網絡行為異常檢測研究綜述

張 雁， 劉才銘， 敬思遠， 張貴紅

（樂山師范學院 計算機科學學院，四川 樂山 614000）

0 引言

網絡行為（Network Behavior）[1]表現為具體的網絡活動及網絡運行的動態變化規律[2]。中國互聯網絡信息中心（CNNIC）報告指出，當前的互聯網行為主要體現在搜索引擎、社交網站、電商應用、網絡視頻、網絡游戲、移動互聯網等六個方面。隨著互聯網業務的不斷擴展和用戶規模的快速增長，網絡行為的種類逐漸增多，網絡行為的數量呈大規模上升趨勢。

2013年8月，國務院發布《關于促進信息消費擴大內需的若干意見》，該意見的出臺進一步促使了我國超大規模互聯網用戶網絡活動頻率的迅速上升，從而致使互聯網的網絡行為規模急劇加大[3]。2017年1月，CNNIC發布《第39次中國互聯網絡發展狀況統計報告》，據該報告統計，2016年，我國有70.5%的網民遭遇過網絡安全問題，我國個人互聯網使用的安全狀況不容樂觀[4]。

殘酷的互聯網安全現狀表明，在正常網絡行為背后，還隱藏著大量的異常網絡行為，這些大規模異常網絡行為帶來后果的嚴重性從權威機構發布的報告中可見端倪。國家互聯網應急中心（CNCERT/CC）抽樣監測顯示，2015年，我國共發現10.5萬余個木馬和僵尸網絡控制端，控制了我國境內1978萬余臺主機，CNCERT/CC捕獲及通過廠商交換獲得的移動互聯網惡意程序樣本數量多達147萬余個，我國境內被篡改網站數量達2萬余個[5]。

異常網絡行為給網絡安全管理帶來了巨大的難題，如何從千變萬化的網絡行為中發現異常信息，成為了網絡安全管理研究的熱點。網絡行為模式錯綜復雜、瞬息萬變，對大規模網絡行為的監測難度也日漸加大，網絡行為監測工作已引起了政府[6]、學術研究機構[7]、網絡安全工業界[8]的高度重視。網絡行為異常檢測可以發現互聯網中異常網絡行為的活動規律，在當前嚴峻的網絡安全形勢下，建立有效的網絡行為分析及異常檢測技術顯得格外迫切，為了遏制異常網絡行為帶來的網絡危害，工業界和學術界對網絡行為的異常檢測展開了相關的研究工作[9]，以便為主動的網絡安全管理提供科學的依據。

本文分析了異常網絡行為的產生原因，介紹了幾種典型的異常網絡行為的根源，梳理了網絡行為異常檢測的研究進展，介紹了與之緊密相關的幾個研究領域，分析了當前網絡行為異常檢測的研究難點，并對未來的研究方向進行了展望。

1 異常網絡行為的根源

網絡行為的根源來自于網絡活動，正常的網絡行為符合網絡設計的初衷，它產生的網絡活動滿足網絡管理的預期，異常的網絡行為產生于網絡設計的缺陷和網絡管理的漏洞，其根源在于惡意的網絡活動、或非惡意的網絡設計缺陷和管理疏忽帶來的網絡活動。但無論異常網絡行為是否惡意，都會給網絡的正常運行帶來問題。按照異常網絡行為產生的主觀性，將網絡行為分為非惡意和惡意，非惡意異常網絡行為的根源有網絡管理不當、網絡用戶誤操作和使用不正常網絡服務等，惡意異常網絡行為的根源有網絡攻擊、惡意軟件等，下面列舉幾個典型的異常網絡行為根源。

1.1 網絡管理不當

網絡管理可以監督、組織和控制網絡通信服務[10]，從而讓網絡在設計的規則下正常地運行。理論上講，在科學的網絡管理下進行的網絡活動，都會產生正常的網絡行為。但是，很多網絡在管理上都存在著漏洞，造成網絡管理不當，例如，網絡管理制度不健全、網絡配置存在疏忽、網絡安全設備缺失、不重視網絡系統日志、對網絡用戶的安全引導不到位等。網絡管理不當的后果是網絡中將存在大量的異常甚至非法網絡活動，其帶來的異常網絡行為危害巨大，讓整個網絡都處于網絡安全風險之中。

