机器学习在网络安全领域的应用（三）

                                                        机器学习在网络安全研究中的应用

      本节主要介绍机器学习在网络基础设施的安全以及网络安全检测方面的相关研究成果，主要包括机器学习技术在BGP的异常检测、恶意域名检测、僵尸网络检测、网络入侵检测以及恶意加密流量的识别中的应用研究。

一、网络基础设施安全

       路由系统和域名系统是网络空间中重要的网络基础设施，这些系统安全可靠的运行是各项网络活动安全开展的基础和前提。

       BGP的异常检测：

             边界网关协议（Border Gateway Protocol简称BGP）是互联网的核心路由协议，互联网的域间路由通过BGP路由信息交换完成，但BGP缺乏一个安全可信的路由认证机制，无法对邻居自治系统宣告的路由信息进行完整性和真实性的验证。这一缺陷导致路由器面临多种攻击，其中前缀劫持（prefix hijacking）、异常BGP的更新消息等问题严重影响了互联网的连通性和安全性。目前异常路由检测是通过提取当前BGP更新消息的特征或时序序列，将当前流量识别为正常路由或异常路由。该问题可抽象为机器学习中的二分类问题。

             针对前缀劫持定位问题，可以进行一个系统实验，采用层次聚类算法（Hierarchical Clustering）对系统中部署的大量监控器分成若干个簇，每个簇的监控器到目标前缀具有相似的路径，当前缀被劫持时，每个簇中的监控器基于目标前缀被污染的路径的概率进行排名，排名最高的监控器最有可能定位到前缀劫持，选择每个簇中的排名最