來(lái)源：Flow-based intrusion detection: Techniques and challenges

基于流的入侵檢測(cè)是一種新穎的高速網(wǎng)絡(luò)入侵檢測(cè)方法滨彻〕Γ基于流的入侵檢測(cè)只檢查包頭洞渤，不分析包負(fù)載瞪浸。介紹了一種基于流的入侵檢測(cè)系統(tǒng)睛琳，并對(duì)基于流的入侵檢測(cè)技術(shù)進(jìn)行了研究锯玛。文中還介紹了用于評(píng)估基于流的入侵檢測(cè)系統(tǒng)的現(xiàn)有基于流的數(shù)據(jù)集。在分析IP流量記錄惡意檢測(cè)技術(shù)的基礎(chǔ)上踢涌，提出了一種基于流量的入侵檢測(cè)系統(tǒng)分類(lèi)方法通孽。我們回顧了現(xiàn)有基于流的入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)和評(píng)估結(jié)果，并確定了未來(lái)基于流的入侵檢測(cè)領(lǐng)域研究的重要挑戰(zhàn)睁壁。

1. 介紹

為企業(yè)和政府提供高速網(wǎng)絡(luò)服務(wù)的需求怎么強(qiáng)調(diào)都不過(guò)分背苦。信息技術(shù)公司和服務(wù)提供商不斷努力提高網(wǎng)絡(luò)連接和硬件的能力。這種數(shù)據(jù)傳輸速率潘明、計(jì)算能力和計(jì)算機(jī)網(wǎng)絡(luò)的擴(kuò)展帶來(lái)了復(fù)雜的信息安全挑戰(zhàn)行剂，需要其他解決方案。

入侵檢測(cè)系統(tǒng)(IDS)是保護(hù)IP網(wǎng)絡(luò)的重要工具钳降。入侵檢測(cè)系統(tǒng)(IDS)分析與受保護(hù)系統(tǒng)關(guān)聯(lián)的日志軌跡厚宰，并判斷這些日志軌跡是否包含攻擊的痕跡。如果入侵檢測(cè)系統(tǒng)檢測(cè)到攻擊遂填，它會(huì)發(fā)出警報(bào)(Garcia-Teodoro et al.铲觉， 2009)。傳統(tǒng)的入侵檢測(cè)系統(tǒng)使用深度包檢查(AbuHmed et al.吓坚， 2008)或有狀態(tài)協(xié)議分析來(lái)檢測(cè)網(wǎng)絡(luò)流量中的攻擊撵幽。當(dāng)網(wǎng)絡(luò)流量被加密時(shí)，深度數(shù)據(jù)包檢查是不可能的(Koch, 2011)礁击。此外盐杂，檢查整個(gè)有效載荷在計(jì)算上是昂貴的逗载，并可能成為高速I(mǎi)P網(wǎng)絡(luò)的性能瓶頸(Sperotto和普拉斯，2011)链烈。有狀態(tài)協(xié)議分析根據(jù)規(guī)范檢查協(xié)議的完整語(yǔ)義厉斟，任何超出范圍的值都被認(rèn)為是入侵。有狀態(tài)分析技術(shù)是特定于協(xié)議的强衡，并且在計(jì)算上也很昂貴(Liao et al.捏膨， 2013)。

由于分組和基于協(xié)議的入侵檢測(cè)系統(tǒng)的局限性食侮，研究人員正致力于保護(hù)IP網(wǎng)絡(luò)的替代方法号涯。一個(gè)保護(hù)IP網(wǎng)絡(luò)免受未經(jīng)授權(quán)訪問(wèn)的創(chuàng)新解決方案是使用基于流的入侵檢測(cè)系統(tǒng)(Copeland III, 2007)【馄撸基于流量的入侵檢測(cè)系統(tǒng)使用IP流量記錄作為輸入链快，并試圖找出流量是正常的還是惡意的(Sperotto和普拉斯，2011)眉尸。由于只檢查流量記錄域蜗，入侵檢測(cè)系統(tǒng)從包內(nèi)容檢查的復(fù)雜和耗時(shí)的處理中解脫出來(lái)。網(wǎng)絡(luò)上分析的流包平均占流量的0.1%噪猾。網(wǎng)絡(luò)負(fù)載以字節(jié)為單位度量霉祸，而Netflow帶來(lái)的開(kāi)銷(xiāo)平均為0.2% (Sperotto和Pras, 2011)。因此袱蜡，基于流的入侵檢測(cè)是快速的丝蹭，獨(dú)立于封裝的有效載荷。

基于流的入侵檢測(cè)是一個(gè)相對(duì)較新的領(lǐng)域坪蚁，目前該領(lǐng)域的研究正處于起步階段奔穿。近年來(lái)，人們提出了許多利用IP流數(shù)據(jù)進(jìn)行入侵檢測(cè)的技術(shù)敏晤。在本文中贱田，我們回顧了基于流的入侵檢測(cè)系統(tǒng)的研究現(xiàn)狀，并討論了開(kāi)放的問(wèn)題和未來(lái)的研究挑戰(zhàn)嘴脾。

我們將論文組織如下男摧。我們將在第二節(jié)討論相關(guān)的調(diào)查和評(píng)論文章。我們還描述了我們的研究如何不同于現(xiàn)有的綜述文章译打。第3節(jié)介紹了基于流的入侵檢測(cè)耗拓，并討論了其優(yōu)缺點(diǎn)。第4節(jié)簡(jiǎn)要介紹了用于基于流的系統(tǒng)性能評(píng)估的不同的基于流的數(shù)據(jù)集扶平。在第5節(jié)中帆离，我們提出了一種基于IP流中攻擊檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)分類(lèi)蔬蕊。在此基礎(chǔ)上结澄，對(duì)現(xiàn)有的基于流的入侵檢測(cè)系統(tǒng)進(jìn)行了研究哥谷。在第6節(jié)中，我們還列出了一個(gè)商業(yè)上可用的基于流的入侵檢測(cè)系統(tǒng)麻献。在第7節(jié)中们妥，我們提出了我們對(duì)現(xiàn)有技術(shù)的看法。我們?cè)诘?節(jié)中確定了基于流的檢測(cè)領(lǐng)域的重要挑戰(zhàn)和開(kāi)放問(wèn)題勉吻，并對(duì)它們進(jìn)行了描述监婶。在第9節(jié)中，我們將討論基于流的入侵檢測(cè)系統(tǒng)的未來(lái)齿桃。最后惑惶，我們?cè)诘?0節(jié)結(jié)束我們的工作。

2. 相關(guān)工作

入侵檢測(cè)是一個(gè)重要的研究領(lǐng)域短纵。已經(jīng)發(fā)表了一些關(guān)于入侵檢測(cè)技術(shù)現(xiàn)狀的調(diào)查和綜述文章带污。在本節(jié)中，我們簡(jiǎn)要介紹了重要的入侵檢測(cè)綜述文章香到，并討論了我們工作的意義鱼冀。

我們將現(xiàn)有的入侵檢測(cè)綜述文章分為基于場(chǎng)景的、基于技術(shù)的悠就、基于攻擊的和通用的類(lèi)別千绪。基于場(chǎng)景的綜述文章分析了為特定網(wǎng)絡(luò)場(chǎng)景或體系結(jié)構(gòu)設(shè)計(jì)的所有類(lèi)型的入侵檢測(cè)系統(tǒng)梗脾。Anantvalee和Wu(2007)討論了用于移動(dòng)自組網(wǎng)(MANETs)的入侵檢測(cè)技術(shù)荸型。作者對(duì)現(xiàn)有的系統(tǒng)進(jìn)行了回顧和比較，并為今后的研究提供了方向炸茧。manet中入侵檢測(cè)和預(yù)防系統(tǒng)的另一項(xiàng)研究發(fā)表于(Nadeem和Howarth, 2013)帆疟。Patel等(2013)對(duì)云計(jì)算中的入侵檢測(cè)與防御系統(tǒng)(IDPS)進(jìn)行了研究。作者描述了云計(jì)算的特點(diǎn)宇立，并討論了為云開(kāi)發(fā)IDPS所面臨的挑戰(zhàn)饲梭。本文還確定了基于云的IDPS的需求宁昭。無(wú)線傳感器網(wǎng)絡(luò)(WSNs)中的入侵檢測(cè)系統(tǒng)綜述見(jiàn)(Butun et al.， 2014)。本文簡(jiǎn)要介紹了IDSs牍帚，并討論了它們?cè)跓o(wú)線傳感器網(wǎng)絡(luò)中的應(yīng)用。本文對(duì)無(wú)線傳感器網(wǎng)絡(luò)設(shè)計(jì)的IDSs進(jìn)行了詳細(xì)的綜述怔球，分析了其優(yōu)缺點(diǎn)倔矾。該調(diào)查還為適用于無(wú)線傳感器網(wǎng)絡(luò)的IDS提供了一個(gè)通用模型。

基于技術(shù)的綜述文章在檢測(cè)算法的基礎(chǔ)上分析了一種特殊類(lèi)型的入侵檢測(cè)系統(tǒng)毙驯。在基于技術(shù)的審查中倒堕，構(gòu)造了一種檢測(cè)算法分類(lèi)，并對(duì)每個(gè)類(lèi)別的入侵檢測(cè)系統(tǒng)進(jìn)行了審查爆价】寻停基于技術(shù)的綜述文章有助于比較不同檢測(cè)算法的性能媳搪。GarciaTeodoro等(2009)綜述了基于異常的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(a - nids)。作者將A-NIDS分為基于統(tǒng)計(jì)的骤宣、基于知識(shí)的和基于機(jī)器學(xué)習(xí)的三類(lèi)秦爆。本文對(duì)各種類(lèi)型的A- nids技術(shù)進(jìn)行了綜述，并對(duì)其優(yōu)缺點(diǎn)進(jìn)行了討論憔披。最后等限，討論了異常檢測(cè)系統(tǒng)存在的問(wèn)題和面臨的挑戰(zhàn)。Zhang等人(2009)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中的異常檢測(cè)方法進(jìn)行了綜述芬膝。調(diào)查將異常檢測(cè)技術(shù)分為四類(lèi):統(tǒng)計(jì)望门、分類(lèi)、機(jī)器學(xué)習(xí)和有限狀態(tài)機(jī)锰霜。本文描述了這些類(lèi)別中的每種可用技術(shù)怒允。Tsai等人(2009)對(duì)使用機(jī)器學(xué)習(xí)技術(shù)的入侵檢測(cè)系統(tǒng)進(jìn)行了研究。在分類(lèi)器設(shè)計(jì)锈遥、使用的數(shù)據(jù)集和其他實(shí)驗(yàn)設(shè)置的基礎(chǔ)上纫事，對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行了比較。本文還對(duì)入侵檢測(cè)的限制進(jìn)行了分析所灸，并對(duì)未來(lái)的研究方向進(jìn)行了探討丽惶。(Wu and Banzhaf, 2010)對(duì)使用計(jì)算智能技術(shù)的入侵檢測(cè)系統(tǒng)進(jìn)行了綜述。綜述了人工神經(jīng)網(wǎng)絡(luò)爬立、模糊系統(tǒng)钾唬、進(jìn)化計(jì)算、人工免疫系統(tǒng)侠驯、群體智能和軟計(jì)算算法在入侵檢測(cè)中的應(yīng)用抡秆。Buczak和Guven(2015)對(duì)入侵檢測(cè)的數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)方法進(jìn)行了綜述。本文將可用的系統(tǒng)分為12種不同的數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)方法吟策。并對(duì)不同方法的計(jì)算復(fù)雜度進(jìn)行了描述儒士。最后，對(duì)數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)技術(shù)在入侵檢測(cè)中的應(yīng)用提出了建議檩坚。Drasar等人(2014)對(duì)基于流的入侵檢測(cè)技術(shù)進(jìn)行了綜述着撩。綜述了基于流的相似度匹配攻擊檢測(cè)技術(shù)。這些技術(shù)是根據(jù)相似函數(shù)的順序進(jìn)行分組的匾委。Vasilomanolakis等(2015)對(duì)協(xié)同入侵檢測(cè)系統(tǒng)(CIDS)進(jìn)行了研究拖叙。首先，作者定義了在大型IT系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施中成功部署CIDSs的需求赂乐。將現(xiàn)有的CIDSs分為集中式薯鳍、分散式和分布式三類(lèi)，并對(duì)每一類(lèi)中的技術(shù)進(jìn)行了詳細(xì)的介紹挨措。

