Granger因果关系时空图推理的群体行为分析

因果关系普遍存在于群体交互行为中,体现出主动体行为对被动体行为的有向影响.因果关系检测的难点在于交互双方的行为具有复杂的时间动态性.现有方法使用循环神经网络,来描述交互关系的时间变化特性,并使用时间注意力机制,来描述时间依赖关系.上述方法忽视了对多人依赖关系的分析,难以区分交互双方中的主动行为者和被动行为者.本文设计了一种基于Granger因果关系的时空图推理模型,来学习交互双方的主动和被动关系.为了实现Granger因果关系检测,该模型对单个个体时序特征进行自回归建模,来描述行为对个体自己的依赖.该模型对两个个体时序特征进行相关回归建模,来描述行为对两个个体的依赖.该模型通过比较自回归误差和相关回归误差,当自回归误差明显大于相关回归误差,则说明相关个体改变了另一方个体的行为特征,从而检测出相关个体为主动个体,另一方为被动个体.相关回归模型考虑了多种时间延迟量的两个个体的时序特征序列,用于学习两个个体之间行为的时间延迟量.该时间延迟量用于将主动个体时间特征与被动个体时间特征进行对齐.时间对齐后的主动个体特征提供了被动个体的时间和空间上下文特征,并与被动个体特征进行通道级的融合.为了充分...     

基于变动和式累积检验算法的DDoS攻击检测

在SYN Flooding攻击检测中,为了检测算法能够实时快速准确地完成检测功能,在异常发生时能够在最短时间内发出警告,同时又必须保证警告结果的准确.根据网络TCP通信业务中SYN数据包与FIN(RST)数据包流量的变化特点,利用变动和式累积检验算法PCUSUM建立检测系统,对归一化后的SYN包与FIN(RST)包差值进行实时监控,检测网络流量异常.检测过程中,算法不需要建立正常业务和攻击行为的详细模型,仿真结果表明,在保持相同检测准确度情况下,算法对SYN Flooding攻击具有较短的报警时间,提高了检测系统的性能.     

无线网络中的攻击检测技术研究

分析了无线网络的脆弱性、需要进行攻击检测的原因以及不能直接应用目前已有方法的原因，并提出了无线网络中的攻击检测与应用机制。     

基于Granger因果关系的多变量时间序列预测模型

时间序列数据包含内在的时序结构,而传统的针对多变量时间序列的预测方法没有考虑变量序列的历史观察值的影响。为此,提出一种基于Granger因果关系挖掘的多变量时间序列预测模型。通过选择有效的因变量并加入其滞后观测期来提高支持向量回归对目标序列的预测,同时也提供了较好的因果解释性。理论推导和实验结果表明,该方法不仅能获得比传统方法更精确的预测效果,而且减少了参与运算的变量时间序列。     

基于GMDH因果关系的软件缺陷预测模型

软件缺陷预测是软件可靠性研究的一个重要方向。基于自组织数据挖掘(GMDH)网络与因果关系检验理论提出了一种软件缺陷预测模型,借鉴Granger检验思想,利用GMDH网络选择与软件失效具有因果关系的度量指标,建立软件缺陷预测模型。该方法从复杂系统建模角度研究软件度量指标与软件缺陷之间的因果关系,可以检验多变量之间在非线性意义上的因果关系。最后基于两组真实软件失效数据集,将所提出的方法与基于Granger因果检验的软件缺陷预测模型进行比较分析。结果表明,基于GMDH因果关系的软件缺陷预测模型比Granger因果检验方法具有更为显著的预测效果。     

拒绝服务攻击检测与防御研究

本文分析了常见的拒绝服务攻击的检测方法：基于流量的检测、基于源IP地址的检测和基于数据包属性的检测，并讨论了几种检测机制的优缺点。对于拒绝服务攻击的防御，着重分析了基于出口过滤的防御机制、基于数据包危险度的流量控制和IP回溯机制。     

入侵检测系统攻击特征库的设计与实现

攻击特征库是基于误用的入侵检测系统的重要组成部分.本文主要介绍了入侵检测系统攻击特征库的设计思想和实现过程,运用Snort规则语言描述了规则库设计,规划了规则库的结构,并对规则解析进行了阐述.     