1.2 網絡用戶誤操作

用戶在使用互聯網時，在正常的鍵盤或鼠標操作過程中，可能會由于疏忽進行一些誤操作[11]，從而產生一些不可預期的網絡行為，這些異常網絡行為有時甚至可以對網絡的運行產生威脅。例如，不小心發出大面積的網絡掃描指令，可能造成突發性的網絡數據擁堵，這種網絡掃描活動帶來的網絡行為具有顯著的異常性特征。另一個例子是，用戶安裝程序時，時常會遇到“未簽名內容”提示，用戶在不經意間，可能點擊允許了不被認可的軟件，這就可能導致不正常的網絡活動。

1.3 使用不正常網絡服務

互聯網里接入了千奇百怪的資源，讓網絡用戶想不斷地去探尋新的信息。用戶受好奇心驅使，或者抱著嘗試的態度，或者受到誘騙，往往會使用一些不正常的網絡服務，例如下載并安裝帶木馬的軟件、瀏覽釣魚網站、訪問非法賭博網站等。一般地，用戶對這些不正常的網絡服務并不知情，但這些網絡活動產生的異常網絡行為，會給用戶帶來損失，例如隱私暴露、數據外泄、資金損失等。

1.4 網絡攻擊

網絡攻擊（Network Attack）通過互聯網非法入侵受害者的系統，以達到破壞網絡正常運行、竊取私密信息、破壞關鍵數據等目的。完成一次網絡攻擊，就構成了一個完整的網絡行為。網絡攻擊行為產生的網絡活動數據，利用了網絡設計的缺陷，在互聯網上得以傳輸，它利用受害者系統的漏洞，從而規避網絡安全防御措施。網絡攻擊產生的網絡行為表面上正常，但通過科學有效的數據分析，會發現其異常性特征，例如數據傳輸頻度、數據傳輸數量、訪問網絡習慣等。

1.5 惡意軟件

惡意軟件（Malware）是危害網絡安全的主要威脅之一，它在未經授權的情況下，在系統中進行安裝、執行，以達到不正當的目的[5]。在互聯網深入到各個領域的當今，惡意軟件也通過網絡進行傳播、感染和破壞，造成信息失竊、數據破壞、帶寬消耗等危害。惡意軟件通過網絡達到其目的時，將產生一系列有潛在規律的網絡活動，其設計者盡力掩蓋其形成的網絡行為，但無論如何這些網絡行為都帶有異常性特征。

2 研究進展

在互聯網環境下，海量的網絡活動構成了數量龐大的網絡行為，而異常網絡行為就隱藏在其中。為了解決異常網絡行為的檢測問題，研究人員對網絡行為異常檢測相關的技術開展了廣泛的研究，目前這些研究主要集中在網絡測量[12]、網絡行為建模[13]、網絡行為分析[14]、網絡流量異常檢測[15]等方面。表1列舉了網絡行為異常檢測相關研究領域的主要文獻。

表1 主要研究文獻

下面結合相關研究文獻，對網絡行為異常檢測相關的主要領域進行介紹。

2.1 網絡測量

網絡測量為網絡行為異常檢測提供了數據分析的基礎，它也是早期網絡行為測量的重要前提。網絡測量通過捕獲網絡活動數據，分析網絡流量的變化規律，達到動態描述網絡及其結構和行為的目的，其測量的結果可以用于優化網絡的性能[1]，其獲得的網絡數據變化規律，為網絡行為的異常檢測提供了重要的依據。網絡測量分為主動測量和被動測量，它們的區別在于是否向被測試網絡發送了數據。主動測量通過向網絡發送流量，再獲取網絡的各項參數，并觀察網絡活動情況。被動測量通過捕獲被測網絡中的傳輸數據，再分析網絡流量的傳輸規律[16]。

