在当今社会，信息和通信技术（ICT）已经成为日常生活中不可或缺的一部分。这些技术不仅促进了高效的沟通方式，还优化了各种业务流程，并推动了数字化转型。随着ICT的广泛应用，其安全性变得至关重要，因为这直接关系到数字信任和对新兴网络威胁的抵御能力。ICT系统生成的数据量巨大，因此需要实时分析这些数据，以识别潜在的威胁并保护其中可能包含的敏感信息。在这一背景下，NetFlow作为一种网络协议，能够用于监控网络流量、收集IP地址并检测异常数据流，为网络威胁识别提供了有力支持。

本研究采用了设计科学研究（DSR）方法论，旨在提供一种方法，用于开发适用于NetFlow分析的特征集，并结合机器学习技术来实现网络异常检测。研究过程中，通过实现K-means聚类算法进行异常检测，并利用长短期记忆（LSTM）方法进行时间序列预测，构建了两个不同的特征集：一个用于聚类方法（包含24个特征），另一个用于LSTM方法（包含14个特征）。同时，研究还提出了一个结合两种机器学习方法的策略，并通过贝叶斯定理和模型历史性能评估来判断最终结果的可靠性。这一研究不仅为NetFlow异常检测提供了新的方法，还为相关领域的进一步探索奠定了基础。

随着网络攻击手段的不断演变，传统网络安全措施往往难以及时应对新型威胁。因此，快速识别网络威胁成为确保信息安全的关键环节。NetFlow数据的持续监控和分析，可以为网络异常检测提供有价值的信息。然而，现有的NetFlow数据集缺乏统一的特征定义，这导致不同数据集中的特征存在较大差异，增加了对机器学习模型评估的复杂性。因此，研究者需要建立一个标准化的特征集，以便更有效地进行模型训练和验证。

在研究中，首先对NetFlow数据进行了初步的收集和分析。NetFlow v.9协议被用于从拉脱维亚里加技术大学网络中的多个交换机和路由器中提取数据，并以JSON格式进行存储。为了保护个人隐私，数据在收集后进行了伪匿名化处理，但为了验证目的，可以将数据恢复到原始状态。通过初步的特征分析，研究人员识别出了一些可能对异常检测具有重要价值的特征，如TCP标志、数据包和字节的统计信息等。同时，通过Kolmogorov-Smirnov（KS）检验，研究人员发现NetFlow数据不符合正态分布，这为后续的特征选择和模型优化提供了依据。

在第二设计周期中，研究人员进一步优化了特征集，并测试了其在机器学习模型中的适用性。通过将数据分为10分钟的时间窗口，并进行数据聚合，研究团队构建了一个适用于聚类分析的特征集（SoF1），其中包括27个特征，其中24个用于实际的聚类分析。此外，还构建了一个适用于时间序列预测的特征集（SoF2），包含12个输入特征和两个输出特征。这两个特征集的建立，使得研究能够分别应用于聚类算法和LSTM模型，以识别不同类型的网络异常。

为了提高模型的可靠性，研究引入了贝叶斯定理和模型性能评估的方法。在模型输出一致的情况下，使用贝叶斯定理计算结果的可靠性；而在模型输出不一致时，通过分析两种模型的预测结果，并结合它们的历史表现，来评估最终决策的可信度。这一方法不仅提升了模型识别网络异常的能力，还增强了网络安全系统的判断依据。例如，当两个模型都识别出一个数据点为异常时，可以认为其可靠性较高，从而采取更果断的应对措施；而当模型之间存在分歧时，则需要进一步分析，以判断是否需要人工介入。

此外，研究还对两种模型的输出结果进行了结合。通过分析模型之间的协同效应，研究人员发现，将不同模型的预测结果整合在一起，可以提高异常检测的整体准确率。然而，这种整合方法在实际应用中仍然面临挑战，尤其是在处理大规模数据时，计算资源和时间成本可能显著增加。因此，研究团队建议在未来的探索中，可以结合其他模型，如集成学习方法，以进一步提升网络异常检测的效率和可靠性。

研究还对两种模型的性能进行了评估。通过计算均方误差（MSE）、平均绝对误差（MAE）、R2和平均绝对百分比误差（MAPE）等指标，研究人员发现，虽然时间序列预测在某些情况下表现优于聚类分析，但其在识别异常时的效果并不总是理想。相比之下，聚类方法在检测某些类型的网络异常时表现出更高的准确率。这表明，不同的异常检测方法适用于不同的场景，需要根据实际需求选择合适的模型。

通过对比现有研究中使用的NetFlow数据集，研究人员发现，所提出的特征集在多个方面具有优势。首先，它包含了更多的时序特征，有助于识别动态变化的网络行为；其次，它采用了数据聚合的方法，使得数据更加集中，便于机器学习模型的训练和分析；最后，其数据来源并非测试环境，而是真实网络流量，这使得研究结果更具实际意义。这些特征的引入，不仅提高了模型的准确性，还增强了对网络异常检测方法的适用性。

尽管本研究取得了一定的成果，但仍存在一些局限性。首先，所使用的NetFlow数据仅反映了高负载条件下的异常情况，缺乏对其他类型异常的覆盖，这可能影响模型的泛化能力。其次，模型的性能评估主要依赖于预设的指标，而未充分考虑不同网络环境下的实际应用需求。此外，研究中使用的特征集虽然具有较高的实用性，但在某些特定场景下可能仍然存在冗余或不适用的情况。

为了进一步提升网络异常检测的效果，未来的研究可以探索更多的数据源，以丰富异常类型，并优化特征集的结构，减少不必要的特征。同时，可以引入更多先进的机器学习算法，如集成学习、深度学习等，以提高模型的识别能力和适应性。此外，还可以结合人工审核机制，提高模型输出的可靠性，确保在复杂网络环境中能够做出准确的判断。

总的来说，本研究为NetFlow异常检测提供了一种系统的方法，不仅构建了标准化的特征集，还探索了多种机器学习模型的结合方式。通过引入贝叶斯定理和模型性能评估，研究团队提高了异常识别的可靠性，为网络安全系统提供了更加科学的决策依据。未来的研究可以在此基础上进一步优化模型性能，并探索更多实际应用场景，以推动网络异常检测技术的发展。