01 网络流量数据采集
采集什么样的流量数据是异常检测中一个非常重要的问题,不同的数据对网络流量的刻画角度和刻画能力不同,需要根据实际应用场景和需要解决的问题来选择合适的流量数据 。根据 KDD’99 数据集 中关于特征的描述,网络中的流量特征可以划分为连接的基础特征、连接的内容特征、流量统计特征 3 种类型 。另外,随着深度学习技术的出现,数据包的原始负载也可以直接用来进行异常检测 。
1.1 连接的基本特征
连接的基本特征是一个传输控制协议 /网 际 协 议(Transmission Control Protocol/Internet Protocol,TCP/IP)族中不同层次、不同种类的协议所建立的连接的基础属性信息,包括但不限于一个连接的持续时间、所使用的协议类型、发送的数据量、接收的数据量等 。Jadidi 等人和 Bartos 等人 利用传输控制协议(Transmission Control Protocol,TCP)连接的基础特征训练模型进行异常检测 。
连接的基础特征使用连接双方在通信过程中的一些基础信息和行为信息,并不包含通信内容相关的特征,所以对连接的描述不够全面,但在加密流量检测的场景中,主要依靠连接的基础特征 。
1.2 连接的内容特征
连接的内容特征是对连接中的负载数据进行分析,抽取出可能反映入侵行为的特征,包括但不限于在一个连接中访问系统敏感文件和目录的次数、登录失败的次数、shell 命令出现的次数等 。
连接的内容特征能够从内容上刻画攻击,具有很高的准确度,但它需要该领域专家对攻击进行分析后抽取与之相关的内容,人力成本较高,并且泛化能力有限,在加密流量场景中也无法使用 。
1.3 流量统计特征
流量统计特征不再是针对单个连接,而是在一个指定时间窗口内或在指定数量的连接中抽取的可以反映攻击行为的特征 。可以统计指定时间窗口内和当前连接的目的 IP 地址相同的连接数量、和当前连接的源 IP 地址相同的连接数量、和当前连接具有相同服务类型的连接数量等,也可以统计前 n 个连接中和当前连接的目的 IP 地址相同的连接数量、前 n 个连接中和当前连接的目的 IP 地址及服务相同的连接数量等,还可以统计指定时间窗口内发往同一个目的 IP 地址的数据大小、新建连接数量、发送和接收数据包的个数等 。Thottan 等人 、Fontugne 等人和 Lim 等人从局域网内主机的角度,统计指定时间窗口内一个主机和其他主机之间的流量特征,并进行异常检测 。
在协议层面采集数据的优势在于可以体现每个协议的变化情况,能够发现与特定协议关系密切的攻击行为 。相较于基于连接的特征,流量统计特征可以从更宏观的角度描述网络流量,反映多个连接之间的关联关系,能够用来发现复杂且持续的攻击行为 。
1.4 原始负载
随着深度学习的发展,报文中的原始负载也可以被用来作为训练模型,进行异常检测 。深度学习模型能够根据目标函数,通过梯度下降与反向传播技术自动地从原始负载中提取出适用于目标任务的特征。
利用原始负载特征不再需要特征工程,可以减少对领域专家的依赖,但是该方式需要大量的样本数据,并且消耗大量的计算资源 。另外,在负载被加密的情况下模型很难收敛到一个理想水平 。
02 检测模型
当前的检测技术都有相应的使用场景和局限性,同时,很多检测技术在本质上是同一类型的或是互补的,从一开始的基于统计的方案到后来的基于机器学习、深度学习的方案,其核心都是尽量准确地刻画出正常流量和异常流量之间的差异 。根据实际情况,可以采用正常流量、攻击流量及正常流量和异常流量相结合的方式进行建模 。
推荐阅读
- 手把手教你一招搞定 右下角网络连接图标不见了
- 网络不可用是什么原因解决方法 无法访问互联网怎么回事
- 192.168.1.1修改路由器密码方法 网络设置192.168.1.1
- 8个常见原因及解决方法 无线网络连接不上怎么解决
- 操作简单实用 移动流量查询
- 恢复电脑网络的最佳方法 重置网络设置在哪里
- 如何设置无线路由器步骤要详细 网络设置打不开
- 电脑右下角网络感叹号的解决方法 不能上网出现感叹号
- 台式电脑无线网卡使用方法 无线网卡插电脑上怎么连接无线网络
- 电脑连接不上网络的几个解决方法 电脑中毒上不了网