基于AI學(xué)習(xí)的校園網(wǎng)絡(luò)異常流量檢測(cè)

李昭怡 閆曉宇 馬銀翠 杜晨愉 李志敏 唐雯煒

收稿日期：2023-04-24

DOI：10.19850/j.cnki.2096-4706.2023.22.004

摘? 要：隨著校園網(wǎng)絡(luò)建設(shè)的不斷深入，校園網(wǎng)用戶數(shù)量激增，校園網(wǎng)流量規(guī)模呈指數(shù)級(jí)增長(zhǎng)，這對(duì)校園網(wǎng)絡(luò)流量監(jiān)測(cè)與異常流量監(jiān)測(cè)提出了巨大的挑戰(zhàn)?，F(xiàn)有網(wǎng)絡(luò)異常流量監(jiān)測(cè)系統(tǒng)已無法滿足需求，文章基于校園網(wǎng)絡(luò)監(jiān)測(cè)需求提出一種校園網(wǎng)絡(luò)異常流量檢測(cè)方法。對(duì)醫(yī)學(xué)院校每日流量進(jìn)行系統(tǒng)分析后抽樣選取四種異常數(shù)據(jù)流，篩選出無意義的特征進(jìn)行降維操作?；贏I學(xué)習(xí)構(gòu)建多個(gè)異常流量檢測(cè)模型，對(duì)真實(shí)場(chǎng)景下的校園流量進(jìn)行檢測(cè)。檢測(cè)結(jié)果表明，該文方法具有較好的檢測(cè)準(zhǔn)確率和時(shí)效性，滿足校園網(wǎng)絡(luò)環(huán)境下對(duì)異常流量檢測(cè)的需求。

關(guān)鍵詞：AI學(xué)習(xí)；校園網(wǎng)絡(luò)流量；異常流量檢測(cè)；決策樹算法；隨機(jī)森林算法

中圖分類號(hào)：TP391；TP183 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2023）22-0015-05

Abnormal Traffic Detection in Campus Network Based on AI Learning

LI Zhaoyi1， YAN Xiaoyu1， MA Yincui1， DU Chenyu1， LI Zhimin2， TANG Wenwei2

（1.School of Medical Technology and Information Engineering， Zhejiang Chinese Medical University， Hangzhou? 310053， China; 2.Information Technology Center， Zhejiang Chinese Medical University， Hangzhou? 310053， China）

Abstract： With the continuous deepening of campus network construction， the number of campus network users has surged， and the scale of campus network traffic is increasing exponentially. This poses a huge challenge to campus network traffic monitoring and abnormal traffic monitoring. The existing network abnormal traffic monitoring system is no longer sufficient. This paper proposes a campus network abnormal traffic detection method based on the needs of campus network monitoring. After conducting a systematic analysis of the daily traffic of medical colleges， four types of abnormal data streams are selected through sampling， and meaningless features are screened for dimensionality reduction operations. Based on AI learning， multiple anomaly traffic detection models are constructed to detect campus traffic in real scenarios. The detection results show that the proposed method has good detection accuracy and timeliness， meeting the needs of anomaly traffic detection in campus network environment.

Keywords： AI learning; campus network traffic; abnormal traffic detection; Decision Tree Algorithm; Random Forest Algorithm

0? 引? 言

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，高校校園網(wǎng)建設(shè)也在不斷地?cái)U(kuò)大和完善。雖然校園網(wǎng)具有較強(qiáng)的封閉性，但在遭遇大規(guī)模的攻擊行為時(shí)，校園網(wǎng)還不足以屏蔽這些攻擊行為。由此可見，惡意攻擊對(duì)校園網(wǎng)的安全性和穩(wěn)定性帶來巨大的威脅，給校園網(wǎng)絡(luò)建設(shè)帶來巨大的挑戰(zhàn)，更是推進(jìn)數(shù)字化校園道路上的一大障礙。

