基于多维时态特征的计算机网络异常节点检测方法

节点连续状态变化量的置信区间如式（5）所示 ：
∆f1(t)− µ < k ⋅σ
（5）
其中，k 代表的是一个可选参数，取值范围大于 0。
之后，确定节点出现状态下变化量的置信区间如式（6）
所示 ：
{∆f1(t)∆f1(t) ≤ za ,1 ≤ i ≤ N }
（6）
其中，a 代表一个可选参数，而 za 代表的是节点特
性样本、错误分类下的阴性样本、错误分类下的阳性样本、
正确分类下的阴性样本，是异常检测评价指标中的一级指
标 ；TP 和 TN 数值越大越好，而 FP 和 FN 的数值越小越
好。在这四个一级指标下又划分出准确率（Accuracy）、
漏报率（FAR）以及误报率（FRR）三个二级指标，计
算公式如式（7）所示 ：
模型构建能够得出节点在连续状态变化下的一个阈值置信
区间，以及一个状态变化量百分位数的阈值，据此可以通
过对多维特征的组合实现对计算机网络异常节点的判断。
1.2.3 联合特征建模
以上分别针对节点存续期间的特征变化和节点出现
与消失时刻的特征变化进行模型构建，可依照构建模型
得到的异常节点判断标准进行联合特征建模，也就是对
1.2 数据模型建立
通过对节点状态信息的定义，分别对节点存续期间
特征变化和节点出现与消失时刻特征变化进行特征建模。
1.2.1 节点存续期间特征变化
界定 fi(t) 代表节点 i 在时刻 t 时的状态表现。因此，
对于节点 i 在 t-1 至 t 时刻的状态变化量 Δfi(t) 可以用如
式（2）所示的公式表示 ：
中，从而由于阈值的提高而导致出现异常值错误分类的
情况。加上阈值水平提升后，得到更多正确分类的阳性
表 2 CIC-IDS2018 数据集下两种特征变化的异常检测结果 Tab.2 Anomaly detection results of two feature changes
under CIC-IDS2018 data set 参数 连续状态变化量 参数 节点出现特征变化量
征序列百分位是 a 时，节点状态变化量对应的百分位数，
而 N 则代表节点特征序列的长度。
基于构建的联合特征检测模型，可以将 OC-SVM
分类器得到的结果视为异常节点检测的判据。
ห้องสมุดไป่ตู้
2 异常节点检测实验
2.1 数据集选择
为检验提出的计算机网络异常节点检测方法的可行
性与有效性，选择入侵检测评估数据集（CIC-IDS2018）
µi = [∆f1(t), ∆f2 (t),, ∆fm (t)]
（4）
其中，m 代表的是任一节点具有的特征维度。之后，
在构建的检测模型中，将 μi 作为输入，并通过 OC-SVM 分类器对节点 i 特征向量予以分类处理，从而发现其中
存在的异常节点。
1.3 异常节点判断
依据上述异常节点特征提取和数据建模情况，确定
态分布不再相符。由此，可以将适当的节点状态变化量的
百分位数作为异常节点检测过程中的阈值，由此将节点状
态变化量超过阈值的节点判断为是异常节点。此外，当异
常出现时，异常情况仅在节点存在时与节点有所关联，所 以在研究中仅对节点出现时的节点异常进行检测 [5]。
综合上述分析来看，针对节点的各维属性，通过数据
结果，使准确率有所提升，而误报率开始下降。由此可 见，提出的基于多维时态特征的异常节点检测方法对于 节点连续状态变化量和节点出现特征变化量的异常表现 均具有良好的检测能力。 3 结语
综上所述，面向计算机网络异常检测而言，提出一 种基于多维时态特征的异常节点检测方法，从节点的时 态特征入手，定义时态特征向量，构建异常节点检测模 型。通过异常检测实验结果证明，该方法能够较好地对 节点时态特征进行描述，可实现对异常节点的有效检测， 验证了此检测方法的有效性，具有一定的推广应用价值。
计算机网络由节点和连边构成，网络异常主要是指 节点及其通信异常。对于节点异常检测而言，检测内容 是节点的状态变化。计算机网络中，可分为节点增加、 减少和变化三种状态，分别对应单个节点的出现、消失 与变化。通常情况下，上述三种状态与异常无关，难以
