基于数据挖掘的异常网络流量分析与检测研究

异常网络流量是指会对正常的网络应用造成不良影响的流量模式,早期网络规模小,数据量小,网络管理员就可分析出网络中的异常流量。随着网络规模的不断扩大,必须应用自动化、智能化技术处理网络异常流量,才能满足网络用户对网络应用安全的需求,在这种背景下出现了异常网络流量检测技术。文章提出一种基于数据挖掘技术的异常网络流量检测系统,给出系统的主要组成模块及主要设计流程,详细说明了数据挖掘模块,通过神经网络技术的应用提高了异常网络流量检测的效率及效果。     

基于局部异常因子的信息网络流量异常检测

网络流量异常问题是网络遭受攻击的一种表现,通常会引起网络丢包、网络延迟、甚至造成网路堵塞和瘫痪,严重威胁着网络性能和安全。因此,对于网络流量异常进行有效检测,对保障网络的正常运行具有重要意义。设计了一种基于局部异常因子的信息网络流量异常检测方案,在局部异常因子算法的基础上通过MVC模型,采用了SOA结构,通过计算最邻近点的K值,实现网络流量异常检测。在仿真实验中人为制造异常点,对比本文方法与传统方法的检测效果,结果表明设计的方案优于传统异常检测方法。     

网络入侵后的波动控制系统设计与实现

网络入侵具有较强的破坏以及不可控性,受到入侵攻击后的网络流量存在冲突、约束数据带宽等随机因素,使得网络流量产生波动,稳定性降低。以往网络波动控制方法,在网络波动性高于设置的阈值后,控制方法不能对网络波动进行有效控制。因此,基于自抗扰控制器,设计并实现网络波动控制系统,该系统包括流量采集模块、流量汇总模块、流量异常检测和控制模块以及警示模块,并且具备网络探析部件、主机探析部件、策略管理中心、控制台四大功能。系统采用自抗扰处理器对入侵攻击产生的流量波动进行控制,确保网络流量的均衡性。实验结果表明,所提方法下的网络入侵行为显著降低,具有较低的网络入侵性能。     

基于告警关联的电力系统数据网络监测模型

通过使用数据网络流量监测模型可实现以下目的：掌握网络流量特性、了解用户网络行为、监视网络流量状态、检测分析异常流量、分析用户行为和量化网络承载能力。随着信息技术在电力系统中应用的不断发展,电力系统数据网络的规模也在不断扩大,同时网络中所承载的业务也越来越复杂多样,电力通信数据网管理及维护工作面临着极大的挑战。     

网络安全异常检测技术研究

本文提出构建流量异常检测模块和分析模块,并结合BP神经网络等算法,对网络流量特征值进行提取,从而对误差阈值、权值、隐含层个数等进行改进;采用联合熵算法对流量分析模块进行构建,从而通过熵值的变化来查看网络的异常,以此更好的实现对网络异常的检测。     

物联网场景下基于蜜场的分布式网络入侵检测系统研究

为了解决物联网网络入侵检测系统无法识别新型攻击、灵活性有限等问题,基于蜜场提出了一种能有效识别异常流量和具备持续学习能力的网络入侵检测系统。首先,结合卷积块注意力模块的特点,构建专注于通道和空间双维度的异常流量检测模型,从而提高模型的识别能力。其次,利用联邦学习下的模型训练方案,提高模型的泛化能力。最后,基于蜜场对边缘节点的异常流量检测模型进行更新迭代,从而提高系统对新型攻击流量的识别准确度。实验结果表明,所提系统不仅能有效检测出网络流量中的异常行为,还可以持续提高对异常流量的检测性能。     

基于多特征提取自编码器的网络流量异常检测算法

随着网络攻击的复杂化、自动化和智能化水平的不断提高,网络中不断涌现出新的攻击类型,给基于特征码的网络攻击检测和及时响应带来极大挑战。为了更加有效准确的识别异常流量,提出一种基于多特征提取自编码器的网络流量异常检测算法。算法自定义基于多特征提取的自编码器模型,由5个不同的Encoder模块构成编码器,1个Decoder模块构成解码器,能够同时提取流量中的空间特征和时间特征,且能有效避免产生退化现象,有效检测异常流量。同时,自定义SMOTE-新样本过采样法来解决数据不均衡问题,使用方差分析进行特征选择,优化数据,降低模型复杂度,大大缩短检测时间,提高算法的检测实时性。实验结果表明,提出的算法在网络流量异常检测的准确率方面比当前同类最优算法提升了1%,对百万条流量数据的检测时间减少了4.22 s。     

