基于网络全流量分析技术的异常威胁检测研究

基于网络全流量分析技术的异常威胁检测研究

周婧莹 ,梁洪智 ,黎宇

中国联合网络通信有限公司广东分公司

周婧莹、梁洪智、黎宇​

摘要：在网络流量中，如何快速地分析和发现危害我国家安全的恶意网络行为，尤其是不明网络攻击，这是目前我国网络安全迫切需要解决的一项重要的战略任务。当前，传统的“马奇诺”型的网络安全防护系统，由于其自身的独立性和演化的特性，在面对未知的网络攻击时，几乎没有任何还手之力，一般都是在修复过程中进行修复，而在修复过程中，一旦出现无法修复的漏洞，就会造成极大的破坏。突破“补死”思路，实现信息装备的安全性不依赖于其软件、硬件设计、生产运营和管理等方面的自主可控制，实现其固有的稳定与健壮性，并抵御各种随机失效与未知的网络攻击。5 G/6 G新一代通信系统的迅速普及，使得海量的网络数据出现了数据量大、维度复杂、未知威胁难以发现等特点，文章通过介绍网络流量异常检测的流程，延时特征，以及面临的技术调整等，详细的分析了当下网络安全面临的重重问题，以期为行业工作者提供一些参考帮助[1]。

关键词：网络安全；异常威胁发现；流量分析

引言：

在互联网上，有很多的安全装置被用来监控和防范互联网的入侵，比如：流量分析、入侵检测、防火墙等。在高速发展的互联网环境下，对互联网上的各种信息保护技术提出了更高的要求。现有的针对网络安全装置的算法优化方法主要针对于其在实际应用中，而在实际应用中，当各个系统的资源几乎都处于满负载状态时，各类算法的优化方法往往会失效。

1、网络流量异常检测流程

首先，可以实时地辨识出系统的异常状况。其次，在辨识的基础上，对非正常交通进行归类，并抽取非正常交通的特征。在此基础上，提炼出时空分布特征、源头特征等关键信息，从而达到对非正常业务的控制与溯源的目的。在对网络中的异常流进行识别与分类的时候，我们所提出的检测算法可以按照各种网络特性的不同来自行结合，从而提高了对网络中的异常流的检测的自主性和柔性。同时，我们还可以利用神经网络的建模来对这些数据中的异常与普通数据中的一些数据进行学习与分类，从而提高了对这些数据的辨识精度，与软件相结合，可以对这些数据进行实时的预警[2]。

2、网络流量时延特征

在从发射方向接收方传递信息的过程中，造成延迟的原因是：（1）通讯链路的约束，其约束是指接入的链接和路由等有关的因素。(2)网路负荷变动，其变动与网路起伏及使用者通讯量有关，当有相当大的延迟变动时，网路负荷的抖动就会比较显著。在通信链路上，因其自身的特点，会造成一定的时滞，并且，各种通讯模式对于时滞的作用也是不一样的。在具体的实验中，将由网络负荷引起的延迟作为噪音来进行建模，对通讯链路限断进行深入的理论和实验验证。在使用网络时，首先通过网管的主要服务与因特网的主干网相连，而通信链路则包括一个访问链路和一个因特网路径链路。在不受网络负荷的作用下，网络业务中的延迟以通信链路噪音为主。而且，互联网与固网是截然不同的，唯一的区别就是访问通信链路的方法。因为电力是决定装置运转的最重要的一个原因，而装置并非时刻都在传送资料，当装置在传送速度较快的时候，就必须把装置的工作模式设定在大电源上，相反，它会被调节到闲置的位置，从而可以减少电力损失[3]。如果该系统的终端始终处在一个空闲的位置，则表示没有任何的数据传送，而当该网络呈现IDLE的时候，则会将其作为一个首选的方式，并将其转化为CELL-FACH的状态，这样可以保证该网络的正常进行，但会造成很大的时延。由于网络化是一种时变性的系统，因此很难用精确的数学模型来刻画时延，链路时延极小是指在最优情况下，链路最优时延时的最大限度。在固定网中，在较快速度下，使得数据传输延迟与0更加相近，在无线传输的情况下，要求在传输时延迟不低于门限。因为网路本身的架构非常的复杂，所以造成网路传输延迟的原因很多，且延迟的波动也很大。造成这种情况的因素很多，比如气候、手机的特性等。因为固网以安全、可靠的有线为主，所以可以很好地排除因负荷而造成的冲击，以保证其始终保持一个比较平稳的状况。如果在一个互联网上，当一个终端程序的信息处于不同的情况下，那么IP信息就会产生不同的延迟[4]。