向量自回归模型Granger因果图的条件互信息辨识与应用

Grangerl因果性是衡量系统变量间动态关系的重要依据．传统的两变量Grangerl因果分析法容易产生伪因果关系,且不能刻画变量间的即时因果性．本文利用图模型方法研究时间序列变量间的Grangerl因果关系,建立了时间序列Granger因果图,提出Grangerl因果图的条件互信息辨识方法,利用混沌理论中的关联积分估计条件互信息,统计量的显著性由置换检验确定．仿真结果证实了方法的有效性,并利用该方法研究了空气污染指标以及中国股市间的Grangerl因果关系．     

基于系统状态集合的攻击模型及其应用

为了评价系统的安全状况,对可能发生的攻击行为进行预警,提出了一种基于系统状态集合的攻击模型,使用系统状态的集合对系统的安全威胁进行抽象,并将攻击过程描述为系统状态集合的改变。同时还描述了一种利用此攻击模型进行攻击检测和预警的方法。基于该模型,实现了一个安全预警的原型系统。实验结果表明该系统能够有效检测攻击过程,并预测出系统可能达到的危险等级。     

一种面向检测的攻击分类方法及在IDS中的应用

对攻击进行分类,可以使攻击检测系统化,有助于构造高效的检测方法,从而改善IDS的性能。该文提出一种以IDS可直接收集的数据为基础、面向检测的攻击分类方法。进而将该方法应用于所有可在IDS网络数据源中检测出的攻击,提出DetectClass分类方法,用Z语言描述并证明其正确性;接着据此构造相应的检测方法。基于DetectClass攻击分类方法,设计开发原型系统DC-NIDS。     

融合先验约束的拓扑霍克斯过程格兰杰因果发现算法

离散时序数据的格兰杰因果关系发现算法具有重要应用价值。现有方法主要采用霍克斯过程建模,无法适用于非独立同分布数据和带有时间误差的数据。为此,提出了一种融合先验约束的拓扑霍克斯过程格兰杰因果关系发现算法（PTHP）。首先,使用基于约束的方法筛选出一批显著性水平较高的因果边,提升算法对故障发生时间误差的容忍性;随后,将上一步获取的边作为先验约束融合到拓扑霍克斯过程中,解决序列间的非独立同分布问题。模拟数据和真实数据的实验证明了该方法的有效性,并获得了PCIC 2021因果推理大赛第一名。     

DDoS攻击检测综述

结合DDoS攻击检测方法的最新研究情况,对DDoS攻击检测技术进行系统分析和研究,对不同检测方法进行比较,讨论了当前该领域存在的问题及今后研究的方向。     

基于平衡消息数的SIP DoS攻击检测插件的设计

随着SIP协议的广泛应用,协议自身的安全问题逐渐显露出来,尤其以DoS攻击最为严重。旨在研究SIP的DoS攻击检测机制,给出了基于平衡消息数的SIP DoS攻击检测原理,实现了一种SIP DoS攻击检测插件,最后对插件性能进行了仿真与测试分析。     

基于可编程协议无关报文处理的分布式拒绝服务攻击检测

传统软件定义网络（SDN）中的分布式拒绝服务（DDoS）攻击检测方法需要控制平面与数据平面进行频繁通信,这会导致显著的开销和延迟,而目前可编程数据平面由于语法无法实现复杂检测算法,难以保证较高检测效率。针对上述问题,提出了一种基于可编程协议无关报文处理（P4）可编程数据平面的DDoS攻击检测方法。首先,利用基于P4改进的信息熵进行初检,判断是否有可疑流量发生;然后再利用P4提取特征只需微秒级时长的优势,提取可疑流量的六元组特征导入数据标准化—深度神经网络（data standardization-deep neural network,DS-DNN）复检模块,判断其是否为DDoS攻击流量;最后,模拟真实环境对该方法的各项评估指标进行测试。实验结果表明,该方法能够较好地检测SDN环境下的DDoS攻击,在保证较高检测率与准确率的同时,有效降低了误报率,并将检测时长缩短至毫秒级别。     