網(wǎng)絡(luò)上異常流量監(jiān)測(cè)方法通常需要與局域數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)等方法連用，按照其訓(xùn)練方式的不同包括基于模型、鄰近度、聚類以及基于分類方法的異常流量監(jiān)測(cè)[1]。目前，大多數(shù)異常流量檢測(cè)模型所使用的數(shù)據(jù)集來自主流公開數(shù)據(jù)集，發(fā)布年份較早并且沒有專門針對(duì)校園網(wǎng)網(wǎng)絡(luò)特性的數(shù)據(jù)。因此本文從校園網(wǎng)中捕獲真實(shí)流量數(shù)據(jù)集，運(yùn)用小規(guī)模數(shù)據(jù)集進(jìn)行訓(xùn)練，再通過針對(duì)性數(shù)據(jù)集進(jìn)行模型微調(diào)，構(gòu)建一個(gè)基于AI學(xué)習(xí)的校園網(wǎng)絡(luò)異常流量檢測(cè)模型，旨在快速高效地檢測(cè)出校園網(wǎng)絡(luò)異常流量，提高校園網(wǎng)的安全性。

1? 總體設(shè)計(jì)

本文在校園信息中心的NTM平臺(tái)上獲取各類異常數(shù)據(jù)流，在連接校園網(wǎng)的PC端直接捕獲正常數(shù)據(jù)流，兩者結(jié)合構(gòu)成總數(shù)據(jù)集，提取特征后利用不同種類的AI學(xué)習(xí)模型進(jìn)行訓(xùn)練，最終通過各項(xiàng)評(píng)價(jià)指標(biāo)的對(duì)比獲得最優(yōu)模型。方案實(shí)施框架圖如圖1所示。

2? 數(shù)據(jù)預(yù)處理

2.1? 校園網(wǎng)概況

NTM平臺(tái)將數(shù)據(jù)包以會(huì)話形式進(jìn)行封裝，并將其作為最小單位記錄數(shù)據(jù)流。校園流量的常見攻擊有10多種，其中包括數(shù)字貨幣、僵尸網(wǎng)絡(luò)、APT攻擊、惡意軟件、惡意網(wǎng)站、垃圾郵件、色情軟件和賭博軟件等。本文使用的校園流量數(shù)據(jù)集是通過NTM平臺(tái)鏡像導(dǎo)出的某校自2022年8月24日至2022年8月31日及2022年9月8日單日的真實(shí)數(shù)據(jù)。如表1所示，校園網(wǎng)整體流量數(shù)據(jù)的量級(jí)大，僅2022年8月31日單日來看，總流量即達(dá)到3.21 TB，而一周內(nèi)總流量可達(dá)22.53 TB。

分析可知，在校園網(wǎng)中正常數(shù)據(jù)流占大部分，而異常數(shù)據(jù)流中有99.27%的攻擊會(huì)話源于內(nèi)網(wǎng)。每個(gè)網(wǎng)段的攻擊總數(shù)如表2所示。

2.2? 數(shù)據(jù)集獲取

2.2.1? 異常數(shù)據(jù)流

本文分析了各個(gè)公開數(shù)據(jù)集的數(shù)據(jù)量、攻擊占比，通過隨機(jī)抽樣的方法選用校園NTM平臺(tái)上APT、惡意軟件、惡意網(wǎng)站和垃圾郵件4種異常數(shù)據(jù)流進(jìn)行特征提取及模型訓(xùn)練。如表3所示為所獲取的各種異常數(shù)據(jù)流數(shù)量。

2.2.2? 正常數(shù)據(jù)流

正常情況下，用戶使用校園網(wǎng)時(shí)所產(chǎn)生的流量是已被防火墻過濾掉異常數(shù)據(jù)的流量，因此可以認(rèn)為正常使用校園網(wǎng)時(shí)產(chǎn)生的流量即為正常數(shù)據(jù)流。本文使用Wireshark對(duì)連接到校園網(wǎng)的設(shè)備進(jìn)行流量捕獲，共計(jì)得到9 495條正常數(shù)據(jù)流。

2.3? 數(shù)據(jù)分析

本文獲取的攻擊均為結(jié)構(gòu)化數(shù)據(jù)，包含APT攻擊、惡意軟件、惡意網(wǎng)站、垃圾郵件。

2.3.1? 高級(jí)持續(xù)性威脅

高級(jí)持續(xù)性威脅（Advanced Persistent Threat， APT）通常是為了政治或經(jīng)濟(jì)利益而對(duì)某些特定組織和機(jī)構(gòu)發(fā)起的攻擊，APT攻擊更加注重對(duì)整體系統(tǒng)的滲透，因此它大多具有活動(dòng)周期長(zhǎng)、隱蔽性高以及破壞性大等特點(diǎn)[2]。學(xué)校作為影響面較大的社會(huì)組織，不可避免地成為APT攻擊的重點(diǎn)目標(biāo)之一，此類攻擊會(huì)導(dǎo)致校園網(wǎng)發(fā)生基礎(chǔ)設(shè)施損壞、服務(wù)中斷和數(shù)據(jù)丟失等情況。

