基于模糊相对熵的网络异常流量检测方法研究

基于模糊相对熵的网络异常流量检测方法可以在缺乏历史流量数据的情况下,通过对网络流量特征进行假设检验,实现对网络异常行为的检测发现。通过搭建模拟实验环境,设计测试用例对基于模糊相对熵的网络异常流量检测方法进行多测度测试验证,结果表明该方法在设定合理模糊相对熵阈值的情况下检测率可达84.36%,具有良好的检测效率。     

基于时间序列图挖掘的网络流量异常检测

网络流量异常检测要解决的核心问题之一是获得信息的全面性和流量信息描述的准确性.针对现有网络异常流量检测方法分析多时间序列的不足,提出了一种基于图挖掘的流量异常检测方法.该方法使用时间序列图准确、全面地描述用于流量异常检测的多时间序列的相互关系;通过对项集模式进行支持度计数,挖掘各种频繁项集模式,有利于对各种异常流量的有效检测;通过挖掘各项集之间的关系,引入了项集的权重系数,解决了流量异常检测的多时间序列相互关系的量化问题.仿真结果表明,该方法能有效地检测出网络流量异常,并且对DDos攻击的检测效果明显优于基于连续小波变换的检测方法.     

基于Agent的分布式入侵检测系统模型

提出了一个基于Agent的分布式入侵检测系统模型框架.该模型提供了基于网络和基于主机入 侵检测部件的接口,为不同Agent的相互协作提供了条件.在分布式环境中,按照系统和网络的 异常使用模式的不同特征和环境差异,可利用不同的Agent进行检测,各Agent相互协作,检测 异常行为.该模型是一个开放的系统模型,具有很好的可扩充性,易于加入新的协作主机和入 侵检测Agent,也易于扩充新的入侵检测模式.它采用没有中心控制模块的并行Agent检测模式 ,各Agent之间的协作是通过它们之间的通信来完成的,各Ag     

基于多维聚类挖掘的异常检测方法研究

网络异常检测是网络管理中非常重要的课题,因此已在近年来得到广泛研究.人们在该领域提出了许多先进的网络流量异常检测方法,但是自动准确地对网络流量进行分类和识别来发现网络中的异常流量仍然是一个非常具有挑战性的问题.文中提出了一种基于多维聚类挖掘的异常检测方法,通过两个阶段来实现异常检测.第一阶段先通过多维聚类挖掘算法,自动对网络中的流量进行多维聚类,第二阶段通过计算多维聚类的异常度来实现异常检测.通过文中的方法,网络中的异常流量被自动归类到不同的有意义的聚类中,通过对这些聚类进行分析可以发现网络中的异常行为.最后通过实验对算法进行了验证,结果表明该方法能够有效检测网络中的异常流量.     

基于系统调用和数据挖掘的程序行为异常检测

异常检测是目前入侵检测研究的主要方向之一。该文提出一种新的程序行为异常检测方法,主要用于Linux或Unix平台上以系统调用为审计数据的入侵检测系统。该方法利用数据挖掘技术中的序列模式对特权程序的正常行为进行建模,根据系统调用序列的支持度和可信度在训练数据中提取正常模式。在检测阶段,通过序列模式匹配对被监测程序的行为异常程度进行分析,提供两种可选的判决方案。实验结果表明,该方法具有良好的检测性能。     

基于机器学习的网络异常流量分析检测系统的研究与设计

当前网络安全问题已成为网络世界的重要课题,如何有效的检测和响应则成为一项重大挑战。实际上,为保持超前于高级网络安全威胁的发展,网络检测、响应和取证解决方案必须要综合多种方法,本文通过研究和设计一种网络异常流量分析检测系统,主要将机器学习的方法应用在网络异常流量分析检测,实现对网络异常流量的有效分析和高准确率检测,从而达到洞悉网络中的恶意活动,并将可疑行为匹配到确认的威胁,提高对网络异常流量的检测目的。     

基于抽样测量的高速网络实时异常检测模型

实时异常检测是目前网络安全的研究热点.基于大规模网络流量的统计特征,寻找能够评价网络行为的稳定测度,并建立抽样测量模型.基于中心极限理论和假设检验理论,建立网络流量异常行为实时检测模型.最后定义ICMP请求报文和应答报文之间比率的网络行为测度,并实现对CERNET网络ICMP扫描攻击的实时检测.该方法和思路对其他网络安全检测研究具有一定的指导意义.     

