基于网络流量分析的入侵检测技术的研究

本文介绍了入侵检测系统的概念、分类和常用的入侵分析技术,对常见的引起流量异常的原因进行了简单的介绍,并设计了一种使用时间序列分析的网络流量异常检测的实时入侵检测系统原型,用于监测局域网的网络流量。该流量异常检测系统能够对整个局域网或者一些核心服务器和主机的异常流量进行识别和判断。     

介质访问控制层拒绝服务攻击的入侵检测系统

针对无线局域网安全防护手段的不足,结合无线局域网介质访问控制层拒绝服务攻击的特点,设计了基于支持向量机算法的入侵检测系统。该系统利用支持向量机分类准确性高的特点,构建支持向量机最优分类超平面和分类判决函数,对网络流量进行分类识别,完成对异常流量的检测。在OPNET平台下进行无线局域网环境入侵检测仿真,仿真结果表明,该系统能有效地检测出针对无线局域网介质访问控制层的拒绝服务攻击。     

一种动态的入侵检测系统负载均衡算法

目前的入侵检测不仅需要模式匹配，而且需要协议异常检测，提出了一种新动态的负载均衡算法,采用两层结构，对网络流量按照服务类型进行初步划分之后分别对每部分流量进行二次分配，并对每种类型的流量进行相应的协议异常检测。该算法能在不牺牲系统性能的前提下有效提高网络入侵检测系统的检测效率，降低误检率，并可有效地适应网络流量的变化，降低漏检率。     

基于网络流量的入侵检测研究

首先给出计算机网络正常和异常的概念,接着介绍入侵检测中的误用检测和异常检测。然后对网络流量中的主要入侵检测方法进行介绍。最后基于网络流量的特点,简单介绍了网络流量在入侵检测中的发展趋势和主要研究方向。     

基于日志的网络背景流量模拟仿真

入侵检测系统（IDS）的开发与评估需要一个仿真的网络环境，网络流量模拟仿真技术是其中关键技术之一．在详细分析了网络流量的模拟仿真技术及其相关软件基础上，设计并实现了一种基于日志的网络背景流量模拟仿真软件，解决了入侵检测系统测试中的攻击类型定义和背景流量问题，并使用谊软件模拟真实的网络环境对入侵检测系统进行测试分析，实验结果表明，基于日志的网络背景流量仿真软件能够在日志信息的基础上以不同速度动态回放网络流量仿真数据，并能够对日志数据进行修改．增加了对入侵检测系统测试的灵活性．     

基于EKM-AE模型的无监督主机入侵检测方法

针对深度学习方法运用于入侵检测时需要大量标注数据集和难以实时检测的缺陷,利用网络流量中正常数据多于异常数据的一般规律,提出一种结合集成K-means聚类和自编码器的EKM-AE(ensemble K-means and autoencoder)入侵检测方法.首先通过集成K-means聚类从实时抓取的网络流量中得出正常样例,用于训练自编码器,然后由完成训练的自编码器执行入侵检测.在虚拟局域网主机环境下进行了入侵检测实验,结果表明,在绝大多数实际应用场景(正常流量多于异常流量)下该方法具有良好的检测性能,且具有全过程无监督、可实时在线检测的优点,对主机网络安全有良好的提升作用.     

入侵检测系统评估技术研究

随着对入侵检测技术的深入研究和入侵检测产品的广泛应用，对入侵检测系统的评估技术的研究成为一个重要的研究领域．介绍了入侵检测评估的相关工作，讨论了对入侵检测系统进行评估时的主要评价指标，提出了一个入侵检测系统的评估系统．评估系统由主控模块统一控制，主控模块分别对流量控制模块和攻击模拟模块进行调度．对评估环境中所有的数据进行记录，作为评估模块的输入．该系统实现了网络流量和主机使用模拟、攻击模拟以及评估报告的生成等功能。     

基于深度学习的网络流量异常预测方法

针对网络入侵检测系统（NIDS）能够检测当前系统中存在的网络安全事件,但由于自身的高误报率和识别安全事件产生的时延,无法提前对网络安全事件进行准确率较高的预警功能,严重制约了NIDS的实际应用和未来发展的问题,提出了基于深度学习的网络流量异常预测方法。该方法提出了一种结合深度学习算法中长短期记忆网络和卷积神经网络的预测模型,能够训练得到网络流量数据的时空特征,实现预测下一时段网络流量特征变化和网络安全事件分类识别,为NIDS实现网络安全事件的预警功能提供了方法分析。实验通过使用设计好的神经网络框架对入侵检测系统流量数据集CICIDS2017进行了训练和性能测试,在该方法下流量分类的误报率下降到0.26%,总体准确率达到了99.57%,流量特征预测模型R2的最佳效果达到了0.762。     

