安全態(tài)勢(shì)感知與機(jī)器學(xué)習(xí)：數(shù)據(jù)預(yù)處理與特征工程

近年來隨著機(jī)器學(xué)習(xí)的廣泛應(yīng)用，越來越多的安全態(tài)勢(shì)感知系統(tǒng)開始使用機(jī)

器學(xué)習(xí)進(jìn)行數(shù)據(jù)分析和態(tài)勢(shì)預(yù)測(cè)。應(yīng)用機(jī)器學(xué)習(xí)的重要環(huán)節(jié)就是特征工程，特征

工程做不好，機(jī)器學(xué)習(xí)學(xué)不好。

一、安全態(tài)勢(shì)感知模型

隨著網(wǎng)絡(luò)規(guī)模和復(fù)雜性不斷增大，新型高級(jí)入侵攻擊手段不斷涌現(xiàn)，傳統(tǒng)

的網(wǎng)絡(luò)安全方案力不從心，單點(diǎn)檢測(cè)和防護(hù)技術(shù)很難應(yīng)對(duì)復(fù)雜的安全問題，網(wǎng)

絡(luò)安全人員的關(guān)注點(diǎn)也從單個(gè)安全問題的解決，發(fā)展到研究整個(gè)網(wǎng)絡(luò)的安全狀

態(tài)及其變化趨勢(shì)。

安全態(tài)勢(shì)感知就是獲取影響網(wǎng)絡(luò)安全的諸多要素，進(jìn)行多維度綜合理解、

評(píng)估，并預(yù)測(cè)未來的發(fā)展趨勢(shì)I態(tài)勢(shì)感知已經(jīng)成為網(wǎng)絡(luò)安全2.0時(shí)代安全技術(shù)

的焦點(diǎn)，對(duì)保障網(wǎng)絡(luò)安全起著非常重要的作用。

安全態(tài)勢(shì)感知的概念由來已久，早在1995年，前美國空軍首席科學(xué)家Mi

caR.Endsley就建立了態(tài)勢(shì)感知的經(jīng)典模型，其核心內(nèi)容包括：態(tài)勢(shì)要素獲

取、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè)，如下圖所示。

態(tài)勢(shì)要素獲?。ǖ?級(jí)）：提取環(huán)境中態(tài)勢(shì)要素的位置和特征等信息；

態(tài)勢(shì)理解（第2級(jí)）：關(guān)注信息融合以及信息與預(yù)想目標(biāo)之間的聯(lián)系；

態(tài)勢(shì)預(yù)測(cè)（第3級(jí)）：主要預(yù)測(cè)未來的態(tài)勢(shì)演化趨勢(shì)以及可能發(fā)生的安全事

件。

根據(jù)正在討論的國標(biāo)《信息安全技術(shù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知通用技術(shù)要求（征

求意見稿）》，安全態(tài)勢(shì)感知系統(tǒng)主要?jiǎng)澐譃閿?shù)據(jù)匯聚層、數(shù)據(jù)分析層、態(tài)勢(shì)

展示層和監(jiān)測(cè)預(yù)警層，具體框圖如下所示：

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)

態(tài)勢(shì)展示層監(jiān)測(cè)覆界層

零g態(tài)勢(shì)?示

安全每警

數(shù)

系

據(jù)

統(tǒng)

賁

服

源

務(wù)

管

接

理

II

一一飛

前途數(shù)據(jù)源

采集對(duì)象I|—真愛貓關(guān)里

數(shù)據(jù)匯聚層包括數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理和數(shù)據(jù)存儲(chǔ)，對(duì)應(yīng)Endsley模型中

的態(tài)勢(shì)要素獲取。

數(shù)據(jù)分析層包括網(wǎng)絡(luò)攻擊分析、異常行為分析和資產(chǎn)風(fēng)險(xiǎn)分析，對(duì)應(yīng)Ends

ley模型中的態(tài)勢(shì)理解。

態(tài)勢(shì)展示層包括整體態(tài)勢(shì)展示、專題態(tài)勢(shì)展示和態(tài)勢(shì)報(bào)告，是態(tài)勢(shì)理解的

可視化展示。

監(jiān)測(cè)預(yù)警層包括監(jiān)測(cè)告警和安全預(yù)警,對(duì)應(yīng)Endsley模型中的態(tài)勢(shì)預(yù)測(cè)。

