基于日志的网络背景流量模拟仿真

入侵检测系统（IDS）的开发与评估需要一个仿真的网络环境，网络流量模拟仿真技术是其中关键技术之一．在详细分析了网络流量的模拟仿真技术及其相关软件基础上，设计并实现了一种基于日志的网络背景流量模拟仿真软件，解决了入侵检测系统测试中的攻击类型定义和背景流量问题，并使用谊软件模拟真实的网络环境对入侵检测系统进行测试分析，实验结果表明，基于日志的网络背景流量仿真软件能够在日志信息的基础上以不同速度动态回放网络流量仿真数据，并能够对日志数据进行修改．增加了对入侵检测系统测试的灵活性．     

基于Hurst参数评估的网络异常检测方法的研究

真实的网络流量普遍存在统计上的自相似性,因此传统的基于泊松过程和马尔科夫模型等已不能反映实际测量的流量.针对传统检测方法存在的问题,将基于Hurst参数评估应用到DoS攻击检测中,由H参数变化来检测DoS攻击.通过分析DARPA 1998入侵检测数据表明,基于该法的Hurst参数评估能够检测到DoS攻击,此法比传统的基于特征匹配的网络流量异常检测法在检测精度上有较大提高.     

基于局域网的入侵检测系统测试平台设计与实现

介绍了入侵检测系统(IDS)测试评估的主要内容和评估指标,对IDS评估环境中的网络流量仿真、主机使用仿真和网络攻击仿真等几个关键技术问题进行了深入分析,讨论了IDS测试评估的环境配置,提出了IDS测试评估环境的硬件平台和软件平台的技术实现,提出了基于局域网构建IDS测试平台的步骤及实现技术,对测试评估中存在的一些问题作了相应的讨论,给出了解决办法.     

基于自回归滑动平均的网络数据流量预测模型

在无线网络中,对入侵攻击的准确和迅速的检测是关系到无线网络安全的重要问题。各种入侵攻击可以由其导致的网络流量的变化来检测。针对网络流量复杂的非线性以及混沌性,结合网络流量的时间序列特性,提出了一种基于自回归滑动平均(ARMA)的网络数据流量预测模型。该模型利用第三方检测系统,不需要耗费网络资源,能够迅速和准确地预测网络流量。采用从16个信道分析器获得的数据流量测量值对模型进行了初始化。仿真实验结果表明,文中提出的模型能够有效地检测网络入侵攻击,提高了整个网络的性能,延长了网络的寿命。     

入侵检测系统评估技术述评

随着对入侵检测技术的深入研究和入侵检测产品的广泛应用，对入侵检测系统的评估成为一个重要的研究领域。本文说明了对入侵检测系统进行评估时的主要评价指标，包括入侵检测系统的检测率和误报、检测范围、检测延迟与负荷能力等方面。介绍了入侵检测评估的相关工作。分析了在1999年DARPA的离线评估中，所使用的测试网络环境和评估模型，并对其进行了评价。讨论了在对检测系统进行评估中的网络流量和主机使用模拟、攻击模拟以及评估报告的生成等关键技术。     

网络未知攻击检测的深度学习方法

为了实现入侵检测系统对未知攻击类型的检测,提出基于深度学习的网络异常检测方法。利用置信度神经网络,对已知类型流量和未知攻击流量进行自适应判别。基于深度神经网络,制定置信度估计方法评估模型分类结果,训练模型面向已知类型流量时输出高置信度值,识别到未知攻击流量时输出低置信度值,从而实现对未知攻击网络流量的检测,并设计自适应损失平衡策略和基于学习自动机的动态正则化策略优化异常检测模型。在网络异常检测UNSW-NB15和CICIDS 2017数据集上进行仿真实验,评估模型效果。结果表明,该方法实现了未知攻击流量的有效检测,并提高了已知类型流量的分类效果,从而增强了入侵检测系统的综合性能。     

基于OpenFlow的虚拟机流量检测系统的设计与实现

云平台下的虚拟机在物理机内部交互流量,而不通过防火墙等安全组件。针对这类流量无法在网络边界被获取并检测的问题,分析了OpenFlow技术的原理,提出了一种基于OpenFlow技术将虚拟机流量重定向到入侵检测系统进行检测的方案。方案使用OpenFlow虚拟交换机和控制器替代传统交换机,然后基于OpenFlow技术控制流量转发过程,将其导向外部的安全组件进行处理,并构建了由虚拟交换机、控制单元、入侵检测和系统配置管理4个模块组成的流量检测系统。实验结果表明,系统能够在满足虚拟机网络正常使用的前提下,将待监管流量导向入侵检测系统进行处理,而且能够同时提供交换机级及虚拟机级两种粒度的流量重定向控制。通过对虚拟机引流的方式实现在传统场景中解决云计算环境下流量检测问题,同时能够基于OpenFlow轻松实现流量处理的扩展操作。     

