网络流量识别的自适应分级滑动窗决策树算法

针对网络流量存在概念漂移、不同应用类型数据流偏态分布等特性, 提出了基于Hoeffding决策树的自适应分级滑动窗决策树的网络流量识别算法。该算法根据节点信息增益率检测概念漂移、动态调整概念漂移检测窗口及不同类型训练样本集窗口, 实现对不同速率概念漂移的自适应分类和决策树更新。实验结果显示新算法对劣势频繁漂移的应用类型的识别准确率与batch C4. 5算法接近, 比CVFDT算法提高约20%, 可以获得更加均衡的不同应用类型分类准确度。     

一种联合DPI和DFI的网络流量检测方法

提出一种以深度包检测(DPI)技术为主、深度流检测(DFI)技术为辅的网络流量检测方法。基于MPC8572网络处理器的模式匹配引擎模块,利用DPI实现细粒度检测,对于DPI的误识别情况,通过DFI进行鉴别并提示重新检测,以达到纠错目的。实验结果表明,联合方法具有检错和纠错功能,且能提高网络流量检测的准确率。     

GBDT与LR融合模型在加密流量识别中的应用

随着网络应用服务类型的多样化以及网络流量加密技术的不断发展,加密流量识别已经成为网络安全领域的一个重大挑战。传统的流量识别技术如深度包检测无法有效地识别加密流量,而基于机器学习理论的加密流量识别技术则表现出很好的效果。因此,本文提出一种融合梯度提升决策树算法(GBDT)与逻辑回归(LR)算法的加密流量分类模型,使用贝叶斯优化(BO)算法进行超参数调整,利用与时间相关的流特征对普通加密流量与VPN加密流量进行识别,实现了整体高于90%的流量识别准确度,与其他常用分类模型相比拥有更好的识别效果。     

网络背景流量的分类与识别研究综述

互联网流量分类是识别网络应用和分类相应流量的过程,这被认为是现代网络管理和安全系统中最基本的功能。与应用相关的流量分类是网络安全的基础技术。传统的流量分类方法包括基于端口的预测方法和基于有效载荷的深度检测方法。在目前的网络环境下,传统的方法存在一些实际问题,如动态端口和加密应用,因此采用基于流量统计特征的机器学习（ML）技术来进行流量分类识别。机器学习可以利用提供的流量数据进行集中自动搜索,并描述有用的结构模式,这有助于智能地进行流量分类。起初使用朴素贝叶斯方法进行网络流量分类的识别和分类,对特定流量进行实验时,表现较好,准确度可达90%以上,但对点对点传输网络流量（P2P）等流量识别准确度仅能达到50%左右。然后有使用支持向量机（SVM）和神经网络（NN）等方法,神经网络方法使整体网络流量的分类准确度能达到80%以上。多项研究结果表明,对于多种机器学习方法的使用和后续的改进,很好地提高了流量分类的准确性。     

基于n-gram多特征的流量载荷类型分类方法

精确有效的网络流量分类技术对提高网络服务质量、优化网络带宽分配、加强网络安全管理以及网络相关研究具有重要意义。目前,网络流量分类技术主要按照应用类型或者协议类型对网络流量分类,不能够对未知流量和加密流量进行分析和识别。因此提出一种基于n-gram多特征的流量载荷类型分类方法来实现对网络数据包中传输内容的类型的识别,即将流量按照其载荷类型分为文本、音频、视频、图片、可执行文件、压缩加密七类。首先利用阈值筛选出高频连续子串集合,进而在该集合上提取多样化的特征来刻画连续子串的频数分布,最后基于C 4.5决策树对流量载荷类型进行准确分类。实验验证表明,在仅使用每条流1 KB数据的情况下,分类载荷类型的平均准确率和平均召回率分别达到了92.7%和91.9%,与基于熵值的分类方法相比,平均准确率和平均召回率分别提高近10.8%和12.1%。     

基于流相关性的网络流量分类

网络流量分类技术对网络安全管理起着非常重要的作用。随着网络和信息技术的发展,传统的基于端口号和深度包检测分类方法的局限性愈发明显,不能对现有的流量进行准确分类。提出一种基于流相关性的半监督网络流量分类算法,并使用MDL-CON高斯混合模型作为聚类模型,通过聚类过程中利用流之间的相关性提高模型的准确度。采用MDL准则解决了高斯混合模型需要人为预先设定类簇数目和高度依赖于初始值的问题。实验结果表明,利用该方法来处理流量分类问题可取得理想的分类效果。     

网络未知攻击检测的深度学习方法

为了实现入侵检测系统对未知攻击类型的检测,提出基于深度学习的网络异常检测方法。利用置信度神经网络,对已知类型流量和未知攻击流量进行自适应判别。基于深度神经网络,制定置信度估计方法评估模型分类结果,训练模型面向已知类型流量时输出高置信度值,识别到未知攻击流量时输出低置信度值,从而实现对未知攻击网络流量的检测,并设计自适应损失平衡策略和基于学习自动机的动态正则化策略优化异常检测模型。在网络异常检测UNSW-NB15和CICIDS 2017数据集上进行仿真实验,评估模型效果。结果表明,该方法实现了未知攻击流量的有效检测,并提高了已知类型流量的分类效果,从而增强了入侵检测系统的综合性能。     

