基于統(tǒng)計(jì)分析建立流量動(dòng)態(tài)臨界線(xiàn)的蠕蟲(chóng)檢測(cè)機(jī)制研究

1、基于統(tǒng)計(jì)分析建立流量動(dòng)態(tài)臨界線(xiàn)的蠕蟲(chóng)檢測(cè)機(jī)制研究    摘 要:提出了一種基于正態(tài)分布進(jìn)行異常流量檢測(cè),從而判斷當(dāng)前內(nèi)網(wǎng)中是否存在蠕蟲(chóng)感染的方法。該方法根據(jù)歷史流量的正態(tài)分布統(tǒng)計(jì)特性,計(jì)算出網(wǎng)絡(luò)內(nèi)數(shù)據(jù)流量的一般行為的可信區(qū)間,如果監(jiān)控的流量超出該可信區(qū)間,則判斷為異常流量并作出蠕蟲(chóng)威脅的報(bào)警。結(jié)合該方法,進(jìn)一步分析了如何以雙因素模型分析網(wǎng)絡(luò)中蠕蟲(chóng)的數(shù)量。 關(guān)鍵詞:正態(tài)分布; 異常流量; 可信區(qū)間; 蠕蟲(chóng) 中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)志碼:A 文章編號(hào):1001-3695(2010)03-1032-03 Worm detection technology

2、 research of net-flow dynamic critical line established based on statistical analytic method WANG Yong-chao?a, XIE Yong-kai?a, ZHU Zhi-ping?a, LIN Huai-zhong?b (a.Center of Network & Information, b.Institute of Artificial Intelligence, Zhejiang University, Hangzhou 310027, China) Abstract:This p

3、aper raised a method detect the abnormal net-flow based on normal distribution, then estimated the existence of Internet worm in internal network. According to the normal distribution character of the history flow, this method computed the normal behavior trusted zone of data flow in network, judged

4、 the inspected flow abnormal flow if it went beyond the trusted zone, and alarmed the threat of Internet worm. Combined with this method, further analyzed how to use two-factor model ana-?lysis? of the number of Internet worms in network. Key words:normal distribution; traffic statistic; trusted zon

5、e; worm 隨著互聯(lián)網(wǎng)的迅速發(fā)展及廣泛普及,網(wǎng)絡(luò)蠕蟲(chóng)的危害日益加劇。網(wǎng)絡(luò)蠕蟲(chóng)的攻擊一般都具有相似的攻擊模式,即主要針對(duì)計(jì)算機(jī)操作系統(tǒng)或應(yīng)用系統(tǒng)的特定安全漏洞,通過(guò)各種方式的端口掃描從而發(fā)現(xiàn)目標(biāo)節(jié)點(diǎn),進(jìn)而發(fā)起攻擊。針對(duì)這些特點(diǎn),如果在蠕蟲(chóng)爆發(fā)時(shí)進(jìn)行防治則顯得滯后許多。所以,建立一個(gè)優(yōu)先的蠕蟲(chóng)預(yù)警機(jī)制,對(duì)于可能發(fā)生的異常行為作出有效的預(yù)警,從而能夠較早地對(duì)于蠕蟲(chóng)的爆發(fā)進(jìn)行預(yù)警及防范,這不失為一個(gè)好的策略。蠕蟲(chóng)檢測(cè)的目的在于發(fā)現(xiàn)網(wǎng)絡(luò)中的計(jì)算機(jī)是否感染蠕蟲(chóng),而蠕蟲(chóng)預(yù)警的主要功能是在蠕蟲(chóng)尤其是未知的蠕蟲(chóng)大規(guī)模探測(cè)、滲透和自我復(fù)制之前及時(shí)發(fā)現(xiàn)其感染痕跡進(jìn)行預(yù)警1。由于現(xiàn)階段蠕蟲(chóng)產(chǎn)生的速度過(guò)快,對(duì)統(tǒng)計(jì)出

