基于專家經(jīng)驗(yàn)的網(wǎng)絡(luò)異常流量自動(dòng)檢測(cè)平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)

摘 要：隨著網(wǎng)絡(luò)流量規(guī)模的日益增大，異常流量越來(lái)越多。傳統(tǒng)基于規(guī)則的異常流量檢測(cè)效果不盡理想，而專家的人工分析又會(huì)消耗大量的時(shí)間與極高的人力成本，為此，本文基于專家經(jīng)驗(yàn)設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)網(wǎng)絡(luò)異常流量自動(dòng)檢測(cè)平臺(tái)，以此降低人工分析的工作量。檢測(cè)平臺(tái)通過(guò)機(jī)器學(xué)習(xí)、詞法分析的方法，自動(dòng)收集流量特征，同時(shí)對(duì)正常與惡意HTTP流量進(jìn)行分析，從而有效地檢測(cè)出異常流量。實(shí)驗(yàn)結(jié)果表明，相比于傳統(tǒng)WAF，本文設(shè)計(jì)的自動(dòng)檢測(cè)平臺(tái)檢出率更高，誤判率更低。

關(guān)鍵詞：流量檢測(cè)；專家經(jīng)驗(yàn)；機(jī)器學(xué)習(xí)；詞法分析

中圖分類號(hào)：TP39文獻(xiàn)標(biāo)識(shí)碼：A

Design and Implementation of Automatic Detection Platform

for Network Abnormal Traffic Based on Expert Experience

HUANG Zili1，2，PAN Xiaowen1，2，YANG Yang1，2

（1.National Engineering Research Center of Electronic Commerce and Electronic Payment，

Shanghai 201201 ， China；2.China UnionPay Co.， Ltd.， Shanghai 201201， China）

Abstract：With the increasing scale of network traffic， more and more abnormal traffic is generated. Traditional rule based abnormal traffic detection is not ideal， and manual analysis by experts will consume a lot of time and high labor costs. Therefore， this paper designs and implements an automatic detection platform for network abnormal traffic based on expert experience to reduce workload of manual analysis. By means of machine learning and lexical analysis the detection platform collects traffic features automatically and analyzes normal and malicious HTTP traffic respectively so as to detect abnormal traffic effectively. The experiment results comparing with traditional web application firewall shows that the automatic detection platform proposed by this paper can reduce workload of manual analysis and has higher positive rate and lower misjudgment rate.

Key words：traffic detection; expert experience; machine learning; lexical analysis

隨著攻防技術(shù)的升級(jí)，面對(duì)層出不窮的新型、持續(xù)性、高威脅攻擊時(shí)，傳統(tǒng)以防御為主的安全策略越來(lái)越難以有效的阻斷?；谝?guī)則的安全策略嚴(yán)重依賴于人工分析，專業(yè)分析人員難以處理與日俱增的海量數(shù)據(jù)，網(wǎng)絡(luò)空間[1]的威脅風(fēng)險(xiǎn)不可預(yù)估。

近年來(lái)，由于人工智能[2]技術(shù)的興起，基于機(jī)器學(xué)習(xí)[3]分析惡意流量的方法為提高網(wǎng)絡(luò)安全檢測(cè)與防御能力開(kāi)辟了新的思路，更適合在復(fù)雜的網(wǎng)絡(luò)環(huán)境中滿足實(shí)時(shí)準(zhǔn)確的需求[4]?；谟斜O(jiān)督學(xué)習(xí)的檢測(cè)方法中，蔣鴻玲等[5]通過(guò)大量的僵尸網(wǎng)絡(luò)和正常流量樣本訓(xùn)練BP神經(jīng)網(wǎng)絡(luò)分類器，使其學(xué)會(huì)辨認(rèn)僵尸網(wǎng)絡(luò)的流量，自動(dòng)記憶僵尸流量特征，從而有效檢測(cè)出被感染的主機(jī)。Chiba等[6]通過(guò)將惡意HTTP流量中的URL path，URL query和User agent生成模型，再對(duì)比HTTP請(qǐng)求與模型來(lái)檢測(cè)惡意軟件的HTTP請(qǐng)求?；跓o(wú)監(jiān)督學(xué)習(xí)的檢測(cè)方法中，Perdisci等[7]通過(guò)提取惡意流量的HTTP請(qǐng)求總數(shù)，GET請(qǐng)求數(shù)量，POST請(qǐng)求數(shù)量，URL長(zhǎng)度，平均參數(shù)數(shù)量等行為特征，再通過(guò)聚類來(lái)檢測(cè)惡意軟件活動(dòng)。Riesi等[8]的模型是基于Haar小波[9]的網(wǎng)絡(luò)流量模型，小波模型功率譜在理論上可以任意接近冪律，而功率譜滿足冪律的隨機(jī)過(guò)程是自相似的。

