Netinfo Security ›› 2025, Vol. 25 ›› Issue (2): 194-214.doi: 10.3969/j.issn.1671-1122.2025.02.002
LI Hailong, CUI Zhian(), SHEN Xieyang
CLC Number:
LI Hailong, CUI Zhian, SHEN Xieyang. Overview of Anomaly Analysis and Detection Methods for Network Traffic[J]. Netinfo Security, 2025, 25(2): 194-214.
方法 | 典型方案 | 优点 | 缺点 |
基于社区检测的异常分析 | 文献[ 方案 | 能够捕捉流量结构、多尺度分析、可应对复杂 网络 | 社区划分的不确定性、不适合动态变化数据、计算复杂度高 |
基于图嵌入的异常检测 | 文献[ 方案 | 对稀疏数据的适应性好,支持降维和特征 提取 | 不适合非线性数据,依赖于网络表示 |
基于动态图的异常检测 | 文献[ 方案 | 动态建模、多维数据分析、可视化分析 | 计算复杂度高、参数调整和优化难度高 |
聚类算法 | 文献[ 方案 | 无监督学习、适应不同分布、可处理高维数据 | 噪声和离群点敏感、解释性较差 |
基于图神经网络的异常检测 | 文献[ 方案 | 学习节点表示、不需要监督或半监督、良好的泛化能力 | 计算成本高、数据预处理要求高 |
方法 | 典型方案 | 优点 | 缺点 |
基于CNN的 异常检测 | 文献[ 方案 | 强大的特征提取能力、平移不变性、高效的参数共享 | 训练时间长、模型解释性差、过拟合 风险大 |
RNN及其变种(如LSTM、GRU) | 文献[ 方案 | 时间序列处理能力较强,具有记忆和历史信息利用能力,适用于复杂模式 | 训练难度较高、存在梯度消失和梯度爆炸问题 |
自编码器 | 文献[ 方案 | 无需标记数据、灵活性强 | 对流量数据的泛化能力有限 |
基于DNN的 异常检测 | 文献[ 方案 | 能处理大规模数据、高准确率、自适应性强 | 计算资源要求高、数据需求量大 |
混合方法 | 文献[ 方案 | 互补性好、高准确性、减少误报和漏报 | 复杂性较高,需要一定的集成成本 |
方法 | 优点 | 缺点 | 改进方法 |
基于统计学的检测 方法 | 通过建立数据的统计模型,可以直观地识别不符合该模型要求的数据点,并将其作为异常,统计模型通常具有较好的可解释性,便于理解和解释检测结果 | 在网络流量动态性较强时,统计量的阈值难以确定,这可能导致检测精度下降,对复杂攻击识别能力有限 | 通过动态阈值调整、多特征融合、引入时间序列分析、结合机器学习算法、考虑流量上下文信息以及优化算法性能等方法,提高准确性和实用性 |
基于图论的 检测 方法 | 通过图论的方法(如最短路径算法、聚类算法和GNN等),能够发现流量数据中的复杂异常模式和异常节点,对于识别复杂的网络攻击和异常行为具有较高的 准确性 | 特征提取和选择是该方法的关键,如何有效提取和选择对异常检测有用的特征是一个具有挑战性的问题。不恰当的特征提取和选择可能导致模型性能下降 | 通过结合深度学习、优化图结构、分析异常传播路径、增量图构建与更新以及结合其他检测方法,进一步改进基于图论的流量异常检测性能 |
基于信息论的检测 方法 | 基于信息论的异常检测方法能够捕获流量数据中的信息熵、互信息等特征,从而有效识别与正常流量模式不符的异常行为 | 在基于信息论的异常检测技术中,如何定义和确定异常判定标准是一个具有挑战性的问题。不同信息论度量可能产生不同异常得分或阈值,因此需要制定合适的判定准则以确保检测结果的准确性和可靠性 | 通过优化熵度量、特征选择与融合、结合深度学习、提升实时性与效率以及加强对抗性攻击防御,可以进一步提升基于信息论的流量异常检测 性能 |
基于机器学习的检测 方法 | 对于复杂、非线性关系的处理能力强,能够适应不断变化的环境,并且可以处理大规模和高维数据,自动调整检测模型以适应新的行为模式 | 需要大量标记数据进行训练,模型复杂度较高,不易解释。在某些情况下可能存在过拟合问题,模型选择和参数调整过程 复杂 | 通过优化与集成机器学习模型、改进特征工程、采用增量学习与在线学习技术、处理高维数据与稀疏数据以及加强对抗性攻击防御能力,可以进一步提升基于机器学习的流量异常检测的准确性和实用性 |
基于深度学习的检测方法 | 深度学习模型能够处理高维数据,并自动选择较具代表性的特征。这使得基于深度学习的流量异常检测方法能够适应不同网络环境和流量特性 | 由于深度学习模型需要处理大量数据和复杂的网络结构,其训练过程耗时较长。这可能导致在实时性要求较高的场景中,模型无法及时更新以适应新的异常流量 | 通过优化深度学习模型、改进特征表示学习、探索无监督与半监督学习方法、实现增量学习与在线学习以及提高模型的鲁棒性与安全性,可以进一步优化基于深度学习的流量异常检测 性能 |
JIN Mengxiao. Research on Network Abnormal Traffic Detection Algorithm Based on Software-Defined Network[D]. Nanjing: Nanjing University of Posts and Telecommunications, 2020.