网络异常流量控制系统的开发与设计

为了监测和控制网络异常流量,提高网络的安全管理能力,提出基于分布式拓扑控制的网络异常流量控制系统设计方法。系统建立在嵌入式软件开发环境基础上,总体构架包括了网络异常流量的采集模块、A/D模块、主控模块、USB口、JTAG口、控制目标板开发等。异常流量检测采用匹配滤波检测方法,设计流量检测的匹配滤波器,采用标准Linux开发工具集进行网络异常流量控制系统的编译器、连接器、调试器等子系统的开发。在内核解压程序控制下将控制程序编译生成可执行代码,实现异常流量控制系统的软件开发和硬件设计。测试结果表明,采用该方法进行网络异常流量控制,能准确识别异常流量,并通过实时检测和调整,实现网络安全管理。     

基于网络流量的实时入侵检测

实时异常检测是目前网络安全的研究热点,基于大规模网络流量的统计特征,提出了一个基于统计的流量异常检测模型。根据网络流量的测度集,描绘了一个正常网络流量的基线。参照该正常流量基线,使用假设检验理论进行异常检测。采用一个基于滑动窗口的流量更新策略和感应阈控制模型,使异常检测能够更加高效。     

加密流量检测与态势预警平台研究

网络流量检测是实现网络整体安全态势感知的主要手段,通过采集网络流量、脆弱性、安全事件和威胁情报等数据,利用大数据和机器学习技术,分析网络行为及用户行为等因素构成的整个网络当前状态和变化趋势,并预测网络安全状态发展趋势。随着密码技术的广泛应用,网络中存在着越来越多的加密流量,如HTTPS、VPN流量;由于加密技术的使用,破坏了明文数据的统计特点、数据格式等,用通用的流量检测方法很难有效检测加密流量,基于加密技术的随机性、网络上下文等,结合人工智能技术和机器学习方法,研究和设计了网络加密流量检测体系框架、方法和关键技术,对加密流量的检测具有较强的指导意义。     

自相似混合业务流的网络性能研究

针对传统业务流量模型的网络性能结论不能完全适用于多路自相似业务混合流量的智能电力通信网络,首先介绍基于分形布朗运动的单一自相似业务流模型,接着分析多路输入自相似业务的合成流量模型,然后研究多路输入自相似流的网络性能,最后给出智能电力通信网中4类通信业务的QoS要求,其中通信业务的QoS要求和多路输入自相似混合流的网络性能计算,可为智能电力通信网的进一步研究提供参考。     

分布式隐蔽流量异常的多尺度空间检测

分布式异常流量（如DDoS等）分布式地存在于网络多条链路中,且单条链路的流量异常特征不明显,检测具有很大的难度。丈中提出一种分布式隐蔽异常流量的多尺度空间检测方法,可在网络中的骨干结点上进行早期检测,该方法对骨干网络结点上直接可得的多条链路流量分别进行多尺度小波包分析,找到不同时段下的异常频段,获取该时段下的多个异常重构信号,再从空间上通过核密度估计评估这些信号构成的高维空间点在该时段下的异常程度,作为检测依据。美国教育骨干网实际流量数据和合成的分布式异常流量检测结果表明：文中方法能取得比现有方法更好的检测结果。     

A MANET‐based semantic traffic management framework for ubiquitous public safety networks

A global trend toward large scale emergencies has placed an emphasis on the achievement of a ubiquitous public safety network. Such a network may be realized over a mobile ad hoc network formed by the handheld mobile devices. Therefore, traffic in the network can be user generated and thus semantic. Unfortunately, none of the traffic management techniques proposed for the underlying network considers the semantic properties of the generated traffic. Therefore, in this paper, we propose a semantic traffic management framework which has two modules: traffic monitoring unit and traffic reduction unit. Although the first module analyzes the semantic traffic to detect an emergency, the latter module removes redundant semantic information for traffic reduction. We have supported the feasibility of the proposed semantic framework through simulation. Simulation results suggest that the framework is capable of accurate and early detection of an emergency as well as traffic reduction while keeping sufficient information to report the emergency. Copyright © 2012 John Wiley & Sons, Ltd.     

AN EFFECTIVE MODEL TO EVALUATE BLOCKING PROBABILITY OF TIME-SLOTTED OPTICAL BURST SWITCHED NETWORKS

Time-slotted optical burst switched network is a potential technique to support IP over Wavelength Division Multiplexing （WDM） by introduce Time Division Multiplexing （TDM） channel to Optical Burst Switching （OBS） technology. This paper presents a framework to evaluate blocking performance of time-slotted OBS networks with multi-fiber wavelength channels. The proposed model is efficient for not only single class traffic such as individual circuit switch traffics or best-effort traffics but also mixed multi-class traffics. The effectiveness of the proposed model is validated by simulation results. The study shows that blocking performance of multi-fiber TS-OBS network is acceptable for future Internet services.     