除了對(duì)各類惡意Web攻擊流量的分析，還有較少一部分對(duì)正常流量開(kāi)展了初步研究。鄒柏賢[10]通過(guò)方差分析的方法，對(duì)實(shí)際網(wǎng)絡(luò)中非單播包的觀測(cè)值時(shí)間序列平衡化，建立自回歸滑動(dòng)平均模型預(yù)測(cè)網(wǎng)絡(luò)流量及其變化趨勢(shì)，并檢測(cè)網(wǎng)絡(luò)異常情況的發(fā)生。

為提升網(wǎng)絡(luò)流量的檢測(cè)效率，形成網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知[11-12]，減輕專業(yè)分析人員的分析負(fù)擔(dān)，利用專家經(jīng)驗(yàn)來(lái)完善網(wǎng)絡(luò)安全保障體系已成為業(yè)界共識(shí)。在此背景下，構(gòu)建網(wǎng)絡(luò)異常流量自動(dòng)檢測(cè)平臺(tái)，研究基于惡意流量與正常流量特征的自動(dòng)檢測(cè)技術(shù)，具有重要的現(xiàn)實(shí)意義。

1 基于專家經(jīng)驗(yàn)的檢測(cè)技術(shù)

基于專家經(jīng)驗(yàn)的檢測(cè)技術(shù)，是指根據(jù)安全專家對(duì)可疑行為的分析經(jīng)驗(yàn)而形成的可信推理規(guī)則。在此基礎(chǔ)上設(shè)計(jì)相應(yīng)的攻擊檢測(cè)系統(tǒng)，在檢測(cè)過(guò)程中，系統(tǒng)將已知的攻擊手段抽象成規(guī)則，構(gòu)成一顆判定樹(shù)，然后所有的網(wǎng)絡(luò)流量都經(jīng)過(guò)特征提取，最后輸入到專家系統(tǒng)得到判定結(jié)果[13-15]。

安全專家在分析可疑行為時(shí)，通常的做法包括：

（1）常識(shí)判定：根據(jù)業(yè)務(wù)邏輯，預(yù)估普通請(qǐng)求中字段的參數(shù)值范圍，當(dāng)超過(guò)這個(gè)范圍，則極可能不是正常的請(qǐng)求響應(yīng)流量，從而發(fā)現(xiàn)異常請(qǐng)求。

（2）統(tǒng)計(jì)分析：根據(jù)專家經(jīng)驗(yàn)，通過(guò)分析一段時(shí)間的統(tǒng)計(jì)值，計(jì)算固定指標(biāo)、參數(shù)均值、多變量協(xié)方差、狀態(tài)轉(zhuǎn)移概率等，從而發(fā)現(xiàn)可疑事件。

（3）行為分析：對(duì)于系統(tǒng)中的用戶行為模式進(jìn)行分類與識(shí)別，專家創(chuàng)建用戶的行為特征輪廓，分析其行為的可變性，從而發(fā)現(xiàn)異常用戶。

（4）知識(shí)分析：專家提前記錄曾發(fā)生過(guò)的入侵行為，將每種網(wǎng)絡(luò)攻擊的顯著特征保存在知識(shí)庫(kù)中，將所分析的行為與之一一比較，從而發(fā)現(xiàn)可疑行為。

