基于分层抽样算法的异常攻击流量检测

在高速互联网应用中,海量数据无法逐包检测分析,异常攻击流量也不易被识别。为解决该问题,利用泊松帕累托突发过程的经典流量模型对网络流量自相似特性进行分析,将网络流量分为长流与短流,并根据数据流到达时间的抽样比增量进行分层抽样,由此实现异常攻击流量的检测。在基于数据报文级检测的snort异常入侵检测系统上对该方法进行仿真实验,结果证明其能有效缩小异常攻击数据范围,快速准度地检测出攻击。     

基于大数据的网络恶意攻击信息识别技术研究

传统网络恶意攻击信息识别技术的检测率较低,为此提出基于大数据的网络恶意攻击信息识别技术,研究根据源节点的特征,建立网络恶意攻击机制,通过网络恶意攻击黑名单中统计的恶意范畴,对网络恶意攻击进行信息识别。由此,完成基于大数据的网络恶意攻击信息识别技术的研究。实验中,对比两种信息识别技术的检测率。实验结果表明,基于大数据的网络恶意攻击信息识别技术的检测率更高。     

基于改进的滑动平均滤波器的DDoS攻击检测

本文通过对网络流量统计的分析,提出了一种基于滑动平均滤波器的DDoS攻击检测方法。该方法不同于以往单一根据网络流量的突变或根据攻击对流量分布的影响来分析DDOS攻击的方法,而是通过运用滑动平均滤波技术将两者综合考虑。该方法即适合引起网络流量突变的攻击,又适合发现大流量背景下攻击流量并没有引起整个网络流量显著变化的攻击。因此适合于各种规模的网络流量的异常检测。另外,详细给出了对检测成功率和误报率起着至关重要作用的阀值范围。     

基于统计特征的SYN Flood检测方法

SYN Flood是当前最流行的拒绝服务(DoS)与分布式拒绝服务(DDoS)攻击方式。从构造一个SYN攻击报文的角度分析,SYN Flood攻击会引起网络中基于IP地址、标志位、端口号、序列号的统计特征异常,因此提出一种基于统计特征的SYN Flood攻击检测的方法。该方法首先从半连接队列中获取半连接信息,从全连接队列中获取IP地址存入BloomFilter中,再分别提取其统计特征,最后使用LMBP神经网络得到检测结果。实验结果表明该算法与其他算法相比具有更好的检测效果。     

一种基于改进的滑动平均滤波器的DDoS攻击检测

本文通过对网络流量统计的分析,提出了一种基于滑动平均滤波器的DDoS攻击检测方法.该方法不同于以往单一根据网络流量的突变或根据攻击对流量分布的影响来分析DDOS攻击的方法,而是通过运用滑动平均滤波技术将两者综合考虑.该方法即适合引起网络流量突变的攻击,又适合发现大流量背景下攻击流量并没有引起整个网络流量显著变化的攻击.因此适合于各种规模的网络流量的异常检测.另外,详细给出了对检测成功率和误报率起着至关重要作用的阀值范围.     

基于抽样测量的高速网络实时异常检测模型

实时异常检测是目前网络安全的研究热点.基于大规模网络流量的统计特征,寻找能够评价网络行为的稳定测度,并建立抽样测量模型.基于中心极限理论和假设检验理论,建立网络流量异常行为实时检测模型.最后定义ICMP请求报文和应答报文之间比率的网络行为测度,并实现对CERNET网络ICMP扫描攻击的实时检测.该方法和思路对其他网络安全检测研究具有一定的指导意义.     

基于 HMM的分布式拒绝服务攻击检测方法

在分布式拒绝服务（DDoS）攻击时，网络中数据包的统计特征会显示出异常．检测这种异常是一项重要的任务．一些检测方法基于数据包速率的假设，然而这种假设在一些情况下是不合理的．另一些方法基于IP地址和数据报长度的统计特征，但这些方法在IP地址欺骗攻击时检测率急剧下降．提出了一种基于隐马尔可夫模型（HMM）的DDoS异常检测方法．该方法集成了4种不同的检测模型以对付不同类型的攻击．通过从数据包中提取TCP标志位，UDP端口和ICMP类型及代码等属性信息建立相应的TCP，UDP和ICMP的隐马尔可夫模型，用于描述正常情况下网络数据包序列的统计特征．然后用它来检测网络数据包序列，判断是否有DDoS攻击．实验结果显示该方法与其他同类方法相比通用性更好、检测率更高．     