6、的流量使用傳統(tǒng)加以比對(duì)的方式只能針對(duì)已有的蠕蟲(chóng)類(lèi)型作出較好的預(yù)警,而對(duì)于未知的蠕蟲(chóng)行為則會(huì)出現(xiàn)較多的誤判。又由于蠕蟲(chóng)的掃描行為種類(lèi)繁多,對(duì)于流量異常情況很難確定其是蠕蟲(chóng)行為還是其他非惡意行為造成的,在正常流量基線(xiàn)的基礎(chǔ)上建立動(dòng)態(tài)的臨界線(xiàn)應(yīng)該成為本文的首選。 對(duì)于一般的網(wǎng)絡(luò)行為,由于其各異性而形成不同的流量大小,通過(guò)使用正態(tài)分布模型對(duì)其隨機(jī)行為的模擬,可以大致確定網(wǎng)絡(luò)中的一般行為以及流量產(chǎn)生的概率。使用過(guò)去的正常流量作為樣本觀測(cè)值,進(jìn)而確定其統(tǒng)計(jì)概率,這在一定程度上符合實(shí)際流量情況。對(duì)于采集的正常流量數(shù)據(jù),以一定的概率方法設(shè)置正常流量可能出現(xiàn)的臨界線(xiàn),若某一時(shí)刻的流量超越該臨界值,則可以懷疑當(dāng)前

7、網(wǎng)內(nèi)有惡意行為。 由于大部分蠕蟲(chóng)感染是針對(duì)某一端口進(jìn)行傳播,當(dāng)網(wǎng)絡(luò)內(nèi)出現(xiàn)異常流量后,使用net-flow統(tǒng)計(jì)出具有異常流量的端口信息,結(jié)合使用雙因素模型計(jì)算網(wǎng)絡(luò)內(nèi)感染的主機(jī)狀態(tài),主要計(jì)算感染的主機(jī)數(shù)量,從而達(dá)到蠕蟲(chóng)大規(guī)模爆發(fā)預(yù)警的目的。 1 流量分析檢測(cè) 流量分析檢測(cè)也稱(chēng)做異常檢測(cè)法,是當(dāng)前最常見(jiàn)也是最有效的檢測(cè)方法,主要是建立正常情況下的流量模型。通過(guò)將當(dāng)前流量與正常行為下的流量加以比對(duì),計(jì)算當(dāng)前流量的偏移值,從而確定網(wǎng)絡(luò)內(nèi)部是否有蠕蟲(chóng)爆發(fā)。流量分析檢測(cè)法也是無(wú)線(xiàn)傳感網(wǎng)絡(luò)(wireless sensor network, WSN)中主要的檢測(cè)方法。 1.1 基線(xiàn)分析法與動(dòng)態(tài)臨界線(xiàn) 基線(xiàn)分析(

8、baseline analysis)是基于正常流量統(tǒng)計(jì)的。首先將一天劃分成多個(gè)時(shí)間段,對(duì)各個(gè)時(shí)間區(qū)間內(nèi)的正常流量進(jìn)行統(tǒng)計(jì)并做出平均值,然后將當(dāng)前網(wǎng)絡(luò)中的流量與正常流量加以比較,若與統(tǒng)計(jì)的基線(xiàn)吻合情況較好,則判斷其為正常流量;偏離較大時(shí)則有可能為蠕蟲(chóng)攻擊2。 由于網(wǎng)絡(luò)內(nèi)流量產(chǎn)生因素復(fù)雜,而且不同的蠕蟲(chóng)對(duì)于流量的影響也不盡相同,只判斷當(dāng)前流量與基線(xiàn)流量的偏離值很難說(shuō)明是否有蠕蟲(chóng)爆發(fā)?；谶@種情況,對(duì)統(tǒng)計(jì)的基線(xiàn)做出一個(gè)較為可信的動(dòng)態(tài)臨界線(xiàn),若當(dāng)前流量的偏離不超過(guò)基線(xiàn)和動(dòng)態(tài)臨界線(xiàn)時(shí),則說(shuō)明此時(shí)的流量是可信的流量。首先依據(jù)不同時(shí)段正常的網(wǎng)絡(luò)平均流量建立動(dòng)態(tài)基線(xiàn),然后以動(dòng)態(tài)基線(xiàn)值為基礎(chǔ)提升?K倍(K>

