摘要
随着互联网快速发展,网络攻击活动正在变得日渐频繁,网络攻击活动会严重影响用户体验和网络的可用性,对网络运营商以及网络用户造成重大影响。网络异常流量是指对网络正常使用造成不良影响的网络流量,快速、高效的对网络异常流量检测,对网络及安全管理人员排查网络异常、维护网络正常运行、保障网络安全有重要意义。 然而,传统的基于机器学习的网络流量异常检测技术在高速、实时的网络场景中仍然存在很多限制。目前的网络流量异常检测方法依赖于专家设计的特征集。由于需要检测的攻击类型众多,不可避免的会引入无关特征,从而影响到检测准确率。同时,现有的网络流量异常检测算法只能在静态的数据集上保证较高的检测准确率,无法在随时发生变化的真实网络环境中保持其检测效果。为了解决以上问题,本课题提出了一种基于反馈的在线异常检测算法,该算法包含两个部分:基于自监督的网络流量特征提取算法和基于反馈的在线孤立森林。基于自监督的网络流量特征提取算法能够在不依赖于专家设计的特征的情况下,提取出具有代表性的网络流量表征。基于反馈的在线孤立森林算法能够利用管理员的反馈实时的更新模型的参数,从而让检测系统不断适应变化的环境。本课题证明了所提出的算法理论上能够收敛到最优解。 在上述方法的基础上,本课题实现了所提出算法的原型系统,并将其应用到SD-WAN网络场景中,充分利用SD-WAN集中管理的思想和边缘设备可编程能力,降低系统的管理成本。同时,该系统还可以利用管理员反馈实时更新检测系统的参数,以使系统适能够适应不断变化的网络环境。该系统分为控制器和边缘设备两个部分,并能够利用管理员的反馈对检测模型进行实时的更新。同时,真实网络环境中的测试表明本课题提出的系统能够准确的检测出网络中的异常流量,并且比现有方法的识别准确率提升了60%左右。
NETL