一种IDS报警可信性增强方案*

提高IDS（入侵检测系统）报警的可信性是IDS的根本目标。从理论上分析了可信问题产生的原因,给出了其形式化描述,提出了一种多IDS协同工作提高检测可信度的方法,并证明了该方法可以应用于各种不同IDS的协同工作中（基于误用、异常及异常与误用相结合的IDS）。多检测系统结果融合时采用推进Bayesian分类方法,给出了其模型和具体算法。实验分析表明,该方法与其他同类算法相比,降低了系统的漏报率和误报率,增强了报警的可信度。     

基于相对熵理论的多测度网络异常检测方法

检测率低、误报率高和检测攻击范围不够全面已经成为制约网络异常检测发展的最大障碍,为了提高检测率,降低误报率,扩大检测攻击范围,提出了一种新的网络异常检测方法。首先,对网络流量进行统计分析并引入相对熵理论来表征测度对应的全概率事件;然后,通过加权系数融合多个测度相对熵而得到加权相对熵;最终,以综合的多测度加权相对熵作为网络异常判断的依据。实验数据采用DARPA1999测评数据集,实验结果表明该方法在低误报率的前提下,达到了较高的检测率。     

基于模糊数据挖掘和遗传算法的网络入侵检测技术

文章通过开发一套新的网络入侵检测系统来证实应用模糊逻辑和遗传算法的数据挖掘技术的有效性;这个系统联合了基于模糊数据挖掘技术的异常检测和基于专家系统的滥用检测,在开发异常检测的部分时,利用模糊数据挖掘技术来从正常的行为存储模式中寻找差异,遗传算法用来调整模糊隶属函数和选择一个合适的特征集合,滥用检测部分用于寻找先前行为描述模式,这种模式很可能预示着入侵,网络的通信量和系统的审计数据被用做两个元件的输入;此系统的系统结构既支持异常检测又支持滥用检测、既适用于个人工作站又可以适用于复杂网络。     

基于模糊序列模式挖掘的网络异常检测

序列模式挖掘技术在网络入侵检测中极具应用潜力。该文将模糊序列模式挖掘引入网络异常检测,构建了基于模糊序列模式挖掘的网络异常检测模型,介绍了模型中的主要工作流程。     

基于深度学习的网络流量异常识别与检测

针对传统的工控网络流量数据在复杂网络环境下特征维度高,特征处理复杂度高,模型检测效率低等问题,本文使用了一种基于随机森林(random forest, RF)和长短期记忆网络(long short-term memory, LSTM)结合的流量异常识别与检测方法.首先使用随机森林算法计算流量特征的重要度评分,筛选出重要特征,剔除冗余特征,然后使用LSTM进行异常流量的识别与检测.为了评估模型的有效性与优越性,本文使用准确率、精确率、召回率和F1-score进行模型评价,并与传统的机器学习方法 Naive Bayes、QDA、KNN算法进行对比.实验结果表明,在公开数据集CIC-IDS-2017中,异常流量识别的总体准确率达99%.与传统的机器学习算法相比,该方法有效地提高了复杂网络环境下异常检测的准确性和效率,在工业控制网络安全和异常检测方面具有实际应用价值.     

一种云平台可信性分析模型建立方法

如何使得用户信任云服务提供商及其云平台是云计算普及的关键因素之一,针对目前云平台可信性所包含的内容与分析评价依据尚不完善的现状,且缺乏从理论层次对于云平台的部分可信属性进行分析与评估方法的问题,首先对云平台的可信性进行定义,并结合国内外相关云安全标准与可信性规范以及我们自己的理解,明确了云平台可信性的子属性与具体分析内容,从而明确本文提出模型的适用范围、分析目的以及依据.在此基础上,提出模型建立方法,方法以标记变迁系统作为操作语义描述工具,从云平台内部组件交互过程出发,将平台对外提供服务过程刻画为用户与云的交互以及云平台内部实体间的交互,并利用模型分析检测工具Kronos从可用、可靠、安全等多个角度对平台内部状态变化过程进行分析,分析结果不但能够发现已知的可信性问题,还发现了一些未知的隐患,说明了模型建立方法的有效性,并为如何评价云平台的可信性进而构建可信云提供了理论支撑.     