增强的Netflow数据采集系统设计与实现

基于端口号进行网络流量分析的Netflow技术无法准确地回答网络流分别由哪些应用协议组成及其比例等问题,也不能提供web用户行为数据来反映用户对大多数网站的访问情况。为改进上述缺陷,提出一种增强的Netflow数据采集系统。结合flow和深度包检测技术进行精确的应用协议识别,对web用户行为数据进行采集与动态存储,为网络流量监测与分析提供全面的数据支撑,设计并实现该系统,验证了其有效性和可行性。     

面向SSL VPN加密流量的识别方法

SSL VPN流量常常被一些非法应用利用,来绕过防火墙等安全设施的检测。因此,对SSL VPN加密流量的有效识别对网络信息安全具有重要意义。针对此,提出了一种基于Bit级DPI和深度学习的SSL VPN加密流量识别方法,所提方法分为两个步骤：利用Bit级DPI指纹生成技术识别SSL流量,缩小识别范围;再利用基于注意力机制的改进的CNN网络流量识别模型识别SSL VPN流量。该方法不仅有效解决了传统SSL加密流量指纹识别方法存在的漏识别率较高的问题,同时改进后的深度学习模型能提取网络流量中具有非常显著性的细粒度的特征,从而更加有效地捕捉网络流量中存在的依赖性。实验结果表明,该方法较现有的模型对SSL VPN加密流量的识别效果提高了6%以上。     

基于深度学习的网络流量异常预测方法

针对网络入侵检测系统（NIDS）能够检测当前系统中存在的网络安全事件,但由于自身的高误报率和识别安全事件产生的时延,无法提前对网络安全事件进行准确率较高的预警功能,严重制约了NIDS的实际应用和未来发展的问题,提出了基于深度学习的网络流量异常预测方法。该方法提出了一种结合深度学习算法中长短期记忆网络和卷积神经网络的预测模型,能够训练得到网络流量数据的时空特征,实现预测下一时段网络流量特征变化和网络安全事件分类识别,为NIDS实现网络安全事件的预警功能提供了方法分析。实验通过使用设计好的神经网络框架对入侵检测系统流量数据集CICIDS2017进行了训练和性能测试,在该方法下流量分类的误报率下降到0.26%,总体准确率达到了99.57%,流量特征预测模型R2的最佳效果达到了0.762。     

基于位置信息的非结构化overlay匹配方法研究*

在非结构化overlay中,由于底层物理网络和overlay的拓扑失配问题,产生了大量冗余网络负载。为了降低负载,提出了基于位置信息的方法动态构造overlay。通过分布部署用于维护已加入网络的节点信息的infoNode,在不引入较大冗余网络负载的情况下,能够较好地解决拓扑失配问题。实验表明,基于网络测量的方法能显著降低网络负载和查询响应时间。     

基于NDN的区块链网络服务质量保障方法

针对传统区块链网络难以满足不同应用场景差异化服务质量（QoS）需求的问题,提出一种基于命名数据网络的区块链网络QoS保障方法。从实时性角度对交易和区块进行分类,为交易和区块设计新的命名空间。为不同类型的区块链数据创建各自的数据传播结构,以缓解流量的集中化程度。针对不同应用场景对实时性的要求,采用差异化路由机制对交易和区块进行排队转发。实验结果表明,该方法能够有效提高区块链网络的信息传输效率,减少网络中的冗余流量,其网内流量相比基于TCP的区块链网络约下降24%。     

基于多特征融合的Webshell恶意流量检测方法

Webshell是针对Web应用系统进行持久化控制的最常用恶意后门程序,对Web服务器安全运行造成巨大威胁。对于 Webshell 检测的方法大多通过对整个请求包数据进行训练,该方法对网页型 Webshell 识别效果较差,且模型训练效率较低。针对上述问题,提出了一种基于多特征融合的Webshell恶意流量检测方法,该方法以Webshell的数据包元信息、数据包载荷内容以及流量访问行为3个维度信息为特征,结合领域知识,从3个不同维度对数据流中的请求和响应包进行特征提取;并对提取特征进行信息融合,形成可以在不同攻击类型进行检测的判别模型。实验结果表明,与以往研究方法相比,所提方法在正常、恶意流量的二分类上精确率得到较大提升,可达99.25%;训练效率和检测效率也得到了显著提升,训练时间和检测时间分别下降95.73%和86.14%。     

