面向不平衡样本的物联网入侵检测方法

随着设备的迭代,网络流量呈现指数级别的增长,针对各种应用的攻击行为越来越多,从流量层面识别并对这些攻击流量进行分类具有重要意义。同时,随着物联网设备的激增,针对这些设备的攻击行为也逐渐增多,造成的危害也越来越大。物联网入侵检测方法可以从这些海量的流量中识别出攻击流量,从流量层面保护物联网设备,阻断攻击行为。针对现阶段各类攻击流量检测准确率低以及样本不平衡问题,提出了基于重采样随机森林（RF,random forest）的入侵检测模型——Resample-RF,共包含3种具体算法：最优样本选择算法、基于信息熵的特征归并算法、多分类贪心转化算法。在物联网环境中,针对不平衡样本问题,提出最优样本选择算法,增加小样本所占权重,从而提高模型准确率;针对随机森林特征分裂效率不高的问题,提出基于信息熵的特征归并算法,提高模型运行效率;针对随机森林多分类精度不高的问题,提出多分类贪心转化算法,进一步提高准确率。在两个公开数据集上进行模型的检验,在 IoT-23 数据集上 F1 达到0.99,在Kaggle数据集上F1达到1.0,均具有显著效果。从实验结果中可知,提出的模型具有非常好的效果,能从海量流量中有效识别出攻击流量,较好地防范黑客对应用的攻击,保护物联网设备,从而保护用户。     

大数据技术在计算机网络入侵检测中的研究

传统的网络入侵检测技术无法识别错综复杂的网络攻击,提出以大数据技术构建网络入侵检测模型,采用数据挖掘中聚类、分类和关联规则算法自动识别网络中攻击模式,这种方式能够快速学习和提取网络攻击的特征形态。仿真实验表明,基于大数据技术的网络入侵检测技术能够获得较高的攻击模式识别准确率。     

针对LTE-A网络中的DDoS攻击流量检测模型

近年来,4G LTE-A技术发展迅猛,移动设备的普及以及各种承载于4G网络的业务和应用已经成为我们日常不可或缺的部分。但网络攻击技术也不断的在发展,特别是近年来针对4G LTE-A网络的攻击技术的不断演进,已成为危害人们切身利益的关键问题。DDoS作为DoS攻击的一种,对网络带来了更大的危害,因此需要研究一种攻击检测模型。文章提出了一个针对LTE-A网络中的DDoS攻击流量检测模型,模型利用熵作为特征之一,并使用随机森林算法训练模型分类器,可将其部署在eNB上对流经该eNB的DDoS流量进行识别。通过验证,所提出的模型的检测准确率可达99.956%。     

基于随机森林分类模型的DDoS攻击检测方法

分布式拒绝服务（distributed denial-of-service,DDoS）是目前常见的网络攻击方式之一。在正常访问过程中访问都是理性的,流量较小且存在很大的不确定性;当发生DDoS攻击时,访问是非理性的,会产生大量的流量且存在一定规律。基于机器学习算法（SVM、HMM等）的DDoS攻击检测技术取得一些进展,但还存在着样本数量过多时易发生过拟合和未充分利用上下文信息等不足。基于随机森林的分类模型能够融合上下文信息,且在样本数量增多时不容易发生过拟合。本文提出一种基于随机森林的DDoS攻击检测方法,将数据流信息熵作为分类标准,对TCP洪水攻击、UDP洪水攻击、ICMP洪水攻击等三种常见的攻击方式进行特征分析,在此基础上使用基于随机森林分类模型分别对三类DDoS攻击方式进行分类检测,实验结果表明该方法能够较为准确地区分正常流量和攻击流量。     

一种基于RBM-SVM算法的无线传感网络入侵检测算法

针对以通信节点为基础的无线传感器网络作为物联网基础设施开始临越来越多的信息安全威胁,提出一种基于RBM特征提取和多层SVM检测的无线传感网络入侵检测方法,将收集到的高维网络数据进行特征信息提取并结合网络拓扑结构及攻击流量相似性分层检测入侵行为。实验仿真采用NSL＿KDD公共入侵检测数据集,实验结果表明该模型对网络流量检测准确率为99.06%。     

基于注意力机制的DDoS攻击检测方法

针对传统DDoS攻击检测中存在准确率低、误报率高、低速率攻击流量难以检测等问题,提出一种基于注意力机制的双向长短期记忆网络的DDoS攻击检测方法.将根据领域知识所提取的明显攻击特征向量与数据预处理后的数据流矩阵进行向量拼接,构成基于注意力机制的双向长短期记忆网络数据输入格式,实现从原始流量的复杂级特征快速聚焦于DDoS攻击的隐含信息.通过CAIDA-2007数据集训练模型,实验结果表明,所提模型与传统机器学习模型相比准确率达到98.9％,检测效果优于其它算法,能够有效实现DDoS攻击检测.     