總體來看，安全態(tài)勢(shì)感知系統(tǒng)本質(zhì)就是一個(gè)大數(shù)據(jù)分析系統(tǒng)，通過對(duì)海量

數(shù)據(jù)的智能分析，理解網(wǎng)絡(luò)的當(dāng)前安全狀態(tài)，預(yù)測(cè)網(wǎng)絡(luò)的未來安全狀態(tài)。數(shù)據(jù)

匯聚層負(fù)責(zé)采集原始數(shù)據(jù)并進(jìn)行預(yù)處理和存儲(chǔ)，這部分功能決定了數(shù)據(jù)的質(zhì)

量，也是大數(shù)據(jù)分析的基礎(chǔ),數(shù)據(jù)質(zhì)量決定分析質(zhì)量，本文主要討論數(shù)據(jù)預(yù)處

理的相關(guān)技術(shù)。

二、數(shù)據(jù)預(yù)處理

安全態(tài)勢(shì)感知系統(tǒng)通過各種方式、采用多種協(xié)議、從多種設(shè)備采集到各種

數(shù)據(jù)，采集數(shù)據(jù)類型包括但不限于網(wǎng)絡(luò)流量、資產(chǎn)信息、日志、漏洞信息、用

戶行為、威脅信息等數(shù)據(jù)。這些多源異構(gòu)數(shù)據(jù)必須經(jīng)過預(yù)處理才能進(jìn)入后續(xù)的

分析環(huán)節(jié)。

數(shù)據(jù)篩選

數(shù)據(jù)標(biāo)簽數(shù)據(jù)轉(zhuǎn)換

數(shù)據(jù)預(yù)

處理

數(shù)據(jù)歸并數(shù)據(jù)補(bǔ)全

傳統(tǒng)的數(shù)據(jù)預(yù)處理的內(nèi)容一般包括:

?數(shù)據(jù)篩選

即基于既定策略（如必填字段缺失、重要字段格式錯(cuò)誤、重復(fù)數(shù)據(jù)等）對(duì)

采集的原始數(shù)據(jù)進(jìn)行篩選，丟棄無效垃圾數(shù)據(jù)，確保數(shù)據(jù)質(zhì)量。

?數(shù)據(jù)轉(zhuǎn)換

即將采集的同一類型、不同格式的原始數(shù)據(jù)轉(zhuǎn)換為統(tǒng)一的數(shù)據(jù)格式，且轉(zhuǎn)

換時(shí)不能造成關(guān)鍵數(shù)據(jù)項(xiàng)的丟失和損壞，如統(tǒng)一時(shí)間格式、統(tǒng)一漏洞名稱等。

數(shù)據(jù)轉(zhuǎn)換保證后續(xù)處理過程中的數(shù)據(jù)一致性性和概念一致性。

?數(shù)據(jù)歸并

即對(duì)采集的原始數(shù)據(jù)進(jìn)行同類項(xiàng)合并，如對(duì)同一事件的多次告警進(jìn)行歸

并,對(duì)同一會(huì)話的日志進(jìn)行歸并等。數(shù)據(jù)歸并能大幅減少數(shù)據(jù)量,同時(shí)又不影

響數(shù)據(jù)質(zhì)量。

?數(shù)據(jù)補(bǔ)全

即基于資產(chǎn)庫、威脅信息庫、地理信息庫等對(duì)采集的原始數(shù)據(jù)進(jìn)行補(bǔ)全，

補(bǔ)全的內(nèi)容可包括資產(chǎn)屬性、關(guān)聯(lián)事件、地理位置等。數(shù)據(jù)補(bǔ)全能提供更完整

的數(shù)據(jù)信息，通過數(shù)據(jù)冗余的方式，減少關(guān)聯(lián)查詢的性能消耗，更有利于后續(xù)

的數(shù)據(jù)分析。

?數(shù)據(jù)標(biāo)簽

即根據(jù)數(shù)據(jù)字段對(duì)采集的原始數(shù)據(jù)進(jìn)行標(biāo)簽化處理，標(biāo)簽內(nèi)容應(yīng)基于分析

需求進(jìn)行設(shè)置，具體可包括數(shù)據(jù)可信度、重要程度、數(shù)據(jù)來源、區(qū)域、行業(yè)

等。數(shù)據(jù)標(biāo)簽?zāi)茇S富數(shù)據(jù)的內(nèi)容，根據(jù)已有的數(shù)據(jù)知識(shí)做初步的判斷，并和原

