久久精品欧美视频,欧美婷婷久久五月精品三区,国产区精品在线观看

基于機器學習和規則的網絡異常流量檢測研究

網絡安全與數據治理

尤剛1，徐蕾2，李美鵬1，劉文杰1，張鵬1，陸振奎2

1.96941部隊，北京100085；2.中國航天時代電子有限公司，北京100094

摘要： 網絡異常流量檢測的主流方法有基于機器學習的和基于規則匹配的，前者可以檢測未知異常流量，后者可以精準指出攻擊類型。結合兩者優勢，采用混合的方式實現網絡異常流量檢測系統。該系統設置了兩道過濾器，第一道過濾器采用流聚類算法進行初步過濾，第二道過濾器采用開源工具Suricata進行精細識別?；贒enStream算法提出了一種可以根據網絡中異常流量比例變化而動態確定半徑閾值的流聚類算法DenStream-DRT，此外，為改進Suricata存在無法識別未知異常流量的問題,提出了基于Apriori的含有效負載約束規則的生成算法PCRG-Apriori，最后將基于規則的網絡入侵檢測系統Suricata與DenStream-DRT分類器進行了整合，形成了一個全新的網絡異常流量檢測系統。實驗證明，集成系統在速率和準確性方面都有較好的表現。

關鍵詞： 網絡安全流聚類算法 Apriori算法 Suricata 異常流量檢測系統

中圖分類號：TP309文獻標識碼：ADOI:10.19358/j.issn.2097-1788.2025.02.001
引用格式：尤剛，徐蕾，李美鵬，等. 基于機器學習和規則的網絡異常流量檢測研究［J］.網絡安全與數據治理，2025，44（2）：1-9.

Research on abnormal network traffic detection based on machine learning and rule-based methods

You Gang1，Xu Lei2，Li Meipeng1，Liu Wenjie1，Zhang Peng1，Lu Zhenkui2

1.Unit 96941 of PLA; 2.China Aerospace Times Electronics Co., Ltd.

Abstract： The mainstream methods of network abnormal traffic detection are machine learning-based and rule matching-based. The former can detect unknown abnormal traffic, and the latter can accurately point out the type of attack. In order to combine the advantages of the two, this paper uses a hybrid method to realize the network abnormal traffic detection system. The system is equipped with two filters. The first filter uses the stream clustering algorithm for preliminary filtering, and the second filter uses the open source tool Suricata for fine identification. Based on DenStream algorithm, this paper proposes a flow clustering algorithm DenStream-DRT, which can dynamically determine the radius threshold according to the change of the proportion of abnormal traffic in the network. In addition, in order to improve the problem that Suricata cannot recognize unknown abnormal traffic, this paper proposes a generation algorithm PCRG-Apriori with payload constraint rules based on Apriori. Finally, the rule-based network intrusion detection system Suricata is integrated with the DenStream-DRT classifier to form a new network abnormal traffic detection system. Experimental results show that the integrated system has good performance in speed and accuracy.

Key words : network security; flow clustering algorithm; Apriori algorithm; Suricata; abnormal traffic detection system

引言

在網絡安全領域，網絡異常流量檢測至關重要。當前網絡異常流量檢測方法主要有基于機器學習、基于規則以及兩者混合的。

機器學習中的有監督學習方法依賴標注好的數據，在數據集質量高時能實現較好的檢測效果。例如，Hu［1］等人提出了魯棒性的SVM算法，展現出對噪聲處理的強大能力，增強了模型的穩定性；Kabir等人［2］提出了一個改進的SVM方法LS-SVM，實驗結果證明該方法在準確性和效率方面有了顯著提升。

機器學習中的半監督學習介于監督和無監督之間，通過結合已標注正例與未標注數據訓練模型，可實現較好分類性能。Jabbar等人［3］提出了一個以迭代的方式進行聚類的半監督學習器，實驗結果顯示該方法可以實現較高的準確率和較低的誤報率。

機器學習中的無監督學習算法不依賴標注數據集，適應性強，但準確性不如有監督學習，且誤報率較高。Syarif等人［4］研究對比了常用的聚類和有監督學習方法，實驗結果顯示無監督的聚類算法誤報率較高，約為20%。

基于規則的網絡異常流量檢測通過將專家定義的規則與流量進行匹配來識別異常流量。Suricata是一個開源的網絡入侵檢測和阻止引擎，其在多方面表現出色，但存在無法檢測未知流量、實時性差等局限。

混合網絡異常流量檢測有串行和并行兩大方向。并行檢測中基于規則的工具和基于機器學習的分類器同步運作。例如，Shah等人［5］提出了一個并行處理框架，將Snort與SVM同時運作，實驗顯示該系統具有較好的檢測精度。串行檢測則順序運用兩者。例如，Chiba［6］等人介紹了一種以Suricata和隔離森林算法為核心的檢測框架，其中Suricata作為初步過濾器，由隔離森林算法進行進一步的異常流量識別，實現了對未知攻擊的有效檢測。

考慮到系統的效率，本文選擇構建串行的檢測系統，即將基于機器學習的檢測方法作為第一道過濾器，將基于規則的工具作為第二道過濾器。然而，現行的流聚類算法存在準確率較低的問題，導致過多可疑流量被傳遞至Suricata系統；此外，Suricata存在無法識別未知異常流量的問題。本文對上述問題進行了改進研究：

（1）針對流聚類算法準確率較低的問題，提出了一種可以動態確定半徑閾值的流聚類算法，并進行了對比實驗；（2）針對Suricata系統僅能識別已知的異常流量問題，提出了基于Apriori的含有效負載約束的規則生成算法；（3）將基于規則的Suricata系統和基于機器學習的流聚類算法集成，并進行了消融實驗［7］。

本文詳細內容請下載：

http://www.jysgc.com/resource/share/2000006336

作者信息：

尤剛1，徐蕾2，李美鵬1，劉文杰1，張鵬1，陸振奎2

（1.96941部隊，北京100085；

2.中國航天時代電子有限公司，北京100094）

Magazine.Subscription.jpg

原創聲明：此內容為AET網站原創，未經授權禁止轉載。

相關內容