基于MDP的无线传感网络Sybil攻击检测方法研究

为了提高无线传感网络中对Sybil攻击的检测精准度,提出基于MDP的无线传感网络Sybil攻击检测方法。采用近似梯度下降算法结合小波去噪法对无线传感网络信号展开去噪处理,进而利用马尔科夫决策过程(MDP)表示去噪后的无线传感网络信号,并对其展开跟踪,通过RSSI算法对Sybil攻击展开定位,实现无线传感网络中Sybil攻击检测。实验结果表明,所提方法的检测率为99.9%,误检率为0.06%,检测时间为0.4 s,该方法的检测率高、误检率低、检测效率高,可有效提高无线传感网络中对Sybil攻击的检测精准度。     

基于动态WSN的抗合谋Sybil攻击检测方法

针对传统攻击检测方法检测稳定性低以及检测精准度差的问题,提出一种基于动态无线传感网的抗合谋Sybil攻击检测方法。根据动态无线传感网络组成结构得出对应检测原理,同时计算获取出攻击检测目标函数;在空间约束条件基础上引入无线网络攻击检测法,分类处理Sybil攻击,获取出网络被攻击节点位置;根据角度-衰减度检测法计算得出网络攻击两点基本原则,通过锚节点定位攻击节点,完成抗合谋Sybil攻击检测。仿真结果表明,所提方法能够有效解决传统方法带来的问题,且在计算过程中具有较高实用性以及广泛适用性。     

面向工业计算机的网络入侵行为检测

工业计算机在工业控制系统（ICS）中负责控制现场设备的核心控制器,直接面临来自开放网络的攻击威胁。针对工业计算机面临的外部网络攻击威胁,提出了适用于工业计算机的网络通信行为模型及高准确率的入侵检测方法。首先,分别从训练数据和训练算法两个维度优化模型;然后,针对高维流量数据导致的训练成本过高、准确率低等问题,提出了基于相关性分析的网络行为特征选择方法;最后,采用差分进化算法对支持向量机（SVM）进行参数优化。以烟草行业场景下工控设备进行实验验证,实验结果表明,优化后的模型准确率达到97%,曲线下面积（AUC）值为0.98,可有效识别网络攻击。相较于随机森林（RandomForest）、SVM、遗传算法优化的支持向量机（GA-SVM）等机器学习算法,所提优化方法的准确率提升了1%～7%,精确率提升了1%～4%。     

面向工业计算机的网络入侵行为检测

工业计算机在工业控制系统（ICS）中负责控制现场设备的核心控制器,直接面临来自开放网络的攻击威胁。针对工业计算机面临的外部网络攻击威胁,提出了适用于工业计算机的网络通信行为模型及高准确率的入侵检测方法。首先,分别从训练数据和训练算法两个维度优化模型;然后,针对高维流量数据导致的训练成本过高、准确率低等问题,提出了基于相关性分析的网络行为特征选择方法;最后,采用差分进化算法对支持向量机（SVM）进行参数优化。以烟草行业场景下工控设备进行实验验证,实验结果表明,优化后的模型准确率达到97%,曲线下面积（AUC）值为0.98,可有效识别网络攻击。相较于随机森林（RandomForest）、SVM、遗传算法优化的支持向量机（GA-SVM）等机器学习算法,所提优化方法的准确率提升了1%～7%,精确率提升了1%～4%。     

一种蚁群优化的WSN分布式入侵检测模型

针对无线传感器网络中入侵者能在多个节点上移动并隐藏攻击源头的特点,提出了一种基于蚁群优化的无线传感器网络分布式入侵检测模型。分析了现有入侵检测对未知攻击检测率和误报率方面的不足,在此基础上提出了分布式入侵检测的体系结构,设计了基于蚁群优化的入侵检测算法。仿真实验表明提出的方案能够提高无线传感器网络对未知攻击的检测率和降低对正常网络流量的误报率,较好地解决了路由攻击、Sinkhole攻击问题,能够降低入侵检测的能耗。     

针对WSN异常数据检测改进的孤立森林方法

异常数据检测一直是无线传感器网络安全的重要防护手段.针对现有方案计算复杂度高和检测精度低等问题,提出一种离散二进制粒子群优化孤立森林算法(BPSO-iForest).依据选择性集成思想,利用离散二进制粒子群算法改进由孤立森林算法生成的初始森林,选取初始森林中精度高、差异性大的隔离树,构建最优孤立森林,提升异常数据的检测精度和算法的执行效率.在无线传感器网络数据集上,与传统孤立森林、随机森林算法及其改进算法进行对比实验,结果表明本算法的检测精度和执行效率有明显的提升.     

Pattern recognition for detecting distributed node exhaustion attacks in wireless sensor networks

Malicious attacks when launched by the adversary-class against sensor nodes of a wireless sensor network, can disrupt routine operations of the network. The mission-critical nature of these networks signifies the need to protect sensory resources against all such attacks. Distributed node exhaustion attacks are such attacks that may be launched by the adversarial class from multiple ends of a wireless sensor network against a set of target sensor nodes. The intention of such attacks is the exhaustion of the victim’s limited energy resources. As a result of the attack, the incapacitated data-generating legitimate sensor nodes are replaced with malicious nodes that will involve in further malicious activity against sensory resources. One such activity is the generation of fictitious sensory data to misguide emergency response systems to mobilize unwanted contingency activity. In this paper, a model is proposed for such an attack based on network traffic flow. In addition, a distributed mechanism for detecting such attacks is also defined. Specific network topology-based patterns are defined to model normal network traffic flow, and to facilitate differentiation between legitimate traffic packets and anomalous attack traffic packets. The performance of the proposed attack detection scheme is evaluated through simulation experiments, in terms of the size of the sensor resource set required for participation in the detection process for achieving a desired level of attack detection accuracy. The results signify the need for distributed pattern recognition for detecting distributed node exhaustion attacks in a timely and accurate manner.     

