網路流量模型是基於將網路流量特徵向量分層劃分的思想實現的。將流量特徵分為兩個層次:基本特徵集合和組合特徵集合。其中基本特徵集合是實時從網路流量中提取的一些網路流量的基本特徵數據,比如流量的大小、包長的信息、協定的信息、連線埠流量的信息、TCP標誌位的信息等。這些基本特徵比較詳細地描述了網路流量的運行狀態。
簡介
組合特徵集合是可以根據實際需要實時改變設定的。針對某種特定的攻擊行為,將涉及該攻擊行為的基本特徵的子集作為描述該種攻擊行為的特徵。比如對於SYN FLOOD攻擊,組合特徵就可以選取pkts/s、平均包長、SYN包的個數等信息。利用以往基本特徵集合的數據對該種攻擊行為的特徵進行學習和訓練,就可以實時得到該攻擊行為組合特徵的正常和異常模型。用此模型就可以實時地對網路上該種攻擊行為進行檢測。
另一方面對於已知攻擊種類和行為的數據集進行學習還能對人為選取的攻擊組合特徵進行最佳化,使之更能反映該攻擊行為的特點。由於數據集是通過對網路流量實時提取獲得的,真實地反映了網路的實時狀態,因而通過共享該數據集可以為網路中不同管理域之間異常檢測系統提供一個協同運行和控制的平台。
網路流量基本特徵數據集是整個網路流量異常算法的基礎。為了保證該算法的可靠性和比較強的可擴展性,就要求基本特徵能夠比較完備地描述網路流量的特徵。但同時由於網路的異常檢測有實時性的要求,以及考慮到現有計算機的計算能力等問題,基本特徵的選取不能對所有流量信息進行提取,而必須對之進行選擇。