（5）挖掘分析：收集大量的、不完全的、噪聲日志，專家采用數(shù)據(jù)挖掘的方法對(duì)其進(jìn)行分析，以此分析異常的活動(dòng)模式。

通過(guò)專家經(jīng)驗(yàn)的人工分析，還容易識(shí)別變形繞過(guò)攻擊，因而得到的分析結(jié)果通?？烧J(rèn)定是正確的結(jié)論，但此方法會(huì)消耗大量的時(shí)間與極高的人力成本，不適用于海量的流量檢測(cè)。因此，亟待一種自動(dòng)化的方法處理海量數(shù)據(jù)，將專家經(jīng)驗(yàn)匯總并集成在檢測(cè)平臺(tái)中，從而高效、可靠地檢測(cè)惡意與正常流量。

2 網(wǎng)絡(luò)異常流量檢測(cè)平臺(tái)

網(wǎng)絡(luò)異常流量檢測(cè)平臺(tái)整合了專家分析與判定網(wǎng)絡(luò)流量的技術(shù)經(jīng)驗(yàn)，通過(guò)自動(dòng)化的方式進(jìn)行檢測(cè)。平臺(tái)由基于惡意流量特征的檢測(cè)模塊與基于正常流量特征的檢測(cè)模塊兩部分組成，分別對(duì)惡意和正常兩種流量展開(kāi)分析，對(duì)流量的多重檢測(cè)可達(dá)到更好的檢測(cè)效果。如圖1所示，基于惡意流量特征的檢測(cè)模塊包含了各類Web攻擊的檢測(cè)引擎，其中以SQL注入，XSS攻擊與WebShell為典型場(chǎng)景?；谡Ａ髁刻卣鞯臋z測(cè)模塊中無(wú)需對(duì)攻擊形式進(jìn)行劃分，可應(yīng)對(duì)多類型攻擊，模塊中分為了日志初分引擎，正常流量日志學(xué)習(xí)引擎以及日志檢測(cè)引擎三個(gè)部分。當(dāng)流量進(jìn)入時(shí)，兩個(gè)模塊分別進(jìn)行檢測(cè)，最后對(duì)異常日志進(jìn)行匯總。

2.1 自動(dòng)檢測(cè)方案設(shè)計(jì)

如圖2所示，網(wǎng)絡(luò)流量自動(dòng)檢測(cè)方案包含了三層檢測(cè)。首先在快速過(guò)濾層，基于黑白樣本強(qiáng)特征將絕大部分的初始網(wǎng)絡(luò)流量與日志過(guò)濾。然后，將過(guò)濾后的網(wǎng)絡(luò)流量傳到智能檢測(cè)層，通過(guò)機(jī)器學(xué)習(xí)、關(guān)聯(lián)分析等人工智能方法，再次進(jìn)行檢測(cè)與篩選。最后，對(duì)于仍難以判定黑白的流量，通過(guò)事后審計(jì)層，由技術(shù)專家來(lái)判斷，將分析結(jié)果反饋給前兩層，迭代優(yōu)化前兩層的過(guò)濾規(guī)則與模型參數(shù)。

2.2 基于惡意流量特征的檢測(cè)模塊

基于惡意流量特征的檢測(cè)模塊包含了各種類型的Web攻擊檢測(cè)，由于SQL注入、XSS攻擊與WebShell這三類攻擊最為常見(jiàn)，將其作為典型場(chǎng)景詳細(xì)說(shuō)明。其總體流程圖如圖3所示，數(shù)據(jù)流經(jīng)過(guò)預(yù)處理后進(jìn)行緩存，分別發(fā)送到三個(gè)檢測(cè)引擎，三個(gè)引擎再分別檢測(cè)該流量，若存在攻擊則直接報(bào)出，否則將結(jié)果匯總到綜合判斷，最后輸出結(jié)果。

2.2.1 SQL注入檢測(cè)引擎

SQL注入檢測(cè)引擎按照功能劃分，可分為詞法分析模塊、語(yǔ)法重寫模塊、指紋比對(duì)模塊。

（1）詞法分析模塊

詞法分析模塊主要是基于詞法分析將流量數(shù)據(jù)轉(zhuǎn)換成token序列。將每個(gè)詞根據(jù)詞法分析的映射關(guān)系分為不同小類的詞性。