基于攻擊的評(píng)論文章建立了網(wǎng)絡(luò)攻擊的分類(lèi)挖滤。針對(duì)每種類(lèi)型的攻擊崩溪，對(duì)現(xiàn)有的入侵檢測(cè)系統(tǒng)進(jìn)行了回顧。Sperotto等人(2010)對(duì)基于流的入侵檢測(cè)系統(tǒng)進(jìn)行了詳細(xì)的研究壶辜。本文介紹了基于流的入侵系統(tǒng)，并描述了使用基于流的入侵檢測(cè)的動(dòng)機(jī)担租。創(chuàng)建了網(wǎng)絡(luò)攻擊的分類(lèi)砸民，并描述了針對(duì)攻擊類(lèi)型的基于流的技術(shù)。最后奋救，作者對(duì)基于流的入侵檢測(cè)進(jìn)行了批判性的討論岭参，并指出了未來(lái)的研究方向。

一般用途的綜述文章提供了不同維度的入侵檢測(cè)技術(shù)尝艘。(Patel et al.演侯， 2010)中介紹了入侵檢測(cè)和預(yù)防系統(tǒng)的概況。在調(diào)查中背亥，分析了現(xiàn)有系統(tǒng)存在的不足秒际，提出了利用機(jī)器學(xué)習(xí)和自主計(jì)算等智能技術(shù)檢測(cè)已知和未知威脅的方法。入侵檢測(cè)系統(tǒng)的綜合綜述見(jiàn)(Liao et al.狡汉， 2013)娄徊。提出了一種基于系統(tǒng)部署、數(shù)據(jù)源盾戴、時(shí)效性和檢測(cè)策略的入侵檢測(cè)系統(tǒng)分類(lèi)方法寄锐。同時(shí)也提出了未來(lái)入侵檢測(cè)系統(tǒng)的一些挑戰(zhàn)。Bhuyan等人(2014)對(duì)網(wǎng)絡(luò)異常檢測(cè)方法尖啡、系統(tǒng)和工具進(jìn)行了廣泛的綜述橄仆。本文確定了六種不同類(lèi)型的網(wǎng)絡(luò)異常檢測(cè)方法。作者描述了每種方法的優(yōu)缺點(diǎn)衅斩，并討論了相關(guān)的系統(tǒng)盆顾。本文還詳細(xì)介紹了用于入侵檢測(cè)系統(tǒng)基準(zhǔn)測(cè)試的評(píng)估措施和數(shù)據(jù)集。最后畏梆，對(duì)網(wǎng)絡(luò)異常檢測(cè)中存在的問(wèn)題和挑戰(zhàn)進(jìn)行了廣泛的討論椎扬。

本文對(duì)基于流的入侵檢測(cè)系統(tǒng)進(jìn)行了基于最新技術(shù)的綜述。我們的工作與以往的調(diào)查和檢討有以下不同:

1. 我們對(duì)基于流量的檢測(cè)技術(shù)進(jìn)行了全面的介紹具温。Sperotto等人(2010年)對(duì)基于流程的技術(shù)進(jìn)行了較早的調(diào)查蚕涤，現(xiàn)在已有7年的歷史。Drasar等人(2014)最近對(duì)基于流量的檢測(cè)技術(shù)進(jìn)行了研究铣猩。然而揖铜，它側(cè)重于相似性匹配方法。Winter等人(2011b)达皿、Zhang等人(2012)天吓、Fran cois等人(2012)的一些技術(shù)還沒(méi)有被討論贿肩。

2. 我們的工作重點(diǎn)是基于流的入侵檢測(cè)。其他調(diào)查如Bhuyan等(2014)龄寞、Buczak和Guven(2015)討論了一些基于流程的技術(shù)汰规，但細(xì)節(jié)有限。

3.簡(jiǎn)要介紹了基于流的入侵檢測(cè)技術(shù)物邑。描述了一個(gè)通用的基于流的入侵檢測(cè)模型溜哮，并討論了基于流的入侵檢測(cè)的優(yōu)缺點(diǎn)。

4. 我們提供了一個(gè)基于流的公開(kāi)可用數(shù)據(jù)集的摘要色解。我們還描述了用于生成數(shù)據(jù)集的過(guò)程茂嗓，并給出了重要流屬性的詳細(xì)信息。

5. 我們創(chuàng)建了基于流的入侵檢測(cè)系統(tǒng)的技術(shù)分類(lèi)科阎。這與早期的調(diào)查報(bào)告不同述吸，調(diào)查報(bào)告是根據(jù)攻擊類(lèi)型組織的。對(duì)現(xiàn)有的基于流的入侵檢測(cè)技術(shù)進(jìn)行了綜述锣笨，并對(duì)其優(yōu)缺點(diǎn)進(jìn)行了討論蝌矛。

6. 我們提供了一個(gè)商業(yè)上可用的入侵檢測(cè)系統(tǒng)列表，這些系統(tǒng)使用IP流記錄進(jìn)行網(wǎng)絡(luò)攻擊檢測(cè)错英。

7. 最后朴读，我們指出了基于流的入侵檢測(cè)中重要的開(kāi)放問(wèn)題和研究挑戰(zhàn)。

3.基于流的入侵檢測(cè)

3.1 IP流

基于流的入侵檢測(cè)系統(tǒng)使用IP流記錄進(jìn)行入侵檢測(cè)走趋。IP流記錄有許多應(yīng)用衅金，例如計(jì)費(fèi)、流量分析簿煌、網(wǎng)絡(luò)可見(jiàn)性氮唯、擁塞控制和入侵檢測(cè)(Li et al.， 2013)姨伟。IP流被定義為一組數(shù)據(jù)包或幀惩琉，它們?cè)谝欢ǖ臅r(shí)間間隔內(nèi)通過(guò)網(wǎng)絡(luò)中的觀察點(diǎn)。所有屬于特定流的包都具有一組公共屬性(Trammell和Claise, 2013)夺荒。網(wǎng)絡(luò)中的觀測(cè)點(diǎn)可以是流探針瞒渠，也可以是啟用流的網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)中IP流的處理通過(guò)流導(dǎo)出和收集協(xié)議進(jìn)行管理技扼。流數(shù)據(jù)的重要性使得所有主要供應(yīng)商都在其網(wǎng)絡(luò)硬件中提供內(nèi)置的流收集和導(dǎo)出支持伍玖。不同的供應(yīng)商都有自己的流協(xié)議，但Ciscos Netflow是最流行的剿吻。

Internet Engineering Task Force (IETF)采用Netflow v9開(kāi)發(fā)了一個(gè)標(biāo)準(zhǔn)的流導(dǎo)出和收集協(xié)議窍箍，名為Internet Packet flow Information Exchange (IPFIX) (Trammell and Claise, 2013)。IPFIX是一個(gè)靈活的協(xié)議，大約有280個(gè)屬性椰棘。IPFIX允許以導(dǎo)出模板定義的自定義格式導(dǎo)出流記錄纺棺。與Netflow不同，IPFIX包含特定的字段邪狞，供應(yīng)商可以使用這些字段存儲(chǔ)專(zhuān)有信息祷蝌。圖1顯示了IPFIX流導(dǎo)出和集合體系結(jié)構(gòu)。

IPFIX使用以下三個(gè)過(guò)程收集流記錄:

(1)觀測(cè)點(diǎn)采用計(jì)量過(guò)程帆卓。觀察點(diǎn)收集通過(guò)特定接口的數(shù)據(jù)包巨朦。這些數(shù)據(jù)包被轉(zhuǎn)發(fā)到一個(gè)計(jì)量過(guò)程。計(jì)量過(guò)程對(duì)數(shù)據(jù)包進(jìn)行時(shí)間戳鳞疲。這些時(shí)間戳包可以采樣或過(guò)濾罪郊，因?yàn)樵诟咚倬W(wǎng)絡(luò)中蠕蚜，包的總數(shù)可能非常大尚洽。這些包按特定的間隔緩存，以便接收特定流所需的所有包靶累。

(2)出口過(guò)程腺毫。在導(dǎo)出過(guò)程中定義了生成IPFIX流記錄的規(guī)則。該過(guò)程生成IPFIX記錄使用IPFIX模板定義的格式挣柬，并使用底層傳輸協(xié)議將它們轉(zhuǎn)發(fā)到收集過(guò)程潮酒。

(3)收集過(guò)程。收集過(guò)程從導(dǎo)出過(guò)程收集IPFIX記錄邪蛔，并將它們存儲(chǔ)在流數(shù)據(jù)庫(kù)中急黎。流分析應(yīng)用程序可以訪問(wèn)數(shù)據(jù)庫(kù)，以達(dá)到所需的目的侧到。

3.2勃教。基于流的入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)

圖2展示了一個(gè)基于流的入侵檢測(cè)系統(tǒng)的總體架構(gòu)匠抗。系統(tǒng)以IPFIX/Netflow記錄作為輸入故源。流記錄可以有許多屬性。并不是所有這些屬性在分類(lèi)決策中都是必需的汞贸，其中一些屬性可以成為計(jì)算性的绳军，而一些重要的屬性如原始IP地址、目標(biāo)端口等在檢測(cè)決策中起著重要的作用矢腻。特征選擇階段只選擇決策所需的相關(guān)屬性门驾。預(yù)處理階段以異常檢測(cè)算法可接受的特定格式轉(zhuǎn)換流記錄。異常檢測(cè)算法利用IP流記錄進(jìn)行訓(xùn)練和檢測(cè)階段多柑。在檢測(cè)階段猎唁，算法將流量記錄標(biāo)記為惡意或正常。如果流是正常的，則認(rèn)為它是安全的诫隅，并且沒(méi)有后續(xù)操作腐魂，而惡意流可以發(fā)出警報(bào)并成為進(jìn)一步檢查的對(duì)象。

3.3 基于流的入侵檢測(cè)的優(yōu)缺點(diǎn)

與傳統(tǒng)的入侵檢測(cè)系統(tǒng)相比逐纬，基于流的入侵檢測(cè)具有許多優(yōu)點(diǎn)蛔屹。基于流的IDS只分析IP流記錄豁生。IP流記錄包含包頭的聚合信息兔毒。將網(wǎng)絡(luò)流量信息歸納為IP流的形式，減少了IDS處理的數(shù)據(jù)量甸箱。因此育叁，基于流量的入侵檢測(cè)最適合于處理計(jì)算困難的完整網(wǎng)絡(luò)流量的骨干鏈路的保護(hù)(Sperotto和普拉斯，2011)芍殖。

許多現(xiàn)代網(wǎng)絡(luò)應(yīng)用程序使用端到端加密豪嗽。基于分組的入侵檢測(cè)系統(tǒng)不可能在中間位置檢測(cè)加密的數(shù)據(jù)豌骏。在這種情況下龟梦，基于流的入侵檢測(cè)是一個(gè)合適的選擇，因?yàn)椴恍枰鼣?shù)據(jù)掃描窃躲〖品。基于流的檢查比基于包的檢查更少涉及隱私問(wèn)題，因?yàn)橛脩粜畔⒉皇苋魏沃虚g掃描的保護(hù)蒂窒。

從網(wǎng)絡(luò)中收集的流數(shù)據(jù)可以很容易地分布到多個(gè)流收集點(diǎn)躁倒。大多數(shù)最新的硬件都提供了內(nèi)置的流收集支持。因此洒琢，流數(shù)據(jù)可以從網(wǎng)絡(luò)的多個(gè)位置收集秧秉，而不需要任何額外的成本(Golling et al.， 2014)纬凤。

基于流的技術(shù)的一個(gè)重要特性是使用Netflow或IPFIX以標(biāo)準(zhǔn)格式收集流記錄福贞。基于流的系統(tǒng)不需要包含用于收集來(lái)自各種網(wǎng)絡(luò)體系結(jié)構(gòu)和協(xié)議的流量數(shù)據(jù)的任何邏輯停士。收集針對(duì)IPFIX的流記錄還具有額外的好處挖帘，如計(jì)費(fèi)、擁塞控制和網(wǎng)絡(luò)行為分析(Hofstede et al.恋技， 2014a)拇舀。在最好的情況下，基于流的入侵檢測(cè)系統(tǒng)具有接近實(shí)時(shí)響應(yīng)蜻底、低部署成本和在高速骨干鏈路上運(yùn)行的能力(Golling et al.骄崩， 2014)。

基于流的入侵檢測(cè)具有很多優(yōu)點(diǎn)，但也存在一些不足要拂。用于入侵檢測(cè)的IP流記錄包含廣義網(wǎng)絡(luò)信息抠璃。因此，基于流的入侵檢測(cè)系統(tǒng)很難利用廣義信息來(lái)識(shí)別攻擊脱惰〔耍基于流的技術(shù)不掃描數(shù)據(jù)包負(fù)載。因此拉一，基于流的技術(shù)不能檢測(cè)隱藏在包有效負(fù)載中的網(wǎng)絡(luò)攻擊采盒，也不如基于包的檢測(cè)準(zhǔn)確(Sperotto和普拉斯，2011)蔚润。