2.3.2? 惡意軟件

惡意軟件（Malicious Software）是指在不明確提示使用者或未經(jīng)用戶授權(quán)的前提下，在使用者電腦的任何終端上嵌入的侵害使用者合法權(quán)益的程序。它們可以以各種方式侵入使用者的計(jì)算機(jī)，并在使用者不知情的情況下實(shí)施盜取、清除檔案、損壞資料甚至是附帶安裝其他不安全的應(yīng)用軟件。

2.3.3? 惡意網(wǎng)站

惡意網(wǎng)站是指在網(wǎng)站內(nèi)惡意種植木馬、病毒等惡意程序，通過偽裝的網(wǎng)站服務(wù)內(nèi)容誘導(dǎo)用戶訪問該網(wǎng)站，訪問者一旦進(jìn)入這些網(wǎng)站，便會(huì)觸發(fā)網(wǎng)站中的木馬、病毒等程序，導(dǎo)致訪問者的計(jì)算機(jī)被感染，面臨丟失賬號(hào)或泄露隱私信息等危險(xiǎn)。

2.3.4? 垃圾郵件

垃圾郵件泛指未經(jīng)用戶許可就強(qiáng)行發(fā)送至用戶郵箱的電子郵件。垃圾郵件一般具有批量發(fā)送的特征，因此會(huì)占據(jù)較大的存儲(chǔ)空間，降低正常郵件的通信質(zhì)量和網(wǎng)絡(luò)帶寬，引發(fā)安全問題。

2.4? 特征處理

2.4.1? 特征提取

開放系統(tǒng)互聯(lián)（Open System Interconnection， OSI）參考模型有七層，分別是物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層、應(yīng)用層。每個(gè)模型層都定義了不同的協(xié)議，比如傳輸層有TCP、UDP協(xié)議，網(wǎng)絡(luò)層有IP協(xié)議，應(yīng)用層有HTTP超文本傳輸協(xié)議、SMTP郵件傳輸協(xié)議、FTP協(xié)議、DNS協(xié)議。網(wǎng)絡(luò)中的各種協(xié)議都具有明顯的特定標(biāo)志，提取網(wǎng)絡(luò)流量的特征，也就是通過所提取到的標(biāo)志特征來識(shí)別異常攻擊流量[3]。

CICFlowMeter和FlowContainer均為主流特征提取工具，本文采用CICFlowMeter進(jìn)行特征提取以獲得更高維度的統(tǒng)計(jì)特征。

CICFlowMeter是加拿大網(wǎng)絡(luò)安全研究室基于Java開發(fā)的一款網(wǎng)絡(luò)流量生成器和分析器[4]，其特征提取原理是構(gòu)建網(wǎng)絡(luò)流量特征空間，在此基礎(chǔ)上進(jìn)行特征分類與識(shí)別，支持在線和離線兩種處理模式。在線模式下，終端可以在連接網(wǎng)絡(luò)后捕獲數(shù)據(jù)包，并將這部分流量數(shù)據(jù)導(dǎo)入CICFlowMeter中，進(jìn)行在線處理，從而得到流行為上的統(tǒng)計(jì)特征。離線模式下，可將預(yù)先下載的pcap文件導(dǎo)入，利用其生成雙向流即可計(jì)算網(wǎng)絡(luò)流量統(tǒng)計(jì)特征，共計(jì)84維。

2.4.2? 特征篩選與維歸約

本文篩選出無意義的特征、具有明確指向性的特征和值為0的特征，消除其對(duì)結(jié)果產(chǎn)生的負(fù)面影響，降低訓(xùn)練的復(fù)雜性。

本數(shù)據(jù)集共包含9 495條數(shù)據(jù)，進(jìn)行臟數(shù)據(jù)處理，在刪除非數(shù)值數(shù)據(jù)和極值數(shù)據(jù)后，仍可提供足夠的數(shù)據(jù)進(jìn)行模型訓(xùn)練，因此，直接將這部分?jǐn)?shù)據(jù)剔除，進(jìn)行維歸約，最終選取67種有效特征用于模型的建立與訓(xùn)練。