（2）語(yǔ)法重寫模塊

語(yǔ)法重寫模塊主要功能是對(duì)原始token序列進(jìn)行基于語(yǔ)法的重寫，然后對(duì)結(jié)果序列抽取所有的3～6元組作為其指紋，主要包括同類合并、大類化簡(jiǎn)、數(shù)學(xué)表達(dá)式歸并等。

（3）指紋比對(duì)模塊

指紋比對(duì)模塊是將提取到的指紋和指紋庫(kù)進(jìn)行比對(duì)，如果指紋在指紋庫(kù)中，則認(rèn)為是SQL注入。

2.2.2 XSS攻擊檢測(cè)引擎

XSS攻擊檢測(cè)引擎按照功能劃分，可分為引擎初始化模塊、訓(xùn)練模塊、測(cè)試模塊。

（1）初始化模塊

引擎的配置信息以文本格式存儲(chǔ)，其中規(guī)定了XSS檢測(cè)引擎的工作模式，包括訓(xùn)練模式、預(yù)測(cè)模式、待檢測(cè)文件路徑等信息。

（2）訓(xùn)練模塊

首先從初始化模塊獲取配置信息，讀取訓(xùn)練數(shù)據(jù)路徑和模型保存路徑。然后調(diào)用特征提取模塊，對(duì)訓(xùn)練數(shù)據(jù)進(jìn)行特征提取，形成特征向量。最后，對(duì)數(shù)據(jù)進(jìn)行訓(xùn)練建模，得到模型結(jié)果。

（3）測(cè)試模塊

首先從初始化模塊獲取配置信息，讀取測(cè)試數(shù)據(jù)。然后調(diào)用特征提取模塊，對(duì)測(cè)試數(shù)據(jù)進(jìn)行特征提取，形成特征向量。最后加載模型文件，對(duì)測(cè)試數(shù)據(jù)進(jìn)行預(yù)測(cè)，輸出模型測(cè)試性能。

2.2.3 WebShell攻擊檢測(cè)引擎

WebShell攻擊檢測(cè)引擎按功能劃分，可分為前置過(guò)濾模塊、語(yǔ)法模塊。

（1）前置過(guò)濾模塊

語(yǔ)法引擎的計(jì)算復(fù)雜度相對(duì)較高，如果分析全部流量，則語(yǔ)法分析性能無(wú)法接受。現(xiàn)在根據(jù)字段與關(guān)鍵詞做前置過(guò)濾，濾出可能的攻擊語(yǔ)句，再送到語(yǔ)法引擎進(jìn)行分析。

（2）語(yǔ)法模塊

由于網(wǎng)站服務(wù)器可能由asp、jsp、php等編程語(yǔ)言編寫，不同類型的WebShell也由不同的語(yǔ)法構(gòu)成。要將可能的攻擊語(yǔ)句同時(shí)送入對(duì)應(yīng)的語(yǔ)法模塊中，進(jìn)行攻擊檢測(cè)，并根據(jù)匹配度進(jìn)行判斷其是WebShell攻擊命令的可能性。

2.3 基于正常流量特征的檢測(cè)模塊

基于正常流量特征的檢測(cè)模塊的總體框架圖如圖4所示，分為日志初分引擎，正常日志學(xué)習(xí)引擎以及日志檢測(cè)引擎三個(gè)部分。

首先，將流量同時(shí)分發(fā)到日志過(guò)濾及判斷。日志過(guò)濾中，將流量與日志過(guò)濾規(guī)則庫(kù)對(duì)比，若存在且相似，則將正常流量日志傳入正常日志學(xué)習(xí)引擎，否則需由人工分析。人工分析后若認(rèn)為是正常的，則將對(duì)其提取規(guī)則并添加到日志過(guò)濾規(guī)則庫(kù)中，以便下次對(duì)比過(guò)濾，否則直接過(guò)濾。在日志判斷中，從模型數(shù)據(jù)庫(kù)中搜索模型，檢驗(yàn)其模型的存在性。

然后，對(duì)正常HTTP流量日志按字段提取特征，將特征形成對(duì)應(yīng)模型存入數(shù)據(jù)庫(kù)。當(dāng)新的正常流量日志進(jìn)入時(shí)，將其學(xué)習(xí)到的特征與現(xiàn)有的模型數(shù)據(jù)庫(kù)中的特征進(jìn)行比較，若不一致則對(duì)模型及時(shí)更新。

