摘要: 随着科技进步,互联网迅猛发展,网络在人类生活中扮演越来越重要的角色,网络空间中的安全问题随之凸显,恶意流量作为网络攻击常用手段,其准确识别是网络安全领域的重要研究方向之一。本文借助CiteSpace软件,对CNKI数据库以恶意流量识别为主题的177篇文献进行分析,绘制发文时间、发文作者、发文机构等知识图谱,研究恶意流量识别研究现状、热点及趋势,为网络流量识别研究和网络安全防护研究提供参考。
Abstract:
With the rapid development of science and technology and the Internet, the network plays an increasingly important role in human life, and the security problems in cyberspace become prominent. As a common means of network attacks, malicious traffic accurate identification is one of the important research directions in the field of network security. This article uses CiteSpace software to analyze 177 literature on malicious traffic identification in the CNKI database, draw a knowledge graph of publication time, author, and institution, and study the current status, hotspots, and trends of malicious traffic identification research. This provides reference for network traffic identification research and network security protection research.
1. 引言
由于互联网的快速发展及普及,网络安全面临的威胁日益增加。近年来计算机网络攻击事件频发,国家经济严重受损,国家安全受到威胁,网络攻击俨然已经成为信息时代新的战争 [1] [2] 。通过网络传输具有恶意或有害性质的数据流量,实现非法获取或破坏网络系统、用户隐私、数据安全、网络稳定性的目的,即恶意流量,已经成为网络攻击的常用手段,对网络安全造成了很大的威胁 [3] 。因此,对恶意流量进行准确识别和有效防御是维护网络安全的重要手段。随着国家对网络安全的重视和人们对网络安全意识的提高,特别是处于当前网络攻击和网络犯罪事件不断增多的背景下,如何加强恶意流量识别研究以提高网络安全保障能力已经成为网络安全领域急需解决的问题。基于此,采用CiteSpace可视化分析工具对恶意流量识别的研究现状、热点和发展趋势进行知识图谱的构建,为更好进行恶意流量识别研究提供了全面的视角。
2. 数据来源及研究方法
2.1. 数据来源
研究热点和趋势,必然离不开学术论文和学位论文,结合对数据来源的权威性要求,本文只选取收录于中国知网(CNKI)数据库的文献。首先,采用高级检索功能以“恶意流量识别”为主题词,设置“精确”的匹配方式,不设置检索时间范围,获得初步数据集共178篇文献。其次,为尽可能准确、全面地展现该领域研究成果,设置检索时间为中国知网(CNKI)数据库收录最早的一篇文献发表时间(2010年)为起点,本文起草时间(2024年)为终点,检索得到178篇文献。接着,对所获文献开展完整性、代表性和学术性的筛选,剔除会议论文1篇,余下177篇作为分析样本。最后,177篇有效期刊文献以“Refworks”格式导出,再通过CiteSpace软件转化为本研究的数据源。
2.2. 研究工具
本文主要开展恶意流量识别研究现状、热点及趋势的可视化研究,为满足深入研究发文时间、发文作者、发文机构、关键词词频、关键词内在关系、关键词聚类等的知识图谱,特选择CiteSpace可视化分析软件作为本文主要研究工具。
3. 恶意流量识别研究现状
3.1. 发文时间知识图谱分析
对177篇有效文献进行发文时间和发文量进行可视化分析(图1),可以发现恶意流量识别在不同时期的受关注程度不同,但总体呈上升趋势。根据发文量和受关注程度可将国内关于恶意流量识别的研究划分为以下几个阶段:起步阶段(2010~2014年):这一阶段共计发表了7篇文献,每年的文献数量为1~2篇,表明该领域在这段时间内开始引起部分学者的关注。引起关注阶段(2015~2017年):这一阶段共计发表了16篇文献,相比前一阶段发文数量有所增加,说明恶意流量识别问题逐渐引起学术界的关注,研究热度逐渐上升。探索实践阶段(2018~2020年):这一阶段共计发表了44篇文献,研究文献数量显著增加,网络攻击现象开始频繁出现,恶意流量识别和防御在网络安全领域的重要性逐渐凸显,吸引了更多学者投入研究。持续高热度阶段(2021年~至今):这一阶段共计发表了100多篇文献,研究文献数量继续呈现快速增长态势,网络流量传播快速发展,人们网络安全意识显著提高,对于网络安全的需求推动着网络流量识别研究热度持续高涨。
Figure 1. Annual distribution map of malicious traffic identification
图1. 恶意流量识别的年度发文量分布图
3.2. 发文作者分析
对177篇有效文献的发文作者进行可视化分析(图2),图中节点代表作者的发文量,连线代表了作者间相关合作关系,据图显示,有154个节点,213根连线,网络密度为0.0181。从发文量上看,杨永平发文25篇,王思婷23篇,陈立皇、谢金鑫、程华、刘清、张伟等人发文7篇,丁要军发文6篇,其他学者均发文1~3篇;从作者的合作关系中分析可知,该领域作者的合作较为分散;根据普赖斯定律中核心作者公式计算得出M = 3.745,即说明在该领域发文量达到4篇及4篇以上的作者是核心作者,因此得出该领域的核心作者共有8人,其中发文最多的是杨永平。
3.3. 发文机构知识图谱分析