3? 算法概述

3.1? 機(jī)器學(xué)習(xí)

根據(jù)分類的數(shù)量，機(jī)器學(xué)習(xí)算法可以分為多分類算法和單分類算法。對(duì)于校園網(wǎng)絡(luò)流量的異常檢測(cè)，多分類算法可以檢測(cè)不同類型的異常數(shù)據(jù)流和正常數(shù)據(jù)流，而單分類算法只能檢測(cè)正常數(shù)據(jù)流和異常數(shù)據(jù)流。

按照有無監(jiān)督，也可將機(jī)器學(xué)習(xí)分為監(jiān)督學(xué)習(xí)算法和無監(jiān)督學(xué)習(xí)算法。監(jiān)督學(xué)習(xí)是一種分類方法，在給定輸入變量和輸出變量的情況下，訓(xùn)練標(biāo)記的數(shù)據(jù)集以產(chǎn)生新的預(yù)測(cè)輸出。無監(jiān)督學(xué)習(xí)是一種聚類方法，數(shù)據(jù)集不需要標(biāo)簽，只需給出數(shù)據(jù)即可[5]。

表4介紹了本文采用的機(jī)器學(xué)習(xí)是否是監(jiān)督學(xué)習(xí)以及是否單分類的情況。

本文使用Scikit-learn API實(shí)現(xiàn)決策樹、隨機(jī)森林、Elliptic Envelopes、LOF算法的分類預(yù)測(cè)。

3.1.1? PyOD庫(kù)

PyOD是用于檢測(cè)多元數(shù)據(jù)中異常對(duì)象最全面和可擴(kuò)展的Python庫(kù)，其中封裝了多類異常檢測(cè)算法，是一種極為重要的數(shù)據(jù)挖掘方法，使用時(shí)傳入無標(biāo)簽數(shù)據(jù)可直接訓(xùn)練，并找出與主要數(shù)據(jù)分布不同的離群數(shù)據(jù)，從而達(dá)到檢測(cè)異常數(shù)據(jù)的目的。

3.1.2? 橢圓包絡(luò)

橢圓包絡(luò)（Elliptic Envelope）是一種檢測(cè)數(shù)據(jù)集中異?；虍惓?shù)據(jù)點(diǎn)的方法，通過假設(shè)整個(gè)數(shù)據(jù)基于多元高斯分布，從而找出數(shù)據(jù)總體分布的關(guān)鍵參數(shù)。它是一種無監(jiān)督學(xué)習(xí)方法，通過將橢圓擬合到訓(xùn)練集中的數(shù)據(jù)點(diǎn)來工作。

3.1.3? 決策樹

決策樹是一種簡(jiǎn)單直觀、用于分類和回歸的非參數(shù)監(jiān)督學(xué)習(xí)分類算法，其算法本質(zhì)是找到當(dāng)前數(shù)據(jù)集上分類時(shí)起決定作用的最優(yōu)特征，將最優(yōu)特征作為樹的新的分支節(jié)點(diǎn)，遞歸構(gòu)建出一棵決策樹，直至分類出所有屬性[6]。此算法可以將結(jié)果可視化，同時(shí)實(shí)現(xiàn)多分類，檢測(cè)出每種攻擊的具體類別。

3.1.4? 隨機(jī)森林

隨機(jī)森林一種常用的監(jiān)督學(xué)習(xí)方法，它是由大量決策樹分類模型組成的組合分類模型，通過將決策樹中的結(jié)果整理合并后得到最優(yōu)模型，廣泛應(yīng)用在分類和回歸問題中。

3.1.5? 局部異常因子

局部異常因子（Local Outlier Factor， LOF）算法通過計(jì)算給定數(shù)據(jù)點(diǎn)相對(duì)于其鄰近點(diǎn)的局部密度偏差來反映一個(gè)樣本的異常程度。若該數(shù)據(jù)點(diǎn)所在位置的密度明顯小于其周圍樣本所在位置的密度，則判定該數(shù)據(jù)點(diǎn)為異常點(diǎn)。

3.2? 自編碼器算法

自編碼器算法（AutoEncoder）是一種半監(jiān)督學(xué)習(xí)算法。它利用反向傳播算法使得輸出值等于輸入值，先將輸入壓縮成潛在空間表征，然后通過這種表征來重構(gòu)輸出。此算法在優(yōu)化過程中無須使用樣本的標(biāo)簽，本質(zhì)上是把樣本的輸入同時(shí)作為神經(jīng)網(wǎng)絡(luò)的輸入和輸出，通過最小化重構(gòu)誤差學(xué)習(xí)到樣本的抽象特征。本文利用TensorFlow框架實(shí)現(xiàn)該算法，實(shí)現(xiàn)單分類。