新息序列驱动的无人机控制系统数据攻击检测

伴随物联网和自主系统的不断发展,信息物理系统的网络安全备受关注.无人机是一种典型的依靠通信和控制系统实现自主飞行的智能装置,其安全性尤为突出.本文针对无人机的状态估计算法,考虑其传感器和控制指令受到数据攻击,提出基于扩展卡尔曼滤波的新息序列状态估计检测方法.首先建立无人机信息物理模型,引入状态估计算法和数据攻击模型.然后,利用新息序列构造标量检测统计量用于数据攻击检测,并针对飞行器机动造成的状态跳变引入负无穷范数,用以降低数据攻击检测的误检率.最后,通过仿真实验验证所提出的检测方法能有效检测不同威胁模式下和状态下无人控制系统的数据攻击.     

一种基于攻击图的高级持续威胁检测方法北大核心CSCD

针对传统入侵检测工具无法检测高级持续威胁(Advanced Persistent Threat,APT)攻击和威胁警报疲劳问题,文章提出一种基于攻击图的APT检测方法 ADBAG(APT Detection Based on Attack Graph),该方法根据网络拓扑、漏洞报告等信息生成攻击图,并利用攻击图对攻击者行为进行预先分析,有效解决了威胁警报疲劳问题。文章结合ATT&CK(Adversarial Tactics,Techniques and Common Knowledge)模型和APT攻击三相检测模型,设计了一种缺失路径匹配评分算法,从攻击全局角度分析和检测APT攻击。同时,设计了基于灰名单的多攻击实体关联方法,以保证生成的APT攻击证据链的准确性。在公开数据集上进行实验,实验结果表明,ADBAG可以有效检测APT攻击,并能够检测基于零日漏洞的APT攻击,进一步定位攻击影响范围。     

网络隐写信息传递系统的高效攻击检测

在网络隐写信息的攻击检测中,为了保护数据的隐私,需要加入大量伪装隐私对数据本质特征进行隐藏,使得被攻击后的攻击特征也被覆盖,导致特征淡化.传统的攻击检测几乎都是对固定攻击特征进行检测,无法检测隐写信息的安全.提出利用多层次加权模型的网络隐写信息传递系统攻击检测方法.搜索网络隐写信息传递中的可能攻击事件,针对搜集的攻击事件进行建模,获取信息隐藏状态下,遭受攻击的衡量标准,建立网络隐写信息传递系统攻击数据集合,得到攻击检测模型,实现网络隐写信息传递系统的攻击检测.实验结果表明,利用改进算法进行网络隐写信息传递系统的攻击检测,能够提高检测的准确性.     

一种业务流自适应尽力采样方法

基于业务流的网络流量监测是网络管理、运维、实现基于业务的计费、流量工程等的重要手段．精确、高效的采样技术是实现高速网络流量业务流监测分析的重要技术．基于分段采样思想提出一种尽力最优的自适应随机采样方法，实现特大业务流的精确估计，其中把监测系统本身的处理能力作为选择采样概率的参数．实验结果显示算法能够很好地调节采样概率，使得采样包速率基本等于预先设定的监测系统的处理能力．     

基于NetFlow的特征感知自适应的流采样方法

采样是网络异常检测中数据采集的主要方法。而网络流的持续时间、数据包的大小、异常流量出现的频率等都在不断变化,给准确的采样带来很多负面的影响。为此,提出了特征感知的自适应采样技术,在流量特征不断变化的情况下可以自动调整采样率,并将它和随机采样技术、选择采样技术进行比较,研究了这些采样技术在网络行为分析系统中保留网络特征的能力,实验结果表明此方法在保留网络特征和异常检测质量评估中,明显优于其他方法。     

高速采样下含网络攻击的信息物理系统$H_/H_infty$故障检测

研究高速采样情况下,含有网络攻击的信息物理系统多目标故障检测问题.考虑系统同时存在时变时延、执行器网络攻击和传感器网络攻击,基于Delta算子对上述系统进行离散化处理,建立在高速采样的条件下,故障与攻击并存的离散时间模型.构造H＿/H_∞故障检测滤波器,使系统具有对随机扰动的鲁棒性,且具有对检测信号的高灵敏性.采用Lyapunov-Krasovskii泛函和线性矩阵不等式的方法,提出系统具有渐近稳定性以及H＿/H_∞性能的充分条件.仿真结果验证了所提方法的可行性和有效性.     

