林榆堅 梁寧波

(北京安賽創(chuàng)想科技有限公司 北京 100083)

(linx@aisec.com)

2017年11月21—28日，由貴陽市大數(shù)據(jù)發(fā)展管理委員會、貴陽市公安局、貴陽經(jīng)開區(qū)主辦的2017貴陽大數(shù)據(jù)及網(wǎng)絡(luò)安全攻防演練圓滿結(jié)束.本次演練活動以“共建安全生態(tài)，共享數(shù)據(jù)未來”為主題.為期8天，在2016年“安全診斷”與“意識喚醒”的基礎(chǔ)上，進(jìn)一步推進(jìn)攻防演練的迭代升級，邀請40余位大數(shù)據(jù)及網(wǎng)絡(luò)安全領(lǐng)域的知名院士、專家蒞臨指導(dǎo)，30余支國內(nèi)一流水平的攻防團(tuán)隊參與演練.

圖1 WebIDS檢測流程

在此次攻防演練活動中，安賽科技作為受邀參加演練的優(yōu)秀安全廠商之一，再次征戰(zhàn)貴陽防護(hù)演練，在演練過程中積極配合指揮部相關(guān)工作，不僅協(xié)助主辦方做了部分比賽方案規(guī)劃和技術(shù)把關(guān)工作，同時也作為攻擊團(tuán)隊，參與了對在水務(wù)系統(tǒng)、工業(yè)云、汽車北斗定位系統(tǒng)等一大批門戶網(wǎng)站的漏洞檢測和攻擊滲透等相關(guān)項目.安賽科技憑借此次活動中表現(xiàn)出的積極態(tài)度、專業(yè)精神、精湛的技術(shù)能力，贏得了組委會一致認(rèn)可及感謝，并在攻防比賽中獲得“安全使命獎”、“安全協(xié)作獎”、“安全防衛(wèi)獎”3項重要獎項.

在演練防守中，安賽科技拳頭產(chǎn)品Web漏洞感知與入侵檢測系統(tǒng)大放異彩，憑借出色的智能化、高精準(zhǔn)入侵檢測與漏洞感知能力，保障目標(biāo)系統(tǒng)正常運(yùn)行.不僅是針對Web的防護(hù)取得成功，像水務(wù)系統(tǒng)的工控系統(tǒng)也在Web漏洞感知與入侵檢測系統(tǒng)產(chǎn)品的防護(hù)下，提高了防護(hù)能力.

安賽科技作為中國信息安全測評中心——CNNVD國家信息安全漏洞庫技術(shù)支撐單位，國家互聯(lián)網(wǎng)應(yīng)急中心——CNVD國家信息安全漏洞共享平臺技術(shù)合作單位，國家信息技術(shù)安全研究中心網(wǎng)絡(luò)空間聯(lián)合實驗室成員，工信部全國信息技術(shù)人才培養(yǎng)工程培訓(xùn)基地，OWASP中國區(qū)CWASP唯一授權(quán)培訓(xùn)中心，擁有豐富的網(wǎng)絡(luò)攻防實踐經(jīng)驗和理論基礎(chǔ)，為圓滿完成包括G20峰會、“一帶一路”、十九大、金磚5國峰會在內(nèi)的重大時期網(wǎng)絡(luò)安全保障提供技術(shù)支撐.