4. 基于流的入侵?jǐn)?shù)據(jù)集

入侵?jǐn)?shù)據(jù)集用于對(duì)入侵檢測(cè)系統(tǒng)的性能進(jìn)行基準(zhǔn)測(cè)試磅氨。數(shù)據(jù)集包含正常和惡意網(wǎng)絡(luò)流量。入侵檢測(cè)系統(tǒng)檢測(cè)數(shù)據(jù)集中存在的惡意流量嫡纠。入侵檢測(cè)系統(tǒng)的性能是通過(guò)實(shí)際攻擊次數(shù)和IDS檢測(cè)到的攻擊次數(shù)來(lái)評(píng)估的烦租。公開(kāi)可用的數(shù)據(jù)集使得比較不同的入侵檢測(cè)系統(tǒng)更容易獲得對(duì)稱(chēng)的結(jié)果。入侵檢測(cè)數(shù)據(jù)集的生成有兩種方式(Marek Malowidzki和Mazur, 2015):

(1)建立了一個(gè)實(shí)驗(yàn)室環(huán)境來(lái)模擬不同的網(wǎng)絡(luò)場(chǎng)景货徙。這些攻擊使用腳本進(jìn)行人工啟動(dòng)左权，并從網(wǎng)絡(luò)中收集流量樣本皮胡。這種類(lèi)型的數(shù)據(jù)集易于開(kāi)發(fā)痴颊，并且可以手動(dòng)注入所有攻擊類(lèi)型。然而屡贺，這樣的數(shù)據(jù)集并不代表真實(shí)的網(wǎng)絡(luò)流量場(chǎng)景蠢棱。在這樣的數(shù)據(jù)集上評(píng)估的入侵檢測(cè)系統(tǒng)不能保證在實(shí)際部署中得到類(lèi)似的結(jié)果。

(2)創(chuàng)建入侵檢測(cè)數(shù)據(jù)集的另一種方法是從實(shí)際網(wǎng)絡(luò)中收集流量樣本甩栈。這些數(shù)據(jù)集代表了網(wǎng)絡(luò)流量的實(shí)際性質(zhì)泻仙。然而，這些數(shù)據(jù)集可能不包含所有必需的攻擊類(lèi)型量没。實(shí)際的數(shù)據(jù)集很難構(gòu)建玉转。由于保密和隱私問(wèn)題，公司和企業(yè)不允許從其網(wǎng)絡(luò)上收集流量樣本殴蹄。此外究抓，法律不允許在公共領(lǐng)域發(fā)布實(shí)際數(shù)據(jù)。通常袭灯，從數(shù)據(jù)集中刪除用戶相關(guān)信息是為了解決隱私問(wèn)題刺下。

在Bhuyan等人(2014)中給出了入侵?jǐn)?shù)據(jù)集的分類(lèi)。分類(lèi)中包含的入侵?jǐn)?shù)據(jù)集大部分是基于包的稽荧，除了TUIDS, TUIDS是基于包和流的(Gogoi et al.橘茉， 2012)。基于分組的入侵?jǐn)?shù)據(jù)集也可用于基于流量的入侵檢測(cè)畅卓。由于基于流的入侵檢測(cè)的重要性擅腰，研究人員正在開(kāi)發(fā)基于流的本地?cái)?shù)據(jù)集∥膛耍基于流的數(shù)據(jù)集以IP流記錄的形式提供惕鼓。在下一節(jié)中，我們將簡(jiǎn)要介紹可用的基于流的數(shù)據(jù)集唐础。

4.1箱歧。UoT入侵?jǐn)?shù)據(jù)集

UoT數(shù)據(jù)集是第一個(gè)公開(kāi)可用的基于流的數(shù)據(jù)集(Sperotto et al.， 2009)一膨。它由1420萬(wàn)條流量記錄組成呀邢，這些記錄是通過(guò)特溫特大學(xué)校園網(wǎng)的“蜜罐”部署收集的。四個(gè)標(biāo)準(zhǔn)服務(wù)SSH豹绪、HTTP价淌、FTP和AUTH/IDENT在這個(gè)蜜罐上運(yùn)行了六天。在流收集期間瞒津，一個(gè)黑客在蜜罐上安裝了一個(gè)IRC代理蝉衣，這也產(chǎn)生了一些流量。流量轉(zhuǎn)儲(chǔ)和服務(wù)日志文件都已下載巷蚪，并通過(guò)相關(guān)進(jìn)程進(jìn)行警報(bào)生成病毡。關(guān)聯(lián)過(guò)程成功地標(biāo)記了超過(guò)98.5%的流量和99.99%的警報(bào)。數(shù)據(jù)集以Netflow v5記錄的形式提供屁柏。表1顯示了數(shù)據(jù)集中每個(gè)警報(bào)的IP流數(shù)量啦膜。

4.2。ISOT入侵?jǐn)?shù)據(jù)集

ISOT數(shù)據(jù)集由幾個(gè)現(xiàn)有的公開(kāi)可用的惡意和非惡意數(shù)據(jù)集組成(Szab ' o et al.淌喻， 2008)僧家。惡意部分包含Storm和Waledac僵尸網(wǎng)絡(luò)的惡意流量。正常流量是來(lái)自匈牙利愛(ài)立信研究所(Szab ' o et al.裸删， 2008)的流量實(shí)驗(yàn)室和勞倫斯伯克利國(guó)家實(shí)驗(yàn)室(LBNL)的兩個(gè)現(xiàn)有數(shù)據(jù)集的組合八拱。愛(ài)立信實(shí)驗(yàn)室數(shù)據(jù)集有各種正常流量，包括網(wǎng)頁(yè)瀏覽涯塔、游戲和種子流量肌稻。LBNL跟蹤數(shù)據(jù)由三個(gè)多月記錄的網(wǎng)絡(luò)跟蹤組成，包含web伤塌、電子郵件和流媒體應(yīng)用程序的網(wǎng)絡(luò)流量灯萍。

所有數(shù)據(jù)集使用一個(gè)特殊的過(guò)程彼此合并。結(jié)果數(shù)據(jù)集包含流量23子網(wǎng)每聪，其中22子網(wǎng)來(lái)自LBNL的正常流量旦棉，1子網(wǎng)來(lái)自honeypot和Ericsson實(shí)驗(yàn)室的惡意和正常流量齿风。數(shù)據(jù)集中的記錄包含11個(gè)屬性，包括7個(gè)基于流的屬性和4個(gè)基于主機(jī)的屬性绑洛。表2顯示了數(shù)據(jù)集中惡意流和正常流的總數(shù)救斑。

4.3 TU 入侵?jǐn)?shù)據(jù)集

TUIDS(特茲普爾大學(xué)入侵?jǐn)?shù)據(jù)集)是在特茲普爾大學(xué)實(shí)驗(yàn)室環(huán)境中生成的基于數(shù)據(jù)包和流的數(shù)據(jù)集(Gogoi et al.， 2012)真屯。用于數(shù)據(jù)集生成的實(shí)驗(yàn)裝置包括一個(gè)路由器脸候、一個(gè)三層交換機(jī)、兩個(gè)二層交換機(jī)绑蔫、一臺(tái)服務(wù)器运沦、兩個(gè)工作站和40個(gè)節(jié)點(diǎn)。攻擊針對(duì)不同的節(jié)點(diǎn)生成配深。另一個(gè)350個(gè)節(jié)點(diǎn)的局域網(wǎng)也連接到實(shí)驗(yàn)裝置上携添。攻擊從局域網(wǎng)和安裝程序中啟動(dòng)。數(shù)據(jù)集包含包和基于流的數(shù)據(jù)篓叶×衣樱基于流的數(shù)據(jù)集采用Netflow v5格式。流記錄有16個(gè)基本屬性缸托、4個(gè)時(shí)間窗口屬性和4個(gè)基于連接的屬性左敌。表3給出了基于流的數(shù)據(jù)集中正常記錄和惡意記錄的詳細(xì)信息。

4.4 CTU-13數(shù)據(jù)集

CTU-13數(shù)據(jù)集是在捷克共和國(guó)CTU大學(xué)創(chuàng)建的(Garcia et al.俐镐， 2014)矫限。該數(shù)據(jù)集由僵尸網(wǎng)絡(luò)流量與正常通信流量和后臺(tái)通信流量混合構(gòu)成。流量捕獲過(guò)程由13個(gè)不同的場(chǎng)景組成京革，每個(gè)場(chǎng)景捕獲一個(gè)特定的惡意軟件流量奇唤。流量捕獲環(huán)境由在Linux Debian主機(jī)上運(yùn)行Microsoft Windows XP SP2操作系統(tǒng)的虛擬機(jī)組成幸斥。這些虛擬機(jī)被連接到大學(xué)網(wǎng)絡(luò)中匹摇。在Linux主機(jī)和連接到Linux主機(jī)的大學(xué)網(wǎng)絡(luò)路由器上都捕獲了流量。在貼標(biāo)簽過(guò)程中甲葬，所有流量最初都被貼上了背景標(biāo)簽廊勃。對(duì)于來(lái)自交換機(jī)、代理和合法計(jì)算機(jī)的流量经窖，給出了正常的標(biāo)簽坡垫。所有來(lái)自已知受感染機(jī)器的流量都被標(biāo)記為僵尸網(wǎng)絡(luò)。CTU數(shù)據(jù)集包含雙向Netflow記錄画侣。表4給出了每個(gè)場(chǎng)景中的惡意軟件和流量記錄的詳細(xì)信息冰悠。

4.5 SSHCure入侵?jǐn)?shù)據(jù)集

SSHCure入侵?jǐn)?shù)據(jù)集由校園網(wǎng)SSH攻擊構(gòu)成(Hofstede et al.， 2014b)配乱。數(shù)據(jù)集以Netflow v5格式從四個(gè)Cisco 6500系列路由器導(dǎo)出溉卓。數(shù)據(jù)集有兩個(gè)段皮迟，D1和D2。這兩個(gè)片段都是在UT的校園網(wǎng)中收集的桑寨，歷時(shí)一個(gè)月伏尼。這兩個(gè)部分反映了兩個(gè)不同的場(chǎng)景。D1段由以蜜罐為目標(biāo)的SSH流量組成尉尾。D2段包含來(lái)自普通服務(wù)器的SSH數(shù)據(jù)爆阶。D1段攻擊632次，D2段攻擊10716次沙咏。從服務(wù)器和蜜罐的相應(yīng)日志文件中獲得數(shù)據(jù)集的基本事實(shí)辨图。

5. 基于流的入侵檢測(cè)技術(shù)

基于流的入侵檢測(cè)系統(tǒng)采用了不同的技術(shù)。在檢測(cè)方法的基礎(chǔ)上肢藐，提出了一種基于流的入侵檢測(cè)系統(tǒng)分類(lèi)方法徒役。圖3顯示了分類(lèi)法層次結(jié)構(gòu)。我們將基于流的入侵系統(tǒng)分為統(tǒng)計(jì)窖壕、機(jī)器學(xué)習(xí)忧勿、知識(shí)和推理等技術(shù)。在下面的部分中瞻讽，我們將回顧每個(gè)類(lèi)別中可用的基于流的入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)和性能結(jié)果鸳吸。

5.1 統(tǒng)計(jì)技術(shù)

統(tǒng)計(jì)方法利用網(wǎng)絡(luò)流量參數(shù)的統(tǒng)計(jì)函數(shù)，建立正常網(wǎng)絡(luò)流量的分布圖速勇。正常流量的這個(gè)概要文件用于檢查不可見(jiàn)的傳入流量晌砾。利用統(tǒng)計(jì)方法計(jì)算了網(wǎng)絡(luò)流量與一般網(wǎng)絡(luò)流量的相似度。如果相似性測(cè)度超過(guò)預(yù)定義閾值烦磁，則流被標(biāo)記為惡意流或正常流(Liao et al.养匈， 2013;Qayyum等，2005)都伪。我們進(jìn)一步將統(tǒng)計(jì)技術(shù)分為單變量呕乎、多變量和時(shí)間序列方法。

5.1.1 單變量統(tǒng)計(jì)技術(shù)