模糊综合评判算法在网络流量预测中应用

研究了网络流量预测准确性问题。预测网络数据流的动态变化,针对互联网中对网络流量的不确定影响因素较多,传统的流量预测模型精度较低等问题缺陷,提出了一种新的模糊综合评判算法,对网络流量进行预测。在全面分析网络流量相关需求的基础上,首先利用相关空间重构对网络流量原始数据进行重构,采用改进的层次分析多模型进行优化,建立模糊综合评判的网络入侵检测多指标评估模型,最终经预测得出结果。仿真结果表明采用该算法对实际网络的流量进行了预测,验证了方法具有较高的预测精度。     

入侵检测系统评估技术研究

随着对入侵检测技术的深入研究和入侵检测产品的广泛应用，对入侵检测系统的评估技术的研究成为一个重要的研究领域．介绍了入侵检测评估的相关工作，讨论了对入侵检测系统进行评估时的主要评价指标，提出了一个入侵检测系统的评估系统．评估系统由主控模块统一控制，主控模块分别对流量控制模块和攻击模拟模块进行调度．对评估环境中所有的数据进行记录，作为评估模块的输入．该系统实现了网络流量和主机使用模拟、攻击模拟以及评估报告的生成等功能。     

基于特征选择的工业互联网入侵检测分类方法

由于工业互联网接入设备的多样性和差异性,使其维护困难且易受攻击,针对该安全问题需要引入相关的防御系统来识别各种入侵攻击.传统的入侵检测系统能够检测到的攻击类型较少,且网络流量数据由于存在冗余导致无关特征使得分类性能较差.因此,提出一种基于特征选择的工业互联网入侵检测分类方法.该方法首先对数据集进行预处理,并通过计算特征的皮尔逊相关系数来判断特征的强弱关系,确定最优的阈值进行特征提取;之后从机器学习和深度学习2个角度,利用逻辑回归、支持向量机、K近邻、决策树、随机森林、多层感知机、卷积神经网络和时空网络8种模型分别进行二分类和多分类实验,并作评估.实验结果表明,随机森林的二分类效果最佳,决策树的多分类效果最佳.最后在真实工业互联网实践中验证了所提方法的有效性.     

分布式SOM结合K-均值聚类的软件定义网络泛洪攻击检测方法

针对软件定义网络（SDN）泛洪攻击导致的上层性能瓶颈和过载问题,提出一种分布式自组织映射（DSOM）结合K-均值聚类的网络流量攻击检测方法。首先,位于应用层的DSOM控制器将现有数据集发送给集成了DSOM扩展包的交换机,在每个交换机上分别训练DSOM映射;然后,在预定时间内合并DSOM映射;最后,DSOM控制器将合并后的DSOM映射发送到所有OpenFlow交换机,利用K-均值聚类完成最终的分类。实验结果表明,DSOM方案能够有效检测异常流量、解决瓶颈问题,相比传统方法具有一定的优势。此外,该方法提高了系统对攻击流量的反应速度,同时给网络系统带来较小的开销。     

基于mininet的SDN架构仿真研究

软件定义网络(SDN)是一种新型网络创新架构,公开标准的OpenFlow技术是实现SDN架构最有效的技术之一。为进一步研究SDN架构的特性,为应用创新提供可定义的网络平台,在基于OpenFlow的mininet仿真软件的基础上,实现了SDN架构的仿真。文章总结了典型的SDN架构的特性,分析了基于OpenFlow技术的仿真原理和方法,基于Mininet仿真软件构造,验证了SDN架构的功能和基本工作流程,提出的仿真方法和搭建的平台可为SDN架构的研究提供有效的技术支撑。     

Real-time detection of changes in network with OpenFlow based on NetFPGA implementation

Sketch-based algorithms are extensively applied in a wide range of networking applications. This work develops the compact implementation of a system for detecting changes in traffic in real time with OpenFlow on a NetFPGA 1G (4 × 1G) platform. The system can monitor network traffic at a line rate of up to 4 Gbps with the required detection accuracy needed with limited memory on-board. The system utilizes a one-pass method to determine when the flow exceeds a predefined threshold. Based on the flow IDs identified, actions are issued immediately to switches to respond properly according to the OpenFlow protocol.     

