基于隐马尔可夫模型的网络入侵检测方法

介绍了基于隐马尔可夫模型的网络入侵检测系统的检测方法,并且建立了两个隐马尔可夫模型,通过对数据包的分析,得出系统的检测结果.实验数据表明,该方法能有效地提高异常检测效率,对入侵检测具有重要价值.     

基于入侵检测技术的校园网络安全系统设计

文章分析了校园网络安全系统的构建需求及设计目标,基于入侵检测技术设计了校园网络安全系统的框架和校园网络安全系统的4个子系统。设计运用了入侵检测技术及防火墙技术,能够在网络数据流量较高时精准提取异常数据包,并及时检测异常行为,有效防御SYN Flooding攻击,保障校园网络安全系统安全稳定运行。     

基于t-SNE降维预处理的网络流量异常检测

网络流量中大多数流量都是正常的,但经常会出现偏离正常范围的异常流量,主要由DDOS攻击、渗透攻击等恶意的网络行为引起,这些异常行为通常会导致网络质量下降,甚至网络直接瘫痪。因此引入网络安全态势的预测,在仅知道正常网络流量的情况下判断网络中的异常。异常检测是一种网络安全态势的预测方法,用来判断网络中是否有异常。现有的异常检测算法由于无法准确提取网络数据包的低维特征导致算法的性能不佳,因此,需要找到网络数据包的准确的低维特征表示,该低维特征表示能够区分网络数据包是正常的还是有攻击的。为此,本文引入基于t-SNE降维的NLOF异常检测算法。该算法采用t-SNE算法自动预处理网络数据包以获得低维的网络数据包特征,之后将得到的低维的网络数据包特征作为NLOF算法的输入进行异常检测。其中,本文的NLOF算法首先采用k-means算法将网络数据包聚类成为K个簇,并将网络数据包数量小于N个的簇标记为异常簇,之后将未被标记为异常簇的网络数据包作为LOF算法的输入进行异常检测。在ISCX2012数据集上的实验结果表明,基于t-SNE降维的LOF算法达到最优性能时,准确率为98.46%,精确度为98.38%,检测率为98.54%,FAR为0.66%。该算法比基于现有最新算法的准确率、检测率和F1分别高3.18个百分点、0.02个百分点和0.01个百分点。基于t-SNE降维的NLOF算法达到最优性能时,准确率为98.53%,精确度为98.86%,检测率为98.86%,FAR为0.32%。该算法比基于现有最新算法的准确率、检测率和F1分别高3.25个百分点、0.34个百分点和0.41个百分点。这是异常检测中首次采用t-SNE算法自动提取低维的网络数据包特征。此外,LOF算法仅能捕获异常点,而本文的NLOF算法能够同时捕获异常点和异常簇。     

基于多核的入侵防御系统的设计与实现

为了基于多核网络处理器设计高性能入侵防御系统,提出一个易扩展的利于性能最大化的软件方案.给出了基于多核处理器OCTEON Plus CN5860的实现.用该处理器的SSO单元进行基于流的数据包分发,各核运行相同的简单代码循环,采用轮询方式从SSO单元获得数据包.初始化时按照最大页表配置好TLB,避免TLB缺失引起的性能损失.测试数据表明,该方案的核之间取得了较充分的并行化,性能随着核数量的增加而线性增长.     

基于多维聚类挖掘的异常检测方法研究

网络异常检测是网络管理中非常重要的课题,因此已在近年来得到广泛研究.人们在该领域提出了许多先进的网络流量异常检测方法,但是自动准确地对网络流量进行分类和识别来发现网络中的异常流量仍然是一个非常具有挑战性的问题.文中提出了一种基于多维聚类挖掘的异常检测方法,通过两个阶段来实现异常检测.第一阶段先通过多维聚类挖掘算法,自动对网络中的流量进行多维聚类,第二阶段通过计算多维聚类的异常度来实现异常检测.通过文中的方法,网络中的异常流量被自动归类到不同的有意义的聚类中,通过对这些聚类进行分析可以发现网络中的异常行为.最后通过实验对算法进行了验证,结果表明该方法能够有效检测网络中的异常流量.     