貝爾實驗室（Bell Labs）在1998年夏天啟動了互聯網測繪項目（The Internet Mapping Project），該項目的目標是經過一段時間的測量，獲取互聯網的拓撲數據[17]。互聯網測繪項目是早期開展互聯網測量的研究之一，根據1998年9月中旬收集的互聯網拓撲數據，該項目團隊繪制了一系列網絡地圖，這些地圖包含了10萬個網絡節點的信息，該系列地圖發表于1998年12月的Wired Magazine雜志。根據互聯網測繪項目的研究成果，該項目研究人員BURCH和CHESWICK撰寫了論文Mapping the Internet，并將其發表在1999年的IEEE Computer上[18]。

加州大學圣地亞哥分校（UCSD）所屬SDSC（San Diego Supercomputer Center）的CAIDA（Center for Applied Internet Data Analysis），也開展了網絡拓撲結構發現、網絡性能監測等網絡測量方面的研究工作，并于1999年在Nature上發表互聯網拓撲結構論文成果[19]。CAIDA還開發了一系列網絡測量工具軟件，并在不斷進行更新，供大家研究使用[20]。DODGE和KITCHIN在1997-2004年開展了網絡空間地理學（Cybergeography Re search）研究項目[21]，并于2000年出版了著作Mapping Cyberspace，該項目研究了互聯網的大量地理學特征，并根據地球的實際地理位置和網絡空間的抽象概念繪制了一系列網絡地圖。

另外，還有其他研究人員或機構也在開展網絡測量及其相關領域的研究工作，例如，LYON領導的The Opte Project項目組研究了互聯網地圖的繪制工作[22]，并發布了網絡地圖生成軟件LGL（Large Graph Layout），ACETO等[23]提出了一種網絡測量的統一架構，實現了測量策略的自動管理，該研究成果可用作端到端可用帶寬測量工具，YUAN等[24]根據應用需求或網絡流量狀況定義的流序列，提出了一種可編程測量架構ProgME，該架構能夠實時分析和統計網絡流量。

在國內，據相關文獻報道，哈爾濱工業大學[1]、東南大學[16]、清華大學網絡行為研究所[7]等高校和研究機構也對網絡測量分析、網絡測量在網絡行為中的應用研究領域開展了相關的研究。

2.2 網絡行為建模

網絡行為建模旨在歸納網絡活動、網絡流量或數據傳輸的規律，通過構建某種數學模型，以發現網絡行為模式。網絡行為異常檢測就是在目標網絡的網絡行為模式中，識別出異常的網絡行為，因此，網絡行為建模為網絡行為異常檢測提供了數據基礎。

網絡行為建模可以從互聯網用戶、網絡節點、網絡流量等方面著手構建發現網絡行為模式的數學模型。文獻[25]從用戶行為的角度，概述了互聯網用戶行為的建模方法，它將互聯網用戶行為定義為用戶與互聯網環境及服務交互產生的一系列活動，該文獻認為，網絡用戶行為分類為用戶個體行為[26]和群體行為[27]，它介紹了三種互聯網用戶個體行為建模方法：基于個人歷史行為的概率序列模型、基于網絡結構的條件隨機場模型、基于主題模型的行為預測模型；同時介紹了三種互聯網用戶群體行為的建模方法：基于隨機模型的用戶群體行為建模、基于時間序列模型的用戶群體行為建模、基于智能體的用戶群體行為建模。文獻[28]從網絡節點的角度，提出了一種基于信任的群體異常行為發現模型，該模型將網絡空間中的節點與節點在交互行為上所表現出的主觀性判斷定義為網絡信任，建立網絡節點間的信任矩陣，并通過信任度的量化來建立網絡行為的構建模型。文獻[13]從網絡流量的角度，提出了一種構建互聯網骨干網流量行為模式的通用方法，該方法歸納終端主機和服務的通信模式，采用數據挖掘和信息論技術，可以對通用網絡流量模式進行分類。

2.3 網絡行為分析

網絡行為分析以網絡行為建模階段構建的網絡行為模式為基礎，從某一方面的網絡活動屬性著手，發現網絡行為的潛在規律，為網絡行為的異常檢測提供檢測分析方法基礎。目前，針對網絡行為分析的方法有流量行為分析、端至端行為分析等。流量行為分析方法采用網絡流量特征構建網絡行為，通過發現網絡流量的活動規律來分析網絡行為。端至端行為分析方法通過在端主機向網絡發送流量數據，再獲取并分析網絡響應數據的延遲情況，這是一種主動的網絡行為構建和分析方法[16]。

