基于网络安全的流量分析技术

2019年第12期

信息与电脑

China Computer & Communication

信息安全与管理基于网络安全的流量分析技术

周孝鹏

（大庆油田信息技术公司，黑龙江 大庆　163000）

摘　要：网络安全框架下，众多安全技术层出不穷。笔者从概念的角度出发，对流量分析技术展开必要说明，之后进一步深入，依据几个主要的分列指标，分类该领域的流量分析技术，并确定不同类别下，对应流量分析技术的应用特征、实现思路与原理。通过对此类流量分析技术展开分析，有助于加强该领域的认识，在实际工作中结合实际情况，选择合理的技术。

关键词：网络安全；流量分析；异常检测

中图分类号：TP393.08 文献标识码：A 文章编号：1003-9767（2019）12-201-02

Traffic Analysis Technology Based on Network Security

Zhou Xiaopeng

(Daqing Oilfield Information Technology Company, Daqing Heilongjiang 163000, China) Abstract: Under the framework of network security, many security technologies emerge in endlessly. From a conceptual point of view, the author explains the flow analysis technology, then goes further, classifies the flow analysis technology in this field according to several main sorting indicators, and determines the application characteristics, implementation ideas and principles of corresponding flow analysis technology under different categories. Through the analysis of this kind of flow analysis technology, it is helpful to strengthen the understanding of this field and select reasonable technology in practical work.

Key words: network security; traffic analysis; anomaly detection

０　引言

网络安全框架下，众多安全技术层出不穷，成为互联网体系正常稳定工作的一个重要保证。众多安全技术中心中，流量分析的价值不容忽视。

１　流量分析技术的概念

作为网络安全保障技术簇中极为重要的一个环节，流量分析技术的准确程度一直备受瞩目。既要能够分析异常流量，又不会过于敏感，导致常规流量波动列入异常范围[1]。网络环境中，异常网络流量来源主要包括异常网络操作、蠕虫病毒传播、闪存拥挤以及网络资源滥用。这几个方面在实际网络环境中，都有一些特征，在此仅对流量影响表现展开说明。

对异常网络操作而言，主要包括网络配置变化引发的流量异常状况，网络设备本身的存储及处理能力发生耗损，也在此类问题范畴中。这不属于一种异常攻击，但却是一种需要优化网络的重要信号。因此，其危害通常表现为网络传输性能下降，诸如拥堵等问题，不会带来更大的安全问题。

对于蠕虫病毒传播，主要是此类病毒的不停复制和传播，占用大量网络传输资源。对于蠕虫造成的网络异常流量，会随着病毒的复制逐步占据网络资源，不会呈现一个比较突出的爆发期，很难以第一时间有效监测。对这一方面来说，通常只能通过收集流量测量有关数据展开分析，才能确定蠕虫的异常传播行为。

对闪存拥挤而言，主要是公众用户共同行为造成。这虽然被归在流量异常方面，但是只是一种网络环境中正常行为的结果，且会随着时间的推移逐步减少。

网络滥用指端口查看、DoS或者DDoS频繁，通常是外部攻击的重要表现。此种异常类型经字节流量、包流量、位流量等有关数据测量，可以通过网络流数据技术异常特征进行判断。

２　流量分析技术的发展与分类

实际安全应用中，流量异常检测会依据不同的指向性呈现不同的分类。有些异常检测技术单纯面向某一个特定异常流

作者简介：周孝鹏(1983—)，男，吉林桦甸人，本科，工程师。研究方向：网络维护、网络安全。

2019年第12期

信息与电脑

China Computer & Communication

信息安全与管理

量类别展开检测，有些则面向整个网络环境，展开更泛化的检测。综合当前的应用现状，主要的检测方法包括以下几类。2.1　面向特定异常流量的检测

此种流量异常检测技术，更多是在一个相对狭窄的范围内，综合数据识别进行开展。对于这一方面的流量监测技术，会与小范围内的业务特征相结合，对应的技术具有针对性，缺乏一定的普适特征。这一类技术在实际工作过程中，实现的方式各有千秋，例如TRW 算法常常用于快速检测端口。针对蠕虫病毒的识别，有基于假设检验和连接速率限制而形成的计算方法，利用数据平面信息检测前缀绑架的分布式实时监测。