9、;1?)固定比率位置建立動(dòng)態(tài)臨界線(xiàn),當(dāng)某一時(shí)段的流量超過(guò)臨界線(xiàn) ,即可判定此時(shí)段為流量異常時(shí)段3。 以上方法所取?K?值具有一定的主觀性,所以其可信度不能確定,但這種動(dòng)態(tài)建立臨界線(xiàn)的思想能大大降低對(duì)流量的誤判。本文結(jié)合這種思想,以一定的隨機(jī)概率來(lái)確定動(dòng)態(tài)臨界線(xiàn)。 1.2 基于正態(tài)分布的動(dòng)態(tài)基線(xiàn)和動(dòng)態(tài)臨界線(xiàn) 在某一時(shí)刻?t,假設(shè)當(dāng)前網(wǎng)絡(luò)正常的最大流量為F?max?,則正常情況下超過(guò)最大流量的概率分布為?P(?tF?max?)。其中?t為當(dāng)前時(shí)刻t的流量。對(duì)于連續(xù)性的概率分布,一個(gè)變量如果受到大量微小獨(dú)立的隨機(jī)因素影響,那么這個(gè)變量一般滿(mǎn)足正態(tài)分布N(,?2)?。由于網(wǎng)絡(luò)內(nèi)存在大量獨(dú)立用戶(hù),其行為

10、相互獨(dú)立且不同,本文也選擇正態(tài)分布來(lái)描述單個(gè)時(shí)刻內(nèi)網(wǎng)中發(fā)生流量的正常行為。通過(guò)對(duì)浙江大學(xué)某宿舍樓主交換機(jī)一周的正常情況作樣本統(tǒng)計(jì)檢驗(yàn),其單個(gè)時(shí)刻流量分布概率情況如圖1所示(?x軸為流量情況,單位為K;y?軸為概率情況)。 從圖1中可以看出,在多次固定時(shí)刻樣本抽樣過(guò)程中,大量的樣本抽象表明,抽樣點(diǎn)流量的分布概率基本接近正態(tài)分布函數(shù)特性,尤其是對(duì)于抽樣點(diǎn)概率密度相對(duì)較大的區(qū)域(圖中反映的抽樣點(diǎn)集中區(qū)域?qū)崿F(xiàn)區(qū)域)與正態(tài)分布函數(shù)特性極為吻合。因此可以說(shuō)單時(shí)刻交換機(jī)流量整體服從正態(tài)分布情況是比較好的。這里以此選定動(dòng)態(tài)基線(xiàn)和動(dòng)態(tài)臨界值。 對(duì)于流量?t ,過(guò)去m次正常流量的觀測(cè)值為F?t?i(i=1,?2,

11、m)?,取其平均值作為子樣觀測(cè)的均值,有?t=(mi=1F?t?i)/m,并令其方差為子樣觀測(cè)方差,有D?t=(mi=1(F?t?i-?t)?2)/m。而對(duì)于符合正態(tài)分布普通網(wǎng)絡(luò)行為,?t?1=?t,?t?1=D?t=(mi=1(F?t-?t)?2)/m?,基于正態(tài)分布的性質(zhì)以及Chebyshev定理,本文引入正態(tài)分布的?3原則。  正態(tài)分布的3?原則:當(dāng)隨機(jī)變量?滿(mǎn)足正態(tài)分布時(shí) ?P(|3)?=1-12?+3?-3?e?-?(x-)?22?2?d?x0.003即在一般情況下|3。? 根據(jù)以上定義,在一個(gè)正常網(wǎng)絡(luò)內(nèi),?P(?t(?1+3?1)0.003,筆者認(rèn)為這個(gè)概率是足夠小的,于

12、是取動(dòng)態(tài)基線(xiàn)為?t?1,可信范圍為3?t?1。如果?t?1-3?t?1>0。則動(dòng)態(tài)臨界線(xiàn)的范圍為?t?1-3?t?1,?t?1+3?t?1;否則為0,?t?1+3?t?1。?這個(gè)區(qū)間為可信區(qū)間,即一般的網(wǎng)絡(luò)內(nèi)活動(dòng)滿(mǎn)足區(qū)間內(nèi)的規(guī)律。 1.3 異常流量的檢測(cè) 假定當(dāng)前?t時(shí)刻的實(shí)際觀測(cè)值為F?t?D,當(dāng)前的正常流量均由正常的主機(jī)發(fā)出。對(duì)以往統(tǒng)計(jì)出的單個(gè)時(shí)刻主交換機(jī)的連接數(shù)b?t?i(i=1,2,m)使用統(tǒng)計(jì)均值,得到?t=(mi=1b?t?i)/m,則此刻數(shù)據(jù)流量的平均長(zhǎng)度為?t=(?t?i)/?t。由于網(wǎng)絡(luò)中蠕蟲(chóng)傳播的前期宿主機(jī)總是發(fā)送探測(cè)包用于尋找能夠攻擊的其他主機(jī),此時(shí)網(wǎng)絡(luò)內(nèi)的流量會(huì)比