基于模糊C均值算法的入侵检测方法

聚类分析是一种有效的异常入侵检测方法,可用以在网络数据集中区分正常流量和异常流量。采用模糊C均值聚类算法对网络流量样本集进行划分,从中区分正常流量和异常流量,并针对入侵检测问题的特性提出了聚类中心确定方法。最后,利用KDD99数据集进行实验,证明该算法能够有效地发现异常流量。     

基于分层抽样算法的异常攻击流量检测

在高速互联网应用中,海量数据无法逐包检测分析,异常攻击流量也不易被识别。为解决该问题,利用泊松帕累托突发过程的经典流量模型对网络流量自相似特性进行分析,将网络流量分为长流与短流,并根据数据流到达时间的抽样比增量进行分层抽样,由此实现异常攻击流量的检测。在基于数据报文级检测的snort异常入侵检测系统上对该方法进行仿真实验,结果证明其能有效缩小异常攻击数据范围,快速准度地检测出攻击。     

一种基于随机森林算法的MQTT异常流量检测方法

工业物联网系统所面临的网络安全威胁随着物联网技术的广泛应用日益增加,信息安全问题已成为其发展过程中的一大挑战。MQTT（Message Queuing Telemetry Transport）协议是物联网通信的主流协议,基于该协议的物联网通信安全研究是当前研究的热点话题。传统的流量识别技术如深度包检测无法有效地识别符合包格式的异常流量,而基于机器学习理论的异常流量识别技术则表现出很好的效果。对此提出一种基于随机森林算法的MQTT异常流量检测方法,实现整体高于90%的MQTT异常流量识别准确度,与其他常用分类模型相比拥有更好的识别效果。     

软件定义网络中的异常流量检测研究进展

软件定义网络(software defined networking,简称SDN)是一种新型的网络架构.SDN将控制层从数据层分离并开放网络接口,以实现网络集中控制并提高网络的可扩展性和编程性.但是SDN也面临诸多的网络安全威胁.异常流量检测技术可以保护网络安全,防御恶意流量攻击.对SDN异常流量检测进行了全面的研究,归纳了数据平面和控制平面可能遭受到的网络攻击;介绍并分析了位于应用平面、控制平面和中间平台的异常流量检测框架;探讨了异常流量识别机制、负载均衡机制、异常流量追溯机制和异常缓解机制;最后指明SDN异常流量检测在未来工作中的研究方向.     

一种防御DDoS攻击的集成方法

防御DDoS攻击是网络安全的一个重要研究领域，在该领域已有许多方法，例如：源端检测，地址跟踪，数据包分类，流量检测。但是，每种方法都有它的特点和应用局限。文章运用分级防御的思想提出了一种集成方法。“集成”的意思是指把若干体系的方法集成在一起，使其成为一个新的功能更强的防御体系。该防御系统具有可靠性高、响应速度快、对合法数据包影响小等特点。     

基于小波的网络流量异常分析与仿真

网络流量异常检测及分析是网络及安全管理领域的重要研究内容,文章根据网络流量的信号特性和自相似性,利用小波变换局部放大能力及Hurst和李氏指数的变化与网络流量异常的对应关系,提出了一种基于小波分析的网络流量异常检测与定位方法。根据自相似指数的值在大时间尺度上来判定异常发生,并进一步在小时间尺度下基于李氏指数与信号奇异性的对应关系来分析并定位异常点。此方法通过DipSIF平台所采集的数据进行仿真验证,可有效地检测网络函：量异常并定位异常发生点,与传统方法相比,异常检测的有效率更高。     

基于熵的网络异常流量检测研究综述

网络流量异常检测及分析作为一种重要的网络监管控制手段,是网络及安全管理领域的重要研究内容.本文探讨了网络异常流量的种类,简述了基于传统的异常检测方法在网络异常流量检测中的应用以及存在的问题.针对基于信息熵、相对熵、活跃熵等熵值理论在网络异常流量检测中的研究,阐述了基于熵值理论的异常检测在国内外的研究进展情况.总结了当前基于熵值理论的异常检测研究工作中存在的问题及改进方向.     

校园网流量异常检测与处理方法

随着校园网日益规模化和复杂化,校园网安全威胁越来越严重,因网络攻击等因素导致网络流量异常时有发生,流量异常检测与处理显得日益重要.本文对校园网络中流量异常进行分类,分析产生各种流量异常的原因,并提出相应的检测与处理方法;针对目前网络攻击异常处理方法存在的不足,从确保校园用户正常业务不受任何影响的前提出发,设计出一种校园...     

基于PKI的网络边界安全监控方法

针对网络边界安全防御的需求和特点,提出一种基于PKI技术的网络边界安全监控方法。该方法结合基于PKI的身份认证机制、入侵检测技术与VPN技术,通过对网络流量和系统日志的关联分析,能够在实时发现入侵行为的同时,准确定位入侵来源并实时阻断攻击,相比通用的特征检测和异常检测方法具有更强的准确性和可用性。