引用格式:尤剛,徐蕾,李美鵬,等. 基于機(jī)器學(xué)習(xí)和規(guī)則的網(wǎng)絡(luò)異常流量檢測(cè)研究[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2025,44(2):1-9.
引言
在網(wǎng)絡(luò)安全領(lǐng)域,網(wǎng)絡(luò)異常流量檢測(cè)至關(guān)重要。當(dāng)前網(wǎng)絡(luò)異常流量檢測(cè)方法主要有基于機(jī)器學(xué)習(xí)、基于規(guī)則以及兩者混合的。
機(jī)器學(xué)習(xí)中的有監(jiān)督學(xué)習(xí)方法依賴標(biāo)注好的數(shù)據(jù),在數(shù)據(jù)集質(zhì)量高時(shí)能實(shí)現(xiàn)較好的檢測(cè)效果。例如,Hu[1]等人提出了魯棒性的SVM算法,展現(xiàn)出對(duì)噪聲處理的強(qiáng)大能力,增強(qiáng)了模型的穩(wěn)定性;Kabir等人[2]提出了一個(gè)改進(jìn)的SVM方法LS-SVM,實(shí)驗(yàn)結(jié)果證明該方法在準(zhǔn)確性和效率方面有了顯著提升。
機(jī)器學(xué)習(xí)中的半監(jiān)督學(xué)習(xí)介于監(jiān)督和無(wú)監(jiān)督之間,通過(guò)結(jié)合已標(biāo)注正例與未標(biāo)注數(shù)據(jù)訓(xùn)練模型,可實(shí)現(xiàn)較好分類性能。Jabbar等人[3]提出了一個(gè)以迭代的方式進(jìn)行聚類的半監(jiān)督學(xué)習(xí)器,實(shí)驗(yàn)結(jié)果顯示該方法可以實(shí)現(xiàn)較高的準(zhǔn)確率和較低的誤報(bào)率。
機(jī)器學(xué)習(xí)中的無(wú)監(jiān)督學(xué)習(xí)算法不依賴標(biāo)注數(shù)據(jù)集,適應(yīng)性強(qiáng),但準(zhǔn)確性不如有監(jiān)督學(xué)習(xí),且誤報(bào)率較高。Syarif等人[4]研究對(duì)比了常用的聚類和有監(jiān)督學(xué)習(xí)方法,實(shí)驗(yàn)結(jié)果顯示無(wú)監(jiān)督的聚類算法誤報(bào)率較高,約為20%。
基于規(guī)則的網(wǎng)絡(luò)異常流量檢測(cè)通過(guò)將專家定義的規(guī)則與流量進(jìn)行匹配來(lái)識(shí)別異常流量。Suricata是一個(gè)開源的網(wǎng)絡(luò)入侵檢測(cè)和阻止引擎,其在多方面表現(xiàn)出色,但存在無(wú)法檢測(cè)未知流量、實(shí)時(shí)性差等局限。
混合網(wǎng)絡(luò)異常流量檢測(cè)有串行和并行兩大方向。并行檢測(cè)中基于規(guī)則的工具和基于機(jī)器學(xué)習(xí)的分類器同步運(yùn)作。例如,Shah等人[5]提出了一個(gè)并行處理框架,將Snort與SVM同時(shí)運(yùn)作,實(shí)驗(yàn)顯示該系統(tǒng)具有較好的檢測(cè)精度。串行檢測(cè)則順序運(yùn)用兩者。例如,Chiba[6]等人介紹了一種以Suricata和隔離森林算法為核心的檢測(cè)框架,其中Suricata作為初步過(guò)濾器,由隔離森林算法進(jìn)行進(jìn)一步的異常流量識(shí)別,實(shí)現(xiàn)了對(duì)未知攻擊的有效檢測(cè)。
考慮到系統(tǒng)的效率,本文選擇構(gòu)建串行的檢測(cè)系統(tǒng),即將基于機(jī)器學(xué)習(xí)的檢測(cè)方法作為第一道過(guò)濾器,將基于規(guī)則的工具作為第二道過(guò)濾器。然而,現(xiàn)行的流聚類算法存在準(zhǔn)確率較低的問(wèn)題,導(dǎo)致過(guò)多可疑流量被傳遞至Suricata系統(tǒng);此外,Suricata存在無(wú)法識(shí)別未知異常流量的問(wèn)題。本文對(duì)上述問(wèn)題進(jìn)行了改進(jìn)研究:
(1)針對(duì)流聚類算法準(zhǔn)確率較低的問(wèn)題,提出了一種可以動(dòng)態(tài)確定半徑閾值的流聚類算法,并進(jìn)行了對(duì)比實(shí)驗(yàn);(2)針對(duì)Suricata系統(tǒng)僅能識(shí)別已知的異常流量問(wèn)題,提出了基于Apriori的含有效負(fù)載約束的規(guī)則生成算法;(3)將基于規(guī)則的Suricata系統(tǒng)和基于機(jī)器學(xué)習(xí)的流聚類算法集成,并進(jìn)行了消融實(shí)驗(yàn)[7]。
本文詳細(xì)內(nèi)容請(qǐng)下載:
http://www.jysgc.com/resource/share/2000006336
作者信息:
尤剛1,徐蕾2,李美鵬1,劉文杰1,張鵬1,陸振奎2
(1.96941部隊(duì),北京100085;
2.中國(guó)航天時(shí)代電子有限公司,北京100094)
