據后，將數據通過層層跳板外傳，最后清除日志掩飾攻擊行為。

典型企業網絡環境如圖2所示。攻擊者為獲取系統內部敏感數據，可通過下述步驟對數據進行竊取。1) 在攻擊之初，攻擊者對目標網絡進行掃描探測，滲透侵入DMZ（demilitarized zone）中的Web服務器，并以此作為繼續侵入內部系統的立足點；2) 攻擊者以 Web服務器為立足點，逐步滲透侵入內部關鍵數據節點；3) 攻擊者在關鍵數據節點加載惡意軟件，提升用戶權限并獲取關鍵數據，然后通過遠程訪問服務在內部數據節點與外部主機之間創建網絡隧道；4) 利用網絡隧道，將關鍵文件或數據傳輸至DMZ中的Web服務器，并通過各個跳板，將敏感數據傳輸至外部站點，最終實現數據竊取目的。

一般來說，在每一個活動步驟中，攻擊者雖然有意識地在目的達成后擦除系統日志等攻擊痕跡，設法偽裝自己，然而網絡通信行為必然會在各類網絡設備中留下行為痕跡，也會在網絡通信日志中留下活動記錄，并且攻擊者的網絡通信行為與正常用戶操作會有差別，這為檢測出攻擊行為提供了可能。另一方面，在企業內部網絡環境中，由于業務邏輯較為固定，且在網絡邊緣部署內容過濾產品分析網絡數據分組并對網絡內容進行過濾，從而使進出網絡的訪問行為受限，因此通過檢測異常網絡通信行為來識別多步攻擊場景的方法是可行且有效的。

圖2 典型企業網絡環境

由于攻擊活動的實施會在網絡通信日志中留下記錄，且與企業網絡環境中正常業務邏輯有明顯區別，根據上述分析可以得出采用基于網絡圖的方法檢測多步攻擊網絡通信異常行為的檢測依據：多步攻擊的發生，會在受攻擊主機、中間節點、受攻擊對象等各類網絡實體之間引入額外的通信流量，且攻擊活動會帶來與正常業務相區別的通信模式。

基于上述檢測依據，本文提出基于檢測網絡通信異常行為的多步攻擊檢測方法，識別異常通信子圖并結合通信數據量的統計異常情況，確定異常主機并關聯分析得出多步攻擊事件，通過后續綜合分析得出多步攻擊場景，以發現系統潛在安全威脅，保護系統資源的完整性、保密性和可用性。

2.2 威脅模型

為便于后續描述，給出下述基本定義。

定義1 多步攻擊事件集。攻擊者為實現最終攻擊目的而實施的攻擊事件集，是由多個基本攻擊事件構成的攻擊事件集合。

定義2 多步攻擊場景。具有特定攻擊目的并由攻擊者發起的一次有計劃的、完整的攻擊過程，通常由多步攻擊事件集按照一定邏輯關系排列構成，是集合中各攻擊事件按照一定的時間或空間關系組成的攻擊序列。

在正常的工作狀態下，主機的網絡通信行為有著一定的規律性。例如，有些主機之間沒有直接通信關系、平時通信量較少或只有單向連接關系等；而在多步攻擊實施過程中，攻擊發起主機或受感染主機的網絡通信行為與正常業務主機的行為有所偏離[12]。4種最為常見的多步攻擊事件類型介紹如下。

1) 拒絕服務攻擊（DoS）。攻擊者通過控制僵尸網絡發動 DoS 攻擊，以達到致癱目標節點的目的，在攻擊發動階段會有多個IP向單個主機發起連接。基本攻擊事件之間具有并列關系，其網絡通信行為呈現匯聚形態。

2) 掃描探測（scan）。攻擊者向內網滲透的首要工作是掃描探測以查找弱點主機，掃描一定范圍的內網節點，查找具有開放服務和可利用漏洞的弱點主機，在這一過程中，攻擊者會從單個主機向內部網絡中多臺主機發起網絡通信。基本攻擊事件之間具有并列關系，其網絡通信行為呈現發散形態。

3) 內網滲透（penetrate）。攻擊者從立足點主機出發，逐步向內網遷移滲透，尋找存儲關鍵數據的目標主機，是由弱點主機一步一步探測并向目標主機遷移的過程。基本攻擊事件之間具有依賴關系，其網絡通信行為呈現連續的發散形態。

4) 數據獲取（get）。在得到關鍵節點的高級權限后，攻擊者提取目標數據并通過跳板節點向網外傳輸，會帶來通信流量的數據異常。基本事件之間具有選擇關系，其網絡通信行為呈現明顯突發性變化。