始數(shù)據(jù)綁定在一起，進(jìn)入后續(xù)的數(shù)據(jù)分析階段。

經(jīng)過上述的數(shù)據(jù)預(yù)處理，我們就得到了一個(gè)規(guī)范、精煉、完整、內(nèi)容豐富

的數(shù)據(jù)集，這樣的數(shù)據(jù)集可以比較好的支持多個(gè)維度的統(tǒng)計(jì)分析。

近年來，機(jī)器學(xué)習(xí)技術(shù)得到快速發(fā)展和應(yīng)用，在安全態(tài)勢(shì)感知系統(tǒng)中也有

豐富的應(yīng)用案例和場(chǎng)景。對(duì)于機(jī)器學(xué)習(xí)來講，這樣的數(shù)據(jù)集屬于原始數(shù)據(jù)集，

還不能直接用于機(jī)器學(xué)習(xí)算法。要在態(tài)勢(shì)感知系統(tǒng)中引入機(jī)器學(xué)習(xí)模型和算

法，i不需要對(duì)i文些原始數(shù)據(jù)講行特殊處理，也就是機(jī)器學(xué)習(xí)領(lǐng)域最重要的特征

工程。

三、特征工程

Comingupwithfeaturesisdifficult,time-consuming,requirese

xpertknowledge."Appliedmachinelearning**isbasicallyfeatureen

gineering.-----AndrewNg(吳恩達(dá))

吳恩達(dá)認(rèn)為："應(yīng)用機(jī)器學(xué)習(xí)”本質(zhì)上就是在做特征工程(FeatureEngi

neering)。特征工程是機(jī)器學(xué)習(xí)的必備過程，需要大量專業(yè)知識(shí)，而不是簡(jiǎn)

單地把數(shù)據(jù)扔給機(jī)器就可以學(xué)習(xí)了。數(shù)據(jù)和特征決定了機(jī)器學(xué)習(xí)的上限，而模

型和算法只是逼近這個(gè)上限而已。

數(shù)據(jù)預(yù)處理、特征工程以及機(jī)器學(xué)習(xí)的邏輯關(guān)系如下圖所示。

原

實(shí)

始

際

數(shù)

應(yīng)

據(jù)

用

特征工程，顧名思義就是最大限度地從原始數(shù)據(jù)中構(gòu)建事務(wù)的特征以供算

法和模型使用的一項(xiàng)工程活動(dòng)。構(gòu)造特征是一個(gè)嚴(yán)重依賴經(jīng)驗(yàn)的過程，需要對(duì)

業(yè)務(wù)有深入的理解。對(duì)業(yè)務(wù)理解的越深入，越能抓住數(shù)據(jù)的重點(diǎn)構(gòu)建合適的特

征，越能幫助機(jī)器學(xué)習(xí)算法進(jìn)行更有效的學(xué)習(xí)和判斷。

特征越好，數(shù)據(jù)分析的靈活性越強(qiáng)，機(jī)器學(xué)習(xí)就可以選擇相對(duì)簡(jiǎn)單的模

型,運(yùn)行速度更快，也更容易理解和維護(hù)，不需要花大量時(shí)間調(diào)參和優(yōu)化就可

以取得很好的效果。

F面舉兩個(gè)實(shí)際的例子來說明特征構(gòu)建。

問題一，根據(jù)一個(gè)人的身高和體重，判斷此人是否肥胖。身高和體重是2

個(gè)主要的原始數(shù)據(jù)，但是直接根據(jù)這兩個(gè)數(shù)據(jù)很難判斷胖瘦。針對(duì)這個(gè)問題，

一個(gè)非常經(jīng)典的特征工程是，構(gòu)建BMI指數(shù)作為特征，BMI=體重/（身高八2）,

其中體重使用公斤為單位，身高使用米為單位。這樣，通過BMI指數(shù)，就能非

常顯然地幫助我們,刻畫一個(gè)人身材如何。甚至，你可以拋棄原始的體重和身

高數(shù)據(jù)。

問題二，根據(jù)用戶登錄信息，判斷是否異常登錄。一般登錄信息包括用戶

名、登錄時(shí)間、登錄IP、登錄結(jié)果（成功/失敗），這些維度的數(shù)據(jù)可以用來識(shí)

