网络流量的异常检测

核心提示： 传统入侵检测的不足 随着Internet的不断发展，网络安全已经逐渐成为人们越来越关心的问题，网络流量的异常检测，而入侵检测系统是继防火墙之后逐渐兴起的防护手段之一，也越来越受广大学者和工程人员的重视，（2）由于Internet是没有集中管理的多个管理域的互联网络，但是入侵检测要求各个检测系统之间是协同运行的，传统的

传统入侵检测的不足

随着Internet的不断发展，网络安全已经逐渐成为人们越来越关心的问题，而入侵检测系统是继防火墙之后逐渐兴起的防护手段之一，也越来越受广大学者和工程人员的重视。

传统的入侵检测方法分为两种：基于误用检测（misused-based）方法和基于异常检测（anomaly-based）方法。前者需要攻击样本，通过描述每一种攻击的特殊模式来检测。该方法的查准率很高，并且可提供详细的攻击类型和说明，是目前入侵检测商业产品中使用的主要方法。然而经过长时间的研究和应用，该方法也暴露出一定的弱点，由于基于特征的入侵检测系统是依靠人为的预先设定报警规则来实现，所以在面对不断变化的网络攻击时有其本身固有的缺陷，比如，利用这种方法时需要维护一个昂贵的攻击模式库、只能检测已知的攻击等。另一方面，攻击者可以通过修改自己的攻击特征模式来隐藏自己的行为，而且有些攻击方法根本没有特定的攻击模式。异常检测方法主要针对解决误用检测方法所面临的问题。因而本文主要探讨的是基于网络流量异常的入侵检测方法。

基于流量异常的检测方法有很多，较常用的有基于域值的检测方法，基于统计的检测方法，基于小波的检测方法，基于马尔可夫等随机过程模型的方法和一些基于机器学习、数据挖掘和神经网络等检测方法，但是这些方法主要存在以下问题。

（1）报警意义不明确：由于上述入侵检测方法只检测了网络流量中的一种或几种特征向量，而且选取的特征向量没有特定的攻击含义，因而检测系统报警时只知网络中某些特征向量出现了异常，但是不能判断出现了什么样的攻击。

（2）由于Internet是没有集中管理的多个管理域的互联网络，但是入侵检测要求各个检测系统之间是协同运行的，因而作为协同运行的主要内容的共享数据的提供就显得非常重要。