面向拓扑聚焦的网络流量模拟方法

为降低复杂网络模拟的计算开销,保证网络流量中数据包模拟的真实性,提出了一种面向拓扑聚焦的网络流量模拟方法。根据网络流量中数据包的路由路径所在区域,将数据包分为三种类型,对于每种类型的数据包采用不同的模拟方法。基于网络拓扑的实验表明,该方法适用于复杂网络的模拟,保证数据包模拟的真实性。     

基于混合深度学习的多类型低速率DDoS攻击检测方法

低速率分布式拒绝服务攻击针对网络协议自适应机制中的漏洞实施攻击,对网络服务质量造成了巨大威胁,具有隐蔽性强、攻击速率低和周期性的特点.现有检测方法存在检测类型单一和识别精度低的问题,因此提出了一种基于混合深度学习的多类型低速率DDoS攻击检测方法.模拟不同类型的低速率DDoS攻击和5G环境下不同场景的正常流量,在网络入...     

基于5G切片和优先级的流量隔离性能研究

随着基于3GPP标准的关键任务(MC)移动宽带技术的部署,可为公共保护和救灾提供宽带通信能力。常见方法是在公共移动网络上提供MC服务和商业流量（CO）,并使用优先级机制来保护拥塞情况下的MC连接。然而,这种方法在特定单元中的MC流量激增前,商业流量不受保护,因为所有资源都将被分配来服务于这种流量。在此背景下,提出了一种稳定性较好的多路MC和具有拥塞保护的商业服务的解决方案,该解决方案是基于5G网络切片特性。本文主要描述了在结合优先级的基础上如何在5G无线电接入网(RAN)中参数化不同的切片以及支持无线电资源分配的底层无线电资源管理(RRM)功能的操作从而为每种类型的服务建立无线电负载保证。通过MATLAB仿真结果表明与仅依赖于优先级化机制的解决方案相比,本次采用的切片配置方法在流量隔离方面得到了改进,为不同类型的服务提供了可靠保障。     

一种面向软件定义移动自组网的拓扑发现方法

移动自组网在传统的分布式组网方式下难以满足复杂的业务需求对网络QoS及安全性的高要求,基于SDN的移动自组网架构(SD-MANET)的提出为解决该问题提供了有效的解决思路。在SD-MANET中,拓扑发现是控制器进行流量调度与安全性控制的前提。本文提出一种面向SD-MANET的拓扑发现方法,其主要思想是：利用连通支配集算法生成骨干网络,由骨干节点将局部拓扑信息通过上行通路上报给SDN控制器,控制器根据收集到的邻接信息计算出全网拓扑。本文方法通过限制向控制器上报局部拓扑信息的节点数量来降低拓扑信息收集过程中产生的额外开销。仿真结果表明,该方法能够准确地生成并维护网络拓扑,且具有较小的控制开销。     

基于聚类信息和对称非负矩阵分解的链路预测模型研究

现有的大部分基于非负矩阵分解的链路预测方法仅考虑网络拓扑结构信息而忽略节点与链接聚类信息.针对此问题,提出一个融合聚类信息的对称非负矩阵分解的链路预测模型.首先,该模型利用对称非负矩阵分解去捕获网络节点相似度信息;其次,使用基于Jaccard的节点和链接聚类系数去保持网络局部结构信息;最后,启用拉格朗日乘法规则去学习模型参数.在六个真实无向无权和四个加权网络上的实验结果表明,该方法在两种不同类型网络预测精确度分别提升了1.6％和8.9％.     

基于双层复杂网络的城市交通网络协同优化方法

针对城市交通网络中旅客在公共交通出行路径选择时面临的地铁与公交双层网络在换乘衔接协同中存在的部分换乘站点之间距离过远、衔接导向不明确、局部换乘供需不平衡等问题，提出基于双层复杂网络的城市交通网络协同优化方法。首先，采用逻辑网络拓扑方法对城市交通网络进行拓扑，并基于复杂网络理论建立地铁-公交双层网络模型。然后，以换乘车站为研究对象，提出一种基于K-shell分解法和中心性权重分配的节点重要度评价方法，对大规模网络中的地铁、公交车站进行粗粒度和细粒度划分和识别，并在此基础上提出一种相互激励的双层城市交通网络协同优化方法，即在双层网络结构优化中引入复杂网络理论中对于网络拓扑中节点重要度的识别和筛选方法，通过对路径选择中高集聚效应的识别和有利节点的定位更新双层网络结构以优化现有网络的车站布局和衔接关系。最后，将提出的方法应用于成都市地铁-公交网络，优化了现有网络结构，得到了现有网络的最佳优化节点位置和优化数量，并且通过相关指标系统验证了该方法的有效性。实验结果表明，采用该方法优化32次后的网络全局效率达到最优，和平均最短路径的优化效果分别为15.89%、16.97%，旅客换乘行为提升57.44个百分点；优化方法对旅行成本在8000~12000 m的可达性影响最明显，优化效果平均达到23.44%；同时引入双层网络速度比和单位交通成本比，突出了不同运营状况下交通网络对协同优化过程的反应和敏感度的不同。