大数据环境下的入侵检测系统框架

入侵检测技术在现代网络安全防护技术中占有重要地位,但面对现代大数据环境,传统的入侵检测技术面对瓶颈,很难在大数据量的情况下,做出及时准确的判断分析。简要介绍了现有的Hadoop、Spark等主要大数据软件,并在传统的入侵检测技术的基础上,结合现有的大数据技术,给出了在大数据环境下的入侵检测技术框架。从网络拓扑图的角度,描述了整个网络环境,然后以模块化、流程化的方式,分别详细的描述了流量采集模块、检测分析流程、入侵检测软件栈、报警模块等大数据环境下入侵检测系统的构成部分。最终以此构建了大数据环境下的入侵检测系统。     

一种基于改进YOLOv5s-Ghost网络的交通标志识别方法

针对目前自动驾驶过程中对交通标志的识别检测速度慢的问题,提出一种改进的YOLOv5s-Ghost网络模型对交通标志进行识别的方法,在3×3运算核Ghost Net模型框架下,通过两个连续的Ghost模块构建的Ghost Bottleneck模块,并代替C3模块中全部的Bottleneck模块,与跨阶段局部网络(cross-stage position network, CSPNet)模块结合生成Ghost Bottleneck CSP模块。通过调整每个模块中加入Ghost Bottleneck模块的数量,对比实验数据得到最佳网络模型。分别用原网络和新网络对TT100K数据集进行训练,对比实验数据表明,YOLOv5s-Ghost模型的检测精度达95.1%,检测速度达到了52.6 FPS,模型大小压缩了69.3%,在保证原检测精度的情况下提高了网络的检测速度。     

基于神经网络的异常检测

本文针对流量异常,提出了一种使用神经网络的检测方法。在仔细分析网络流量异常的基础上,提取流量特征数据,经预处理后供优化的BP神经网络分析,可准确检测出流量异常。测试结果表明,该模型对流量异常的检测有较高的准确性。     

A Robust Analytical Model of Mobile IP Handoff with Multiple Traffic Profiles

Mobile IP has been developed to provide the continuous information network access to mobile users. The performance of Mobile IP mobility management scheme is dependent on traffic characteristics and user mobility. Consequently, it is important to assess this performance in-depth through these factors. This paper introduces a novel analytical model of handoff management in mobile IP networks. The proposed model focuses on the effect the traffic types and their frame error rates on the handoff latency. It is derived based on general distribution of both successful transmission attempts and the residence time to be applicable in all cases of traffic characteristics and user mobility. The impact of the behavior of wireless connection, cell residence time, probability distribution of transmission time and the handoff time is investigated. Numerical results are obtained and presented for both TCP and UDP traffics. As expected, the reliability of TCP leads to higher handoff latency than UDP traffic. It is shown that, higher values of FER increase the probability of erroneous packet transfer across the link layer. A short retransmission time leads to end the connection most likely in the existing FA; however a long retransmission time leads to a large delivery time. The proposed model is robust in the sense that it covers the impact of all the effective parameters and can be easily extended to any distribution.     

话务量若干问题的探讨

话务量是话务理论中的一个重要基本概念。经典话务理论已对电路群的流入话务量和完成话务量给出明确的定义。但是由它衍生的一些相关的话务量，如损失话务量，重复话务量等，现有的话务理论没有给出明确的定义。因此，在电信网管理、规划、设计以及话务量统计分析过程中，有关人员常对这些话务量的概念及其计算方法感到不易理解，并在实际应用过程造成了许多困难。本文将试图对这些概念作出科学的定义，并给出其相应的计算方法。     

主动网络流水印技术研究进展

在匿名网络环境下通信双方关系确认、僵尸网络控制者追踪、中间跳板主机发现等方面,以被动网络流量分析（passive traffic analysis）为核心的传统入侵检测与流关联技术存在空间开销大、实时性差、识别率低、灵活性欠佳、难以应对加密流量等明显缺点。而将主动网络流量分析与数字水印思想相融合的主动网络流水印（ANFW, active network flow watermark）技术能有效克服传统被动网络流量分析方法的不足,已引起了国内外学者的广泛关注。首先阐述了ANFW机制的通用模型,总结了ANFW技术的分类及所涉及的角色关系;其次,详细综述了近年来提出的多种典型的基于不同网络流特征的ANFW技术,并进行对比性总结;最后,概述了当前ANFW技术自身安全威胁及应对措施现状,展望了其未来的研究方向。