1 產(chǎn)品概述

根據(jù)2017年Trustwave《2017全球網(wǎng)絡(luò)安全報告》顯示，99.7%的Web應(yīng)用都有安全漏洞[1].威脅和安全響應(yīng)是一場時間爭奪賽，42%的新漏洞在紕漏30天內(nèi)被黑客利用，企業(yè)響應(yīng)的時間遠(yuǎn)大于30天，打的就是時間差[2].縮短安全事件破壞和響應(yīng)修復(fù)間的時間差，是減少經(jīng)濟(jì)和數(shù)據(jù)損失的關(guān)鍵.曾“名聲大振”的勒索軟件WannaCry讓超過24萬受害者遭受損失，而相比于“震網(wǎng)”這類高度復(fù)雜的攻擊，WannaCry本身的技術(shù)性不強(qiáng)，但傳播快、感染范圍廣.盡管所有廠商都紛紛宣稱可以檢測到WannaCry，客戶最關(guān)注的不是你能否“檢測”到，也不是在事后能從海量數(shù)據(jù)中尋找牽強(qiáng)附會的數(shù)據(jù)進(jìn)行自圓其說，而是能在第一時間將關(guān)鍵信息呈現(xiàn)出來.這是夯實組織對抗威脅的基礎(chǔ)工程能力的重要組成部分，提升有效的告警和響應(yīng)能力是客戶關(guān)注的焦點(diǎn).

1.1 總體設(shè)計

基于上述原因，Web漏洞感知與入侵檢測系統(tǒng)開發(fā)設(shè)計之初就秉承“以客戶為中心”的理念，如圖1所示.以黑客視角從“Web應(yīng)用攻擊周期”和“Web漏洞攻防實踐”深度理解的角度出發(fā)，結(jié)合“全流量鏡像技術(shù)”和“大數(shù)據(jù)處理技術(shù)”，為用戶提供面向Web應(yīng)用智能化、高精準(zhǔn)的漏洞感知及入侵檢測系統(tǒng).

1.1.1設(shè)計目標(biāo)

設(shè)計Web漏洞感知與入侵檢測系統(tǒng)時，數(shù)據(jù)采集模塊作為系統(tǒng)的基礎(chǔ)，應(yīng)該著重考慮以下4個目標(biāo)：

1) 精確性.采集到的數(shù)據(jù)可以精確代表網(wǎng)絡(luò)中數(shù)據(jù)流的狀態(tài).

2) 實時性.對采集到的數(shù)據(jù)應(yīng)當(dāng)進(jìn)行高效快速的處理，防止因處理速度跟不上收報的速度而引起采集數(shù)據(jù)的丟失.

3) 高效性.數(shù)據(jù)采集模塊應(yīng)當(dāng)可以占用較少的系統(tǒng)資源，高效地完成數(shù)據(jù)采集任務(wù).

4) 可重現(xiàn)性.對采集到的網(wǎng)絡(luò)流數(shù)據(jù)應(yīng)當(dāng)具備匯聚存儲的功能，以便出現(xiàn)異常后對網(wǎng)絡(luò)流數(shù)據(jù)進(jìn)行進(jìn)一步的分析處理.

設(shè)計關(guān)聯(lián)分析算法應(yīng)該考慮以下3個目標(biāo)：

1) 準(zhǔn)確性.準(zhǔn)確性是異常檢測算法的基本要求，準(zhǔn)確性要求算法應(yīng)該具有高檢測率和低誤檢率.

2) 健壯性.健壯性要求檢測算法具有較強(qiáng)的抗干擾能力，能夠適應(yīng)網(wǎng)絡(luò)流量強(qiáng)度多變和業(yè)務(wù)類型多變的運(yùn)行環(huán)境.

3) 實時性.檢測算法應(yīng)能實時地檢測各種網(wǎng)絡(luò)性能問題和安全隱患，從而為盡早采取措施、減少造成的危害創(chuàng)造條件.

1.1.2層次模型

網(wǎng)絡(luò)異常行為檢測及判定系統(tǒng)功能架構(gòu)如圖2所示.包括Web前端管理模塊和攻擊檢測模塊.Web前端管理模塊中包括日志查看模塊、分析報告模塊、系統(tǒng)管理模塊；攻擊檢測模塊中包括漏洞掃描識別引擎、Web漏洞識別引擎、攻擊影響判定引擎、攻擊關(guān)聯(lián)分析引擎.