实现对异常节点的有效检测 [3]。因此，将计算机网络中 节点的状态变化量用多维特征变化予以表示，通过对状 态变化特征的观察，确定判断异常节点的阈值范围，当 检测到的节点状态变化量超出阈值范围时，即可将其判 断为异常节点。
文章编号:1007-9416(2023)12-0228-03
基于多维时态特征的计算机网络异常节点检测方法
眉山职业技术学院 王良敏
随着网络技术的跨越式发展，信息产业得以快速进 步，但与之相伴也暴露出诸多安全性问题。为有效解决 以网络攻击为代表的网络异常节点检测问题，在适应计 算机网络时变特征的基础上，抽象计算机网络为时态网 络，并提出一种基于多维时态特征的网络异常节点检测 方法，以节点流对节点状态特征进行刻画，将节点状态 分类为异常或状态变化量超出阈值范围的节点视作异常 节点，从而实现对计算机网络异常节点的有效检测。实 验结果显示，基于多维时态特征的计算机网络异常节点 检测方法的准确率较高，具有良好的检测表现。
节点流中任一网络流都存在一个不同的数量值，由此节
点 i 的数量特征 fi,j 可以用如式（1）所示的表示 ：
∑ ∑ fi, j
=
ni k =1
p kj
×
p kj
p
k j
1≤k ≤ni
∑ p j
=
1 lj
lj k =1
pk
( ) = p j ln p j +1
（1）
收稿日期 ：2023-05-23 作者简介 ：王良敏（1983—），男，四川乐山人，本科，讲师，研究方向 ：网络信息安全、信息化运维。
的漏报率，分析其原因，可能是因为存在一到两维的特
征变化量并不符合正态分布，从而在利用正态分布进行
拟合的过程中出现较大的误差情况。而在 a 值为 60% 的
水平下，检测模型对于节点特征变化的检测效果良好，
并且在 a 值提升后，检测准确率显著提高，误报率下降，
但漏检率提升至 1，证明数据集中的异常值分布相对集
异常节点判断标准进行组合使用。根据单一异常节点判
断标准对计算机网络节点进行检测虽然比较简单，但也
只能从计算机网络局部情况实现对节点状态变化量的描
述，缺少对状态变化量的综合考量，在一定程度上对计
算机网络异常节点检测的准确性有所限制。由此，提出
基于节点状态变化量的多维特征联合模型，将节点 i 的
特征向量界定为如式（4）所示 ：
所占的比重。
2.3 结果分析
在异常节点检测的评价实验中，主要对模型在不同
异常上的检测能力展开分析。使用 CIC-IDS2018 数据集
进行检验，得到的结果如表 2 所示。
从表 2 的结果能够看出，当 k 值在 1.5 以下时，模
型检测结果的准确率和误报率相对较低，证明提出的检
测模型具有良好的分类效果，但检测结果却表现出较高
并对异常流量予以标记。该数据集共包括从星期一至星
期五共 5 天，40 小时的网络记录，其中星期一为正常的
网络活动，具有正常的网络流量表现，而剩余几天则实
施相应的网络攻击，包括暴力破解 FTP、SSH、漏洞攻
击 Heartlead、Web 攻击、僵尸网络、渗透攻击等。
2.2 确定评价指标
对于异常节点检测方法的评价指标，选择混淆矩阵
Accuracy =
TP + TN
TP + TN + FP + FN
FAR = FP TN + FP
（7）
FRR = FN TP + FN
其中，Accuracy 计算的是在模型判断得到的全部正
确结果占总预测值的比重情况，FAR 计算的是在模型真
实值为阴性的所有结果中，模型预测错所占的比重，FRR
计算的是在模型真实值阳性的所有结果中，模型预测错
第 41 卷 第 12 期 2023 年 12 月
数字技术与应用 Digital Technology &Application
Vol.41 No.12 Dec 2023
中图分类号:TP393.08
文献标识码:A
DOI:10.19695/12-1369.2023.12.70
当节点 i 从 s 状态变化为 s' 状态，节点连接状态由 4 个
减少至 3 个，基于网络投影原理，若两个具有相同目的地址
的节点，可将其确定为依赖关系。当节点 i 与节点 j 相等
时，可以用同一时间片内节点向其他全部邻居节点的连接
强度加权平均值 Di,j 表示节点间的连接状态。 对第二属性进行分析，例如节点的“包数量”，针对