基于低秩分解的网络异常检测综述

异常检测对于网络管理与安全至关重要.国内外大量研究提出了一系列网络异常检测方法,其中大多数方法更关注数据包及其独立时序数据流的分析、检测与告警,这类方法仅仅利用了网络数据之间的时间相关性,无法检测新类型的网络异常,且难以定位以及剔除异常数据.为了解决上述问题,相关研究融合多时间序列数据流,提出基于低秩分解的网络异常检测方法.该方法充分利用网络数据之间的时间-空间相关性,无监督地定位异常数据所在位置,同时将异常数据剔除,从而还原网络正常数据.首先,根据其对正常数据与异常数据的不同类型约束,将基于低秩分解的异常检测方法分为4类,并介绍每一类方法的基本思想和优缺点;然后,探讨现有基于低秩分解的异常检测方法存在的挑战;最后,对未来可能的发展趋势进行了展望.     

基于融合学习的无监督多维时间序列异常检测

随着多云时代的到来，云际智能运维能够提前检测处理云平台的故障，从而确保其高可用性.由于云系统的复杂性，运维数据在数据局部性和数据全局性上呈现出多样的时间依赖和维度间依赖，这给多维时间序列异常检测带来很大的挑战.然而，现有的多维时间序列异常检测方法大多是从正常时序数据中学习到特征表示并基于重构误差或预测误差检测异常，这些方法无法同时捕获多维时间序列在局部性和全局性上的信息依赖，从而导致异常检测效果差.针对上述问题，提出了一种基于融合学习的无监督多维时间序列异常检测方法，同时对多维时间序列的数据局部特征和数据全局特征进行建模，得到更加丰富的时序重构信息，并基于重构误差检测异常.具体地，通过在时域卷积网络中引入自注意力机制使得模型在构建局部关联性的同时更加关注数据全局特征，并在时域卷积模块和自注意力模块间加入信息共享机制实现信息融合，从而能够更好地对多维时序的正常模式进行重构.在多个多维时间序列真实数据集上的实验结果表明，相较于之前的多维时间序列异常检测，提出的方法在F1分数上提升了高达0.0882.     

基于免疫聚类的入侵检测研究

现代网络中用户的行为以及网络结构不断发生变化,因而需要大量已标记的样本数据,用以动态更新入侵检测模式。但是通过手工方式标记学习数据集非常耗时,因此基于标记数据集的检测模型就越来越难以满足实际应用的需要,本文提出了一种使用无标记数据集的基于免疫聚类的异常检测算法,该方法可直接用于检测入侵行为,也可作为建立入侵检测模型的中间步骤,用来提高入侵检测系统的适应性和部署效率。     

无线多跳网络多维异常数据动态隔离仿真

针对无线多跳网络会出现多维异常数据,导致网络无法正常运行问题,提出一种基于相似度统计检测的多维异常数据动态隔离方法.通过相似度统计算法对多维异常数据检测,获取其特征分布情况;利用粗过滤方法对多维异常数据做特征提取,从而获得完整的异常数据特征和线路区段特征信息;根据无线多跳网络运行轨迹为DG多边形,融合当前的网络拓扑构架来搜索特征开断开关,从而切断多维异常数据的位置节点,达到无线多跳网络多维异常数据动态隔离的目的 .仿真结果证明,文中方法能够快速的对多维异常数据进行隔离,并且在运行过程中数据完整度高,吞吐率大,隔离效果好.     

一种半监督联合模型下的异常流量检测算法

网络异常通常表现在多维特征中,而当前检测方法局限于一维特征或者多维特征的简单组合,使系统检测率低、误报率高.同时,有监督学习需要大量训练数据,而无监督学习准确率不足.因此,本文提出半监督联合模型(Semi-Supervised Combination,SMC)对数据的多维特征进行检测,通过解决非线性优化问题使联合过程信息损失最小化,较好地处理了噪声与孤立点.半监督学习方式利用少量已标记数据使模型更准确.本文以模糊C均值聚类(Fuzzy C-Means,FCM)作为基本检测器,经过实验验证,在目标误报率下基于SMC模型的异常检测算法的准确率比单个基本检测器提高了10％到20％.