在上述4種攻擊示例中，示例1)～示例3)都是特殊的通信子圖形式，通過對一定時間窗口內的網絡通信情況進行分析，得出異常子圖并對其分析驗證；示例4)需要對2個節點之間的正常通信數據進行建模分析，找出通信行為統計規律，計算通信過程在各時刻的異常值，從而發現異常的數據通信。

與上述4種多步攻擊事件相對應的網絡通信特征如圖3所示。其中，圖3(a)為in-star，即多條連接指向單個節點；圖3(b)為out-star，即單個節點發出多條連接；圖3(c)為k-path，即攻擊者向目標節點逐步滲透；圖3(d)為 red-edge，即通信邊的數據流量突發性異常。

圖3 4種網絡異常通信特征

攻擊鏈模型中各攻擊階段描述與圖3中對應的異常通信特征如表1所示。

表1 各攻擊階段及異常通信特征

通過上述對 4種類型多步攻擊實施過程的分析，可以歸納出下述3種基本攻擊事件之間的邏輯關系。

1) 并列關系。多個單步攻擊以任意次序全部成功，才是下一步攻擊實施的前提。

2) 依賴關系。一個單步攻擊的成功是另一個單步攻擊實施的前提條件。

3) 選擇關系。多個單步攻擊中任意一個成功實施，即為另一個單步攻擊創造了前提。

上述3種關系概括了大多數多步攻擊實施過程中各原子事件的基本邏輯關系，在多步攻擊實施過程中，一個完整的多步攻擊可能是多種類型多步攻擊事件的組合。

上面給出了典型企業網絡環境及多步攻擊示例，在實際檢測過程中，需要先根據異常網絡通信行為檢測出多步攻擊事件，再將多步攻擊事件進行關聯分析，從而得出多步攻擊場景，最終達到檢測出多步攻擊的目的。

3 檢測思路及算法

本文通過分析對應于網絡圖的各類異常子圖模式，識別多步攻擊帶來的異常網絡通信行為。針對多步攻擊帶來的異常通信特征，采用基于圖的異常檢測方法，檢測滑動時間窗口內的異常通信子圖；并基于小波變換的方法分析檢測網絡攻擊行為在持續控制階段、數據外傳階段產生的異常通信行為，然后通過對2種異常的關聯分析得出主機的異常值評分，并通過對各個異常事件的關聯重構出多步攻擊場景。

本節首先介紹網絡通信模型的基本定義，在此基礎上給出基于網絡異常識別的多步攻擊檢測解決方案。

3.1 網絡通信模型

對網絡通信模型進行如下定義。整體網絡通信數據可表示在一個時間與通信圖的叉乘空間S=T×G內[13]，其中，通信圖(,)G=V E，節點集V包括網絡內所有通信主機，邊集E包括所有具有網絡通信行為的通信邊。對于每條邊e∈E，在任意的離散時間點t∈{ 1,…,T}，都可以得到一個數據過程Xe(t)，時間T內所有時間窗口Ω= { (s,s+ 1,…,k): 0 ≤s＜k≤T}，給出包含時間T內的所有時間窗口集合的全集Γ= { {ω1,ω2,…,ωi,…,ωn}:ωi∈Ω}。通常只研究包含約束的時間窗口集合τ∈ΓR，將在一定的時間窗口τ內的通信邊e表示為Xe(τ)。研究的整體數據空間可表示為S= { (ω,g) |ω∈Ω,g∈G}，其中，ω為時間窗口，g是在該時間窗口內的通信圖。

3.2 基于滑動時間窗口的異常通信子圖檢測算法

本節檢測第一類異常——異常子圖，對應于圖3(a)～圖3(c)所示的3種異常。采用基于滑動時間窗口的異常通信子圖檢測算法，在特定時間窗口內匹配與這3種異常相對應的子圖模式，并根據匹配度計算異常值，異常值計算方法需滿足以下條件。

1) 在一定時間窗口內，某一節點的度大于正常情況，且入度遠大于出度，二者的值相差越多，異常值越大。

2) 在一定時間窗口內，某一節點的度大于正常情況，且出度遠大于入度，二者的值相差越多，異常值越大。

3) 若干個節點出度大于入度，且形成連續滲透的圖狀結構，時間上有先后約束關系。由于路徑過短不能反映出多步攻擊的實施特點，路徑過長的多步攻擊發生可能性較低，且可以被短路徑檢測結果涵蓋，綜合考慮實際攻擊案例，本文選擇異常路徑長度為3。