單變量統(tǒng)計(jì)技術(shù)一次分析一個(gè)變量陨晶，例如均值和標(biāo)準(zhǔn)差猬仁。這些技術(shù)假定有一個(gè)已知的底層數(shù)據(jù)分布。(Muraleedharan and Parmar, 2010)提出了一種基于流的TCP端口掃描檢測(cè)系統(tǒng)先誉。TCP端口掃描是發(fā)起攻擊的第一步湿刽，攻擊者使用TCP掃描來(lái)確定關(guān)鍵用戶服務(wù)的端口號(hào)。作者構(gòu)建了TCP掃描的長(zhǎng)期和短期概要文件褐耳。長(zhǎng)期剖面和短期剖面具有不同的IP流量參數(shù)及其統(tǒng)計(jì)均值和標(biāo)準(zhǔn)差诈闺。這些參數(shù)值用作檢測(cè)TCP掃描的閾值。作者將該系統(tǒng)與已知的IDS Snort進(jìn)行了比較铃芦，用于檢測(cè)傳入流中的TCP掃描雅镊。用于評(píng)估的流數(shù)據(jù)來(lái)自通過(guò)Internet連接的實(shí)時(shí)網(wǎng)絡(luò)把曼。結(jié)果表明，與Snort相比漓穿，該系統(tǒng)能夠檢測(cè)所有13種掃描類(lèi)型嗤军，而Snort只能識(shí)別8種掃描類(lèi)型。該技術(shù)適用于網(wǎng)絡(luò)的初步無(wú)源保護(hù)晃危。無(wú)法檢測(cè)TCP掃描锦聊，這些掃描本身隱藏為合法的網(wǎng)絡(luò)流量妄荔，并將平均值和標(biāo)準(zhǔn)差值保持在閾值以下孟抗。

(Salem et al.疫诽， 2011)提出了一種檢測(cè)主干網(wǎng)流量中洪水攻擊的技術(shù)。使用 sketch數(shù)據(jù)結(jié)構(gòu)將流量蹤跡聚合到流記錄中鳍鸵。利用最小均方(LMS)濾波器和皮爾遜奇斯夸爾偏差檢測(cè)流量記錄的變化苇瓣。作者使用MAWI數(shù)據(jù)集進(jìn)行評(píng)估(Fontugne et al.， 2010)偿乖。結(jié)果表明击罪，該方法優(yōu)于其他發(fā)散技術(shù)，檢測(cè)率為100%贪薪，誤報(bào)率為3.8%媳禁。然而，這些結(jié)果是通過(guò)將基于包的數(shù)據(jù)集轉(zhuǎn)換為自定義流得到的画切，并且不使用標(biāo)準(zhǔn)Netflow/IPFIX流記錄作為輸入竣稽。

(Zhang et al.， 2012)提出了一種新的基于流的度量方法——擁塞參與率(CPR)霍弹，用于檢測(cè)低速率DDoS攻擊毫别。流F的CPR定義為擁塞中的傳入包與該流的總傳入包的比值。較高的CPR值意味著流量是惡意的可能性更大典格。CPR大于預(yù)定義閾值的所有流都被歸類(lèi)為惡意流并被刪除岛宦。作者使用NS2仿真、試驗(yàn)臺(tái)實(shí)驗(yàn)和LBNL/ICSI企業(yè)蹤跡進(jìn)行了驗(yàn)證實(shí)驗(yàn)钝计。在所有的實(shí)驗(yàn)中恋博，計(jì)算出的CPR在正常流量范圍內(nèi)，當(dāng)LDoS攻擊時(shí)私恬，會(huì)變得很高。該方法具有檢測(cè)小范圍慢斜率攻擊的優(yōu)點(diǎn)炼吴，可與其他入侵檢測(cè)技術(shù)相結(jié)合本鸣。

(Ellens et al.， 2013)提出了一種利用IP流量記錄檢測(cè)DNS隧道的解決方案硅蹦。在DNS隧道傳輸中荣德，另一個(gè)協(xié)議或負(fù)載通過(guò)DNS數(shù)據(jù)包隧道傳輸闷煤。DNS隧道可能對(duì)網(wǎng)絡(luò)造成重大風(fēng)險(xiǎn)。本文從流量記錄中推導(dǎo)出8個(gè)基于流量的變量涮瞻，作為DNS隧道的指示鲤拿。采用閾值法、Brodsky-Darkhovsky法和基于分布的方法對(duì)基于流量變量的流量特性進(jìn)行了評(píng)價(jià)署咽。利用各種數(shù)據(jù)集對(duì)該方法進(jìn)行了驗(yàn)證近顷，結(jié)果表明，該方法能夠檢測(cè)出不同的隧道使用場(chǎng)景宁否，具有較高的檢測(cè)率窒升。

IPFIX/Netflow導(dǎo)出過(guò)程在一定的時(shí)間間隔后導(dǎo)出IP流記錄。在這段時(shí)間間隔內(nèi)慕匠，短時(shí)間攻擊可以持續(xù)存在饱须，直到IP流記錄被入侵檢測(cè)系統(tǒng)導(dǎo)出和處理，才會(huì)檢測(cè)到短時(shí)間攻擊台谊。(Hofstede et al.蓉媳， 2013)提出了一種使用NetFlow和IPFIX對(duì)DDoS攻擊進(jìn)行實(shí)時(shí)入侵檢測(cè)的解決方案。作者擴(kuò)展了IPFIX/Netflow導(dǎo)出過(guò)程锅铅，并將其直接連接到一個(gè)輕量級(jí)的入侵檢測(cè)模塊督怜。入侵檢測(cè)模塊采用基于指數(shù)加權(quán)移動(dòng)平均(EWMA)均值計(jì)算的時(shí)間序列預(yù)測(cè)方法。測(cè)量與DDoS攻擊相關(guān)的特定指標(biāo)狠角，并與預(yù)測(cè)值進(jìn)行比較号杠。如果流量樣本的測(cè)量值不在預(yù)測(cè)值的范圍內(nèi)，則視為惡意流量樣本丰歌。惡意IP流的特征被添加到黑名單中姨蟋，然后用于過(guò)濾惡意流量。該技術(shù)通過(guò)從服務(wù)提供者主干網(wǎng)絡(luò)捕獲的數(shù)據(jù)集進(jìn)行驗(yàn)證立帖。在900秒的時(shí)間內(nèi)眼溶，檢測(cè)算法的檢出率達(dá)到92%，假陽(yáng)性率為0.01%晓勇。該方法可用于DDoS攻擊的檢測(cè)堂飞。然而，如果發(fā)生多次攻擊绑咱，可能會(huì)出現(xiàn)性能問(wèn)題绰筛。在這種情況下，IDS將無(wú)法以正在收集的速度檢查流記錄描融。(Hofstede et al.铝噩， 2013)中提出的算法也被應(yīng)用于Cisco IOS中DDoS攻擊的檢測(cè)(van der Steeg et al.， 2015)窿克。

5.1.2 多變量統(tǒng)計(jì)技術(shù)

多元技術(shù)分析兩個(gè)或多個(gè)變量之間的關(guān)系骏庸。多元分析技術(shù)包括主成分分析(PCA)毛甲、線性判別分析和判別分析。

采用PCA對(duì)IP流量數(shù)據(jù)進(jìn)行異常檢測(cè)(Kanda et al.具被， 2013)玻募。PCA是一種無(wú)監(jiān)督學(xué)習(xí)降維技術(shù)。作者使用了帶有散列網(wǎng)絡(luò)跟蹤的sketch結(jié)構(gòu)一姿。將經(jīng)過(guò)哈希處理的網(wǎng)絡(luò)軌跡轉(zhuǎn)換為熵時(shí)間序列七咧，作為PCA分類(lèi)器的輸入。該技術(shù)采用三步sketch結(jié)構(gòu)啸蜜，有助于獲得較高的檢出率和較低的假陽(yáng)性坑雅。通過(guò)對(duì)不同參數(shù)調(diào)優(yōu)的MAWI數(shù)據(jù)集的9年跟蹤，對(duì)該技術(shù)進(jìn)行了評(píng)價(jià)衬横。與同一數(shù)據(jù)集上其他基于PCA的異常檢測(cè)方法相比裹粤，該方法的改進(jìn)效果明顯。作者以F1-measure的形式獲得的最大精度為0.90蜂林，與前面討論的其他技術(shù)相比要低遥诉。F1-measure較低的原因可以歸結(jié)為所用數(shù)據(jù)集的實(shí)時(shí)性、方差和復(fù)雜性噪叙。

(Fernandes et al.矮锈， 2015)提出了一種基于剖面的PCA和流量分析的異常檢測(cè)系統(tǒng)。這種方法為所有類(lèi)型的正常流量創(chuàng)建概要文件睁蕾，這些流量稱(chēng)為網(wǎng)絡(luò)段的數(shù)字簽名(DSNSFs)苞笨。異常檢測(cè)的過(guò)程分為兩個(gè)步驟:流量表征和異常檢測(cè)。流量描述步驟從流量記錄中提取定量屬性子眶，并使用主成分分析創(chuàng)建相應(yīng)的DSNSFS瀑凝。異常檢測(cè)步驟使用DSNSFs創(chuàng)建置信帶。這些頻帶與正常的流量簽名匹配臭杰，任何異常都會(huì)通知系統(tǒng)管理員粤咪。利用sFlow流導(dǎo)出和采集協(xié)議，在實(shí)際網(wǎng)絡(luò)上對(duì)該系統(tǒng)進(jìn)行了評(píng)估渴杆。異常檢測(cè)階段的評(píng)價(jià)正確率達(dá)到94%寥枝。然而，由于無(wú)法預(yù)先生成所有網(wǎng)絡(luò)流量的簽名磁奖，這種技術(shù)在現(xiàn)代網(wǎng)絡(luò)中很難實(shí)現(xiàn)囊拜。

5.1.3。時(shí)間序列統(tǒng)計(jì)技術(shù)

基于時(shí)間序列的統(tǒng)計(jì)技術(shù)使用以前觀測(cè)到的值來(lái)預(yù)測(cè)新值点寥。Sperotto等人(2008)在IP流流量中使用時(shí)間序列分析異常特征艾疟。yen等人(2008)應(yīng)用holt - winter預(yù)測(cè)方法檢測(cè)流量中的異常。它們使用四個(gè)指標(biāo)來(lái)構(gòu)造流:總字節(jié)數(shù)敢辩、總包數(shù)蔽莱、與相同目標(biāo)套接字具有相似流的流的數(shù)量，以及具有相同流戚长、相同源地址和目標(biāo)地址但到不同端口的流的數(shù)量盗冷。這四個(gè)指標(biāo)用于檢測(cè)三種類(lèi)型的異常;泛洪、TCP SYN和端口掃描同廉。Holt-Winters方法跟蹤正常的度量值仪糖，并在任何值超出范圍時(shí)發(fā)出異常標(biāo)志。該技術(shù)僅限于三種異常迫肖，如果攻擊者將流度量值保持在范圍內(nèi)锅劝，則可以繞過(guò)該技術(shù)。

Li等(2010)提出了一種高速流級(jí)入侵檢測(cè)系統(tǒng)(HiFIND)蟆湖。Li et al.(2005)和Gao et al.(2006)最初提出使用流信息進(jìn)行高速和dos彈性入侵檢測(cè)故爵。HiFind使用一小組包頭字段，包括源/目標(biāo)IP和源/目標(biāo)端口隅津。它主要針對(duì)三種類(lèi)型的攻擊:SYN泛洪攻擊诬垂、水平掃描攻擊和垂直掃描攻擊。作者采用holt - winterdouble指數(shù)平滑和EWMA與季節(jié)指數(shù)相結(jié)合的方法來(lái)檢測(cè)網(wǎng)絡(luò)流量的變化伦仍。HiFIND分三個(gè)階段進(jìn)行應(yīng)用结窘，通過(guò)分離由錯(cuò)誤配置引起的入侵和網(wǎng)絡(luò)異常來(lái)減少誤報(bào)。HiFind的性能演化采用仿真和現(xiàn)場(chǎng)部署兩種方法進(jìn)行充蓝。使用由900M流量記錄組成的一天流量跟蹤的自定義數(shù)據(jù)集隧枫。作者將HiFIND與其他基于流的統(tǒng)計(jì)檢測(cè)技術(shù)進(jìn)行了比較，結(jié)果表明谓苟，HiFIND具有類(lèi)似的精度官脓，但在最壞的情況下內(nèi)存效率更高。HiFind是實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)安全性的少數(shù)模型之一(Sadre et al.娜谊， 2012)确买。Holt-winter雙指數(shù)平滑法的使用EWMA和季節(jié)指數(shù)統(tǒng)計(jì)調(diào)味效果的缺點(diǎn)。作者只使用了4個(gè)特性的NetFlow記錄纱皆，沒(méi)有包含協(xié)議字段湾趾。因此，系統(tǒng)可能無(wú)法檢測(cè)發(fā)送到UDP數(shù)據(jù)包的攻擊派草。HiFIND系統(tǒng)的另一個(gè)限制是無(wú)法檢測(cè)小的和緩慢的攻擊搀缠。

5.2 靜態(tài)技術(shù)的優(yōu)缺點(diǎn)

表5總結(jié)了基于統(tǒng)計(jì)流的技術(shù)〗ǎ基于流量的入侵檢測(cè)統(tǒng)計(jì)技術(shù)的優(yōu)勢(shì)如下:

(1)統(tǒng)計(jì)技術(shù)不需要先驗(yàn)知識(shí)的網(wǎng)絡(luò)攻擊Bhuyan et al艺普。(2014)。

(2)這些能夠準(zhǔn)確地檢測(cè)導(dǎo)致突然的攻擊和網(wǎng)絡(luò)流量的變化如高度相同。DoS攻擊歧譬。

統(tǒng)計(jì)技術(shù)的缺點(diǎn)如下:-

(1)高維度和網(wǎng)絡(luò)流量的變化會(huì)影響統(tǒng)計(jì)入侵檢測(cè)系統(tǒng)的性能(Gyanchandani et al ., 2012)岸浑。

(2)很難計(jì)算正常網(wǎng)絡(luò)流量的統(tǒng)計(jì)數(shù)據(jù)。

(3)小攻擊和慢攻擊通過(guò)將攻擊的影響保持在統(tǒng)計(jì)閾值下瑰步，可以繞過(guò)統(tǒng)計(jì)技術(shù)矢洲。

5.3 機(jī)器學(xué)習(xí)

機(jī)器學(xué)習(xí)技術(shù)在入侵檢測(cè)系統(tǒng)中得到了廣泛的應(yīng)用(Tsai等，2009;Gyanchandani等缩焦，2012;廖等人(2013)也在基于流的入侵檢測(cè)方面保持著關(guān)注读虏。機(jī)器學(xué)習(xí)技術(shù)包括人工神經(jīng)網(wǎng)絡(luò)、支持向量機(jī)袁滥、k近鄰盖桥、決策樹(shù)和聚類(lèi)。在下一節(jié)中题翻，我們將討論基于流的入侵檢測(cè)系統(tǒng)揩徊，該系統(tǒng)基于機(jī)器學(xué)習(xí)技術(shù)來(lái)檢測(cè)IP流中的異常。

5.3.1 人工神經(jīng)網(wǎng)絡(luò)

人工神經(jīng)網(wǎng)絡(luò)模擬人腦藐握，并使用稱(chēng)為神經(jīng)元的相互連接的小輸入單元靴拱。神經(jīng)網(wǎng)絡(luò)中的每個(gè)神經(jīng)元都參與決策，并將決策結(jié)果結(jié)合起來(lái)猾普。人工神經(jīng)網(wǎng)絡(luò)通過(guò)對(duì)用戶行為的建模袜炕，為異常檢測(cè)問(wèn)題提供了一種解決方案。Beghdad(2008)討論了不同的神經(jīng)網(wǎng)絡(luò)用于基于異常的入侵檢測(cè)系統(tǒng)初家。

Song等(2006)提出了一種基于流的異常檢測(cè)系統(tǒng)偎窘，該系統(tǒng)使用統(tǒng)計(jì)特征向量和反向傳播神經(jīng)網(wǎng)絡(luò)分類(lèi)器。該系統(tǒng)使用了22個(gè)與DoS攻擊相關(guān)的IP流記錄特性溜在∧爸考慮了DoS攻擊的三種場(chǎng)景:資源耗盡、帶寬攻擊以及資源耗盡和帶寬攻擊的組合掖肋。該技術(shù)由DARPA和一個(gè)自定義數(shù)據(jù)集評(píng)估仆葡。DARPA數(shù)據(jù)集的檢測(cè)率為88%，誤報(bào)率為0.2%志笼，沒(méi)有欺騙式洪水攻擊沿盅。對(duì)于自定義數(shù)據(jù)集，性能更好纫溃。檢出率為94%腰涧，誤報(bào)率為0.2%。

(Tran et al.紊浩， 2012)提出了一種基于流的基于塊的神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)窖铡。作者使用一種基于硬件的檢測(cè)引擎對(duì)大量數(shù)據(jù)進(jìn)行實(shí)時(shí)處理疗锐。利用現(xiàn)場(chǎng)可編程門(mén)陣列(FPGA)構(gòu)造了基于塊的神經(jīng)網(wǎng)絡(luò)(BBNN)。采用遺傳算法對(duì)bp神經(jīng)網(wǎng)絡(luò)進(jìn)行優(yōu)化费彼，以提高識(shí)別率和降低誤報(bào)率為目標(biāo)滑臊。為了評(píng)估，作者將UoT數(shù)據(jù)集與DARPA進(jìn)行了比較敌买。作者使用DARPA是因?yàn)閁oT數(shù)據(jù)集包含的正常流量樣本比DARPA少简珠。DARPA的數(shù)據(jù)集最初以tcpdump格式提供阶界，并使用Softflowd和Flowd工具轉(zhuǎn)換為NetFlow格式虹钮。作者通過(guò)閱讀DARPA原始數(shù)據(jù)集，手動(dòng)為這些NetFlow記錄貼上標(biāo)簽膘融。利用支持向量機(jī)芙粱、徑向基函數(shù)和貝葉斯方法對(duì)該方法進(jìn)行了評(píng)價(jià)。BBNN的檢測(cè)率與SVM相同氧映，但運(yùn)行時(shí)間較好春畔。基于硬件的BBNN耗時(shí)0.005秒岛都，而支持向量機(jī)耗時(shí)8.53秒律姨。因此，利用FPGA設(shè)計(jì)高速網(wǎng)絡(luò)的IDS是很有前途的臼疫。在基于流的數(shù)據(jù)集上對(duì)該技術(shù)進(jìn)行評(píng)價(jià)择份，可以得到更實(shí)際的結(jié)果。

(Nguyen et al.烫堤， 2008)提出了一種利用流數(shù)據(jù)進(jìn)行入侵檢測(cè)的兩階段神經(jīng)網(wǎng)絡(luò)荣赶。第一個(gè)階段檢測(cè)可能是攻擊的流量中的重要變化。如果在第一階段檢測(cè)到攻擊鸽斟，則將流數(shù)據(jù)轉(zhuǎn)發(fā)到第二階段拔创，從而確定攻擊的類(lèi)型。采用多層前饋神經(jīng)網(wǎng)絡(luò)(MLFF)對(duì)第一階段的攻擊進(jìn)行檢測(cè)富蓄，徑向基函數(shù)網(wǎng)絡(luò)(RBFN)對(duì)第二階段的攻擊進(jìn)行分類(lèi)剩燥。第一階段使用6個(gè)特性，而第二階段使用11個(gè)特性立倍。所有階段I和II的特性都是從Netflow v5記錄中計(jì)算出來(lái)的灭红。Netflow記錄是使用softflowd工具從DARPA的數(shù)據(jù)集生成的。兩種神經(jīng)網(wǎng)絡(luò)階段的訓(xùn)練分別采用了三種不同的訓(xùn)練算法:彈性反向傳播帐萎、Levenberg-Marquardt和徑向基函數(shù)網(wǎng)絡(luò)比伏。利用Levenberg-Marquardt網(wǎng)絡(luò)，第一階段神經(jīng)網(wǎng)絡(luò)的檢出率為94.2%疆导，假陽(yáng)性率為3.4%赁项。第二階段，利用Levenberg-Marquardt網(wǎng)絡(luò)得到最佳檢出率為99.42%，徑向基函數(shù)得到最低的假陽(yáng)性率為2.6%悠菜。使用多個(gè)階段有助于實(shí)現(xiàn)更高的效率舰攒，因?yàn)榇蠖鄶?shù)輸入記錄在階段i中被丟棄。該系統(tǒng)為基于流量的入侵檢測(cè)提供了一個(gè)全面的框架悔醋。

(Jadidi et al.摩窃， 2013)提出了一種基于啟發(fā)式優(yōu)化算法的多層感知器(MLP)來(lái)檢測(cè)基于流量的流量異常。采用布谷鳥(niǎo)算法和粒子天鵝算法兩種啟發(fā)式算法對(duì)MLP互連權(quán)值進(jìn)行優(yōu)化芬骄。兩個(gè)數(shù)據(jù)集猾愿，DARPA和UoT數(shù)據(jù)集的子集(Winter et al.， 2011a)已經(jīng)被使用账阻。比較結(jié)果表明蒂秘，多層感知器與PSOGSA優(yōu)化算法的誤報(bào)率最高，分別為99.55%和0.21%淘太。然而姻僧，作者的結(jié)論是，該方法使用集中處理蒲牧，不能檢測(cè)分布式攻擊撇贺，如DDoS。

5.3.2 支持向量機(jī)

支持向量機(jī)(SVM)是一種在n維空間中映射數(shù)據(jù)集的分類(lèi)技術(shù)冰抢。SVM使用空間中的向量作為類(lèi)松嘶。如果數(shù)據(jù)不是線性可分的，則使用核函數(shù)構(gòu)造高維空間晒屎。SVM在入侵檢測(cè)中能夠給出準(zhǔn)確的結(jié)果喘蟆，降低誤報(bào)率(Liao et al.， 2013)鼓鲁。支持向量機(jī)也被用于基于流量的入侵檢測(cè)蕴轨。

(Winter et al.， 2011a)提出了一種基于svm的單類(lèi)流數(shù)據(jù)入侵檢測(cè)模型骇吭。單類(lèi)SVM學(xué)習(xí)單個(gè)類(lèi)類(lèi)型的行為橙弱。利用惡意數(shù)據(jù)集對(duì)一類(lèi)支持向量機(jī)進(jìn)行訓(xùn)練。由于惡意流與正常流的比例較低燥狰，因此對(duì)惡意記錄的學(xué)習(xí)速度較快棘脐。用于評(píng)價(jià)一類(lèi)svm的數(shù)據(jù)集是從UoT數(shù)據(jù)集中提取的(Sperotto et al.， 2009)龙致。數(shù)據(jù)集由200條流記錄和屬性組成蛀缝。結(jié)果表明，該方法的準(zhǔn)確率為98%目代，誤報(bào)率為0%屈梁。但是嗤练，如果缺少端口屬性，則準(zhǔn)確率可以下降到72%在讶。正如作者在公開(kāi)勘誤表中所解釋的那樣煞抬，該技術(shù)有幾個(gè)弱點(diǎn)。

(Wagner et al.构哺， 2011)提出了一種使用支持向量機(jī)對(duì)大量Netflow記錄進(jìn)行異常檢測(cè)的技術(shù)革答。該技術(shù)同時(shí)考慮了Netflow記錄的上下文信息和數(shù)量信息。該方法將核函數(shù)應(yīng)用于Netflow記錄曙强，并將計(jì)算值轉(zhuǎn)發(fā)給一個(gè)單類(lèi)SVM残拐。該技術(shù)是在internet服務(wù)提供商提供的Netlow數(shù)據(jù)量上進(jìn)行評(píng)估的。作者使用Flame工具在數(shù)據(jù)集中注入了8種不同的攻擊旗扑。實(shí)驗(yàn)結(jié)果表明蹦骑，單類(lèi)支持向量機(jī)具有良好的應(yīng)用前景，對(duì)所有攻擊類(lèi)別的平均準(zhǔn)確率達(dá)到92%臀防。

5.3.3 k近鄰(k-NN)

K-NN利用相鄰點(diǎn)的知識(shí)對(duì)輸入樣本進(jìn)行分類(lèi)。K-NN在基于分組的入侵檢測(cè)系統(tǒng)中得到了廣泛的應(yīng)用(Li and Guo, 2007;蘇,2011;Lin等人边败，2015)袱衷，也用于基于流的入侵檢測(cè)。

(Shubair et al.笑窜， 2014)提出了一種基于流的基于模糊邏輯的k-NN入侵檢測(cè)系統(tǒng)致燥。該工作使用k-NN選擇最佳匹配類(lèi)。采用最小均方法進(jìn)行誤差估計(jì)排截。與基于包的系統(tǒng)相比嫌蚤，基于流的入侵檢測(cè)系統(tǒng)需要額外的計(jì)算智能，因?yàn)橹挥蓄^信息可用來(lái)進(jìn)行決策断傲。因此脱吱，模糊邏輯似乎是選擇流類(lèi)標(biāo)簽的一個(gè)很好的選擇。盡管該技術(shù)給出了很好的結(jié)果认罩，但作者僅用200個(gè)訓(xùn)練示例進(jìn)行了測(cè)試箱蝠，而實(shí)際數(shù)據(jù)集包含大約1420萬(wàn)條記錄(Sperotto等，2009)垦垂。