3、技术挑战

而网络流作为信息空间中的一种特殊形式，其信息采集与分析技术是信息空间中进行信息空间安全与管理所必需的技术与方法。伴随着新兴互联网技术的迅猛发展，互联网业务的复杂性与日俱增，对数据规模、处理速度、响应速度等提出了更高的需求，但仍面临以下问题：（1）现有互联网业务的特征抽取不完整，对多模式的混沌数据进行规范化描述，导致数据处理精度下降。此外，在未知的复杂数据流辨识过程中，其特性的维数及品质会显著地降低辨识模型的学习速度及辨识性能，但现有的基于特性的数据流选取算法并不适合于未知数据流辨识过程。如何提升对高维度、高复杂性的数据流进行有效的数据采集和处理，实现低时延、高吞吐量、高性能、持续可靠和可扩展的数据流采集和处理系统，仍然是目前数据采集和处理技术研究中的一个亟待解决的重要问题

[5]。(2)现有的网络数据流安全性研究方法，主要建立在对已有的数据和脆弱性的基础之上，对数据流的安全性要求较高，对数据流的适应性较差，难以应对新的数据流的安全性问题。在全球性的信息安全危机中，以已知信息为主的信息处理方式逐渐滞后，针对信息不对称的信息处理方式逐渐受到关注。然而，在面对未知的网络威胁时，防御者往往难以获得攻击者的全部情报。其关键技术是：在信息不完全的前提下，实现对不明信息的快速检测、溯源和风险评估。面对日益严峻的不明事件，这一问题更加凸显，而现有的研究手段在解决这一问题时遇到了难以克服的技术难题，必须寻找新的途径。

4、隐蔽恶意流量检测技术关键技术

很多攻击都是通过对系统的安全性和内控机制的理解来实现的。由于网络中存在着大量的网络信息，使得网络信息不受网络信息保护。针对当前网络中存在的“长时段”数据流，通过对数据流的“水平”与“垂直”数据流进行对比，从而发现潜在的“长时”数据流。由于业务类型的多样化以及对业务品质的不断追求，业务数据量的不断增长给业务数据的审计带来了极大的挑战。该系统的数据流具有很好的实时性，并且在数据采集过程中，若不能在最短的时间内捕捉到数据流，则不能对其进行追踪与修复。要达到这个目的，流量采集系统就需要具备在线速度下采集的能力。并且考虑到互联网系统中存在着大量的不同类型的应用，如何对这些不同类型的协议进行区别化的研究具有很大的挑战性。有关部门要持续研究，深入发展，不断攻克新的技术，实现异常流量的精准检测[6]。

结束语：

伴随着网络技术的不断进步，网络对人类的日常工作产生了巨大的影响，尤其是最近几年，随着移动网络的兴起，人们在购物、娱乐等方面的生活模式发生了巨大的变化。随着智能手机的问世，人们几乎可以随时随地地在网上浏览，并且可以随时随地使用，同时，人们对多媒体数据的需要也在不断地增长。

参考文献：
[1] 何瑞娜,贾国强. 基于微信小程序的地震信息速报系统设 计实现[J].电脑知识与技术,2020(05):58-60.

[2] 魏娟,郭进波,李燕.浅析“互联网+”时代下地震信息共享 [J].广东科技,2017(08):74-76.

[3] 闫龙.关于网络威胁检测与防御关键技术的探讨[J].通讯 世界,2017(15):98.

[4] 万抒,王进,裴华.一种多维数据融合的网络威胁溯源迭代 分析模型研究[J].通信技术,2021(04):956-961
[5]田鹤,王彦超,孟宪伟,费如纯,高艳.浅析面向网络空间安全的流量异常检测技术[J].辽宁科技学院学报,2022,24(06):34-36+40.
[6]马标,胡梦娜,张重豪,周正寅,贾俊铖,杨荣举.基于融合马尔科夫模型的工控网络流量异常检测方法[J].信息安全学报,2022,7(03):17-32.DOI:10.19363/J.cnki.cn10-1380/tn.2022.05.02.