基于数据融合的无线传感器网络林火监控算法

针对无线传感器网络在林火监控应用中存在的问题,提出了一种分层聚簇数据融合算法。簇内传感器节点使用加权平均法对原始数据进行数据级融合处理,以消除原始数据中的冗余成分,减少从簇内传感器节点到簇头节点的通信量;簇头节点采用D-S证据理论建立识别框架,通过对本簇成员的反馈信号进行决策级融合处理,提高了火灾事件的识别精度和网络的鲁棒性。实验结果表明,该算法能有效消除无线传感器网络的冗余数据,并能够在失效节点数不超过总节点数40%的情况下正确工作。     

基于自适应卷积滤波的网络近邻入侵检测算法

深度无线传感组合网络中的近邻路由节点入侵具有载荷快速变化性,难以对新出现的攻击类型和网络异常行为进行有效识别,因此提出一种基于自适应卷积滤波的网络近邻入侵检测算法。在深度无线传感组合网络的传输信道中进行网络流量采集,构建网络入侵信号模型,在时间和频率上分析网络入侵信号的能量密度和攻击强度等特征信息,构建自适应卷积滤波器进行网络传输信息的盲源滤波和异常特征提取;采用联合时频分析方法进行网络近邻入侵特征信息的频谱参量估计,根据频谱特征的异常分布状态进行无线传感组合网络近邻入侵检测。仿真实验结果表明,采用该方法进行网络入侵检测的准确率较高,对未知的网络流量样本序列具有较高的识别能力和泛化能力,且所提算法优于传统的HHT检测算法、能量管理检测方法。     

基于随机森林的网络入侵检测方法

为了提高网络安全水平,及时对网络攻击进行主动检测,提出了一种基于随机森林的网络入侵检测模型。该模型能够对大流量攻击进行分布式检测,且检测算法在引入了两个随机性后,即可降低网络流量内不同属性特征字段的噪声,并消除关联性,以便更为便捷、迅速地对攻击进行主动检测。将经典的Adaboost组合多分类器方法与提出的算法在检测率、正确率、精确率三个方面进行对比,体现了该算法的优越性,为大数据时代下网络安全提供了更好的保护。     

传感器网络中多节点协商可逆的数字水印算法

数字水印技术已被用于保障传感器网络所采集数据的完整性与正确性,已有的无线传感器网络中的水印技术几乎都是不可逆的,因而嵌入的水印会对采集的数据具有一定的破坏。为此,将传统的基于差分扩展的可逆水印算法引入到无线传感器网络,并结合无线传感器网络节点协同工作的特点,将已有基于差分扩展的可逆水印算法发展为多节点协商可逆的数字水印算法。该算法针节点结构松散、自身防御能力弱等问题将整体水印分为一定数目的片段,并由各组节点进行随机化处理使所有的片段呈随机性分布,以增加共谋攻击的难度。同时在节点和终端间用一对同步的随机序列发生器解决了对数据的新鲜性鉴别的问题。     

用于压缩感知的无线传感网测量矩阵设计方法

为了解决无线传感器网络中数据采集过程中的冗余和传输能耗问题,深入分析信号的线性测量过程,提出一种用于压缩感知的测量矩阵设计方法.该方法结合对角矩阵和正交基线性表示原理,采用线性结构化的方法构造,过程简单、速度快、稀疏度高、没有冗余,适合硬件资源有限的传感器节点的实现.仿真结果表明,基于对角矩阵线性表示的测量方法与常见的高斯随机矩阵和部分哈达玛矩阵两种测量方法相比,该方法在相同信号重构精度前提下信号恢复成功率更高,传感节点可以通过压缩观测得到更少的测量数据,从而大大减少网络通信量,节约网络能耗,延长网络生存周期.     

SDN环境下基于DBN的DDoS攻击检测

软件定义网络(SDN)作为新型网络架构模式,其安全威胁主要来自DDoS攻击,建立高效的DDoS攻击检测系统是网络安全管理的重要内容.在SDN环境下,针对DDoS的入侵检测算法具有支持协议少、实用性差等缺陷,为此,提出一种基于深度信念网络(DBN)的DDoS攻击检测算法.分析SDN环境下DDoS攻击的机制,通过Mininet模拟SDN的网络拓扑结构,并使用Wireshark完成DDoS流量数据包的收集和检测.实验结果表明,与XGBoost、随机森林、支持向量机算法相比,该算法具有攻击检测准确性高、误报率低、检测速率快和易于扩展等优势,综合性能较好.