最后，提取HTTP日志的所有字段鍵值對(duì)，從規(guī)則知識(shí)庫(kù)與學(xué)習(xí)引擎中的模型數(shù)據(jù)庫(kù)中學(xué)習(xí)的特征進(jìn)行對(duì)比檢測(cè)。對(duì)于不符合模型特征的日志給出警告。

2.3.1 日志初分引擎

由于HTTP流量日志中存在惡意流量日志，因此，需要對(duì)惡意流量日志過(guò)濾，篩選正常的流量日志并對(duì)其特征提取。篩選方法可使用基于規(guī)則的傳統(tǒng)WAF，篩選后的剩余日志中還包含了很多無(wú)效的非網(wǎng)絡(luò)攻擊流量日志。為了篩選掉無(wú)效的非網(wǎng)絡(luò)攻擊流量日志，可使用響應(yīng)碼，URL路徑及參數(shù)名出現(xiàn)頻率以及按照流持續(xù)時(shí)間，負(fù)載，IP及包長(zhǎng)等特征對(duì)有效及無(wú)效流量日志進(jìn)行分析，形成有效流量日志特征模式串，通過(guò)特征模式串匹配的方法對(duì)日志過(guò)濾。對(duì)于部分不能判斷的日志，可以將其記錄，人工分析其中不屬于無(wú)效流量日志的正常流量日志，將類似的日志都判定為正常并將這些正常日志提取規(guī)則放入日志過(guò)濾規(guī)則知識(shí)庫(kù)中。再使用過(guò)濾規(guī)則庫(kù)進(jìn)一步判斷過(guò)濾日志，符合規(guī)則的加入正常流量日志。

2.3.2 正常日志學(xué)習(xí)引擎

對(duì)過(guò)濾后得到的正常HTTP流量日志，需要對(duì)日志按照字段進(jìn)行特征提取。本文中分析的字段有如URL，Cookie，POST請(qǐng)求體等。文中根據(jù)字段值的類型對(duì)字段值分類。主要類型包括數(shù)值類、字符串類、特殊格式類、文本類與User Agent類。對(duì)于數(shù)值類型可以使用機(jī)器學(xué)習(xí)中的聚類方法聚類出其數(shù)值范圍；對(duì)于字符串類，提取字符串長(zhǎng)度，特殊符號(hào)、小寫字母及數(shù)據(jù)占比等特征，并通過(guò)聚類獲得特征值范圍；對(duì)于特殊格式類，提取其正則表達(dá)式并將其存在規(guī)則知識(shí)庫(kù)中；對(duì)于請(qǐng)求體中的如json，xml的文本格式類，使用機(jī)器學(xué)習(xí)對(duì)文本內(nèi)容進(jìn)行分析；對(duì)于User Agent類，使用Ratcliff Obershelp相似度算法計(jì)算原始User Agent值之間的相似度，篩選后得到User Agent數(shù)據(jù)庫(kù)。最后，將每一個(gè)URL后提取到的每個(gè)字段的特征組成對(duì)應(yīng)URL的模型存在數(shù)據(jù)庫(kù)中。

2.3.3 日志檢測(cè)引擎

對(duì)于新的HTTP流量日志，將每一條日志都按照字段拆分，將字段鍵值對(duì)分別與對(duì)應(yīng)模型的特征進(jìn)行匹配。若日志的每一類字段都符合相應(yīng)模型的特征范圍則判斷該日志為正常。若日志的某一類字段或者多類字段都不符合相應(yīng)模型的特征，則給出日志警告。如數(shù)值類型值中，若超出數(shù)值聚類范圍，則給出警告；字符串類值中，若超出各個(gè)特征值的聚類范圍則給出警告；特殊格式類中，若匹配不成功則給出警告；文本類中，若文本特征不符合則給出警告；User Agent類中。若與數(shù)據(jù)庫(kù)中的所有值進(jìn)行相似度匹配后最大值小于一定閾值則給出警告。