整體數據空間S= { (ω,g) |ω∈Ω,g∈G}，其中，時間窗口ω與時間窗口內的通信圖g在上文中已有定義，這里考察異常子圖集合S'?S。引入異常值函數f的定義，f:S→R，且 ?s'∈S'，有|f(s')-其中c0為異常閾值，異常值函數f的計算過程遵照上述原則。

異常子圖生成算法思想為：對滑動時間窗口內的通信圖g計算其異常值，若g滿足異常子圖模式且異常值大于設定閾值，則將其加入異常子圖列

與 Neil等[13-14]以天為時間單位進行異常分析的方法不同，由于以天為單位不符合多步攻擊帶來網絡通信的短時間變化，為更加細粒度地分析攻擊實施細節，本文選取的時間窗口為7 200 s，即2 h；時間窗口每次滑動1 800 s，即30 min。

對于有n個通信節點、e條通信邊的通信圖G，檢測T時間內的所有異常子圖（假設時間窗口為tw，每次滑動ts），其算法復雜度為表。此算法目的在于，檢測出在一定時間區間內與特征模式相匹配的所有異常通信子圖，計算出相應置信度和節點異常值，并生成異常子圖列表。異常子圖生成算法如算法1所示。

算法1 異常子圖生成算法

輸入(G,)Ω

輸出(graph_list)

3.3 基于小波變換的網絡通信異常分析算法

本節檢測第二類異常——異常通信邊，即圖3(d)所示的異常。使用泊松模型描述網絡突發量時存在較大誤差，現有研究表明，正常網絡流量具有自相似性，而網絡攻擊行為產生的異常流量會對網絡流量的自相似性產生明顯的影響[15]。Hurst指數是反映網絡流量長相關和自相似性的重要指標。因此，為有效地檢測出單個通信邊的數據量異常，本文采用小波分析的方法，求解正常通信流量的Hurst指數，檢測出網絡通信中的異常點，返回異常通信邊列表edge_list。

小波變換通過將時域中的通信數據變換到小波域內對數據進行預測，再將預測值轉換到時域中。目前，主要有3種利用小波變換求解Hurst指數的方法：能量法、小波分析法和譜估計法。本文選擇小波分析法進行求解，算法原理描述如下。

給定一個時間序列Xi,i= 1 ,2,… ,n，對其進行二進制小波變換。

其中，ψ(?)為母小波函數，dX(j,k)為小波變換系數，j為尺度參數，k為平移參數。若Xi為二階平穩過程，則

其中，f(v)和ψ(v)分別為Xi的功率譜和ψ(?)的傅里葉變換，而且

于是有

其中，c= lb[Cf C(H,ψ)]，采用最小二乘法線性擬合得到的斜率為α= 2H- 1。

Mallat算法是計算離散柵格上小波變換的快速算法，其時間復雜度和空間復雜度均為O(N)，其中N為待分析序列的長度，這里選取Mallat算法對通信序列進行離散小波變換，以實現求解Hurst參數過程中小波系數的快速提取。

3.4 異常關聯分析

3.1節～3.3節完成了對異常子圖和異常通信過程的建模分析，分別得出異常子圖列表 graph_list和異常通信邊列表edge_list。為降低誤報率，還需要采用異常關聯算法，將2類異常進行關聯分析，得出置信度和完整性更高的攻擊場景。異常關聯算法通過綜合評估多步攻擊事件異常值，得出節點異常值評分結果，進而生成異常列表以便于后續檢索分析，最后生成按置信度大小排列的多步攻擊場景列表，如算法2所示。

//對node_list進行歸約和聚合

correlate and aggregate node_list;

//關聯分析得出多步攻擊場景列表senoria_list;return node_list and senoria_list.

用戶可以以異常主機為索引進行檢索查詢和完善驗證，具體應用過程如圖4所示。

圖4 應用過程

4 實驗與結果分析

為驗證所提方法，本文分別對LLDoS1.0數據集和LANL數據集開展實驗，驗證方法的有效性和擴展性，算法實現分別使用Python包NetworkX（版本號1.11）和PyWavlets（版本號0.5.2）。

