1.2.3 整体网络行为研究现状

整体网络行为的分析检测工作主要关注网络边界数据，研究全体网络行为主体呈现出的网络行为变化。利用面向网络数据包（Packet-Level）和面向网络流（Flow-Level）的特征达到分析整体网络行为规律的目的，已经得到了广泛应用。对时序数据进行网络行为异常检测的研究中，首先采用的是深度包检测技术，其优势在于基于IP数据包抽取的网络行为特征，具有更全面、更准确和更精细的描述性，面临的问题在于随着网络流量的增加和网速的提高，IP数据包数量呈指数级增长，解析每个数据包并抽取特征需要消耗大量的计算资源，这导致应用面向IP数据包特征的检测技术难度剧增。鉴于上述问题，出现了大量基于网络流的时序数据异常检测技术研究。Sperotto等人利用基于网络流的时间序列技术构建了隐马尔可夫模型，实现了SSH暴力破解的攻击检测。Kai等人利用高斯混合分布模型建立正常网络行为基线，通过定义的上边界和下边界对结果进行时序的统计方法分析，检测超出边界的异常信号。Andrysiak等人定义了ARFIMA模型，利用原始流量数据和预测流量数据之间的关系判断当前网络流是否异常。Leland和Willinger等人的研究显示所观测到的流量随时间的变化具有自相似和长相关性。Bhange等人应用高斯混合分布模型研究定义了一种统计方法来分析网络流量的分布，以识别正常的网络行为。He等人定义了源（目的）IP地址、源（目的）端口号、字节数和协议等网络流特征的熵值，构建了多变量时间序列关联规则挖掘（Multivariate Time Series Motif Association Rules Mining, MTSMARM）的时序图模型，通过发现不期望的子结构检测具有异常模式的网络行为。

研究时序数据波动，进行网络行为异常检测，引起了大量研究者的关注，此时研究工作主要关注网络流特征，如IP地址个数、端口数、持续时间、字节数量和IP数据包个数等，研究成果已经成为网络监控有力的分析工具。虽然基于数据包方法的检测精确率上高于基于流的检测技术，但是鉴于应用难度大，研究者主要关注面向网络流数据的检测方法。针对其相对数据包特征信息量少、无法有效反映整体网络流量特性的局限性。图分析方法开始应用于网络行为分析研究中，研究者开始关注网络行为主体（或称为节点）之间的交互关系，这体现了整体通信模式的结构属性。相较于基于时间尺度的流量分析方法能够有力解释流量的突发模式，图分析方法可以发现那些没有导致网络流特征发生变化的异常网络行为。研究者通过流量图形式化表征通信模式，开展流量图模型的属性研究，关注安全事件导致通信模式的异常。