別一些常見的異常登錄，比如多次登錄失敗。如果對(duì)安全登錄有更深的理解，

就可能構(gòu)造一些其他特征，比如：是否工作時(shí)間登錄、登錄失敗時(shí)間間隔、連

續(xù)失敗次數(shù)、登錄IP地域信息等,這樣就能從更多的維度描述登錄過程，能更

有效的識(shí)別異常登錄。

所以特征構(gòu)建的主要目的是基于原始數(shù)據(jù)集，構(gòu)造適合機(jī)器學(xué)習(xí)的特征數(shù)

據(jù)，并且這些數(shù)據(jù)要和業(yè)務(wù)需求緊密相關(guān)。

那么什么樣的數(shù)據(jù)適合機(jī)器學(xué)習(xí)？答案是標(biāo)準(zhǔn)化和歸一化的數(shù)據(jù)。

比如前面例子中的登錄時(shí)間，如果是具體的時(shí)間，最常用的就是精確到秒

的時(shí)間，這些數(shù)據(jù)的差別可能非常大，但是如果轉(zhuǎn)換為是否工作時(shí)間，那就是

?；蛘?,極大的簡(jiǎn)化了時(shí)間特征，這種屬于定量特征二值化的處理方法。

歸T七方法即把大范圍的數(shù)據(jù)轉(zhuǎn)換為同一量綱，把數(shù)據(jù)映射到［0,1］或者［a,

b］,這樣所有的數(shù)據(jù)都位于一個(gè)區(qū)間范圍，更具有可比性。歸一化方法是特征

工程常用的一種處理方法。

其他還有很多特征數(shù)據(jù)處理方法，這些常用的處理方法都已經(jīng)在Python

的sklearn.preprocessing庫中有完整的實(shí)現(xiàn)，可以直接使用。

經(jīng)過特征工程處理后的數(shù)據(jù)，就應(yīng)該是標(biāo)準(zhǔn)每口歸一化的數(shù)據(jù)，這些數(shù)據(jù)

一般可以使用矩陣向量（或矢量）表示，也稱為特征向量（或矢量），方便計(jì)

算機(jī)的算法處理。

原始數(shù)據(jù)特征矢量

下面我們?cè)倩氐奖疚牡闹黝},看看在安全態(tài)勢(shì)感知領(lǐng)域,特征工程主要涉及哪

些內(nèi)容。

四、網(wǎng)絡(luò)安全特征集

分析網(wǎng)絡(luò)安全，最重要的數(shù)據(jù)就是原始流量報(bào)文，所有的網(wǎng)絡(luò)掃描、滲透

和攻擊，都必然要通過網(wǎng)絡(luò)報(bào)文來實(shí)現(xiàn)。所以，流量報(bào)文數(shù)據(jù)就是我們的原始

數(shù)據(jù)集。

網(wǎng)絡(luò)安全涉及的范圍非常寬泛，針對(duì)不同的問題，需要做不同的特征選擇

和處理。比如，研究網(wǎng)絡(luò)層的攻擊,就需要針對(duì)TCP/IP的頭部信息、分片信

息等進(jìn)行細(xì)粒度的分析處理,建立特征；研究HTTP應(yīng)用層攻擊，就需要針對(duì)

HTTP的頭部信息、內(nèi)容信息等進(jìn)行細(xì)粒度的分析處理，建立特征；研究工控

系統(tǒng)的網(wǎng)絡(luò)攻擊，就需要針對(duì)工控協(xié)議進(jìn)行深度解析，對(duì)命令碼、參數(shù)變量等

進(jìn)行細(xì)粒度的分析處理，建立特征。

針對(duì)通用的網(wǎng)絡(luò)入侵攻擊，業(yè)界早已出現(xiàn)標(biāo)準(zhǔn)的數(shù)據(jù)集和其特征集。

KDD99數(shù)據(jù)集是最早最出名的網(wǎng)絡(luò)安全數(shù)據(jù)集，是由MIT利用TCPdum

P收集了9周時(shí)間的網(wǎng)絡(luò)連接和系統(tǒng)審計(jì)數(shù)據(jù),仿真各種用戶類型、各種不同

的網(wǎng)絡(luò)流量和攻擊手段形成的數(shù)據(jù)樣本。這些樣本分別被標(biāo)記為正常（norma

I）或異常（attack）,被廣泛用來測(cè)試各種入侵檢測(cè)以及類型算法的驗(yàn)證實(shí)驗(yàn)