3 實(shí)驗(yàn)結(jié)果與分析

3.1 實(shí)驗(yàn)結(jié)果

本文選取了1446條公開(kāi)SQL注入、3382條公開(kāi)XSS攻擊、2421條公開(kāi)WebShell、384條其他類型及其變形攻擊、5000余條正常的流量數(shù)據(jù)進(jìn)行測(cè)試，測(cè)試時(shí)，為了更加直觀地展示自動(dòng)檢測(cè)平臺(tái)的效果，使用了傳統(tǒng)WAF與純?nèi)斯ぶ悄埽ˋI）算法引擎作為對(duì)照。

同時(shí)，本文從誤報(bào)率、檢出率對(duì)檢測(cè)實(shí)驗(yàn)結(jié)果進(jìn)行了衡量，檢出率是指真實(shí)標(biāo)簽為黑的樣本中，系統(tǒng)預(yù)測(cè)為黑的比例；誤報(bào)率是指真實(shí)標(biāo)簽為白的樣本中，系統(tǒng)判定為黑的比例；一般而言，檢出率越高，說(shuō)明系統(tǒng)對(duì)攻擊的攔截效果越好，誤報(bào)率越低，則說(shuō)明系統(tǒng)對(duì)正常業(yè)務(wù)的影響越小。

本文針對(duì)自動(dòng)檢測(cè)平臺(tái)、傳統(tǒng)WAF、純AI算法引擎進(jìn)行了對(duì)比測(cè)試，測(cè)試結(jié)果匯總在表1中。

3.2 檢出率分析

從實(shí)驗(yàn)結(jié)果來(lái)看，對(duì)于各類流量攻擊，自動(dòng)檢測(cè)平臺(tái)的檢出率均高于傳統(tǒng)WAF與純AI算法引擎，這說(shuō)明三層檢測(cè)方案的設(shè)計(jì)實(shí)現(xiàn)是有效的，可以提升流量攻擊的檢測(cè)效果。其中的原因主要有兩點(diǎn)，首先是針對(duì)不同類型的攻擊類型，設(shè)計(jì)特定的檢測(cè)方案與模塊實(shí)現(xiàn)，可發(fā)現(xiàn)純規(guī)則匹配無(wú)法發(fā)現(xiàn)的可疑流量，從而檢測(cè)出常見(jiàn)攻擊的變種；其次，多種智能算法模塊在流量檢測(cè)過(guò)程中，及時(shí)將信息與結(jié)果共享，相互補(bǔ)足檢測(cè)盲點(diǎn)，形成多維度、更立體的流量檢測(cè)體系。

3.3 誤報(bào)率分析

從實(shí)驗(yàn)結(jié)果來(lái)看，自動(dòng)檢測(cè)平臺(tái)的誤報(bào)率遠(yuǎn)遠(yuǎn)低于傳統(tǒng)WAF與純AI算法引擎，這使得運(yùn)維人員的分析工作量大大降低，提升了日常運(yùn)維的工作效率。其中的原因是：傳統(tǒng)WAF是基于常見(jiàn)攻擊特征添加了若干條正則表達(dá)式，以此來(lái)檢測(cè)網(wǎng)絡(luò)流量黑白。純AI算法則是通過(guò)各類攻擊流量特征，分別建立并訓(xùn)練模型，用以最終檢測(cè)。而自動(dòng)檢測(cè)平臺(tái)中具備正常流量檢測(cè)模塊，通過(guò)對(duì)于大量日常的業(yè)務(wù)流量學(xué)習(xí)，避免了一些具有攻擊特征但實(shí)際是業(yè)務(wù)特性的流量誤判，從而在整體上降低了對(duì)流量的誤判率。