2.2　基于流量的检测技术

此类技术主要考察网络环境中的流量大小。对网络而言，异常操作常常会带来额外的流量，这种异常操作也会关系到网络环境安全。因此，网络环境中的流量高峰和突变，都可以视为异常可疑事件。虽然并不是所有安全问题都会在流量上有所表现，但是流量表现仍然是安全防范需要重点关注的一个重要指标。对于这一方面的检测技术有多种，例如可以用Sketch 统计流量数据的压缩摘要，从而避免记录每一个信息流。在概要信息的基础上，进一步通过一个多样时间序列预测模型，检测得到的流量和实际流量的偏差程度，根据偏差大小判断是否发生异常。类似技术还包括开源软件RRDtool 等，该软件提出了利用Holt-Winters 预测模型实现异常流量的实时监测。通常做法是依据历史数据，通过Holt-Winters 模型预测正常流量，并获取当前实际流量和预测结果之间的偏差，进一步依据设置的对应阈值判断幅度偏差是否正常。此外，Anomography 框架是展开有效流量判断的重要技术，其作用方式是从链路的流量数据应用各类异常检测算法，推断整个网络的异常情况。此种方式可以有效识别造成整个网络流量异常的根源，但不能有效确定对流量影响不大的安全隐患。

2.3　基于特征的流量检测技术

网络环境下，数据传输通常会为数据流带来对应的特征，这些特征也是实现数据识别的重要基础。对于流量特征统计的方案，比较常规的做法是将包头一些域或流量行为模式作为流量特征。异常的流量，对应的行为模式会呈现异常。这一领域中，可以依据多个标准确定细分的流量监测技术类别，诸如基于分类、基于聚类、基于统计和基于信息理论等，都是可行的分类标准。

对基于分类的异常检测技术而言，根本在于建立一个分类的特征数据库，并将网络环境中的流量与这个数据库对比，从而确定异常。这个过程中，基于机器学习的方法是保持进步的根本。因此，神经网络方法、贝叶斯网络方法、支持向量机方法和基于规则方法等，都是检测技术得以实现的核心。

对基于聚类的异常检测技术而言，则是将相似的数据传输实例纳入不同的分类簇，并进一步展开异常判断。这一类检测中，对应的策略可以分为三种。第一，异常数据流量难以归类到正常簇中。此种工作方式不强制归类每一个数据实例，但是无法展开对应优化。第二，如果建立簇时按照特征确定空间位置，异常数据实例必然远离簇的空间中心。这种识别方式受到攻击的初期易确定异常，但如果初期未能实现有效识别，随着异常总量的增加，簇中心的位置会发生偏移，导致识别难度增加。此种思路下，对于簇中心的定义，或者对于数据实例与簇中心相对位置的确定，成为一个关键。最后一种思路，认为正常的数据属于大且密集的簇，异常数据属于比较小的范本，基于此特征确定异常簇。

基于统计的检测技术方面，最根本的思想在于利用统计方法，实现对应数据特征的分析，从而将不符合选定模型的数据列为异常范畴。这种对于模型符合与不符合的判断，是一种基于概率的判断，换言之，正常数据是与统计模型符合程度较高的数据，而异常数据则相反。基于高斯模型、基于回归模型，都是该领域中用于实现异常检测的重要依据。此外，有一些不需要参数的异常检测技术。对这一类异常检测而言，模型不是事先确定，而是由数据决定，直方图是该领域常见的形态。

对信息理论的异常检测技术而言，主要依据不同的信息理论实现流量特征分析，假设异常数据流会给网络环境带来不规则变化。

３　结　语

对于流量分析技术，虽然其对安全保障有不容忽视的积极价值，但是仍受限于技术发展，且这种技术不仅仅是流量分析技术、攻击技术的发展，攻击过程中呈现的流量特征同样不容忽视。因此，发展的道路上，唯有不断深入分析攻击技术带来的新特征，密切关注流量分析技术，才能切实打造安全环境。

参考文献

[1]张宾.互联网异常流量特征分析及其应用研究[D].北京:清华大学,2012:74