13、正常流量時(shí)有所增加,即F?t?D>?t×b?t?D。其中b?t?D為當(dāng)前交換機(jī)的連接數(shù)。 取=F?t?D-(?t?1+3?t?1),若>0,則可以判斷當(dāng)前網(wǎng)絡(luò)內(nèi)出現(xiàn)異常流量。當(dāng)0時(shí),當(dāng)前的連接數(shù)為b?t?D,則一般可信的流量應(yīng)為F?t?N=?t×b?t?D,令F?t?U=|F?t?D-F?t?N|。同樣,由于當(dāng)前時(shí)刻網(wǎng)絡(luò)內(nèi)正常行為滿(mǎn)足正態(tài)分布,在這種情況下置信范圍仍然取3?t?1,即當(dāng)F?t?U>3?t?1?時(shí),判斷此時(shí)出現(xiàn)的流量為異常流量。通過(guò)對(duì)浙江大學(xué)某宿舍樓服務(wù)器建立流量檢測(cè)方法,得到的結(jié)果如圖2所示。其中采樣時(shí)間為下午13:0018:00,采樣間隔

14、為5min。 圖中藍(lán)線(xiàn)為在通常正常流量情況下的動(dòng)態(tài)基線(xiàn)流量的預(yù)測(cè)分布,紅線(xiàn)與深綠色線(xiàn)為可信流量區(qū)間的下界與上界,草綠色線(xiàn)為學(xué)校蠕蟲(chóng)異動(dòng)情況下的流量檢測(cè)分布情況。對(duì)圖中超過(guò)臨界線(xiàn)的流量進(jìn)行危險(xiǎn)報(bào)警,并在此時(shí)段作出網(wǎng)絡(luò)內(nèi)有蠕蟲(chóng)感染的判斷。 2 傳播模型 2.1 雙因素模型(two-factor model)4 在簡(jiǎn)單傳染病模型的基礎(chǔ)上,人們考慮到主機(jī)會(huì)因?yàn)榫W(wǎng)絡(luò)的不穩(wěn)定以及主機(jī)會(huì)產(chǎn)生自我保護(hù),從而導(dǎo)致感染率?的變化,并且隨著時(shí)間的變化感染率可以表達(dá)為時(shí)間t的函數(shù)?(t)?。雙因素模型考慮到感染狀態(tài)的轉(zhuǎn)移過(guò)程有兩個(gè),分別是:易感染感染免疫;易感染隔離。 當(dāng)蠕蟲(chóng)傳播開(kāi)始時(shí),由于主機(jī)的保護(hù)強(qiáng)度不夠,使得受

15、感染的主機(jī)增多,則整個(gè)網(wǎng)絡(luò)對(duì)于未感染的主機(jī)加強(qiáng)重視,對(duì)于還未感染的易受染主機(jī)進(jìn)行隔離保護(hù),使得網(wǎng)絡(luò)中隔離主機(jī)的數(shù)量增加。其次,對(duì)于已感染的主機(jī)恢復(fù)后對(duì)其加以免疫。 對(duì)于整個(gè)傳播過(guò)程來(lái)說(shuō),蠕蟲(chóng)傳播的初期,由于大部分的主機(jī)未被保護(hù),使得大量主機(jī)被感染,網(wǎng)絡(luò)中引起對(duì)未感染主機(jī)的重視而對(duì)其進(jìn)行隔離;傳播的中期,隔離中的主機(jī)未被感染,而受感染主機(jī)開(kāi)始逐步恢復(fù),部分受染主機(jī)進(jìn)入免疫狀態(tài),未被感染的主機(jī)依舊加強(qiáng)隔離;蠕蟲(chóng)傳播的末期,由于大量主機(jī)進(jìn)入了確定的狀態(tài),隔離和免疫的主機(jī)數(shù)量趨于平緩,直至不再增長(zhǎng)5。感染主機(jī)恢復(fù)的同時(shí)也進(jìn)入免疫狀態(tài),所以本文所提到的恢復(fù)狀態(tài)和免疫狀態(tài)為同一時(shí)刻的狀態(tài)。 雙因素模型中受

