1.2.2 网络行为异常检测的研究现状

网络行为分析的研究工作最早可以追溯到1972年温顿·G.瑟夫（Vinton G. Cerf）博士成立的网络测量组，在此之后一直备受关注。Leland和Willinger等人研究显示流量活动随时间变化具有自相似和长相关性。Hernandez-Campos等人、Stolfo等人提出的行为模式和画像的研究关注于网络应用级。Lakhina等对流量活动的特征分布进行了研究，Lakhina等人指出现有研究能够解释流量突发状况，却忽略了行为模式的动态变化。当前，针对流量活动变化的研究主要是关注网络出口的整体流量活动分析检测，利用面向网络数据包、面向网络流的特征达到分析流量活动规律的目的，并得到了广泛应用。

但随着网络流量的增加和网速的提高，数据包也呈指数级增长，把每个数据包解析并抽取特征需要消耗大量的计算资源，这导致面向数据包特征的检测技术应用难度剧增。鉴于上述问题，基于网络流实时检测异常的技术出现了大量研究，如：Schaffrath等人研究结果表明流量活动的数据包级特征比网络流特征更全面、更准确；Sperotto等人通过隐马尔可夫模型，能够有效识别用户发起的SSH暴力破解事件；Kai等人和Bhange等人利用高斯混合分布模型的统计要素检测用户事件导致的流量活动变化；Fawcett等人通过数据包载荷的熵值，有效识别加密流量，并利用随机数算法发现流量活动波动下的用户窃取数据的行为；Andrysiak等人利用ARFIMA模型量化原始流量和预测流量的差异性，以发现不期望的用户事件，随之出现了大量研究；徐久强等人提出基于复杂网络平均度指标的异常检测算法，研究发现网络模型能合理地描述网络流的依赖关系，该模型采用了时间戳、源IP地址和目的IP地址三个特征，并提高了异常行为检测的准确率；杨茹等人通过时间序列描述用户行为，采用FIR滤波处理器、高阶累积量后置聚焦性搜索方法，对用户相似度系数进行差异特征提取，提高了检测率的同时也降低了误检率；Nguyen等人采用Genetic Algorithm（GA）、Fuzzy C-Means clustering（FCM）和Convolutional Neural Network（CNN）算法构建了一个三层深度特征抽取器，应用于网络异常检测。

大量研究者用基于行为的方法解决了异常流量检测的新问题，其中Botnet行为分析较多见，如Zhao等人和Liu等人。Shen等人研究发现自然的HTTP请求和流之间的动态关系，提出了一个基于网络行为的隐蔽通道检测方法，解决了HTTP隐蔽通道不可探测性问题。Seo等人利用从多个客户端收集网络访问记录，分析数据中网络行为的共同点以及通过网络发起的攻击。利用网络访问记录，提出了一种通用行为的网络攻击检测系统。LIN等人设计并实现了一个基于深度学习的动态网络异常检测系统，利用长短期记忆（Long Short Term Memory, LSTM）建立了一个深层神经网络模型，并加入注意力机制（Attention Mechanism, AM）来提高模型的性能。通过SMOTE算法改进损失函数，解决了CSE-CIC-IDS2018数据集中的类不平衡问题。ALAUTHMAN等人回顾了机器学习算法在网络安全的大量研究和应用情况，对机器学习的5个算法进行了比较，旨在建立可以用于检测僵尸网络的模型。Villacorta等人和Raj等人提出了一种单分类器的机器学习方法来检测物联网设备的僵尸网络，来改进物联网设备的安全系统。

综上所述，网络行为异常检测技术是指在一段时期内建立一个正常网络行为主体基线，确认正常网络行为的相关参数定义后，任何背离这些参数的行为都被标记为异常，这尤其适用于检测未知、新型攻击，有效弥补了利用规则、知识库检测已知攻击的安全防御技术的不足。上述大量工作都是关注于流量强度的网络流特征，如IP地址个数、端口数、持续时间、字节数量和数据包个数等，形成了流量时间特性研究观点，已经成为网络监控有力的分析工具。但基于时间尺度的流量分析方法虽然能够有力地解释流量的突发模式，但较少关注网络行为模式的时间变化。因此，本研究引入图演化理论，通过流量图形式化表征行为模式开展了量化描述流量图结构特性研究。