目前，網絡行為分析的研究成果較多，已有大量文獻進行了報道。KENT等[28]等針對大規模網絡的認證數據，構建了認證圖，對網絡用戶行為進行分析。ALBANESE等[30]針對不能采用已有模型進行識別的網絡安全事件，提出了一種評估其發生概率的框架，通過分析網絡流量的規律，用于識別未知網絡行為。WANG等[31]以清華大學校園網為研究對象，利用基于網絡數據流的預測和推導技術，分析了輸入網絡數據流的特征，并通過對用戶上網行為的分析，得出了用戶對上網服務定價策略的傾向。TAN等[32]提出了一種基于SVM（Support Vector Machine）的TCP（Transmission Control Protocol）和UDP（User Datagram Protocol）網絡數據流的分類方法，并采用GA（Genetic Algorithm）算法和PSO（Particle Swarm Optimization）技術提高了網絡數據流的識別率。DU等[33]集成了端口分類技術、深層包檢測技術和統計學方法，提出了一種多級網絡數據流分類方法，該方法具有較好的網絡數據流實時識別率。

2.4 網絡流量異常檢測

網絡流量異常檢測從網絡流量規律的角度來檢測異常網絡行為，雖然只識別了異常網絡行為的一個側面，但卻為網絡行為的異常檢測提供了一種可行的方法。

在網絡流量異常檢測方面，GOONATILAKE等[34]采用概率學方法和統計學模型，并基于網絡數據流的用途，提出了一種網絡數據流的異常檢測模型。LIU等[35]對目標函數和距離函數進行了改進，在保持FCM（Fuzzy C-means Clustering）聚類準確率的同時，降低了其計算復雜度，并結合FCM和GMM（Gaussian Mixture Model）聚類技術，提出了一種網絡數據流異常檢測技術。周愛平等[36]基于網絡流量的突發性特性提出峰值流量測度，建立了一種評價網絡運行狀況和規劃容量的方法，該方法能夠對新建校園網的接入帶寬進行準確評估。董曉梅等[37]結合入侵檢測技術和數據流挖掘技術提出了一種大規模網絡數據流頻繁模式挖掘和檢測算法，該算法可以檢測出網絡流量異常。

2.5 智能檢測

為了提高網絡行為的異常檢測性能，研究人員將計算智能方法（Computational Intelligence）引入到其中，對于提高異常網絡行為的檢測質量起到了一定的作用。文獻[38]提出了一種基于克隆選擇原理（Clonal Selection）[39]的異常網絡行為監測方法，對TCP協議下的異常網絡行為進行了監測。克隆選擇原理是人工免疫系統（Artificial Immune System）[40]的關鍵算法，它具有較好的智能特性，有助于提高網絡行為異常檢測方法的適應性。

文獻[38]構建的異常網絡行為監測方法流程如圖1所示，該方法構建了收集網絡行為、構建正常網絡行為模式庫、構建異常網絡行為模式庫、模擬克隆選擇原理、識別異常網絡行為等過程。

文獻[38]提出的異常網絡行為監測方法通過多接入點并行捕獲TCP流量，抽取網絡數據的關鍵特征，分析網絡操作的共性，并以此為基礎構建網絡行為模式。該方法既利用傳統的網絡行為專家庫，也利用克隆選擇原理的動態演化機制，學習出能夠識別異常網絡行為的監測要素。該方法模擬了克隆選擇原理的親和力成熟和動態適應性機制，讓識別網絡行為的監測要素能夠在網絡環境中進行進化，具有智能特性。

圖1 基于克隆選擇原理的異常網絡行為監測方法

3 研究展望

網絡行為的大規模特性，給網絡行為的異常檢測帶來了巨大的難度。首先，要從海量的網絡行為中識別出概率很小的異常網絡行為，需要精確的數據分析技術，這要求網絡行為異常檢測方法能夠適應大數據背景下的互聯網環境。其次，網絡行為的異常檢測技術還需要具有實時性，才能更好地為動態的網絡管理提供科學的參考，而要在潮水般的網絡活動中實時地識別出異常網絡行為，這對網絡行為異常檢測技術提出了更高的要求。

