【笔记】网络流量异常检测概览

异常流量监控和拒绝服务方法研究对于保障路由器通信安全至关重要。

传统的网络安全技术（例如系统入侵检测、防病毒软件、防火墙之类的）对于DDos类的攻击无法很好地防范。

网络层安全研究的是什么？

跟之前的声光电磁层不同，声光电磁实质上是物理层信息传输的介质，而网络层安全主要关注的是网络层面的数据保护和安全，包括但不限于数据的机密性、完整性、可用性和认证等方面。它涉及到网络协议、数据传输过程、网络设备和网络架构的安全。

传统的网络层安全技术和难点

防火墙：

用于控制进出网络的流量，基于一组规则来允许或拒绝数据包。难点在于规则的制定和维护，以及难以应对复杂的攻击。防火墙的主要功能包括：

1. 访问控制：根据IP地址、端口号和协议类型等信息，防火墙可以允许或拒绝特定的网络流量。
2. 状态监测：一些高级防火墙能够跟踪网络连接的状态，从而更智能地过滤数据包。
3. 包过滤：检查每个数据包的头部信息，并根据预设的规则决定是否放行。
4. 应用层过滤：可以识别和控制应用程序级别的流量，如即时通讯、P2P软件等。

入侵检测系统（IDS）：

监控网络或系统活动，寻找恶意活动或违反政策的行为。难点在于误报和漏报的平衡，以及对新型攻击的识别。IDS的主要功能包括：

1. 签名匹配：IDS包含一个庞大的攻击签名数据库，能够识别已知的攻击模式。
2. 异常检测：通过分析网络流量的统计数据和行为模式，IDS可以检测出异常行为，这些行为可能表明新的或未知的攻击。
3. 日志记录：IDS会记录所有检测到的事件，包括正常的和恶意的，以便于事后分析和取证。
4. 实时报警：当检测到潜在的攻击时，IDS可以实时通知管理员。

IDS又可以被分为两种类型：网络基IDS（NIDS）和主机基IDS（HIDS）。NIDS监控整个网络的流量，而HIDS监控单个主机上的活动。

防火墙和IDS虽然看起来有点相似，例如防火墙是基于某种规则的，IDS也要根据一些规律识别入侵活动，但二者还是有区别的：

防火墙的主要目的是防止未经授权的访问，而IDS的主要目的是检测和报告潜在的安全威胁；防火墙可以自动响应威胁（通过允许或拒绝流量），而IDS通常只记录事件和发出警报，需要管理员手动响应；

防火墙的规则更新主要集中在访问控制策略上，而IDS的更新则涉及到攻击签名和检测算法的更新；

防火墙的规则通常是静态的，需要管理员根据网络的安全策略来配置和维护。防火墙的主要目标是防止未经授权的访问和保护网络不受外部攻击。

虚拟专用网络：

通过加密技术在公共网络上建立安全的隧道。难点在于密钥管理的复杂性和对性能的一定影响。

安全套接层/传输层安全性（SSL/TLS）：

用于在网络通信中提供加密，确保数据传输的安全性。难点在于密钥交换的安全性和算法的强度。

网络访问控制：

限制对网络资源的访问，确保只有授权用户才能访问。难点在于身份验证和授权机制的实施和管理。

为什么要进行网络流量异常检测？

网络流量异常检测是网络安全的重要组成部分，其目的是识别和响应不正常的网络行为，这些行为可能是由恶意攻击、系统故障或其他安全威胁引起的。进行网络流量异常检测的原因包括：

1. 提前发现攻击：及时识别潜在的攻击行为，减少损失。
2. 提高网络安全性：通过检测异常流量，可以增强网络的防御能力。
3. 符合合规要求：许多行业标准和法规要求进行网络监控和异常检测。
4. 减少系统故障：异常检测有助于识别非恶意的系统问题，如配置错误或硬件故障。

当前网络流量异常检测的过时技术和前沿技术：

过时技术：

1. 基于规则的系统：依赖于预定义的规则集，对已知攻击模式进行匹配，对新出现的攻击或变种攻击识别能力有限。
2. 简单阈值触发：仅通过设置流量阈值来检测异常，容易受到正常波动的干扰，导致高误报率。
3. 单一特征分析：只考虑单一或少数几个特征进行分析，难以应对复杂的攻击模式。

前沿技术：

1. 机器学习：使用算法和统计模型从数据中学习，以识别异常模式，包括深度学习、支持向量机（SVM）、随机森林等。
2. 行为分析：基于用户和系统的正常行为模式建立基线，检测偏离正常行为的异常行为。
3. 多维度分析：结合网络流量的多个维度（如流量大小、协议类型、源/目的地址等）进行综合分析。
4. 实时分析：利用流处理技术和实时分析引擎，对网络流量进行即时检测和响应。
5. 自动化和自适应系统：能够自动更新检测策略，适应新的攻击模式和网络环境的变化。