因此，可以对阈值的置信区间进行设置，节点处在
正常状态时，其状态变化量处在阈值的置信区间之内 ；
而节点变化量若超出置信区间的范围，证明节点至少在
发生变化前后两个时刻中存在一个时刻有所异常。
1.2.2 节点出现与消失时刻特征变化
考虑节点的出现与消失状态，当节点状态变化为 0 时，
其状态变化值通常存在突变情况，致使节点状态变化与正
对基于多维时态特征的异常节点检测方法进行实验验
证， 并 以“ISCX2012” 数 据 集 作 为 对 照， 进 行 对 比 实
验。CIC-IDS2018 数据集由加拿大网络安全研究所基于
11 个网络安全数据集评估给出的具有现实背景的数据集
合，其中包括计算机网络的正常活动以及一些常见的网
络攻击。同时，从数据集中还包含网络流量分析结果，
对基于网络时态的计算机网络异常节点检测方法而 言，仅针对异常时刻进行检测难以满足计算机网络异常 处理的实际要求，还需进一步实现对异常节点的精准检 测。计算机网络异常处理在发现异常时刻后即可转化为 时态下的静态网络问题，异常节点检测可以从节点的时 态特征入手 [1]。目前，计算机网络异常节点检测的常见方 法，主要是基于流量特征的异常检测，例如，机器学习、 神经网络等建立在统计特征基础上的检测方法较为常见 [2]。 但此类检测方法存在数据集限制、训练量大、适应性差 等问题，对异常节点检测的准确程度造成严重影响。据 此，提出基于多维时态特征的计算机网络异常节点检测 方法，将节点流定义为时间窗口中全部源地址相同的一 簇网络流，并以包数量和字节数等特征作为节点的多维 特征，基于节点时态特征变化量构建检测模型，以实现 对网络异常节点的有效检测。 1 异常节点检测模型构建
∆fi (t) = fi (t)− fi (t −1)
（2）
由此，针对任何一个特征，T 个时刻，nl 个活跃节点，
T −1
对于节点 i 则能够得到∑ nl 个状态变化量，并且可以将这 i =1
个状态变化量视为正态随机过程形成的数据，也就是如
式（3）所示 ：
∆fi (t) = N (µ,σ 2 )
（3）
1.1 特征提取 节点状态由其连接特征定义，主要考虑出现、消失 和变化三种状态。以节点变化状态为例，对其一维连接 属性展开分析，如图 1 所示。
a
a
b
i
i
d
c
d
c
图 1 一维节点状态迁移变化图
Fig.1 One-dimensional node state transition change diagram
k ACC FAR FRR a ACC FAR FRR 0.1 0.02 0.00 0.99 50 0.83 0 0.19 0.5 0.18 0.26 0.84 55 0.86 0 0.16 1 0.35 0.26 0.67 60 0.89 0 0.13 1.2 0.38 0.51 0.63 65 0.91 1 0.11 1.5 0.57 0.51 0.45 70 0.94 1 0.08 1.7 0.72 0.51 0.30 75 0.97 1 0.05 2 0.92 0.76 0.10 80 0.99 1 0.03 2.3 0.96 0.76 0.06 85 1.00 1 0.00 2.5 0.98 0.76 0.04 90 1.00 1 0.00 3 1.00 1.00 0.02 95 1.00 1 0.00
228
王良敏：基于多维时态特征的计算机网络异常节点检测方法
2023 年 第 12 期
其中，pj 代表节点 i 和 j 之间网络流的平均包数量， lj 代表节点 i 和 j 之间网络流数量。
由此，根据发包状态、连接状态和字节状态对节点
状态进行表示，针对出现与消失两种状态，可做出如下
定义 ：节点出现前移时刻与节点消失后一时刻的状态值 均可用 0 表示 [4]。
229
第 41 卷
数字技术与应用
作为评价方式，主要统计对和错的数量，并在同一张表
中进行表示，如表 1 所示。
表 1 混淆矩阵
Tab.1 Confusion matrix
真实标签
真实值
阳性
阴性
阳性
TP
FP
预测值
阴性
FN
TN
其中，TP、FP、FN、TN 分别表示正确分类下的阳