为了解恶意流量识别的发文机构之间的合作情况及核心机构,对177篇有效文献进行发文机构共现图谱可视化分析(图3),显示共有51个节点,0条连线,可知机构间的合作不太密切,而北京师范大学珠海分校信息技术学院发文25篇,南京邮电大学计算机学院发文7篇,科来科来发文4篇,其他机构发文在1~3篇,北京师范大学珠海分校信息技术学院、南京邮电大学计算机学院、科来科来是该领域的核心机构。
Figure 2. Knowledge graph of authors for malicious traffic identification
图2. 恶意流量识别的发文作者知识图谱
Figure 3. Visualization analysis of malicious traffic identification by publishing institutions
图3. 恶意流量识别的发文机构可视化分析
4. 恶意流量识别研究热点
对177篇有效文献进行“关键词”共线图谱可视化分析(图4)结果显示有251个节点,961条连线,网络密度为0.0306。在251个节点当中,出现频次前1%的节点分别为p2p僵尸网络、流量识别、ddos攻击、p2p、恶意流量识别、加密流量识别、Android恶意应用、cnn、加密流量识别、机器学习、特征选择、恶意流量、qoe参数识别。基于对恶意流量识别的分析和查询相关文献,发现在流量识别方法中,主要分为基于端口、基于载荷、基于流三中,基于端口、基于载荷两种方法都有明显的弊端,而基于流 [4] 这类方法随着机械学习和深度学习的快速发展成为了研究流量分类识别的主流,恶意流量识别的研究热点也更加聚焦于机器学习技术的应用。
Figure 4. Visual analysis of “Keywords” in malicious traffic identification
图4. 恶意流量识别的“关键词”可视化分析
对于词频较高、频次增速较快的突变关键词进行识别分析,得出研究热点以及未来领域的发展及研究趋势。从关键词聚类可视化图谱(图5)可以看出,恶意流量识别研究形成了#0流量控制、#1恶意流量、#2特征多选、#3恶意流量分类、#4 stacking集成学习、#5金字塔池、#6类不平衡、#7 ipsecvpn、#8恶意流量识别、#9恶意加密流量、#10恶意代码多个聚类。
Figure 5. Visual analysis of mutated keywords in identifying malicious traffic
图5. 恶意流量识别的突变关键词可视化分析
根据关键词时间线图谱(图6),聚类#3恶意流量分类最早出现于2000年,关注度较高、被引量较多、时间跨度大,属于经典主题。从2010年后,随着时间的推移,研究方法和技术也在不断进步,恶意流量识别的方向逐渐多元化。从时间线图谱中,我们可以看到早期的研究主要集中在流量特征提取和匹配上,而随着大数据和人工智能技术的发展,越来越多的研究开始关注起如何利用这些先进技术进行恶意流量的自动识别,即从传统的基于特征的识别方法转变到基于机器学习 [5] 和深度学习 [6] 的识别方法。
Figure 6. A timeline graph of “Keywords” for malicious traffic identification
图6. 恶意流量识别的“关键词”时间线图谱
5. 恶意流量识别研究趋势
根据恶意流量识别的关键词聚类可视化图谱(图7),我们发现:从关键词的突变强度来看,“恶意流量分类”和“深度学习”等关键词在2000年至2014年间具有较高的突变强度,这表明在这段时间内,研究者开始意识到深度学习技术能够为恶意流量的识别提供强大的技术支持,深度学习技术的应用能够更准确地识别和分类恶意流量,恶意流量分类和深度学习是该研究的热点领域。从关键词的突变时间来看,“恶意流量识别”这个关键词在2021年至2024年间具有较高的突变强度,说明随着网络安全问题的日益严重,恶意流量识别成为了防范网络攻击的关键手段,恶意流量识别逐渐成为网络流量识别研究的重要方向,吸引了许多研究者投入其中。
此外,我们还可以观察到一些新兴的技术和概念在恶意流量识别领域的应用,如“双向门控循环单元”、“卷积神经网络”、“随机森林”、“注意力机制”和“对比学习”等。这些技术和概念的引入,为恶意流量识别提供了新的思路和方法,也推动了该领域的快速发展。
Figure 7. Visual graph of keyword clustering for malicious traffic identification
图7. 恶意流量识别的关键词聚类可视化图谱
通过对关键词突变情况的分析,我们可以发现恶意流量识别领域的研究热点主要集中在深度学习、恶意流量分类以及新兴技术和概念的应用等方面。这些研究热点不仅反映了当前恶意流量识别领域的发展趋势,也为未来持续深入研究该领域提供了重要的参考方向。
6. 研究结论与展望
6.1. 研究结论
本文以CiteSpace软件为研究工具,以CNKI数据库中2010年至今所发表的以恶意流量识别为关键词的文献为研究基础,对恶意流量识别的发文时间,发文作者,发文机构,关键词共线及研究热点进行分析,得到了以下结论:一是越来越多的恶意流量采用加密技术,提高其迷惑度,采用深度学习的方式提高识别模型的泛化性成为一大关键;二是卷积神经网络构建的实时智能分析将逐渐淘汰基于机器学习的传统恶意流量检测技术;三是恶意流量识别的研究趋势将更加注重对新型恶意流量的识别和防御,利用大数据和人工智能技术提高识别和分类的准确性,同时关注隐私保护和安全性问题,并在分布式环境中实现实时识别和响应。
6.2. 研究展望
2022年国务院印发“十四五”数字经济发展规划,恶意流量的研究也是促进数字经济规划的重要方式之一。随着互联网的飞速发展,恶意流量的研究为互联网安全提供了一定的保障;现如今处于信息时代,各国间的竞争也成了互联网的竞争,恶意流量的研究无论从国家层面还是个人层面都显得尤为重要;5G商业竞争中,恶意流量的研究为5G网络保驾护航,具有很高的商业价值。综上,无论在过去还是未来,关于恶意流量的研究将日益增长,在数字时代的背景下,恶意流量研究具有很好的研究前景,且研究会朝着多元化逐渐发展。
基金项目
广西民族大学自治区级大学生创新创业训练计划项目资助(项目编号:S202210608120)。
NOTES
*通讯作者。