前言：尋找寫作靈感？中文期刊網用心挑選的網絡安全流量分析技術初探，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：網絡安全框架下，眾多安全技術層出不窮。筆者從概念的角度出發，對流量分析技術展開必要說明，之后進一步深入，依據幾個主要的分列指標，分類該領域的流量分析技術，并確定不同類別下，對應流量分析技術的應用特征、實現思路與原理。通過對此類流量分析技術展開分析，有助于加強該領域的認識，在實際工作中結合實際情況，選擇合理的技術。

關鍵詞：網絡安全；流量分析；異常檢測

0引言

網絡安全框架下，眾多安全技術層出不窮，成為互聯網體系正常穩定工作的一個重要保證。眾多安全技術中心中，流量分析的價值不容忽視。

1流量分析技術的概念

作為網絡安全保障技術簇中極為重要的一個環節，流量分析技術的準確程度一直備受矚目。既要能夠分析異常流量，又不會過于敏感，導致常規流量波動列入異常范圍[1]。網絡環境中，異常網絡流量來源主要包括異常網絡操作、蠕蟲病毒傳播、閃存擁擠以及網絡資源濫用。這幾個方面在實際網絡環境中，都有一些特征，在此僅對流量影響表現展開說明。對異常網絡操作而言，主要包括網絡配置變化引發的流量異常狀況，網絡設備本身的存儲及處理能力發生耗損，也在此類問題范疇中。這不屬于一種異常攻擊，但卻是一種需要優化網絡的重要信號。因此，其危害通常表現為網絡傳輸性能下降，諸如擁堵等問題，不會帶來更大的安全問題。對于蠕蟲病毒傳播，主要是此類病毒的不停復制和傳播，占用大量網絡傳輸資源。對于蠕蟲造成的網絡異常流量，會隨著病毒的復制逐步占據網絡資源，不會呈現一個比較突出的爆發期，很難以第一時間有效監測。對這一方面來說，通常只能通過收集流量測量有關數據展開分析，才能確定蠕蟲的異常傳播行為。對閃存擁擠而言，主要是公眾用戶共同行為造成。這雖然被歸在流量異常方面，但是只是一種網絡環境中正常行為的結果，且會隨著時間的推移逐步減少。網絡濫用指端口查看、DoS或者DDoS頻繁，通常是外部攻擊的重要表現。此種異常類型經字節流量、包流量、位流量等有關數據測量，可以通過網絡流數據技術異常特征進行判斷。

2流量分析技術的發展與分類

實際安全應用中，流量異常檢測會依據不同的指向性呈現不同的分類。有些異常檢測技術單純面向某一個特定異常流量類別展開檢測，有些則面向整個網絡環境，展開更泛化的檢測。綜合當前的應用現狀，主要的檢測方法包括以下幾類。

2.1面向特定異常流量的檢測

此種流量異常檢測技術，更多是在一個相對狹窄的范圍內，綜合數據識別進行開展。對于這一方面的流量監測技術，會與小范圍內的業務特征相結合，對應的技術具有針對性，缺乏一定的普適特征。這一類技術在實際工作過程中，實現的方式各有千秋，例如TRW算法常常用于快速檢測端口。針對蠕蟲病毒的識別，有基于假設檢驗和連接速率限制而形成的計算方法，利用數據平面信息檢測前綴綁架的分布式實時監測。

2.2基于流量的檢測技術

此類技術主要考察網絡環境中的流量大小。對網絡而言，異常操作常常會帶來額外的流量，這種異常操作也會關系到網絡環境安全。因此，網絡環境中的流量高峰和突變，都可以視為異常可疑事件。雖然并不是所有安全問題都會在流量上有所表現，但是流量表現仍然是安全防范需要重點關注的一個重要指標。對于這一方面的檢測技術有多種，例如可以用Sketch統計流量數據的壓縮摘要，從而避免記錄每一個信息流。在概要信息的基礎上，進一步通過一個多樣時間序列預測模型，檢測得到的流量和實際流量的偏差程度，根據偏差大小判斷是否發生異常。類似技術還包括開源軟件RRDtool等，該軟件提出了利用Holt-Winters預測模型實現異常流量的實時監測。通常做法是依據歷史數據，通過Holt-Winters模型預測正常流量，并獲取當前實際流量和預測結果之間的偏差，進一步依據設置的對應閾值判斷幅度偏差是否正常。此外，Anomography框架是展開有效流量判斷的重要技術，其作用方式是從鏈路的流量數據應用各類異常檢測算法，推斷整個網絡的異常情況。此種方式可以有效識別造成整個網絡流量異常的根源，但不能有效確定對流量影響不大的安全隱患。

2.3基于特征的流量檢測技術

網絡環境下，數據傳輸通常會為數據流帶來對應的特征，這些特征也是實現數據識別的重要基礎。對于流量特征統計的方案，比較常規的做法是將包頭一些域或流量行為模式作為流量特征。異常的流量，對應的行為模式會呈現異常。這一領域中，可以依據多個標準確定細分的流量監測技術類別，諸如基于分類、基于聚類、基于統計和基于信息理論等，都是可行的分類標準。對基于分類的異常檢測技術而言，根本在于建立一個分類的特征數據庫，并將網絡環境中的流量與這個數據庫對比，從而確定異常。這個過程中，基于機器學習的方法是保持進步的根本。因此，神經網絡方法、貝葉斯網絡方法、支持向量機方法和基于規則方法等，都是檢測技術得以實現的核心。對基于聚類的異常檢測技術而言，則是將相似的數據傳輸實例納入不同的分類簇，并進一步展開異常判斷。這一類檢測中，對應的策略可以分為三種。第一，異常數據流量難以歸類到正常簇中。此種工作方式不強制歸類每一個數據實例，但是無法展開對應優化。第二，如果建立簇時按照特征確定空間位置，異常數據實例必然遠離簇的空間中心。這種識別方式受到攻擊的初期易確定異常，但如果初期未能實現有效識別，隨著異常總量的增加，簇中心的位置會發生偏移，導致識別難度增加。此種思路下，對于簇中心的定義，或者對于數據實例與簇中心相對位置的確定，成為一個關鍵。最后一種思路，認為正常的數據屬于大且密集的簇，異常數據屬于比較小的范本，基于此特征確定異常簇。基于統計的檢測技術方面，最根本的思想在于利用統計方法，實現對應數據特征的分析，從而將不符合選定模型的數據列為異常范疇。這種對于模型符合與不符合的判斷，是一種基于概率的判斷，換言之，正常數據是與統計模型符合程度較高的數據，而異常數據則相反。基于高斯模型、基于回歸模型，都是該領域中用于實現異常檢測的重要依據。此外，有一些不需要參數的異常檢測技術。對這一類異常檢測而言，模型不是事先確定，而是由數據決定，直方圖是該領域常見的形態。對信息理論的異常檢測技術而言，主要依據不同的信息理論實現流量特征分析，假設異常數據流會給網絡環境帶來不規則變化。

3結語

對于流量分析技術，雖然其對安全保障有不容忽視的積極價值，但是仍受限于技術發展，且這種技術不僅僅是流量分析技術、攻擊技術的發展，攻擊過程中呈現的流量特征同樣不容忽視。因此，發展的道路上，唯有不斷深入分析攻擊技術帶來的新特征，密切關注流量分析技術，才能切實打造安全環境。

參考文獻

[1]張賓.互聯網異常流量特征分析及其應用研究[D].北京:清華大學,2012:74

作者:周孝鵬 單位:大慶油田信息技術公司