4? 結(jié)果分析

4.1? 算法評(píng)價(jià)指標(biāo)

本文采用圖像形式的混淆矩陣和數(shù)值形式的召回率、特效性、精確率對(duì)訓(xùn)練結(jié)果進(jìn)行評(píng)價(jià)分析。

混淆矩陣（Confusion Matrix）作為主流的評(píng)價(jià)形式，廣泛用于模型的精度評(píng)價(jià)。

召回率（Recall）是指在實(shí)際給出的正常數(shù)據(jù)流里，算法能夠預(yù)測(cè)成功的概率，計(jì)算式為：

（1）

特效率（Specificity）是指在實(shí)際給出的異常數(shù)據(jù)流里，算法能夠預(yù)測(cè)成功的概率，計(jì)算式為：

（2）

精度（Accuracy）是指模型準(zhǔn)確程度的指標(biāo)，計(jì)算式為：

（3）

式（1）～（3）中各個(gè)字符的含義如表5所示。

4.2? 算法分析

本文規(guī)定混淆矩陣的數(shù)字含義如表6所示。

在訓(xùn)練結(jié)束后輸出混淆矩陣可得，PyOD庫(kù)中的模型對(duì)于異常數(shù)據(jù)流的識(shí)別結(jié)果如表7所示，除CBLOF和KNN模型外，其余模型精度均無優(yōu)秀表現(xiàn)，OCSVM模型精度甚至不足50%，模型整體表現(xiàn)較差。

由實(shí)驗(yàn)結(jié)果可知，橢圓包絡(luò)模型和LOF算法的召回率、精度、特效率及運(yùn)行時(shí)間如表8所示?？梢钥闯鰞烧哒倩芈始熬容^高，運(yùn)行時(shí)間較快，但特效率低，無法達(dá)到預(yù)期效果，不適合異常流量監(jiān)測(cè)。

本文決策樹模型中使用CART算法，葉子結(jié)點(diǎn)深度設(shè)置為20，最小樣本數(shù)設(shè)置為1，在樹形成的過程中進(jìn)行后剪枝并計(jì)算基尼指數(shù)，基于基尼指數(shù)的大小來衡量樣本數(shù)純凈度。利用決策樹算法預(yù)測(cè)結(jié)果的混淆矩陣如圖2所示，算法預(yù)測(cè)準(zhǔn)確率達(dá)到99.8%，僅對(duì)惡意軟件攻擊和惡意網(wǎng)站攻擊有少量識(shí)別錯(cuò)誤。為了驗(yàn)證結(jié)果的真實(shí)性，本文對(duì)決策樹算法進(jìn)行20次重復(fù)實(shí)驗(yàn)，結(jié)果顯示實(shí)驗(yàn)的召回率和精度均穩(wěn)定在0.992 65。

本文隨機(jī)森林模型中設(shè)置10棵決策樹，單棵樹以基尼指數(shù)作為分裂依據(jù)，設(shè)置模型最大深度為10。經(jīng)過迭代訓(xùn)練后，將測(cè)試數(shù)據(jù)投入到訓(xùn)練完成的模型中，預(yù)測(cè)結(jié)果如圖3所示，此模型準(zhǔn)確率為99.78%，可實(shí)現(xiàn)準(zhǔn)確預(yù)測(cè)，經(jīng)過20次的重復(fù)訓(xùn)練，隨機(jī)森林模型的AUC值接近1，召回率穩(wěn)定在0.925左右，符合預(yù)期效果，如圖4所示。

將決策樹模型與隨機(jī)森林模型的識(shí)別結(jié)果進(jìn)行對(duì)比后發(fā)現(xiàn)，決策樹模型整體識(shí)別效果優(yōu)于隨機(jī)森林模型，且由于其節(jié)點(diǎn)數(shù)量少，運(yùn)行時(shí)間更短，具體數(shù)據(jù)如表9所示。