SDN中基于MS-KNN算法的LFA攻击检测方法

针对一种新型的DDoS攻击—链路泛洪攻击（link-flooding attack,LFA）难以检测的问题,提出了SDN中基于MS-KNN（mean shift-K-nearestneighbor）方法的LFA检测方法。首先通过搭建SDN实验平台,模拟LFA并构建LFA数据集;然后利用改进的加权欧氏距离均值漂移（mean shift,MS）算法对LFA数据集进行分类;最后利用K近邻（K-nearestneighbor,KNN）算法判断分类结果中是否具有LFA数据。实验结果表明,相较于KNN算法,利用MS-KNN不仅得到了更高的准确率,同时也得到了更低的假阳性率。     

基于本体的Web服务攻击检测技术研究

Web服务在给基于异构平台的应用集成带来极大便利的同时,各核心组件也面临着被恶意攻击的威胁。目前,主要依靠入侵检测系统(IDS)来检测这些攻击,但是分布在网络中的IDS往往是由不同的厂商或组织开发的,没有用于交换知识的可被共同理解的词汇集,难以交互和协作,工作效率低且很难抵御多层次、分布式攻击。提出了一种基于本体和Web本体标准语言（OWL）的Web服务攻击分类和描述方法,通过构建Web服务攻击本体以提供不同IDS共同理解的词汇集。在此基础上,设计了一种基于Web服务攻击本体库的入侵检测系统(O-IDS),能有效弥补现有IDS难以交互的不足,提高对多层次、分布式攻击的检测能力。     

SDN环境下基于BP神经网络的DDoS攻击检测方法*

软件定义网络是一种全新的网络架构,集中控制是其主要优势,但若受到DDoS 攻击则会造成信息不可达,也容易造成单点失效。为了有效的识别DDoS攻击,提出了一种SDN环境下基于BP神经网络的DDoS攻击检测方法：该方法获取OpenFlow交换机的流表项,分析SDN环境下DDoS攻击特性,提取出与攻击相关的流表匹配成功率、流表项速率等六个重要特征;通过分析六个相关特征值的变化,采用BP神经网络算法对训练样本进行分类,实现对DDoS攻击的检测。实验结果表明,该方法在有效提高识别率的同时,降低了检测时间。通过在软件定义网络环境中的部署,验证了该方法的有效性。     

基于SVM的VANET黑洞攻击检测方法

车载自组网（ VANET）在遭受黑洞攻击时会丢失数据分组,影响网络正常通信。提出了针对黑洞攻击的特征向量选择方法,建立了正常情况和黑洞攻击情况下的车队仿真模型,并采用支持向量机（ SVM）的方法对VANET进行黑洞入侵检测。仿真结果表明：对于非源、目的节点以及攻击节点,采用该检测方法时都能够保持较高的检测率和较低的误检率,达到了基于单个节点通信数据判断当前 VANET是否遭受黑洞攻击的较好效果。     

基于软件定义物联网的分布式拒绝服务攻击检测方法

由于物联网（IoT）设备众多、分布广泛且所处环境复杂,相较于传统网络更容易遭受分布式拒绝服务（DDoS）攻击,针对这一问题提出了一种在软件定义物联网（SD-IoT）架构下基于均分取值区间长度-K均值（ELVR-Kmeans）算法的DDoS攻击检测方法。首先,利用SD-IoT控制器的集中控制特性通过获取OpenFlow交换机的流表,分析SD-IoT环境下DDoS攻击流量的特性,提取出与DDoS攻击相关的七元组特征;然后,使用ELVR-Kmeans算法对所获取的流表进行分类,以检测是否有DDoS攻击发生;最后,搭建仿真实验环境,对该方法的检测率、准确率和错误率进行测试。实验结果表明,该方法能够较好地检测SD-IoT环境中的DDoS攻击,检测率和准确率分别达到96.43%和98.71%,错误率为1.29%。