OpenFlow网络架构实现与仿真研究

OpenFlow网络架构克服了传统互联网体系结构“僵化”的问题,成为目前网络技术发展的重点。为了能有效地研究OpenFlow网络架构的组成、功能以及信息流程,采用Mininet底层网络模拟软件和Floodlight控制器软件,实现了OpenFlow网络环境。首先阐述了OpenFlow技术原理,其次给出了OpenFlow网络环境搭建方法,最后通过Mininet和OpenFlow软件实现了OpenFlow网络的仿真建模,对网络架构及相关功能进行了仿真实现,对OpenFlow网络的实现提供了有效的方法。     

基于Renyi熵的SDN自主防护系统

针对SDN架构下的常见网络异常行为，提出了一套基于Renyi熵的SDN自主防护系统，该系统可实现网络异常行为检测、诊断及防御。系统无须引入第三方测量设备，直接利用OpenFlow交换机流表信息。首先，通过计算和检测特征熵值，实现异常网络行为的检测。然后，进一步分析OpenFlow流表信息，实现异常行为的诊断。最后，实施防御控制措施，建立一套黑名单机制，将产生异常行为的主机加入黑名单，并阻塞相应的异常流量。为了验证系统的有效性，在Floodlight控制器上开发了原型。Mininet上的仿真实验表明，系统能够有效检测、诊断及防御网络中常见的异常行为，且具有较低的部署成本，增强了SDN的安全性。     

基于Borderline-SMOTE和双Attention的入侵检测方法

随着互联网的发展,网络环境愈加复杂,由此导致的网络安全问题不断出现,因此网络安全的防护成为一项重要研究课题。针对真实网络环境中采集到的流量数据非平衡以及传统机器学习方法提取特征表示不准确等问题,文中提出一种基于Borderline-SMOTE和双Attention的入侵检测方法。首先对入侵数据进行Borderline-SMOTE过采样处理,解决了数据非平衡问题,并且利用卷积网络在图像特征提取方面的优势,将一维流量数据转化为灰度图像;然后通过双注意力网络分别从通道维度和空间维度对低维特征进行维度更新,得到更精准的特征表示;最后利用Softmax分类器对流量数据进行分类预测。所提方法的仿真实验均已在NSL-KDD数据集上得到验证,其准确率达到99.24%,相比其他常用方法准确率更高。     

基于改进双重深度Q网络的入侵检测模型

入侵检测技术作为网络安全有效的防御手段,是网络安全体系中的重要组成部分。随着互联网的快速发展,网络数据量快速增加,网络攻击更加趋于复杂化和多元化,目前主流的入侵检测技术无法有效识别各种攻击。针对实际网络环境中正常流量和攻击流量数据不平衡,且对攻击类流量检测率低的问题,基于深度强化学习提出一种基于改进双重深度Q网络的CBL_DDQN网络入侵检测模型。该模型将一维卷积神经网络和双向长短期记忆网络的混合网络模型引入深度强化学习的DDQN框架,并使用深度强化学习中的反馈学习和策略生成机制训练智能体来对不同类别的攻击样本进行分类,在一定程度上减弱了训练模型过程中对数据标签的依赖性。采用Borderline-SMOTE算法降低数据的不平衡度,从而提高稀有攻击的检测率。通过NSL_KDD和UNSW_NB15数据集对模型的性能进行评估,结果表明：该模型在准确率、精确率、召回率这三项指标上均取得了良好的结果,检测效果远优于Adam-BNDNN、KNN、SVM等检测方法,是一种高效的网络入侵检测模型。     

基于OpenFlow的云计算监控架构

云计算中网络的监控任务是一件重要和复杂的工作.在云计算网络中的安全设备不仅要监控外网流量,还要监控内网流量.现有使用SDN和OpenFlow对网络流量监控的研究都基于每种设备仅存在一台的前提,受限于安全设备的数量,性能和效率受到限制.本文在OpenFlow上提出了一种云计算网络流量监控架构和算法,支持多台同类型的设备同时工作,可以在云计算网络中,实现灵活高效的网络流量监控.