圖2 Web IDS層次模型示意圖

2 核心技術(shù)研究

2.1 數(shù)據(jù)采集方法研究

攻擊者只需要找到1個漏洞或者1條路徑，就能一招致命，防御者卻需要堵住所有漏洞和入口，從投入產(chǎn)出來講，顯然是不對等的.但如果反過來想，攻擊者需要抹掉所有自己的攻擊路徑和痕跡才能自保，防御者卻只需要找到1處蹤跡也許就能追溯反制，從投入產(chǎn)出來講，顯然是180°的轉(zhuǎn)彎.提高檢測、監(jiān)測和溯源能力是當(dāng)前發(fā)現(xiàn)攻擊者蛛絲馬跡的唯一途徑.

發(fā)現(xiàn)攻擊者蛛絲馬跡的核心問題是從網(wǎng)絡(luò)流中發(fā)現(xiàn)異常的網(wǎng)絡(luò)行為，需要保證對流量進(jìn)行準(zhǔn)確的描述、實時的檢測并且獲得全面的信息.由于網(wǎng)絡(luò)流量在剛開始時被定義為來自源、目的地址之間的所有數(shù)據(jù)包的和，因此根據(jù)這項定義也就產(chǎn)生了網(wǎng)絡(luò)流這個概念.網(wǎng)絡(luò)流的最早定義是由Jain等人[3]提出的Packet Train(數(shù)據(jù)包隊列)模型.他定義了一個Packet Train為從相同的源端點(diǎn)發(fā)往統(tǒng)一目的端點(diǎn)的1串?dāng)?shù)據(jù)包.若2個包之間的間距超過了數(shù)據(jù)包隊列的距離，那么這2個包屬于不同的序列.在這個模型中，隊列間距是1個用戶參數(shù)，依賴于應(yīng)用程序使用網(wǎng)絡(luò)的頻率.1個應(yīng)用程序2次使用網(wǎng)絡(luò)的時間間隔過長，該應(yīng)用程序發(fā)出的2組數(shù)據(jù)包可能歸為2個網(wǎng)絡(luò)流.網(wǎng)絡(luò)監(jiān)控中通常監(jiān)控的對象類型主要有：目的IP地址、源IP地址、目的端口和協(xié)議、源端口和協(xié)議等[4].Claffy等人[5]在Jain的Packet Train模型的基礎(chǔ)上提出了新的網(wǎng)絡(luò)流定義：在2個網(wǎng)絡(luò)實體之間符合某種準(zhǔn)則的數(shù)據(jù)包序列.分析網(wǎng)絡(luò)行為的第1步就是對網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行采集.網(wǎng)絡(luò)監(jiān)視一般使用采樣技術(shù)，通?；跁r間或者基于數(shù)據(jù)包進(jìn)行采樣.為了對某個網(wǎng)絡(luò)的流量進(jìn)行測試分析，需要通過測量手段采集網(wǎng)絡(luò)上流過的數(shù)據(jù)包或者關(guān)于數(shù)據(jù)包的統(tǒng)計量信息.也就是說需要完成網(wǎng)絡(luò)數(shù)據(jù)的采集.

近年來應(yīng)用比較廣泛的網(wǎng)絡(luò)流技術(shù)主要包括：NetFlow(Cisco公司)、J-Flow(Juniper公司)、sFlow(HP，InMon，F(xiàn)oundry Networks公司)、NetStream(華為公司).其中J-Flow和NetStream這2種網(wǎng)絡(luò)流的原理和內(nèi)容基本上與NetFlow相類似，故可以認(rèn)為目前應(yīng)用常見的網(wǎng)絡(luò)流主要以NetFlow和sFlow為主[6].