集。哥倫比亞大學(xué)的SalStolfo教授和來自北卡羅萊納州立大學(xué)的WenkeL

ee教授采用數(shù)據(jù)拾掘等技術(shù)對(duì)以上的數(shù)據(jù)集進(jìn)行數(shù)據(jù)預(yù)處理和特征分析，形

成了一個(gè)新的數(shù)據(jù)集即特征集。

KDD99數(shù)據(jù)集獲取方式：/ideval/data/1999dat

a.html

下面我們來分析一下這些經(jīng)過處理后的特征集，特征集共分為4大類41

個(gè)特征，這些特征的具體說明詳見下列各表：

表1基于獨(dú)立TCP連接基礎(chǔ)的特征集

說明：基本連接數(shù)據(jù)包含了基本屬性，如聆時(shí)間，協(xié)議類型，傳送的字節(jié)

數(shù)等，這些數(shù)據(jù)經(jīng)簡(jiǎn)單處理，形成本特征維。

特征名稱特征描述數(shù)據(jù)類型

duration連接的持續(xù)時(shí)間，精度為秒強(qiáng)

protocoltype連接的協(xié)議類型：TCP、UDP、ICMP爛

service連接的服務(wù)類型：http、ftp、smtp等等爛

srcbytes—的字節(jié)數(shù)跡

dstbytes一個(gè)連接接收到的字節(jié)數(shù)迪

飆狀態(tài)：SF,SO,S1,S2,S3,OTH,REJ,RSTO,

RSTOSO,SH,RSTRH,SHR,它表示該連接是否按照協(xié)

Flag議要求開始或完成。例如SF表示連接正常建立并終廨

止；SO表示只接到了SYN請(qǐng)求數(shù)若包，而沒有后面的

SYN/ACK,其中Sf?示正常，其他10種都是error。

Land源IP、端口和目的IP、端口一致，則為1;否則為0二蝴

wrongfragment連接中無效校驗(yàn)和的包的總數(shù)超

Urgent連接中的urgent位被激活的包的總數(shù)整型

表2基于安全專蜘識(shí)的特征集

說明：這些臉來自應(yīng)用層協(xié)議深度分析，從數(shù)據(jù)內(nèi)容里面抽取了部分可能反映入侵行為的

內(nèi)容特征，如登錄失敗的次數(shù)等，這需要基于一定的安全專業(yè)知識(shí)，對(duì)內(nèi)容數(shù)據(jù)進(jìn)行簡(jiǎn)單處

理或統(tǒng)計(jì)，形成本特征集。

特征名標(biāo)特征描述數(shù)據(jù)類型

訪問系統(tǒng)敏感文件和目錄的次數(shù)，如輸入系

hot迪

統(tǒng)目錄、創(chuàng)建程序和執(zhí)行程序

numfailedjogins連續(xù)登錄失敗次數(shù)強(qiáng)

loggedin如果登錄成功就為1,否則為0

numcompromisedcompromised條件出現(xiàn)的次數(shù)強(qiáng)

如果獲得了獲得超級(jí)用戶投限r(nóng)ootshell,

rootshell

則為1,否則為0

suattempted如果出現(xiàn)suroo蹄令為1,否則為0zz^l

numrootroot用戶的訪問次數(shù)整型

numfilecreations創(chuàng)建文牛操作的數(shù)量迪

numshells使用shell命令的次數(shù)迺

numaccessfiles操作控制文件的次數(shù)整型

numoutboundcmdsftp會(huì)話中出站命令的總和跡

登錄是否屬于超級(jí)用戶或管理員登錄，是為

ishotlogin

1,否則為0

用戶是否作為guest、anonymous或visitor

isguestjogin

登錄，是為1,否則為0

表3基于2秒時(shí)間窗口的統(tǒng)計(jì)特征集

說明：網(wǎng)絡(luò)攻擊事件在時(shí)間上有很強(qiáng)的關(guān)聯(lián)性，因此統(tǒng)計(jì)出當(dāng)前連接記錄與之前一段