16、感染主機(jī)的數(shù)量隨時(shí)間的變化為 d?I(t)?d?t=(t)N-R(t)-I(t)-Q(t)I(t)-?d?R(t)?d?t?(1) 其中:?I(t)為t時(shí)刻被感染的主機(jī)數(shù)量,不包括已恢復(fù)的主機(jī);N是網(wǎng)絡(luò)中總的主機(jī)數(shù)量;S(t)是t時(shí)刻易感染的主機(jī)數(shù)量;?(t)?表示感染率隨蠕蟲(chóng)傳播的變化; Q(t)和R(t)分別表示已隔離和已恢復(fù)(免疫)狀態(tài)的主機(jī)數(shù)量。它們的狀態(tài)轉(zhuǎn)移表達(dá)式為N=S(t)+I(t)+R(t)+Q(t)。?d?S(t)?d?t=-(t)S(t)I(t)?-d?Q(t)?d?t;?d?R(t)?d?t=I(t);?d?Q(t)?d?t=S(t)J(t)?(2) ?(t)=?01-I

17、(t)N?(3)其中:?J(t)表示所有感染過(guò)和正在感染的主機(jī)數(shù)量,有 J(t)=I(t)+R(t)=N-S(t)-Q(t)? 對(duì)于初始時(shí)刻?I(0)=I?0<2.2 主機(jī)的抵抗強(qiáng)度 根據(jù)雙因素模型中所提出的主機(jī)免疫和隔離兩種狀態(tài)下,當(dāng)前爆發(fā)的蠕蟲(chóng)很難對(duì)其進(jìn)行感染這一線(xiàn)索6,本文作如下表述:易感染但出現(xiàn)隔離狀態(tài),或者已感染但出現(xiàn)免疫狀態(tài)的主機(jī)稱(chēng)做抵抗度強(qiáng)的主機(jī),否則稱(chēng)做抵抗度弱的主機(jī)。所以本文將傳播過(guò)程描述成如圖3所示的形式。 主機(jī)最終轉(zhuǎn)移到強(qiáng)抵抗?fàn)顟B(tài),此時(shí)已有的蠕蟲(chóng)種類(lèi)將無(wú)法感染網(wǎng)絡(luò)內(nèi)的主機(jī)。設(shè)抵抗強(qiáng)的主機(jī)數(shù)量為?K(t),所有正常的主機(jī)數(shù)量為Z(t),則有Z(t)=K(t)+S(t)

18、。? d?K(t)?d?t=I(t)+S(t)J(t)?(4) 最后得出:d?Z(t)?d?t=-(t)S(t)I(t)?(5) 其中?Z(0)=N。很顯然,?式(5)表現(xiàn)了正常主機(jī)在單位時(shí)間內(nèi)的變化率。 本文對(duì)浙江大學(xué)某宿舍樓主交換機(jī)上的端口流量進(jìn)行某時(shí)間段的net-flow流量檢測(cè),通過(guò)在net-flow服務(wù)端中的flow-cat /Date-collect-directory/ |flow-filter-Pport |flow-print >filename等命令腳本,結(jié)合more filename |awk print $1|sort|uniq-c |sort-n |awk if

19、($1>100)print $2等awk統(tǒng)計(jì)命令(其中100為經(jīng)驗(yàn)性蠕蟲(chóng)感染閾值),從而對(duì)該端口流量各類(lèi)蠕蟲(chóng)可能感染的服務(wù)port進(jìn)行TCP session 數(shù)量統(tǒng)計(jì),最終統(tǒng)計(jì)估出各個(gè)時(shí)間點(diǎn)的正常主機(jī)數(shù)量。圖4為該交換機(jī)的聯(lián)合流量統(tǒng)計(jì)結(jié)果。其中?Z(t)為主機(jī)數(shù),t?為時(shí)間,單位時(shí)間間隔為5min,?F(t)?為流量,單位為千字節(jié)。從圖中不難看出,初始時(shí)刻該交換機(jī)所轄網(wǎng)段正常主機(jī)數(shù)量與流量均較大;隨著時(shí)間的變化,部分主機(jī)進(jìn)入感染狀態(tài),正常主機(jī)數(shù)量明顯下降,流量也相對(duì)降低;最終隨著感染主機(jī)逐步進(jìn)入免疫狀態(tài),正常主機(jī)數(shù)量與流量又逐步恢復(fù)正常。該統(tǒng)計(jì)圖表較好地說(shuō)明了主機(jī)抵抗強(qiáng)度的轉(zhuǎn)移模型。 3