2.1.1基于NetFlow的流量采集方法

Cisco公司開發(fā)的NetFlow技術(shù)用于專用流數(shù)據(jù)處理，可以為流量統(tǒng)計信息提供原始數(shù)據(jù)，其工作原理是：NetFlow利用標(biāo)準(zhǔn)的交換模式處理數(shù)據(jù)流的第1個IP包數(shù)據(jù)，生成NetFlow緩存，隨后同樣的數(shù)據(jù)基于緩存信息在同一個數(shù)據(jù)流中進(jìn)行傳輸，不再匹配相關(guān)的訪問控制等策略，NetFlow緩存同時包含了隨后數(shù)據(jù)流的統(tǒng)計信息.

在NetFlow的協(xié)議規(guī)范中將流定義為從源主機(jī)到目的主機(jī)的單向數(shù)據(jù)包的集合.1個數(shù)據(jù)流由7個參數(shù)標(biāo)識：源IP地址、目的IP地址、協(xié)議類型、源傳輸層端口、目的傳輸層端口、業(yè)務(wù)類型TOS以及設(shè)備的輸入接口.基于NetFlow的采集方法采用了3層體系結(jié)構(gòu)，包含數(shù)據(jù)輸出設(shè)備、數(shù)據(jù)收集器和數(shù)據(jù)分析器.通過這些設(shè)備完成采集、匯聚、輸出、接收、過濾、存儲到分析流數(shù)據(jù)的整個過程.通常情況下，NetFlow設(shè)定1個集中的服務(wù)器或者工作站完成對多個路由交換設(shè)備上報數(shù)據(jù)的收集處理.上報數(shù)據(jù)中包含更多的信息，包括數(shù)據(jù)流的起止時間、字節(jié)數(shù)、報文數(shù)、路由信息或AS域等.清晰的參數(shù)標(biāo)識和詳細(xì)的數(shù)據(jù)信息為關(guān)聯(lián)分析和線性回歸提供了有效的數(shù)據(jù).

2.1.2基于sFlow的流量采集方法

sFlow是由In Mon，HP，F(xiàn)oundry Networks于2001年聯(lián)合開發(fā)的一種網(wǎng)絡(luò)監(jiān)測技術(shù)，它采用數(shù)據(jù)流隨機(jī)采樣技術(shù)，可提供完整的第2層到第4層，甚至全網(wǎng)絡(luò)范圍內(nèi)的流量信息，可以適應(yīng)超大網(wǎng)絡(luò)流量(如大于10 Gbs)環(huán)境下的流量分析，讓用戶詳細(xì)、實時地分析網(wǎng)絡(luò)傳輸流的性能、趨勢和存在的問題[7].

sFlow是基于標(biāo)準(zhǔn)的最新網(wǎng)絡(luò)導(dǎo)出協(xié)議(RFC 3176)，能夠解決當(dāng)前網(wǎng)絡(luò)管理人員面臨的很多問題.通過將sFlow技術(shù)嵌入到網(wǎng)絡(luò)交換機(jī)的ASIC芯片中，sFlow已經(jīng)成為一項線速運(yùn)行的“一直在線”技術(shù).與使用鏡像端口、探針和旁路監(jiān)測技術(shù)的傳統(tǒng)網(wǎng)絡(luò)監(jiān)視解決方案相比，sFlow能夠大大降低實施費(fèi)用，采用該技術(shù)，一種面向每一個端口的全網(wǎng)絡(luò)監(jiān)視解決方案成為可能.

與數(shù)據(jù)包采樣技術(shù)如RMON不同，sFlow是一種導(dǎo)出格式，它增加了關(guān)于被監(jiān)視數(shù)據(jù)包的更多信息，并使用嵌入到網(wǎng)絡(luò)設(shè)備中的sFlow代理轉(zhuǎn)發(fā)被采樣數(shù)據(jù)包，因此在功能和性能上都超越了當(dāng)前使用的RMON，RMON II技術(shù).接收sFlow數(shù)據(jù)包的設(shè)備稱為采集器(collector).sFlow技術(shù)之所以如此獨(dú)特，主要在于它能夠在整個網(wǎng)絡(luò)中以連續(xù)實時的方式完全監(jiān)視每一個端口，但不需要鏡像監(jiān)視端口，對整個網(wǎng)絡(luò)性能的影響也非常小.