(Costa et al.宦搬， 2015)提出了一種基于最優(yōu)路徑森林聚類(lèi)(OPFC)的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)。OPFC是一個(gè)利用概率密度函數(shù)對(duì)節(jié)點(diǎn)加權(quán)的k-NN圖劫拗。作者使用改進(jìn)的自然啟發(fā)技術(shù)優(yōu)化fo OPFC间校。采用Bat算法、引力搜索页慷、和聲搜索和粒子群優(yōu)化技術(shù)確定k的最優(yōu)值憔足，分別應(yīng)用于8個(gè)數(shù)據(jù)包和基于流的數(shù)據(jù)集聂渊。評(píng)價(jià)結(jié)果以純度測(cè)定的形式給出。作者將OPFC的性能與k均值聚類(lèi)和自組織映射(SOM)進(jìn)行了比較四瘫。對(duì)Netflow數(shù)據(jù)集的評(píng)價(jià)表明汉嗽，OPFC、k -均值和SOM的純度分別為0.9577找蜜、0.75945和0.2145饼暑。因此，在基于流的檢測(cè)中洗做，OPFC優(yōu)于其他兩種聚類(lèi)技術(shù)弓叛。

5.3.4 聚類(lèi)技術(shù)

聚類(lèi)技術(shù)識(shí)別數(shù)據(jù)中的新模式和有用模式。這些模式可用于將相似的實(shí)例分組到不同的集群中诚纸。Lakhina等人(2005)已經(jīng)使用聚類(lèi)技術(shù)挖掘網(wǎng)絡(luò)流中的異常撰筷。最近，Casas等(2011)提出了一種使用多種無(wú)監(jiān)督聚類(lèi)技術(shù)的網(wǎng)絡(luò)異常檢測(cè)系統(tǒng)畦徘。該系統(tǒng)從網(wǎng)絡(luò)中捕獲數(shù)據(jù)包毕籽，并在隨機(jī)的時(shí)隙中聚合成流。采用基于時(shí)間序列分析的變化檢測(cè)算法對(duì)惡意流進(jìn)行分離井辆。該技術(shù)使用子空間和基于密度的集群在每個(gè)子空間中創(chuàng)建數(shù)據(jù)分區(qū)关筒。該算法還按異常程度對(duì)聚類(lèi)進(jìn)行排序。所有高于檢測(cè)閾值的簇都被認(rèn)為是異常杯缺。檢測(cè)閾值對(duì)于每種類(lèi)型的攻擊都是惟一的蒸播。在MAWI數(shù)據(jù)集上對(duì)該技術(shù)進(jìn)行了評(píng)價(jià)，得到了ROC曲線萍肆。與其他無(wú)監(jiān)督學(xué)習(xí)方法相比袍榆，該方法的ROC曲線下面積更大。這種技術(shù)的優(yōu)點(diǎn)是不需要簽名或訓(xùn)練塘揣，可以立即用于監(jiān)控網(wǎng)絡(luò)流量包雀。

提出了一種基于人工免疫系統(tǒng)和無(wú)監(jiān)督聚類(lèi)的分布式入侵檢測(cè)系統(tǒng)(Hosseinpour et al.， 2014)勿负。作者使用了DBSCAN聚類(lèi)算法馏艾。集群引擎將網(wǎng)絡(luò)流量標(biāo)記為惡意和非惡意。利用聚類(lèi)引擎的輸出奴愉，對(duì)原始免疫反應(yīng)檢測(cè)器的訓(xùn)練數(shù)據(jù)進(jìn)行在線和實(shí)時(shí)的驗(yàn)證琅摩。免疫反應(yīng)探測(cè)器被放置在網(wǎng)絡(luò)主機(jī)周?chē)Ｔ贙DD99數(shù)據(jù)集上對(duì)該技術(shù)進(jìn)行了評(píng)價(jià)锭硼，取得了0.738的F1-measure房资。

(Satoh et al.， 2015)提出了一種檢測(cè)SSH字典攻擊的ward聚類(lèi)方法檀头。SSH是通過(guò)Internet訪問(wèn)遠(yuǎn)程服務(wù)器的一種常見(jiàn)方法轰异，仍然是最受歡迎的攻擊目標(biāo)岖沛。作者使用了兩個(gè)關(guān)鍵的創(chuàng)新來(lái)檢測(cè)SSH協(xié)議中的攻擊。首先搭独，使用了原始SSH協(xié)議中不可用的兩個(gè)標(biāo)準(zhǔn)婴削，即檢查連接協(xié)議的存在性和auth-packet和next的到達(dá)時(shí)間。其次牙肝，確定了SSH中各個(gè)子協(xié)議的傳輸點(diǎn)唉俗。檢查子協(xié)議轉(zhuǎn)接點(diǎn)期間的兩個(gè)標(biāo)準(zhǔn)和業(yè)務(wù)流。該技術(shù)采用基于歐氏距離的沃德聚類(lèi)方法對(duì)流量數(shù)據(jù)進(jìn)行評(píng)價(jià)配椭。該技術(shù)是通過(guò)一個(gè)連接到互聯(lián)網(wǎng)的服務(wù)器的兩個(gè)觀察點(diǎn)生成的數(shù)據(jù)集來(lái)評(píng)估的虫溜。最佳結(jié)果包括對(duì)不成功SSH攻擊嘗試的99.90%的檢出率和對(duì)成功SSH嘗試的92.80%的檢出率。該技術(shù)在SSH中檢測(cè)隱藏字典攻擊方面具有良好的應(yīng)用前景股缸，應(yīng)應(yīng)用于主機(jī)級(jí)檢測(cè)衡楞。

5.3.5 決策樹(shù)

決策樹(shù)(DTs)通過(guò)為每個(gè)樹(shù)節(jié)點(diǎn)創(chuàng)建基于屬性值的規(guī)則來(lái)創(chuàng)建樹(shù)模型。Thaseen和Kumar(2013)討論了決策樹(shù)在入侵檢測(cè)中的應(yīng)用敦姻。

Zhao等(2013)提出了一種基于流的僵尸網(wǎng)絡(luò)檢測(cè)方案瘾境。僵尸網(wǎng)絡(luò)是由惡意用戶控制的一組受攻擊的主機(jī)，用于各種類(lèi)型的攻擊和網(wǎng)絡(luò)犯罪(Silva et al.替劈， 2013)寄雀。作者認(rèn)為基于流的方法比有效載荷檢查更好，因?yàn)榇蠖鄶?shù)僵尸網(wǎng)絡(luò)使用加密的通信通道陨献。該方法采用一種減少錯(cuò)誤剪枝的決策樹(shù)算法來(lái)構(gòu)造僵尸網(wǎng)絡(luò)分類(lèi)器。流記錄由12個(gè)流屬性組成懂更。該分類(lèi)器是在一個(gè)包含兩個(gè)僵尸網(wǎng)絡(luò)痕跡的數(shù)據(jù)集上進(jìn)行評(píng)估的眨业。該技術(shù)對(duì)惡意和非惡意分類(lèi)的檢出率分別為98.3%和99.9%。該技術(shù)還成功地檢測(cè)到新型僵尸網(wǎng)絡(luò)沮协。該方法簡(jiǎn)單有效龄捡，但可以通過(guò)對(duì)屬性值進(jìn)行小的修改來(lái)避免。此外慷暂，一個(gè)300秒的流分析窗口太長(zhǎng)聘殖，算法可能會(huì)錯(cuò)過(guò)小規(guī)模的惡意流。(Casas等行瑞，2014)

Stevanovic和Pedersen(2014)提出了一種高效的基于流的僵尸網(wǎng)絡(luò)檢測(cè)方法奸腺，該方法使用了一系列監(jiān)督機(jī)器學(xué)習(xí)。該技術(shù)使用39個(gè)特性集的流程記錄血久。該算法是在ISOP數(shù)據(jù)集上進(jìn)行評(píng)估的突照，ISOP數(shù)據(jù)集是四個(gè)公開(kāi)可用的惡意和非惡意數(shù)據(jù)集的組合。結(jié)果表明氧吐，隨機(jī)森林算法作為決策樹(shù)的集合讹蘑，總體性能最好(Zhang et al.末盔， 2008)。

Haddadi等(2014)提出了利用遺傳規(guī)劃和決策樹(shù)進(jìn)行僵尸網(wǎng)絡(luò)行為檢測(cè)的另一種解決方案座慰。在一個(gè)由三個(gè)僵尸組成的自定義生成的數(shù)據(jù)集上對(duì)所提出的技術(shù)進(jìn)行了評(píng)估陨舱。此外，還使用了來(lái)自Snort和NETSREr的公開(kāi)可用數(shù)據(jù)集版仔。作者從數(shù)據(jù)集中提取了兩種類(lèi)型的流屬性游盲。第一個(gè)集合由常見(jiàn)的流屬性組成，例如發(fā)送方/接收方IP地址邦尊、端口背桐、。第二組使用TCF標(biāo)志屬性蝉揍。評(píng)估結(jié)果顯示了流屬性集链峭。第一個(gè)集合使用類(lèi)似于Netflow v5的屬性。第二組流記錄使用TCP標(biāo)記又沾。

(Stevanovic and Pedersen, 2014)提出了一種基于流的僵尸網(wǎng)絡(luò)檢測(cè)方法弊仪，該方法使用了一組監(jiān)督機(jī)器學(xué)習(xí)。該技術(shù)使用了39個(gè)特性集流記錄杖刷。該算法是在ISOP數(shù)據(jù)集上進(jìn)行評(píng)估的励饵，ISOP數(shù)據(jù)集是四個(gè)公開(kāi)可用的惡意和非惡意數(shù)據(jù)集的組合。結(jié)果表明滑燃，隨機(jī)森林算法總體性能最好(Zhang et al.役听， 2008)。

5.4 機(jī)器學(xué)習(xí)技術(shù)的優(yōu)缺點(diǎn)

表6總結(jié)了使用機(jī)器學(xué)習(xí)技術(shù)的基于流的入侵檢測(cè)系統(tǒng)表窘。使用機(jī)器學(xué)習(xí)技術(shù)進(jìn)行基于流量的入侵檢測(cè)的優(yōu)點(diǎn)包括:

(1)使用機(jī)器學(xué)習(xí)技術(shù)的入侵檢測(cè)模型能夠根據(jù)經(jīng)過(guò)的流量進(jìn)行自適應(yīng)典予。

(2)這些技術(shù)有較高的檢出率。

(3)人工神經(jīng)網(wǎng)絡(luò)等機(jī)器學(xué)習(xí)技術(shù)能夠從有限的信息中歸納出模型乐严。

IDS使用機(jī)器學(xué)習(xí)技術(shù)的缺點(diǎn)如下:-

(1)構(gòu)建具有代表性的監(jiān)督機(jī)器學(xué)習(xí)訓(xùn)練數(shù)據(jù)集是一項(xiàng)非常困難的任務(wù)瘤袖。

（2）機(jī)器學(xué)習(xí)技術(shù)的訓(xùn)練過(guò)程在計(jì)算上是昂貴的。

(3)這些技術(shù)有很高的假陽(yáng)性報(bào)警率昂验。

(4)無(wú)監(jiān)督學(xué)習(xí)技術(shù)需要背景知識(shí)來(lái)確定集群的數(shù)量捂敌。

5.5 其他技術(shù)

熵是一種重要的數(shù)據(jù)挖掘技術(shù)。熵捕獲了交通分布特征的重要特征既琴。這些特征用于檢測(cè)網(wǎng)絡(luò)流量中的異常和惡意行為占婉。IP流記錄可以有大量的屬性。熵技術(shù)可以用來(lái)選擇在入侵檢測(cè)中起重要作用的屬性呛梆。Wagner和Plattner(2005)使用熵來(lái)檢測(cè)蠕蟲(chóng)和IP網(wǎng)絡(luò)中使用流記錄的異常锐涯。提出了一種網(wǎng)絡(luò)熵時(shí)間序列突變檢測(cè)算法(Winter et al.， 2011b)填物。該技術(shù)基于任何網(wǎng)絡(luò)攻擊都會(huì)對(duì)流屬性造成顯著變化的思想，這些變化可以在熵時(shí)間序列中檢測(cè)到。提出了一種利用動(dòng)態(tài)異常值檢測(cè)攻擊的突變檢測(cè)算法瓦侮。該算法是在ISP服務(wù)器獲得的數(shù)據(jù)集上進(jìn)行評(píng)估的。數(shù)據(jù)集包含了為期五天的單向網(wǎng)絡(luò)流量莱褒。在特定時(shí)間手工注入HTTP DoS攻擊和水平網(wǎng)絡(luò)掃描兩種合成異常。該技術(shù)成功地檢測(cè)到了給定時(shí)間內(nèi)流量的變化涎劈。正如作者所指出的广凸，這種技術(shù)可以通過(guò)小規(guī)模的DDoS攻擊來(lái)規(guī)避。然而蛛枚，該技術(shù)不需要訓(xùn)練數(shù)據(jù)谅海，可以直接用于監(jiān)測(cè)網(wǎng)絡(luò)活動(dòng)。