20、 蠕蟲(chóng)預(yù)警 監(jiān)測(cè)當(dāng)前整個(gè)網(wǎng)絡(luò)內(nèi)的流量,如果出現(xiàn)流量異常,本文將使用雙因素模型對(duì)網(wǎng)絡(luò)內(nèi)可能的蠕蟲(chóng)感染狀態(tài)作出粗略判斷,通過(guò)對(duì)發(fā)出異常流量的主機(jī)屏蔽等手段做到整個(gè)內(nèi)網(wǎng)內(nèi)的蠕蟲(chóng)預(yù)警。  3.1 對(duì)網(wǎng)絡(luò)內(nèi)蠕蟲(chóng)情況的監(jiān)測(cè) 由于大部分的蠕蟲(chóng)都是通過(guò)固定的通信端口進(jìn)行傳播,當(dāng)網(wǎng)絡(luò)內(nèi)有蠕蟲(chóng)感染時(shí),受感染的主機(jī)會(huì)留下一些端口流量的記錄7。 Net-flow工具會(huì)對(duì)網(wǎng)絡(luò)中節(jié)點(diǎn)發(fā)送數(shù)據(jù)包的目的地址端口進(jìn)行統(tǒng)計(jì),所以如果出現(xiàn)異常流量,并且大量的異常流量是針對(duì)于固定的端口進(jìn)行傳播,則可以增加網(wǎng)絡(luò)中蠕蟲(chóng)發(fā)生感染的概率。令?F?t?d為節(jié)點(diǎn)針對(duì)固定端口發(fā)生的流量,則對(duì)于不可信的流量F?t?U,?t=F?t?d/F

21、?t?U?。 3.2 網(wǎng)絡(luò)內(nèi)蠕蟲(chóng)感染數(shù)判斷 前面提出的強(qiáng)抵抗主機(jī)數(shù)?K(t),網(wǎng)絡(luò)中由這部分主機(jī)產(chǎn)生必然可信流量F?t?E=?t×K(t)?,由于本文對(duì)流量的統(tǒng)計(jì)是基于時(shí)間和正常主機(jī)進(jìn)行的統(tǒng)計(jì),由前面的式(4)和(5)可以得到d?F?t?E?d?t=(?t-?t-1?)I(t)+S(t)J(t)?以及d?F?t?N?d?t=(?t-?t-1?)?-(t)?S(t)I(t)?。 通過(guò)異常流量檢測(cè),分別會(huì)出現(xiàn)?>0和0F?t?U>3?1兩種異常情況。首先,當(dāng)>0時(shí),令F?t?E=?1,則K(t)=?t為必然可信的流量,于是有I(t)=(?t-?t-1?-S(t)J(t)

22、/, I(t)為感染數(shù)。其中S(t)=(3?t?1)/?t,感染主機(jī)的掃描包發(fā)送速率v?根據(jù)當(dāng)前網(wǎng)絡(luò)內(nèi)截獲的數(shù)據(jù)包增長(zhǎng)速度決定。 其次,當(dāng)出現(xiàn)?0F?t?U>3?1情況時(shí),I(t)=(?t-?t-1?)(b?t?D-b?t-1?D)-(t)S(t), I(t)為感染數(shù)。其中S(t)=|b?t?D-?t|。 如果計(jì)算出的I(t)?值較大,網(wǎng)管人員可以根據(jù)網(wǎng)絡(luò)狀況及時(shí)發(fā)出蠕蟲(chóng)爆發(fā)的預(yù)警。 4 結(jié)束語(yǔ) 由于網(wǎng)絡(luò)的變化日新月異,產(chǎn)生的網(wǎng)絡(luò)威脅也快速變化,網(wǎng)絡(luò)蠕蟲(chóng)的產(chǎn)生和變種較之以往速度和威脅都大大增加。本文使用基于正常網(wǎng)絡(luò)行為的統(tǒng)計(jì)規(guī)律,以此加以辨別非正常的網(wǎng)絡(luò)行為,不僅能夠適應(yīng)快速變化的網(wǎng)絡(luò)威脅,而且由于方法單一化以及網(wǎng)絡(luò)數(shù)據(jù)易檢測(cè)的特點(diǎn),使得該方法具有一定的實(shí)用性。不足之處在于,由于該方法基于以往的經(jīng)驗(yàn)得出,需要網(wǎng)絡(luò)管理人員具有較高的網(wǎng)絡(luò)安全管理能力,使得該方法具有一些主觀性。但是對(duì)于其后的研究