互聯網規模龐大、結構復雜，這導致網絡行為模式復雜多變，傳統的檢測理論和技術對千變萬化的網絡環境適應性不強，其對異常網絡行為進行檢測的局限性越來越明顯。針對網絡行為異常檢測的研究，需要綜合運用網絡測量、網絡行為建模、網絡行為分析和網絡流量異常檢測的最新研究成果，除此之外，還需要分析最新的網絡態勢，利用前沿的數據分析技術，大力提高檢測的質量和效率。

4 結束語

網絡行為異常檢測能夠識別異常網絡行為的活動規律，其檢測結果可以為網絡安全管理提供科學的依據，它對于維護網絡的正常運行具有重要的意義。當前，網絡行為異常檢測研究主要集中在網絡測量、網絡行為建模、網絡行為分析、網絡流量異常檢測等相關研究領域，它們為檢測異常網絡行為奠定了理論和方法基礎。但是，網絡行為的大規模特性，使得異常網絡行為檢測的質量和效率還有待提高，這促使現有的網絡行為異常檢測技術尚需進一步改進。

[1]張宏莉，方濱興，胡銘曾，等.Internet測量與分析綜述[J].軟件學報，2003，14（1）：110-116.

[2]王繼龍，吳建平.Internet網絡行為學[EB/OL].http：//wenku.baidu.com/link?url=6LXb8IWY7WaAs1vDc7jGAz0XRjqpjuV2diRnwz0MZEW4 5vcLHcbtCm6bJ62IDZtxJsloZRm0RkH8he_FkerBgEYAAdL0HmVyHbcQCwNlx1O.

[3]中國國務院.關于促進信息消費擴大內需的若干意見：國發〔2013〕32號[A/OL].2013-08-04[2017-03-20].gov.cn/zwgk/2013-08-14-content-2466856 htm.

[4]CNNIC.第 39次中國互聯網絡發展狀況統計報告 [EB/OL].[2017-04-20].http：//www.cnnic.cn/hlwfzyj/hlwxzbg/hlwtjbg/201701/ P020170123364672657408.pdf，2017.1.

[5]CNCERT/CC.2015年中國互聯網絡安全報告[EB/OL].[2017-04-20].http：//www.cert.org.cn/publish/main/upload/File/2015annualreport. pdf，2016.6.

[6]中國國務院.關于大力推進信息化發展和切實保障信息安全的若干意見：國發〔2012〕23號[A/OL].2012-07-07[2017-03-20].gov.cn/ zwgk/2012-07/17-content-2184979.htm.

[7]清華大學網絡行為研究所本所介紹.[EB/OL].http：//thu-iib.org/.

[8]McAfee Network User Behavior Analysis[EB/OL].[2017-05-20].http：//www.mcafee.com/us/product s/network-uba.aspx.

[9]郭莉，牛溫佳，GANG L.《網絡安全行為分析》專輯前言[G].計算機學報，2014，37（1）：I0001-I0002.

[10]徐建華，張英，萬發仁.影響網絡安全的因素及防控措施[J].農業網絡信息，2008（8）：80-82.

[11]張潤蓮，武小年，周勝源，等.一種基于實體行為風險評估的信任模型[J].計算機學報，2009（4）：688-698.

[12]COSTA L F，RODRIGUES F A，TRAVIESO G，et al.Characterization of complex networks：A survey of measurements[J].Advances in Physics，2007，56（1）：167-242.

[13]XU K，ZHANG Z L，BHATTACHARYYA S.Profiling internet backbone traffic：behavior models and applications[J].ACM SIGCOMM Computer Communication Review，2005，35（4）：169-180.

[14]PAXSON V.End-to-End routing behavior in the Internet[J].IEEE/ACM Transactions on Networking，1997，5（5）：601-615.

[15]THOTTAN M，JI C.Anomaly detection in IP networks[J].IEEE Transactions on Signal Processing，2003，51（8）：2191-2204.

[16]程光，龔儉，丁偉.網絡測量及行為學研究綜述[J].計算機工程與應用，2004，27：1-8.

[17]The Internet Mapping Project.http：//www.cheswick.com/ches/map/.