(Fran cois et al.蹦浦， 2012)提出了一種檢測(cè)網(wǎng)絡(luò)流量中大規(guī)模異常的技術(shù)扭吁。該技術(shù)存儲(chǔ)正常流量的概要文件。所有傳入的流量記錄首先被聚合盲镶，然后與正常流量的概要文件進(jìn)行比較侥袜。然后使用香農(nóng)熵公式測(cè)量偏差。為了進(jìn)行評(píng)估溉贿，可以從商業(yè)服務(wù)提供商獲得一個(gè)定制的數(shù)據(jù)集枫吧，然后使用Flame工具手動(dòng)插入攻擊。該技術(shù)的一個(gè)缺點(diǎn)是需要常規(guī)的網(wǎng)絡(luò)概要文件宇色，而在實(shí)際的多業(yè)務(wù)網(wǎng)絡(luò)中九杂，這些概要文件很難生成。

(Berezi’nski et al.宣蠕， 2014)討論了一種基于熵的互聯(lián)網(wǎng)流量異常檢測(cè)系統(tǒng)尼酿。利用Shannon、Renyi和Tsallis熵的變分結(jié)合一組特征分布植影。在基于流的框架中采用了熵技術(shù)。UoT數(shù)據(jù)集的一個(gè)變體用于評(píng)估所提議的方法涎永。在訓(xùn)練模式下思币，使用特定于時(shí)間的熵值為正常流量創(chuàng)建一個(gè)概要文件。任何超過(guò)熵極限上限的值都被認(rèn)為是不正常的羡微。結(jié)果表明谷饿，Tsallis和Renyi的熵值表現(xiàn)最好，而Shannon熵和基于對(duì)比的方法表現(xiàn)較差妈倔。如果網(wǎng)絡(luò)流量出現(xiàn)良性變化(如擁塞)博投，這種技術(shù)會(huì)產(chǎn)生誤報(bào)。

在(Qin等盯蝴，2015)中毅哗，作者描述了一種基于熵的DDoS攻擊檢測(cè)方法听怕。該技術(shù)計(jì)算了所選流量特征的熵值。這些特征被聚類(lèi)算法用來(lái)構(gòu)造一個(gè)正常的流型虑绵。此常規(guī)流配置文件用于檢測(cè)傳入流量中的DOS攻擊尿瞭。在DARPA數(shù)據(jù)集上對(duì)該技術(shù)進(jìn)行了評(píng)估，并以DF速率的形式得到了結(jié)果翅睛。DF率定義為檢出率與假陽(yáng)性率之比声搁。該技術(shù)的最佳DF速率為7。

流度量閾值捕发、流簽名和語(yǔ)義鏈接網(wǎng)絡(luò)(SLN)等技術(shù)也被用于基于流的入侵檢測(cè)疏旨。Dubendorfer等人(2005)使用閾值來(lái)檢測(cè)網(wǎng)絡(luò)流中的入侵。Hellemons et al. (2012) SSHCure是一個(gè)基于流的系統(tǒng)扎酷，用于檢測(cè)SSH攻擊檐涝，它也使用流度量閾值。SSHCure采用了一種有效的算法來(lái)實(shí)時(shí)檢測(cè)正在進(jìn)行的攻擊霞玄，并允許識(shí)別受危害的攻擊目標(biāo)骤铃。確定了SSH攻擊掃描階段、蠻力階段和終止階段的三個(gè)階段坷剧。在掃描階段惰爬，攻擊者掃描IP以找到SSH守護(hù)進(jìn)程。在暴力階段惫企，攻擊者試圖登錄SSH服務(wù)器撕瞧。如果登錄成功，則終止階段顯示攻擊者和目標(biāo)主機(jī)之間的攻擊流量狞尔。SSHCure使用兩個(gè)流度量來(lái)檢測(cè)所有三個(gè)階段中的攻擊丛版。第一個(gè)度量是每個(gè)流兩個(gè)包的上限。第二個(gè)指標(biāo)為每次攻擊定義了最少數(shù)量的流記錄偏序。每個(gè)攻擊階段都為這兩個(gè)流度量使用不同的閾值页畦。利用實(shí)測(cè)交通數(shù)據(jù)驗(yàn)證了系統(tǒng)的檢測(cè)性能。SSHcure的實(shí)時(shí)實(shí)現(xiàn)表明研儒，該算法存在各種缺點(diǎn)豫缨，最終會(huì)導(dǎo)致無(wú)法檢測(cè)到的折衷或引發(fā)虛假警報(bào)(Hofstede et al.， 2014b)端朵。

Vizv ' ary等人(2013)提出了一種基于流的檢測(cè)技術(shù)好芭，用于使用流簽名的遠(yuǎn)程桌面協(xié)議(RDP)蠻力攻擊檢測(cè)。Kim等人(2004)提出了使用流模式進(jìn)行攻擊檢測(cè)冲呢。Vizv’ary等人(2013)分析了RDP客戶機(jī)的流流量簽名舍败、蠻力工具和成功的身份驗(yàn)證事件。在馬薩里克大學(xué)校園網(wǎng)上進(jìn)行了為期兩個(gè)月的流簽名評(píng)估。作者使用RdpMonitor(一個(gè)具有派生NetFlow簽名的公共NfSen插件)來(lái)自動(dòng)檢測(cè)邻薯。該插件成功地檢測(cè)到惡意流量裙戏，并報(bào)告說(shuō)校園網(wǎng)中大約40%的RDP相關(guān)流量是惡意的。

(AlEroud and Karabatis, 2014)提出了一種利用語(yǔ)義鏈接網(wǎng)絡(luò)(SLNs)檢測(cè)網(wǎng)絡(luò)攻擊的新方法弛说。語(yǔ)義鏈接網(wǎng)絡(luò)從流數(shù)據(jù)中挖掘時(shí)間挽懦、位置和其他上下文信息。上下文信息由概率語(yǔ)義網(wǎng)絡(luò)(sln)上可疑流警報(bào)之間的語(yǔ)義鏈接使用木人。這些語(yǔ)義鏈接有助于檢索可能是多步驟攻擊的一部分的相關(guān)可疑活動(dòng)信柿。在UoT和ICSX數(shù)據(jù)集的混合上對(duì)該技術(shù)進(jìn)行了評(píng)估，F(xiàn)1得分為0.97醒第。并與其他基于流的入侵檢測(cè)系統(tǒng)進(jìn)行了比較渔嚷，結(jié)果表明該方法的性能優(yōu)于其他方法。

Hofstede等(2014b)對(duì)SSHCure進(jìn)行了增強(qiáng)稠曼，提出了SSH破壞檢測(cè)的兩階段檢測(cè)算法形病。第一階段是蠻力階段。通過(guò)檢查每個(gè)流中相同數(shù)量的包來(lái)檢測(cè)窮舉階段霞幅。攻擊者兩次不成功的連接嘗試在每個(gè)流中使用相同數(shù)量的包漠吻。第二階段是破壞階段。該技術(shù)在六種攻擊場(chǎng)景中轉(zhuǎn)換破壞階段司恳。如果SSH流量與特定的攻擊場(chǎng)景匹配途乃，則檢測(cè)到攻擊，并關(guān)閉連接扔傅。在SSHCure數(shù)據(jù)集上對(duì)該方法進(jìn)行了驗(yàn)證耍共，對(duì)SSHCure數(shù)據(jù)集的兩個(gè)部分的準(zhǔn)確率分別為83%和99%。

使用馬爾可夫鏈行為僵尸網(wǎng)絡(luò)檢測(cè)方法提出了(Garc′?a et al ., 2014)猎塞。該技術(shù)利用流特征和由源IP试读、目的IP、目的端口和協(xié)議組成的四元組結(jié)構(gòu)荠耽，分析了僵尸網(wǎng)絡(luò)通信的指揮控制信道钩骇。采用馬爾可夫鏈對(duì)C&C通道的不同狀態(tài)進(jìn)行建模。利用CTU-13數(shù)據(jù)集對(duì)該方法進(jìn)行了訓(xùn)練和測(cè)試铝量。該技術(shù)的檢測(cè)準(zhǔn)確率為92%伊履，假陽(yáng)性率為0.05%。該方法能夠檢測(cè)多種僵尸網(wǎng)絡(luò)款违。

在(Gogoi et al.， 2014)中群凶，作者提出了一種多級(jí)混合入侵檢測(cè)方法插爹，將監(jiān)督、非監(jiān)督和基于異常值的方法相結(jié)合進(jìn)行入侵檢測(cè)。分別采用CatSub+赠尾、K-point和GBBK三種算法進(jìn)行監(jiān)督檢測(cè)力穗、無(wú)監(jiān)督檢測(cè)和離群點(diǎn)檢測(cè)。這個(gè)混合框架是在許多數(shù)據(jù)集上評(píng)估的气嫁，包括一個(gè)基于流的數(shù)據(jù)集tuid当窗。雖然基于流程的評(píng)價(jià)結(jié)果較好，但該方法存在明顯的不足寸宵。在給定數(shù)據(jù)集的特定層次上選擇有監(jiān)督的崖面、無(wú)監(jiān)督的或基于異常值的分類(lèi)器是基于單個(gè)分類(lèi)器對(duì)給定數(shù)據(jù)集的分類(lèi)精度。這種調(diào)整很難在實(shí)時(shí)場(chǎng)景中實(shí)現(xiàn)梯影，并且可能無(wú)法獲得類(lèi)似的性能結(jié)果巫员。

(Wijesinghe et al.， 2015)提出了一種使用流模板的僵尸網(wǎng)絡(luò)檢測(cè)方法甲棍。該技術(shù)創(chuàng)建不同僵尸網(wǎng)絡(luò)的基于流的概要文件简识，并將其與網(wǎng)絡(luò)流量進(jìn)行比較，用于僵尸網(wǎng)絡(luò)檢測(cè)感猛。實(shí)驗(yàn)環(huán)境由感染了僵尸網(wǎng)絡(luò)的虛擬機(jī)組成七扰。結(jié)果表明，該技術(shù)可以檢測(cè)到所有的僵尸網(wǎng)絡(luò)家族陪白。然而颈走，這種方法需要僵尸網(wǎng)絡(luò)操作的先驗(yàn)知識(shí)，可能無(wú)法檢測(cè)未知的僵尸網(wǎng)絡(luò)拷泽。表7總結(jié)了這些技術(shù)疫鹊。

6. 基于流量的入侵檢測(cè)的商業(yè)應(yīng)用

基于流的入侵也引起了商業(yè)供應(yīng)商的注意。Lancope的StealthWatch System2通過(guò)思科提供司致，是一個(gè)完全基于NetFlow的企業(yè)網(wǎng)絡(luò)監(jiān)控和安全情報(bào)解決方案拆吆。StealthWatch系統(tǒng)執(zhí)行NetFlow和其他上下文數(shù)據(jù)的收集、聚合和分析脂矫。該系統(tǒng)能夠檢測(cè)到與apt枣耀、內(nèi)部威脅、DDoS和惡意軟件相關(guān)的惡意行為庭再。思科下一代入侵防御系統(tǒng)3與FireSIGHT管理中心4也有Netflow功能捞奕。

由Plixer公司開(kāi)發(fā)的審查系統(tǒng)5是一個(gè)基于流程的事件響應(yīng)和行為分析產(chǎn)品。審查器使用許多流技術(shù)對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行收集拄轻、威脅檢測(cè)和報(bào)告颅围。它還提供了實(shí)時(shí)的態(tài)勢(shì)感知和網(wǎng)絡(luò)的歷史行為。該系統(tǒng)采用固定的算法檢測(cè)DoS攻擊恨搓、網(wǎng)絡(luò)掃描等異常網(wǎng)絡(luò)行為院促。

Flowmon異常檢測(cè)系統(tǒng)(ADS)6是另一種基于流的入侵檢測(cè)系統(tǒng)筏养，支持NetFlow、IPFIX或NetStream協(xié)議常拓。Flowmon廣告使用智能行為分析算法來(lái)識(shí)別威脅渐溶、攻擊、事件和配置問(wèn)題弄抬。它還提供對(duì)國(guó)防部攻擊的保護(hù)茎辐。

IBM的QRadar安全情報(bào)平臺(tái)7是一個(gè)安全信息和事件管理(SIEM)系統(tǒng)，具有異常檢測(cè)掂恕、事件取證和漏洞管理功能拖陆。QRadar還包括基于IP流的分析支持。

瞻博網(wǎng)絡(luò)JSA系列安全分析軟件為企業(yè)提供了一套完整的網(wǎng)絡(luò)監(jiān)控工具竹海。JSA系列產(chǎn)品支持NetFlow慕蔚、J-Flow、sFlow和IPFIX斋配。它們還包括用于檢測(cè)粗糙服務(wù)器的網(wǎng)絡(luò)行為異常檢測(cè)(NBAD)和基于APTs流的網(wǎng)絡(luò)活動(dòng)孔飒。