基于多子带信号采样和小波变换的宽带频谱感知*

在GHz级宽带信号频谱感知中,如果直接采样此宽带信号,其所需采样速率太高,超过现有的模数转换器指标;确切估计出主信号所占频段,可以进一步提高频谱利用率;因此本文基于调制宽带转换系统（MWC）,提出一种基于多子带信号采样和小波变换的宽带频谱感知方法。首先利用MWC实现宽带信号的低速率采样,得到子带信号;然后提出一种噪声功率及检测门限估计方法,再利用能量检测法实现对非噪声子带的频谱感知;最后利用小波变换对信号子带进行频谱边缘检测,以确定主用户信号占用频段的确切位置信息。仿真结果验证了本文所提出的宽带频谱感知方法的可行性和有效性。     

基于冲激雷达的运动体目标检测算法

针对冲激雷达脱靶量测量中的检测问题，提出了一种新的时域多门限信号检测算法。根据冲激雷达的特点，首先采用距离门等效采样方法对运动体目标回波采样，并在此基础上，利用多门限对各距离门采样信号进行散射点回波的检测，进而通过各散射点回波平均功率的求取实现对各散射点回波的识别，从而解决了后续数据处理中信号检测精度过低和散射点无法识别的问题。仿真结果表明该算法可得到满意的检测结果。     

Query Size Estimation for Joins Using Systematic Sampling

We propose a new approach to the estimation of query result sizes for join queries. The technique, which we have called systematic sampling—SYSSMP, is a novel variant of the sampling-based approach. A key novelty of the systematic sampling is that it exploits the sortedness of data; the result of this is that the sample relation obtained well represents the underlying frequency distribution of the join attribute in the original relation.We first develop a theoretical foundation for systematic sampling which suggests that the method gives a more representative sample than the traditional simple random sampling. Subsequent experimental analysis on a range of synthetic relations confirms that the quality of sample relations yielded by systematic sampling is higher than those produced by the traditional simple random sampling.To ensure that sample relations produced by systematic sampling indeed assist in computing more accurate query result sizes, we compare systematic sampling with the most efficient simple random sampling called t_cross using a variety of relation configurations. The results obtained validate that systematic sampling uses the same amount of sampling but still provides more accurate query result sizes than t_cross. Furthermore, the extra sampling cost incurred by the use of systematic sampling pays off in a cheaper query execution cost at run-time.     

应用五株采样提升算法的抗盲检测图像隐写算法

在分析图像盲检测算法原理的基础上,提出了一种在形态小波高频系数上进行消息嵌入的抗盲检测隐写算法.该算法利用五株采样提升实现图像的小波变换,在大于一定门限的小波高频系数中嵌入消息,并通过建立的嵌入信息表来修正嵌入规则以保持小波系数直方图近似不变,在门限处引入直方图调整策略以减小系数直方图在门限处的变化.由于通用盲检测算法大多基于概率密度函数的变化实现图像隐写的检测,因此本文算法可以获得对通用盲检测算法的抵抗能力.实验结果表明,本文算法在抵抗小波高阶统计量分析、直方图特征函数质心等盲检测算法能力方面,优于LSB匹配、像素值差分等隐写算法.     

离散曲面的近似Poisson盘采样

Poisson盘采样作为计算机图形学的一个重要课题,在重网格化、过程纹理、物体分布、光照计算等方面都有重要应用.虽然最近几年对于2维平面Poisson盘采样的研究比较密集,但是直接对于2维流形表面上的Poisson盘采样的研究却比较少.在本文中,我们提出了一种可以直接在Mesh表面生成近似Poisson盘分布的方法.此方法实现简单,同时可以通过简单修改适用于保特征的采样和自适应采样.文中引入了张量投票的方法来实现特征识别和自适应采样半径的计算,并给出了采样后的重网格化结果,作为此算法的一个后期应用.通过大量实例表明,本文方法快速、鲁棒、适用广泛.