sFlow使擁有高速千兆和萬兆端口的現(xiàn)代網(wǎng)絡(luò)能夠得到精確的監(jiān)視，同時，經(jīng)過擴(kuò)展，可以在1個采集點(diǎn)上管理數(shù)萬個端口.因為sFlow代理嵌入在網(wǎng)絡(luò)交換機(jī)ASIC中，所以與傳統(tǒng)的網(wǎng)絡(luò)監(jiān)視解決方案相比，這種方法的實施成本要低得多.而且，也不需要購買額外的探針和旁路器就能全面監(jiān)視整個網(wǎng)絡(luò).

與那些需要鏡像端口或網(wǎng)絡(luò)旁路器來監(jiān)視傳輸流量的解決方案不同，在sFlow的解決方案中，并不是每一個數(shù)據(jù)包都發(fā)送到采集器.sFlow使用2種獨(dú)立的采樣方法來獲取數(shù)據(jù)——針對交換數(shù)據(jù)流的基于數(shù)據(jù)包的統(tǒng)計采樣方法和基于時間采樣的針對網(wǎng)絡(luò)接口統(tǒng)計數(shù)據(jù)(類似RMON的輪詢).而且，sFlow還能使用不同的采樣率對整個交換機(jī)或僅對其中一些端口實施監(jiān)視，這樣保證了在設(shè)計管理方案時的靈活性.

2.1.3采集方案小結(jié)

NetFlow協(xié)議雖然功能較強(qiáng)，但其信息僅包含網(wǎng)絡(luò)層的信息，單獨(dú)使用有一定的局限性，而sFlow協(xié)議廣泛應(yīng)用于交換機(jī)設(shè)備，且技術(shù)也比較成熟，可以彌補(bǔ)NetFlow在其他層數(shù)據(jù)獲取方面的不足.由于單一網(wǎng)絡(luò)流在協(xié)議本身設(shè)定和外界網(wǎng)絡(luò)因素的影響下導(dǎo)致出現(xiàn)的信息覆蓋不全面和數(shù)據(jù)丟失嚴(yán)重的現(xiàn)象，從而使單一網(wǎng)絡(luò)流協(xié)議的應(yīng)用有一定的局限性.安賽創(chuàng)想科技在設(shè)計數(shù)據(jù)流采集模塊時采用基于NetFlow和sFlow 2種協(xié)議字段融合的方法，不僅克服了單一網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)局限性的弊端，而且還降低了網(wǎng)絡(luò)數(shù)據(jù)存儲量和運(yùn)行主機(jī)的CPU負(fù)載率.

2.2 關(guān)聯(lián)分析算法研究

2.2.1Apriori算法

Apriori算法是一種同時滿足最小支持度閾值和最小置信度閾值的關(guān)聯(lián)規(guī)則挖掘算法[8].使用頻繁項集的先驗知識，通過逐層搜索迭代的方式探索項度集.將NetFlow數(shù)據(jù)流的7元組信息和sFlow網(wǎng)絡(luò)性能方面的特征信息，范化為數(shù)據(jù)集合.通過定義支持度閾值和最小可信度閾值，找到頻繁項集.在異常行為檢測中，求得流量中元素在整體流量樣本中的頻繁項集和關(guān)聯(lián)規(guī)則.根據(jù)每種元素經(jīng)范化后，都可作為一種特征標(biāo)識，進(jìn)行組合篩選，得出該樣本中的“異?！毙袨?組合元素越多準(zhǔn)確度越高).由于Apriori算法無法定義異常行為，所以需要與其他算法相結(jié)合分析異常行為.將基于最小支持度與可信度計算得出的多元素集合作為驗證樣本，導(dǎo)入預(yù)先設(shè)計的SVM算法框架，記錄異常流量在樣本算法中的百分率，并調(diào)整最小支持度與可信度，提高檢測效率.