FENG Guangsheng, JIANG Shunpeng, HU Xianlang, et al. New Research Progress on Intrusion Detection Techniques for the Internet of Things[J]. Netinfo Security, 2024, 24(2): 167-178.
JIN Bo. Research and Improvement of Network Abnormal Traffic Detection Algorithm[J]. Computer & Digital Engineering, 2020, 48(6): 1440-1444.
QIAO Shaojie, HAN Nan, ZHANG Kaifeng, et al. Algorithm for Detecting Overlapping Communities from Complex Network Big Data[J]. Journal of Software, 2017, 28(3): 631-647.
MENG Xianke, ZHANG Shuo, XIONG Shi, et al. Network Traffic Anomaly Detection Based on Spatial-Temporal Attention Feature[J]. Computer Applications and Software, 2023, 40(4): 99-106.
LUO Hongfang, WANG Chunzhi. Simulation of Large-Scale Network Traffic Anomaly Detection under Cloud Computing[J]. Computer Simulation, 2023, 40(1): 433-436.
PEI Wei, YUAN Xiaofang, WANG Dong, et al. Detecting Traffic Anomalies at Application Layer in Metro Area Network[J]. Application Research of Computers, 2010, 27(6): 2222-2225.
ZHANG Dongxin, LANG Bo, YAN Hanbing. Attack Detection Method Based on Flow Behavior Graph[J]. Netinfo Security, 2022, 22(1): 72-79.
YAN Chenghua, CHENG Jin, FAN Panxing. Research on the Structural Characteristics of Network Traffic Information Based on Information Entropy[J]. Netinfo Security, 2014, 14(3): 28-31.
LI Daoquan, LI Teng, LI Yuxiu. SDN Abnormal Traffic Detection Architecture Based on Machine Learning[J]. Computer Engineering and Design, 2023, 44(7): 1928-1936.
LI Haitao, WANG Ruimin, DONG Weiyu, et al. Semi-Supervised Network Traffic Anomaly Detection Method Based on GRU[J]. Computer Science, 2023, 50(3): 380-390.
YIN Zinuo, MA Hailong, HU Tao. A Traffic Anomaly Detection Method Based on the Joint Model of Attention Mechanism and One-Dimensional Convolutional Neural Network-Bidirectional Long Short Term Memory[J]. Journal of Electronics & Information Technology, 2023, 45(10): 3719-3728.
DENG Huawei, LI Xiwang. Abnormal Network Flow Identification and Detection Based on Deep Learning[J]. Computer Systems & Applications, 2023, 32(2): 274-280.
YANG Yuelin, BI Zongze. Network Traffic Anomaly Detection Based on Deep Learning[J]. Computer Science, 2021, 48(S2): 540-546.
CHEN Guanheng, SU Jinshu. Abnormal Traffic Detection Algorithm Based on Deep Neural Network[J]. Netinfo Security, 2019, 19(6): 68-75.