4.1 數據集選取

目前，在入侵檢測技術的相關研究中，檢測數據源的問題一直比較突出。雖然目前文獻中已經有學者研究討論了入侵檢測數據集陳舊的問題，然而，這些數據集仍然被近來的多數研究采用；同時也有課題組給出自己的數據集模擬生成方法，產生testbed數據集[16]，針對生成的 testbed數據集開展實驗，以方便其他研究人員使用或參考生成滿足需求的測試數據集。總體來說，現有的公開數據集不能滿足新型攻擊檢測及驗證需求，而模擬數據不能反映網絡攻擊的現實情況。當前在入侵檢測領域常用的數據集如表2所示。

其他較新的入侵檢測數據集有ISCX、MAWI、NSA Data Capture、Internet Storm Center等。然而即使在最近的文獻中，這些新數據集的使用率也并不高，原因在于沒有一個較權威的認證使其他研究者認可其可靠性，而KDD 99、DARPA 99等數據集雖然較老舊，但仍是大部分研究者選用的數據對象。

綜合考慮現有方法，本文選取了DARPA 2000 LLDoS1.0數據集和 LANL實驗室的公開測試數據集作為實驗對象。以較權威的DARPA 2000數據集中的 LLDoS1.0數據集檢驗方法的有效性；為檢驗大型網絡中未知特征的攻擊檢測效果，選取LANL數據集對方法的分析效率和擴展性進行進一步分析。

4.2 基于DARPA 2000數據集的實驗

DARPA 2000數據集[16]是MIT Lincoln實驗室在2000年進行 IDS評測時獲得的數據集，具有較強的權威性和代表性。數據集包含2個多步攻擊場景，分別為LLDoS1.0和LLDoS2.0.2。為驗證本文方法的有效性，采用LLDoS1.0 Inside數據開展實驗，該數據中包括了漏洞探測、非法訪問、程序安裝以及攻擊發起等多種多步攻擊事件，LLDoS1.0數據集共包含5個階段的數據：IPsweep、Probe、Breakin、Installation、Action。LLDos 1.0攻擊過程如圖5所示。

2種算法實現分別使用Python包NetworkX（版本號1.11）和PyWavlets（版本號0.5.2）。算法在實現中使用的核心函數是 degree_centrality(G) 、in_degree_centrality(G) 、out_degree_centrality(G) 、strategy_largest_first(G, color)、max_degree (int)，其功能是對網絡圖G、節點集合中所包含子圖及節點出入度的排序輸出。通過對網絡通信圖的分析，得出異常子圖列表和異常通信邊的排序列表，經過可視化分析后，由graphviz繪出檢測結果。

圖5 LLDoS1.0攻擊過程

異常子圖檢測算法實現過程如下。首先定義網絡圖對象G，分別讀取LLS_DDoS_1.0-inside.dump文件中的tcpdump記錄，按時間順序并將其加入G中（這里以IP地址為節點標識），其中G表示了在時間窗口內的網絡圖連通情況（選取時間窗口為 30 s），分別計算時間窗口內各個子圖的異常值，將異常值過高的子圖輸出。

經過本文提出的檢測算法，得到異常子圖a（攻擊發起主機）和異常子圖b（受害主機）分別如圖6和圖7所示。然后，經過異常值關聯分析得出多步攻擊事件，通過對網絡通信圖的分析，得出異常子圖列表和異常通信邊的排序列表，經過可視化分析后，由graphviz繪出檢測結果，最終得到一個由原始攻擊組成的攻擊場景。

圖6 異常子圖a（攻擊發起主機）

圖7 異常子圖b（受害主機）

對 LLDoS1.0 inside_dump數據的實驗結果表明，此方法可有效檢測出探測滲透過程、異常數據通信（安裝）、DDoS實施過程3個攻擊事件，經過關聯分析得出整體攻擊場景，如圖8所示。

圖8 LLDoS1.0攻擊場景

針對LLDoS1.0數據集的實驗結果與數據集中標注的攻擊情況一致，即與圖5表示的攻擊過程中漏洞探測、攻擊發起等步驟均一致，與攻擊場景吻合。此方法可有效檢測出探測滲透過程、異常數據通信、DDoS實施過程的多步攻擊事件，并經過關聯分析得出整體攻擊場景。由上述檢測結果可知，針對多步攻擊檢測場景，本文所提方法可以有效檢測出可疑子圖和可疑通信邊，通過將各類異常子圖按照過程關聯，可以得出整體多步攻擊場景。