時(shí)間內(nèi)的連接記錄之間存在的某些聯(lián)系，可以更好的反映連接之間的關(guān)系。這類特征

又分為兩種集合：一個(gè)是“samehost"特征，只觀察在過去兩秒內(nèi)與當(dāng)前連接有相

同目標(biāo)主機(jī)的連接；另一個(gè)是“sameservice"特征，只觀察過去兩秒內(nèi)與當(dāng)前連接

有相同服務(wù)的連接。這些特征需要多維度統(tǒng)計(jì)得出，也需要專業(yè)的安全知識(shí)指導(dǎo)。

特征名稱特征描述數(shù)據(jù)類型

count與當(dāng)前連接具有相同目的ip的連接數(shù)量遜

srvcount與當(dāng)前連接具有相同目的端口的連接數(shù)量整型

與當(dāng)前連接具有相同目標(biāo)主機(jī)的連接中，出現(xiàn)

serrorrate實(shí)型

“SYN”錯(cuò)誤的連接的百分比

與當(dāng)前連接具有相同服務(wù)的連接中，出現(xiàn)“

srvserrorrate實(shí)型

SYN”錯(cuò)誤的連接的百分比

與當(dāng)前連接具有相同目標(biāo)主機(jī)的連接中，出現(xiàn)

rerrorrate建

“REJ”錯(cuò)誤的連接的百分比

與當(dāng)前連接具有相同服務(wù)的連笠中，出現(xiàn)“REJ

srverrorrate連

”錯(cuò)誤的連接的百分比

在count中聚合的連接中，連接到相同服務(wù)的連

samesrvrate實(shí)型

接的百分比

在count中聚合的連接中，連接到不同服務(wù)的連

diffsrvrate連

接的百分比

在srv_count中聚合的連接中，連接到不同目標(biāo)

srvdiffhostrate實(shí)型

機(jī)器的百分比

在srv_count中聚合的連接中，連接到不同目標(biāo)

srvdiffhostrate迪

機(jī)器的百分比

表4基于100個(gè)連接窗口的統(tǒng)計(jì)特征集

說明：實(shí)際入侵攻擊事件中，有些Probing攻擊使用慢速攻擊模式來掃描主機(jī)瞬

口，當(dāng)它們掃描的頻率大于2秒的時(shí)候，基于2秒時(shí)間窗口的統(tǒng)計(jì)特征就失去了價(jià)值

,所以WenkeL?喀按照目標(biāo)主機(jī)迸行分類，使用一介具有100個(gè)連接的時(shí)間窗，

統(tǒng)計(jì)當(dāng)前連接之前100個(gè)連接記錄中與當(dāng)前連接具有相同目標(biāo)主機(jī)的統(tǒng)計(jì)信息。這些

特征是另外一些維度的統(tǒng)計(jì)數(shù)據(jù)，也需要專業(yè)的安全知識(shí)指導(dǎo)。

特征名稱特征描述

dsthostcount與當(dāng)前連接具有相同目的IP的連接數(shù)量整型

與當(dāng)前連接具有相同目的IP和端口的連

dsthostsrvcount迪

在dsthostcount中聚合的連接中，連

dsthostsamesrvrate實(shí)型

接到同一服務(wù)所占的百分比

在dsthostcount中聚合的連接中，連

dsthostdiffsrvrate迪

接到不同服務(wù)的百分比

在dst_host_srv_count中聚合的連接

dsthostsamesrcportrate迎

中，相同源端口所占的百分比

在dst_host_srv_count中聚合的連接

dsthostsrvdiffhostrate迎

中，不同源主機(jī)所占的百分比

在dsthostcount中聚合的連接中，出

dsthostserrorrate實(shí)型

現(xiàn)SYN錯(cuò)謖的連接所占的百分比

在dst_host_srv_count中聚合的連接

dst_host_srv_serror_rate賣型

中，出現(xiàn)SYN錯(cuò)誤的連接所占的百分比

在dst_host_count中聚合的連接中，出

dsthostrerrorrate實(shí)型

現(xiàn)REJ錯(cuò)誤的連接所占的百分比

在dsthost_srv_count中聚合的連接

dst_host_srv_errorrate實(shí)型

中，出現(xiàn)REJ錯(cuò)誤的連接所占的百分比

通過上述分析，可以看到網(wǎng)絡(luò)安全相關(guān)的特征工程，主要從幾個(gè)方面入

手：

1、網(wǎng)絡(luò)層連接的基本屬性,包括連接時(shí)長(zhǎng)、IP端口、Flag標(biāo)志等，除了KDD

99特征集中的特征，還可以考慮報(bào)文長(zhǎng)度、滑動(dòng)窗口尺寸、分片數(shù)量、分片大

小等諸多維度的特征，并進(jìn)一步基于這些特征做方差、均值等計(jì)算，得到一些

新的特征。

2、