4 結(jié) 論

介紹了基于機(jī)器學(xué)習(xí)的惡意流量與正常流量的檢測(cè)方法，分析了常見(jiàn)的專家判定惡意流量與可疑行為的手段與思路，并基于此，設(shè)計(jì)了一種基于專家經(jīng)驗(yàn)的網(wǎng)絡(luò)異常流量自動(dòng)檢測(cè)平臺(tái)。該平臺(tái)根據(jù)專家經(jīng)驗(yàn)，采用詞法分析、機(jī)器學(xué)習(xí)等技術(shù)，分別提取正常流量特征與惡意攻擊特征，由兩個(gè)相輔相成的檢測(cè)模型所組成，可有效檢測(cè)網(wǎng)絡(luò)行為中的異常流量?；趯＜医?jīng)驗(yàn)轉(zhuǎn)化的自動(dòng)檢測(cè)系統(tǒng)不僅大大提升檢測(cè)準(zhǔn)確性，也節(jié)省人工成本。同時(shí)，由于特征的泛化性與模型的通用性，本文所提出的方法可復(fù)用于其他類似的安全檢測(cè)場(chǎng)景，為加強(qiáng)網(wǎng)絡(luò)安全防范能力提供了新契機(jī)。

不過(guò)現(xiàn)有平臺(tái)中分析的惡意流量攻擊類型還較少，正常流量分析的字段還不夠全面，檢測(cè)的性能較低，日后需逐步完善?？傮w而言，本文為未來(lái)的網(wǎng)絡(luò)安全智能化體系防御提供了新思路，具有戰(zhàn)略指導(dǎo)意義以及落地的實(shí)用性。

參考文獻(xiàn)

［１］ 王世偉. 論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全[J]. 中國(guó)圖書館學(xué)報(bào)， 2015， 41（2）： 72-84.

［2］ 張妮， 徐文尚， 王文文. 人工智能技術(shù)發(fā)展及應(yīng)用研究綜述[J]. 煤礦機(jī)械， 2009， 30（2）： 4-7.

［3］ 唐政治、曾學(xué)文、陳君， 等. 基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)流量分析綜述[J].網(wǎng)絡(luò)新媒體技術(shù)， 2020， 9（5）： 8.

［4］ 陳勝， 朱國(guó)勝， 祁小云， 等 基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)異常流量檢測(cè)研究[J].信息通信， 2017（12）： 39-42．

［5］ 蔣鴻玲， 邵秀麗. 基于神經(jīng)網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)檢測(cè)[J]. 智能系統(tǒng)學(xué)報(bào)， 2013， 8（2）： 113-118.

［6］ CHIBA D， YAGI T， AKIYAMA M， et al. Botprofiler： profiling variability of substrings in http requests to detect malware infected hosts[C]//2015 IEEE Trustcom/BigDataSE/ISPA. IEEE， 2015， 1： 758-765.

［7］ PERDISCI R， LEE W， FEAMSTER N. Behavioral clustering of http based malware and signature generation using malicious network traces[C]//NSDI. 2010， 10： 14.

［8］ RIEDI R H， CROUSE M S， RIBEIRO V J， et al. A multifractal wavelet model with application to network traffic[J]. IEEE transactions on Information Theory， 1999， 45（3）：992-1018.

［9］ STANKOVIC R S， FALKOWSKI B J. The Haar wavelet transform： its status and achievements[J]. Computers amp; Electrical Engineering， 2003， 29（1）： 25-44.

［10］鄒柏賢. 網(wǎng)絡(luò)流量正常行為模型的建立[J]. 計(jì)算機(jī)應(yīng)用， 2002， 22（7）： 3.

［11］龔正虎， 卓瑩. 網(wǎng)絡(luò)態(tài)勢(shì)感知研究[J]. 軟件學(xué)報(bào)， 2010， 21（7）： 1605-1619.

［12］李碩， 戴欣， 周渝霞. 網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究進(jìn)展[J]. 計(jì)算機(jī)應(yīng)用研究， 2010 （9）： 3227-3232.

［13］郭瑜， 孫毅， 萬(wàn)芳. 一個(gè)基于專家系統(tǒng)的入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)[J]. 系統(tǒng)工程與電子技術(shù)， 2001， 23（12）： 84-85.

［14］魯宏偉， 羅鋼. 基于專家系統(tǒng)的入侵檢測(cè)方法[J]. 武鋼技術(shù)， 2003， 41（1）： 43-48.

［15］楊慧. 基于專家系統(tǒng)的入侵檢測(cè)技術(shù)[J]. 中國(guó)科技信息， 2008 （15）： 81-82.