4.3 基于LANL數據集的實驗

為進一步驗證本文所提方法的擴展性，驗證其在大規模網絡中的應用效果，選取LANL數據集的flows數據作為實驗對象，對所提方法的分析效率和擴展性2個方面進行測試。

對LANL數據集的flows數據實驗與上述實驗略微有所不同。因為LANL數據集是經過匿名化和預處理的，數據格式規整，對數據集的具體描述如下。

LANL數據集[1]是2010年由Los Alamos National Laboratory在其內部網絡數據采集而來，其中，flows數據分組包括29天內由NetFlow記錄產生的通信數據，共有426 045 096條數據記錄，一共包含12 027個主機節點，99 433條有效通信邊（用IP地址區分不同節點，不同的源IP和目的IP看作不同的通信邊），目前對此數據集發表的成果較少。

LANL數據集中的flows網絡流量數據采集自關鍵路由器上搜集的網絡流量數據，其數據字段為：時間、持續時間、源主機、源端口、目的主機、目的端口、協議類型、數據分組數、字節數。網絡流量數據示例如圖9所示。

圖9 flows網絡流量數據示例

flows數據整體概況如圖10所示。

圖10 flows數據整體概況

算法實現基于核心函數graph. subgraph(nodes)、degree_centrality(G)、in_degree_ centrality(G)、out_degree_centrality(G)、strategy_ largest_ first(G,color)、max_degree (int)，其功能是計算節點的出入度中心性、返回按度降序排列的節點列表以及計算圖中節點的最大連通度。

本文采用 PyWavelets對通信邊進行數據處理，將LANL數據集中前14天數據用作訓練集，后15天數據用作測試集，以C17693為例，異常通信邊的分析結果如圖11所示。

圖11 異常通信邊的分析結果（C17693）

由于 LANL網絡流量數據集中主機節點數較多，數據量相對較大，采用基于網絡圖的通信異常檢測方法分析檢測LANL網絡數據中的異常子圖，計算負擔較小，可以有效識別出網絡圖中的通信異常情況。圖12為一個異常子圖檢測結果示例。

上述檢測結果表示的多步攻擊場景是：C12304、C8735等主機對主機 C10202進行 DoS攻擊，導致服務器癱瘓并獲得主機 C10202的權限后，利用其作為內部滲透的跳板主機，然后進入C6677，最后利用盜用的認證憑證登錄到C7490中獲取數據并將數據傳出。

圖12 LANL異常子圖檢測結果示例

5 結束語

針對以APT為代表的多步攻擊，本文提出了一種基于網絡通信異常識別的多步攻擊檢測方法。采用基于圖的異常檢測算法，檢測滑動時間窗口內的異常通信子圖；并基于小波變換分析檢測網絡攻擊行為在持續控制階段、數據外傳階段產生的異常通信行為；然后對多源異常進行關聯分析，以異常主機為索引進行檢索查詢和完善驗證，進而重構出多步攻擊場景。分別針對DARPA 2000LLDoS1.0數據集和LANL數據集開展實驗，驗證本文方法的有效性和擴展性。實驗結果表明，本文方法可以有效檢測出異常通信子圖和異常通信邊，并通過多源異常關聯分析，關聯得出DDoS、數據竊取等多步攻擊場景。采用基于通信異常識別的方法，不僅可以檢測出已知行為特征的網絡攻擊類型，對于未知特征的多步攻擊類型同樣具有檢測效果。本文提出的多步攻擊檢測方法，主要具有以下優點。

1) 采集數據量小，減小對網絡帶寬的負擔。

2) 通過多維數據關聯，提高檢測的準確度。

3) 整體方法采用異常檢測的思路，可應對未知類型的多步攻擊威脅。

4) 適用于大規模網絡環境。

本文所提方法的意義在于檢測出攻擊帶來的網絡異常行為，但是由于LANL數據集適用性不足，實驗結果有以下不足：LANL的flows數據缺乏對網絡拓撲的說明，由于數據來源的局限性，在LANL數據集給出的redteam數據中，異常事件以認證授權異常事件為例，缺少其他異常行為的對比驗證數據，實驗部分缺乏對異常檢測效果的說明驗證。

未來的工作有：1) 結合其他維度數據提高檢測準確度，比如可與主機進程數據、IDS告警數據、

防火墻日志、域名解析結果等信息結合分析，得出更全面更準確的多步攻擊場景，進一步提高檢測準確度；2) 由于實驗數據集本身的局限性，缺少對實驗結果的驗證，后續可通過對多步攻擊實例的分析，給出實際網絡環境的testbed數據集[18]；3) 數據規模較大時功能受限，存在性能制約因素的影響，可與大數據平臺結合應用，提高算法效率和可擴展性；4) 添加網絡通信量作為邊的權重，對檢測算法改進也是下一步研究工作的方向。