基于LSTM-OCSVM的无人机传感器数据异常检测

无人机是一种典型的依靠通信和控制系统实现自主飞行的信息物理系统,在安全性和可靠性方面引起了广泛的关注.本文考虑无人机传感器易受网络攻击问题,充分利用数据的时间相关性,提出了针对无人机传感器数据的异常检测模型.首先采用LSTM神经网络对传感器数据进行预测,再将预测值与实际值做差,并将差值输入LSTM分类器进行训练得到包含正样本的超平面,最后计算测试数据到超平面的距离函数值,根据其正负判定异常与否.并且,选择了合适的滑动窗口,在保证异常检测准确率的同时,缩短LSTM神经网络的训练时长.通过仿真实验,验证了该异常检测模型的可行性和有效性.     

生成对抗网络在数据异常检测中的研究

针对许多检测模型受到数据不平衡和异常数据的复杂性等因素影响问题,提出一种以生成对抗网络(gener-ative adversarial network,GAN)为基础的数据异常检测方法.该方法利用InfoGAN网络训练生成正常数据和异常数据,构造一个推理神经网络作为生成数据与原始数据的标签生成器,之后利用第二个GAN网...     

基于混合神经网络的异常信息流检测模型

针对传统的异常信息流检测方法的不足,设计了一个异常信息流检测模型,该模型采用了神经网络中的决策树算法对信息流进行归纳分类,采用信息增益作为分类属性选择标准来构造规则决策树,针对网络流量进行分析,能提高检测速度。开辟了一条检测异常信息流的新途径。     

会话属性优化的网络异常检测模型

网络异常检测模型的检测性能在很大程度上依赖于网络会话属性,因网络会话属性在本质上刻画了网络行为模式。基于假设验证的实验分析手段,采用Tcpdump网络数据包作为实验数据源,在将数据包解析成具有基本属性的网络会话记录基础上,提出了一组简洁和精确的会话属性组合模式。实验结果表明,优化后的会话属性组合模式确实能够有效地提高网络异常检测模型‘对未知攻击的检测能力,采用基本属性、全部属性和任意部分属性训练检测模型,并不能获得良好的检测效果。     

用于视频异常检测的时序多尺度自编码器

视频异常检测是指识别不符合预期行为的事件.当前许多方法利用重构误差来检测异常,由于深度神经网络的强大能力可能会重构出异常行为,这与异常行为重构误差较大的假设不符.而利用预测未来帧的方法进行异常检测取得了很好的效果,但这些方法大多未考虑正常样本的多样性,或不能建立视频连续帧之间的关联.为了解决该问题,提出了一种时序多尺度...     

一种基于深度Encoder-Decoder神经网络的智能电网数据服务器流量异常检测算法

传统的网络流量异常检测通常基于单一原始特征变量进行阈值判断,或者对多个相关变量进行降维设计统计量后进行阈值判断,这类方法虽然简单,但无法应对变量间非线性关系随时间变化的情况。本文设计一种能够自适应动态逼近变量间非线性关系的深度神经网络,在普通的Encoder-Decoder神经网络的基础上引入2层注意力机制,提高了神经网络对长期历史信息的利用程度,实现了流量正常状态估计。基于估计得到的流量正常行为,分析其与实测值的残差分布情况,并最终给出置信区间作为判别异常行为的控制限。     

流量测量的关键技术分析与研究*

流量测量在流量计费、网络资源优化和异常检测等方面有广泛的应用。针对传统的流量测量模型缺乏可扩展性的缺点,提出了一种适用于高速网络的可扩展的流量测量模型。该模型采用报文分批处理的思想引入了两级缓冲区结构,使得缓存报文和流量统计两个过程同时进行。基于此模型,抽象了流量测量的两大关键技术,即流量抽样测量技术和概要数据结构。运用此模型进行高速网络的流量测量,不仅会降低资源的需求、提高分析的速度,而且还不会失去准确性。