2.2.2FP-Growth算法

對于大量數(shù)據(jù)的關(guān)聯(lián)分析，Apriori算法在數(shù)據(jù)掃描計算量上有比較大的局限.對于每個潛在的頻繁項集都會掃描數(shù)據(jù)集判定給定模式是否頻繁[9].FP-Growth算法，通過構(gòu)建FP樹來存儲數(shù)據(jù)，只需要對數(shù)據(jù)庫進(jìn)行2次掃描.經(jīng)過測試，可以使效率提高2個數(shù)量級.利用FP-Growth算法發(fā)現(xiàn)頻繁項集的過程分為2個步驟：構(gòu)建FP樹和從FP樹中挖掘頻繁項集.1個元素可以在1棵FP樹中出現(xiàn)多次.FP樹會存儲項集的出現(xiàn)頻率，而每個項集會以路徑的方式存儲在樹中.存在相似元素的集合會共同分享樹的一部分.只有當(dāng)集合之間完全不同時，樹才會分叉.樹節(jié)點(diǎn)上給出集合中的單個元素及其在序列中的出現(xiàn)次數(shù)，路徑會給出該序列的出現(xiàn)次數(shù).在大量數(shù)據(jù)網(wǎng)絡(luò)異常檢測中，使用FP-Growth算法，可有效提高效率.

2.3 分析結(jié)果呈現(xiàn)

將計算后的符合最小支持度和最小可信度的多元素集合及其超集數(shù)據(jù)流進(jìn)行深度報文檢測，按照“Web應(yīng)用攻擊周期”歸類(如圖3所示)，便于用戶決策.

圖3 WebIDS安全事件等級呈現(xiàn)圖

3 仿真實驗

3.1 特征提取及參數(shù)選擇

基于大數(shù)據(jù)關(guān)聯(lián)分析方法的網(wǎng)絡(luò)異常流量監(jiān)測，與傳統(tǒng)的網(wǎng)絡(luò)異常流量監(jiān)測在方式上有很大不同.傳統(tǒng)的監(jiān)測是預(yù)先知道異常流量特征，再通過掃描、監(jiān)測等手段尋找?guī)в性撎卣鞯牧髁浚M(jìn)而達(dá)到監(jiān)測目的.在大數(shù)據(jù)關(guān)聯(lián)分析中，分析引擎沒有預(yù)先定義掃描特征.只對NetFlow，sFlow流量模型作特征值提取和范化，如表1所示.基于時效性與實際編碼運(yùn)算能力，本文預(yù)先搜集了2 260個流量樣本，其中異常樣本760個(占比33.62%)，1 500個正常樣本(占比66.38%).將總體樣本分為10份，對其中7份進(jìn)行大數(shù)據(jù)關(guān)聯(lián)分析.并對余下樣本使用特征檢測方式檢驗.

表1 部分流量特征化結(jié)果

本文是用NetFlow流模型，提取其中流量定義特征，選取其中7種特征進(jìn)行關(guān)聯(lián)分析，分別是：源IP地址、目的IP地址、源端口號、目的端口號、包數(shù)量、協(xié)議類型、流量值.并對其進(jìn)行范化，以適應(yīng)關(guān)聯(lián)分析算法數(shù)據(jù)處理方式，并易于在結(jié)果中發(fā)現(xiàn)其中邏輯關(guān)系.