在開(kāi)源世界中，Bro9是一個(gè)用于一般網(wǎng)絡(luò)流量分析的綜合平臺(tái)艰争。它還具有入侵檢測(cè)能力坏瞄。除了其他網(wǎng)絡(luò)竊聽(tīng)工具，Bro還使用Netflow進(jìn)行網(wǎng)絡(luò)分析和威脅檢測(cè)甩卓。

7. 觀察

在前一節(jié)中鸠匀，我們討論了用于設(shè)計(jì)基于流的入侵檢測(cè)系統(tǒng)的各種方法。我們對(duì)現(xiàn)有基于流量的入侵檢測(cè)技術(shù)的觀察如下:

(1)已有的基于流量檢測(cè)的研究多采用統(tǒng)計(jì)方法逾柿。有必要開(kāi)發(fā)基于流量檢測(cè)的機(jī)器學(xué)習(xí)技術(shù)的真正潛力缀棍。可以考慮貝葉斯網(wǎng)絡(luò)机错、集成學(xué)習(xí)爬范、進(jìn)化計(jì)算、順序模式挖掘等技術(shù)弱匪。

(2)本文研究的一些技術(shù)只針對(duì)特定的攻擊類(lèi)型青瀑。Muraleedharan和Parmar(2010)的工作只檢測(cè)TCP掃描。Hellemons等(2012)和Satoh等(2015)給出了抵御SSH攻擊的解決方案萧诫。使用IP流記錄檢測(cè)DOS攻擊的解決方案見(jiàn)(Zhang et al.斥难， 2012;Hofstede等，2013)帘饶。這種技術(shù)為特定的攻擊類(lèi)型或場(chǎng)景提供了更好的結(jié)果哑诊，但是還沒(méi)有針對(duì)其他攻擊進(jìn)行評(píng)估。將這些技術(shù)集成到一個(gè)全面的基于流的入侵檢測(cè)框架中及刻，對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行全面的保護(hù)是非常困難的搭儒。

(3)一些基于流的技術(shù)使用基于分組的數(shù)據(jù)集來(lái)生成流記錄穷当，以評(píng)估基于流的技術(shù)(Song et al.， 2006;Salem et al.淹禾， 2011;Tran等，2012;Abuadlla等茴扁，2014;秦等铃岔，2015)。然而峭火，在實(shí)際的基于流的檢測(cè)中毁习，對(duì)這些數(shù)據(jù)集的評(píng)估并不能保證得到類(lèi)似的結(jié)果。一些技術(shù)使用定制的數(shù)據(jù)集卖丸，這使得很難將結(jié)果與其他技術(shù)進(jìn)行比較(Wagner et al.纺且， 2011;Hellemons等人，2012)稍浆。

(4)一些研究沒(méi)有使用代表性的數(shù)據(jù)集來(lái)獲得驗(yàn)證結(jié)果载碌。Shubair等人(2014)和Winter等人(2011a)使用200條流記錄的數(shù)據(jù)集進(jìn)行驗(yàn)證，而原始數(shù)據(jù)集有近140萬(wàn)條記錄衅枫。在這樣的數(shù)據(jù)集上評(píng)估的技術(shù)在現(xiàn)實(shí)世界中不會(huì)表現(xiàn)得更好嫁艇，而且會(huì)給出許多假陽(yáng)性結(jié)果。Guo等人(2013)提出了一種從大型數(shù)據(jù)集中獲取代表性實(shí)例的解決方案弦撩。當(dāng)輸入量足夠大且影響算法的空間復(fù)雜度時(shí)步咪，該方法是有效的。

(5)現(xiàn)有工作中采用了多種評(píng)價(jià)方法來(lái)獲得實(shí)驗(yàn)結(jié)果益楼。這些包括精確度猾漫，召回率，f1分感凤，真陽(yáng)性率悯周、DF率、正確率俊扭、純度測(cè)定队橙、ROC曲線、ROC曲線下面積等萨惑。它們?cè)谝欢ǔ潭壬匣究梢耘c標(biāo)準(zhǔn)評(píng)價(jià)方法相比較捐康，可以相互借鑒。然而庸蔼，許多技術(shù)將結(jié)果報(bào)告為正辰庾埽或惡意標(biāo)志，而不提供用于入侵檢測(cè)的定量結(jié)果姐仅。

8. 懸而未決的問(wèn)題和挑戰(zhàn)

分組和基于流的技術(shù)比較表明花枫，基于流的技術(shù)是高速網(wǎng)絡(luò)保護(hù)的較好選擇(Hellemons et al.刻盐， 2012;Golling等，2014)劳翰。然而敦锌，基于流的入侵檢測(cè)技術(shù)還不夠成熟，無(wú)法替代傳統(tǒng)的基于包的入侵檢測(cè)技術(shù)(Sperotto et al.佳簸， 2010)乙墙。Sperotto et al.(2010)和Golling et al.(2014)提出基于流的檢測(cè)應(yīng)該與基于包的檢測(cè)相結(jié)合∩基于流的入侵檢測(cè)應(yīng)該在入侵檢測(cè)的初始層進(jìn)行听想，而細(xì)節(jié)深度的入侵檢測(cè)應(yīng)該在基于包的檢測(cè)的第二層進(jìn)行。然而马胧，這種技術(shù)仍然存在基于包的檢測(cè)的缺點(diǎn)汉买。這種混合安排的另一個(gè)問(wèn)題是包的存儲(chǔ)，直到基于時(shí)間流的檢測(cè)完成佩脊。我們認(rèn)為在基于流量的入侵檢測(cè)方面需要進(jìn)一步研究的挑戰(zhàn)如下:

(1)入侵檢測(cè)數(shù)據(jù)集是評(píng)估所提技術(shù)的一個(gè)有價(jià)值的工具蛙粘。正如在第4節(jié)中討論的，現(xiàn)有的基于公共流的數(shù)據(jù)集非常少邻吞。迫切需要開(kāi)發(fā)具有多種攻擊流量的基于流的公共數(shù)據(jù)集组题，對(duì)不同的基于流的入侵檢測(cè)技術(shù)進(jìn)行評(píng)估和比較。

(2)IPFIX/Netflow為IP流記錄指定約280個(gè)屬性抱冷。研究人員使用不同的流屬性來(lái)評(píng)估交通流崔列。Tran等(2012)和Jadidi等(2013)分別使用4元組和7元組流記錄。Zhao等人(2013)采用了12元組流量記錄旺遮。但是赵讯，目前還沒(méi)有建立流屬性與攻擊類(lèi)型之間關(guān)系的文獻(xiàn)。增加流屬性的數(shù)量也會(huì)增加計(jì)算量耿眉，而使用少量流屬性可能會(huì)遺漏重要的網(wǎng)絡(luò)信息边翼。因此，研究流屬性與攻擊類(lèi)型之間的關(guān)系非常重要鸣剪。

（3）基于流的技術(shù)不能訪問(wèn)包負(fù)載组底。因此，基于流的入侵檢測(cè)系統(tǒng)不能檢測(cè)嵌入在包有效負(fù)載中的攻擊筐骇，也不能改變流量流债鸡，如SQL注入和交叉腳本(Vykopal et al.， 2013)铛纬。

（4）一些技術(shù)使用由4或5個(gè)流屬性組成的流記錄(Winter et al.厌均， 2011a;(Jadidi et al.， 2013)告唆，這不足以分析交通流棺弊。這個(gè)問(wèn)題的解決方案是使用基本流屬性計(jì)算額外的流度量(Zhang et al.晶密， 2012)。

（5）基于流量的入侵檢測(cè)的一個(gè)重要問(wèn)題是流量采樣技術(shù)的應(yīng)用模她。包抽樣(PSAMP)協(xié)議(Claise, 2009)為流導(dǎo)出過(guò)程指定了不同的抽樣技術(shù)稻艰。抽樣技術(shù)是原始種群的真實(shí)代表，有助于更好地存檔結(jié)果侈净。因此连锯，研究基于流量的入侵檢測(cè)中采樣技術(shù)的有效性和準(zhǔn)確性就顯得尤為重要。

（6）流量輸出區(qū)間的大小對(duì)基于流量的入侵檢測(cè)系統(tǒng)的性能有重要影響(Vykopal et al.用狱， 2013)。如果流導(dǎo)出間隔時(shí)間較長(zhǎng)拼弃，則會(huì)發(fā)生短時(shí)攻擊夏伊，入侵檢測(cè)系統(tǒng)可能無(wú)法檢測(cè)到。另一方面吻氧，較短的流量間隔會(huì)使系統(tǒng)過(guò)載溺忧，影響系統(tǒng)的整體效率。應(yīng)該詳細(xì)分析流量輸出間隔與檢測(cè)性能的關(guān)系(Hofstede et al.盯孙， 2013)鲁森。

9. 基于流的入侵檢測(cè)的未來(lái)

隨著端到端加密技術(shù)在網(wǎng)絡(luò)應(yīng)用程序(如網(wǎng)站、移動(dòng)應(yīng)用程序和電子郵件)中的應(yīng)用越來(lái)越多振惰，基于有效負(fù)載的入侵檢測(cè)系統(tǒng)的應(yīng)用空間有限歌溉。基于有效載荷的入侵檢測(cè)方法也不適用于大規(guī)模的主干網(wǎng)和服務(wù)提供商網(wǎng)絡(luò)骑晶。Sperotto等人(2010)設(shè)想將基于流的檢測(cè)用于垃圾郵件檢測(cè)痛垛、僵尸網(wǎng)絡(luò)檢測(cè)和分布式攻擊檢測(cè)。我們的綜述還表明桶蛔，基于流的檢測(cè)作為傳統(tǒng)的基于包的入侵檢測(cè)的一種替代方法正受到越來(lái)越多的關(guān)注匙头。

現(xiàn)有的基于流量的入侵檢測(cè)研究包括使用統(tǒng)計(jì)或機(jī)器學(xué)習(xí)技術(shù)監(jiān)控網(wǎng)絡(luò)流量的變化。獨(dú)立的基于流量的網(wǎng)絡(luò)流量檢查正在演變?yōu)榫W(wǎng)絡(luò)行為分析(NBA) (Shackleford, 2016)仔雷。網(wǎng)絡(luò)行為分析(NBA)方法收集來(lái)自各種設(shè)備的IP流記錄蹂析，包括來(lái)自整個(gè)網(wǎng)絡(luò)的路由器、交換機(jī)和服務(wù)器碟婆。NBA不依賴于個(gè)人流量指標(biāo)电抚，還利用網(wǎng)絡(luò)性能和監(jiān)控?cái)?shù)據(jù)。NBA使用智能機(jī)器學(xué)習(xí)技術(shù)來(lái)建立一個(gè)正常的網(wǎng)絡(luò)概況脑融。正常的輪廓線作為檢測(cè)入侵的基線喻频。與其他入侵檢測(cè)技術(shù)相比，將NBA與機(jī)器學(xué)習(xí)技術(shù)結(jié)合使用具有許多優(yōu)勢(shì)(Liao et al.肘迎， 2013)甥温《突停基于流的檢查、網(wǎng)絡(luò)性能和安全度量的集成使用為企業(yè)級(jí)網(wǎng)絡(luò)提供了全面的保護(hù)姻蚓，使其免受入侵宋梧。最新的商業(yè)入侵檢測(cè)應(yīng)用程序，如思科的Stealthwatch和Plixer的inspecizer狰挡，也建立在網(wǎng)絡(luò)行為分析的基礎(chǔ)上捂龄。

10. 結(jié)論

在本文中，我們對(duì)現(xiàn)有的基于流的入侵檢測(cè)系統(tǒng)進(jìn)行了最新的研究加叁【氩祝基于惡意流檢測(cè)技術(shù)，提出了一種基于流的入侵檢測(cè)系統(tǒng)分類(lèi)方法它匕。我們討論了每一類(lèi)方法中可用的基于流的技術(shù)的體系結(jié)構(gòu)展融、算法和數(shù)據(jù)集。我們的討論表明豫柬，基于流的入侵檢測(cè)系統(tǒng)評(píng)估的一個(gè)重要方面是使用本地的基于流的數(shù)據(jù)集告希。我們還提供了可用的基于流的數(shù)據(jù)集的簡(jiǎn)要摘要。其他重要的貢獻(xiàn)是對(duì)基于商業(yè)流的IDS產(chǎn)品和基于流的入侵檢測(cè)的未來(lái)的討論烧给。最后燕偶，我們對(duì)現(xiàn)有系統(tǒng)進(jìn)行了觀察，并展望了未來(lái)的研究方向础嫡。