[18]BURCH H，CHESWICK B.Mapping the Internet[J].IEEE Computer，1999，32（4）：97-98.

[19]CLAFFY K，MONK T E，MCROBB D.Internet tomography[J/OL].Nature，1999，January 7.http：//www.nature.com/nature/webmatters/tomog/tomog.html.

[20]CAIDA Tools.http：//www.caida.org/tools/[EB].

[21]Cybergeography Research[EB/OL].[2017-04-20].http：//personalpages.manchester.ac.uk/staff/m.dodge/cybergeography/.

[22]He Opte Project[EB/OL].[2017-04-20].http：//www.opte.org.

[23]ACETO G，BOTTA A，PESCAPé A，et al.Unified architecture for network measurement：The case of available bandwidth[J].Journal of Network and Computer Applications，2012，35（5）：1402-1414.

[24]YUAN L H，CHUAH C N，MOHAPATRA P.ProgME：Towards Programmable Network Measurement[J].IEEE/ACM Transactions on Networking，2011，19（1）：115-128.

[25]孔慶超，毛文吉.互聯網用戶行為的建模與預測[J].中國自動化學會通訊，2012，33（3）：27-30.

[26]MANAVOGLU E，PAVLOV D，GILES C L.Probabilistic User Behavior Models[C].Proc.of the 3rd IEEE International Conference on Data

Mining（ICDM）.Melbourne，IEEE，2003，pp.203-210.

[27]王元卓，于建業，等.網絡群體行為的演化博弈模型與分析方法[J].計算機學報，2015（2）：282-300.

[28]李喬，何慧，方濱興，等.基于信任的網絡群體異常行為發現[J].計算機學報，2014，37（1）：1-14.

[29]KENT A D，LIEBROCK L M，NEIL J C.Authentication graphs：Analyzing user behavior within an enterprise network[J].Computers&Security，2015，（48）：150-166.

[30]ALBANESE M，ERBACHER R F，JAJODIA S，et al.Recognizing Unexplained Behavior in Network Traf?c[J].Network Science and Cybersecurity Advances in Information Security，2014，55：39-62.

[31]WANG J H.，AN C Q，YANG J H.A study of traffic，user behavior and pricing policies in a large campus network[J].Computer Communications，2011，34（16）：1922-1931.

[32]TAN J，CHEN X，DU M.An Internet Traffic Identification Approach Based on GA and PSO-SVM[J].Journal of Computers，2012，7（1）：19-29.

[33]DU M，CHEN X，TAN J.Online Internet Traffic Identification Algorithm Based on Multistage Classifier[J].China Communications，2013，pp. 89-97.

[34]GOONATILAKE R，HERATH S，HERATH A.Probabilistic Models for Anomaly Detection Based on Usage of Network Traffic[J].Journal of Information Engineering and Applications，2013，3（9）：28-40.

[35]LIU D，LUNG C H，LAMBADANS I，SEDDIGH N.Network traffic anomaly detection using clustering techniques and performance comparison[C].2013 26th Annual IEEE Canadian Conference on Electrical and Computer Engineering（CCECE），Regina，SK，pp.1-4，2013.

[36]周愛平，程光.基于峰值流量的網絡行為特征及影響因子分析[J].通信學報，2012，33（10）：117-125.

[37]董曉梅，于戈，田玥，等.大規模網絡數據流異常檢測方法研究[J/OL].中國科技論文在線，http：//www.paper.edu.cn/releasepaper/ content/200610-319，2006.

[38]ZHANG Y，LIU C M，et al.Clonal Selection-based Surveillance Algorithm for Transmission Control Protocol Anomaly Network Behavior[C]. 2015 11th International Conference on Semantics，Knowledge and Grids（SKG 2015），Aug.19-21，2015，Beijing，China，pp.168-173.

[39]KIM J，BENTLEY P J.Towards an artificial immune system for network intrusion detection：an investigation of dynamic clonal selection[C]. Proc.of the Congress on Evolutionary Computation，pp.1015-1020，2002.

[40]DE CASTRO L N，TIMMIS J I.Artificial immune systems：a novel computational intelligence approach[M].London：Springer-Verlag，2002.