3.2 實驗結(jié)果分析

為了更準(zhǔn)確地評估關(guān)聯(lián)分析法檢測的準(zhǔn)確率，本文采用準(zhǔn)確率、召回率、F值評測進(jìn)行評估[10]，正確率是提取出的正確數(shù)據(jù)條數(shù)提取出的數(shù)據(jù)條數(shù)；召回率是提取出的正確信息條數(shù)樣本中的信息條數(shù)；F值是正確率×召回率×2(正確率+召回率).基于處理好的樣本，對傳統(tǒng)檢測技術(shù)和大數(shù)據(jù)關(guān)聯(lián)分析技術(shù)進(jìn)行對比，實驗結(jié)果如表2所示：

表2 Web異常網(wǎng)絡(luò)行為檢測的正確率、

從實驗結(jié)果可以看出，關(guān)聯(lián)分析法在正確率、召回率、F值測評的結(jié)果比傳統(tǒng)基于特征庫匹配規(guī)則檢測技術(shù)更好.說明使用大數(shù)據(jù)關(guān)聯(lián)分析法有利于提高檢出率，降低誤報率.

4 總 結(jié)

本文針對SQL注入、DDOS攻擊、XSS攻擊、越權(quán)訪問等，采取關(guān)聯(lián)分析法，對數(shù)據(jù)流量進(jìn)行檢測，可以準(zhǔn)確快速地檢測出異常行為，表現(xiàn)出較好的性能.將異常流量通過DPI深度包檢測，結(jié)合黑客視角進(jìn)行事件等級歸類展現(xiàn).由于樣本選取數(shù)據(jù)量及種類有限，且大多為已知威脅，靜態(tài)特征庫在檢出率上占有一定優(yōu)勢.后期研究，將納入第三方檢測機(jī)制，更準(zhǔn)確地計算出檢出率，并對關(guān)聯(lián)算法進(jìn)行優(yōu)化.

參考文獻(xiàn)

[1]Trustwava. 2017 Trustwava Global Security Report[EB/OL]. 2017[2018-04-15]. https://www.trustware.com/Resources/Library/Documents/2017Trustwava-Global-Securiby-Report

[2]華為敏捷網(wǎng)絡(luò). 從“隨云而動”到“動態(tài)對抗入侵”, 檢測智能讓企業(yè)從被動防御變?yōu)橹鲃臃烙鵞EB/OL].[2018-04-15]. http://www.sohu.com/a/194472405_505784

[3]Jain R, Routhier S A. Packet trains—Measurement and a new model forcomputer network traffic[J]. IEEE Journal on Selected Areas in Communications, 1986, 4(6): 986-995

[4]王風(fēng)宇, 云曉春, 王曉峰, 等. 高速網(wǎng)絡(luò)監(jiān)控中大流量對象的提取[J]. 軟件學(xué)報, 2007, 18(12): 3060-3070

[5]Claffy K C, Braun H W, Polvzos G C. A parametrizable methodology for Internet traffic flow profiling[J]. IEEE Journal on Selected Areas in Communications, 1995, 13(8): 1481-1494

[6]陶樺. 網(wǎng)絡(luò)運(yùn)行狀況監(jiān)控研究[D]. 南京: 東南大學(xué), 2004

[7]張紅林, 王宏. 一種基于sFlow的網(wǎng)絡(luò)流量分析方法[J]. 計算機(jī)工程與科學(xué), 2007, 29(8): 61-63

[8]趙洪英, 蔡樂才, 李先杰. 關(guān)聯(lián)規(guī)則挖掘的Apriori算法綜述[J]. 四川理工學(xué)院學(xué)報: 自然科學(xué)版, 2011, 24(1): 66-70

[9]王文槿, 劉寶旭. 一種基于關(guān)聯(lián)規(guī)則挖掘的入侵檢測系統(tǒng)[J]. 核電力學(xué)與探測技術(shù), 2015, 35(2): 119-123

[10]王同慶. 動態(tài)環(huán)境下嵌入式網(wǎng)絡(luò)關(guān)系和網(wǎng)絡(luò)能力對服務(wù)創(chuàng)新的影響[D]. 濟(jì)南: 山東大學(xué), 2012