在自編碼器模型的還原誤差散點(diǎn)圖中，0、1分別表示異常數(shù)據(jù)流、正常數(shù)據(jù)流，縱軸表示AE模型還原誤差值。由自編碼器模型的還原誤差散點(diǎn)圖可以得出，正常數(shù)據(jù)流與異常數(shù)據(jù)流還原誤差相近，無法設(shè)定不同閾值劃分類型。如圖5所示，通過實(shí)驗(yàn)結(jié)果計(jì)算得到自編碼器模型召回率為0.66，特效率為0.61，精度為0.65，運(yùn)行時(shí)間為1.14秒，未達(dá)到預(yù)期檢測(cè)效果。

通過上述實(shí)驗(yàn)可知，決策樹算法精度最高，隨機(jī)森林次之。LOF、橢圓包絡(luò)和自編碼器算法的精度高，特效率低，PyOD庫(kù)中算法精度最低，無法達(dá)到預(yù)期要求。經(jīng)過不同模型各類數(shù)據(jù)綜合考量，為盡可能識(shí)別更多惡意攻擊，最終選擇決策樹模型進(jìn)行校園網(wǎng)異常流量檢測(cè)。

5? 結(jié)? 論

本文針對(duì)校園異常流量監(jiān)測(cè)問題進(jìn)行分析建模，使用從校園NTM平臺(tái)上獲得的針對(duì)性數(shù)據(jù)集進(jìn)行各類模型訓(xùn)練，基于各種評(píng)價(jià)指標(biāo)分析后，最終選擇決策樹模型進(jìn)行實(shí)時(shí)場(chǎng)景監(jiān)測(cè)。由此可見，數(shù)據(jù)集的合理選取大大提高了校園異常流量監(jiān)測(cè)的準(zhǔn)確性，但對(duì)于多分類模型而言，本文數(shù)據(jù)量仍不足，從而導(dǎo)致在模型預(yù)測(cè)時(shí)出現(xiàn)過于理想化的結(jié)果，若繼續(xù)獲得更多異常流量數(shù)據(jù)進(jìn)行訓(xùn)練，將提高本模型的魯棒性，并在校園網(wǎng)場(chǎng)景下表現(xiàn)得更加靈敏。

參考文獻(xiàn)：

[1] 卓琳，趙厚宇，詹思延.異常檢測(cè)方法及其應(yīng)用綜述 [J].計(jì)算機(jī)應(yīng)用研究，2020，37（S1）：9-15.

[2] 李元誠(chéng)，羅昊，王慶樂，等.一種基于ATT&CK的新型電力系統(tǒng)APT攻擊建模 [J].信息網(wǎng)絡(luò)安全，2023，23（2）：26-34.

[3] 孫旭日，劉明峰，程輝，等.結(jié)合二次特征提取和LSTM-Autoencoder的網(wǎng)絡(luò)流量異常檢測(cè)方法 [J].北京交通大學(xué)學(xué)報(bào)，2020，44（2）：17-26.

[4] MCGREGOR A，HALL M，LORIER P，et al. Flow Clustering Using Machine Learning Techniques [C]//Passive and Active Network Measurement. [S.l.]：Springer Berlin Heidelberg，2004：205-214.

[5] ALQUDAH N，YASEEN Q. Machine Learning for Traffic Analysis： A Review [J]. Procedia Computer Science，2020，170：911-916.

[6] 梁一峰，曲一萍，余懷秦，等.決策樹算法在模塊故障預(yù)測(cè)中的應(yīng)用 [J].電聲技術(shù)，2022，46（11）：117-120.

作者簡(jiǎn)介：李昭怡（2002—），女，漢族，陜西寶雞人，本科在讀，研究方向：網(wǎng)絡(luò)流量分析技術(shù)；閆曉宇（2001—），女，漢族，陜西咸陽人，本科在讀，研究方向：網(wǎng)絡(luò)流量分析技術(shù)；馬銀翠（2002—），女，漢族，江蘇鹽城人，本科在讀，研究方向：網(wǎng)絡(luò)流量分析技術(shù)；杜晨愉（2001—），女，漢族，江西撫州人，本科在讀，研究方向：網(wǎng)絡(luò)流量分析技術(shù)：通訊作者：李志敏（1975—），女，漢族，湖北黃岡人，副教授，碩士，研究方向：大數(shù)據(jù)處理與分析；唐雯煒（1984—），男，漢族，杭州富陽人，實(shí)驗(yàn)師，學(xué)士學(xué)位，研究方向：網(wǎng)絡(luò)信息安全。