分布式网络异常攻击检测模型仿真分析

针对传统的异常攻击检测方法主要以异常攻击行为规则与网络数据隶属度大小进行判别,只能针对已知异常攻击进行检测,对新型异常攻击,检测算法率低,计算数据量大的问题。提出一种新的分布式网络异常攻击检测方式,通过对分布式网络内数据进行迭代聚类将正常和异常数据进行分类,建立矩阵映射模型进行数据矩阵对比,初步对异常攻击数据进行判断。在矩阵中建立粒子密度函数,通过粒子密度变化计算其异常攻击概率,最后对其数据进行加权和波滤确定数据异常攻击特征,建立攻击检测模型。仿真实验表明,优化的分布式网络异常攻击检测模型提高了异常数据攻击检测的自适应性,在网络信号受到攻击信号干扰情况下,仍然能够准确检测出带有攻击特征的小网络异常数据。有效提高了分布式网络的检测正确率,加快了检测速度和稳定性。     

“软件人”实现网络复合入侵检测分析

对于最近几年出现的分布式网络入侵攻击手段,传统的入侵检测系统无法实现有效的入侵检测。针对以上问题,本文在基于多“软件人”技术的基础上,设计了网络复合入侵攻击检测检测树模型。最后,专门针对DoorKnob这种复合攻击提出了具体的检测算法。     

一种入侵检测实验系统的设计与实现

针对专业教学过程中理论内容较难理解和接受的情况,设计了一种入侵检测的实验系统,实现对网络嗅探和端口扫描两种类型的入侵进行检测。针对网络中的嗅探攻击,利用WinPcap网络开发包,实现基于ARP报文探测的嗅探攻击的演示。此外,实验系统还针对网络中的TCP端口扫描攻击,利用Libnids网络开发包,实现了基于统计阈值检测法的TCP端口扫描攻击的演示。最终通过短消息模块实现相应入侵行为的短信通知。     

针对应用层未知攻击的蜜罐系统框架的研究与实现

随着网络攻击事件越来越多，特别是新的漏洞以及其攻击的不断发布，网络安全受到严重的威胁。传统的安全技术如防火墙、入侵检测等都不能很好地对新的漏洞和攻击进行检测，所以未知攻击的检测问题已成为难点。利用蜜罐技术来解决未知攻击的检测问题，简要概述了现有的蜜罐技术，提出并实现了一种针对应用层未知攻击的蜜罐系统框架。最后进行了测试并给出了结论。     

SDN环境中基于Bi-LSTM的DDoS攻击检测方案

针对5G物联网环境中海量接入设备带来的DDoS攻击威胁，同时考虑到软件定义网络SDN对5G物联网的适用性，提出了一种在SDN环境中利用长短期记忆LSTM网络检测DDoS攻击的方案，以提高对DDoS攻击检测的准确性。并采用分治算法思想，提出了一种轻量级分布式边缘计算架构OCM,在物联网中的空闲边缘节点部署基于Bi-LSTM的轻量级神经网络完成检测任务，在保证准确性的同时，增加了检测的灵活性。在ISCX2012数据集上评估了所提方案的有效性和可行性。实验结果表明，所提方案能够准确检测DDoS攻击并有效缓解DDoS攻击。     

基于路由器的DDoS攻击防御系统的设计

针对分布式拒绝服务攻击设计了一种基于路由器的DDoS攻击防御系统。它具有检测响应及时的优点。不但能保护受害者以及合法用户的请求，还能在受害者遭受攻击时保护攻击源与受害者之间的网络带宽资源，从而改善网络性能。模拟实验验证了系统中检测控制方法的有效性。     

基于FP-Growth算法的DDoS检测

通过分析分布式拒绝服务(DDoS)攻击的特征,提出了基于数据挖掘技术的网络入侵检测方法来检测DDoS攻击,针对数据挖掘中FP-growth算法不产生候选集的优势,对进行处理及分组后的网络数据进行频繁特征提取,根据DDoS攻击会使网络的流量数据发生变化的特点,来检测是否发生攻击事件.实验结果表明,当发生DDoS攻击后网络数据确实发生了巨大的变化, 通过对网络数据的特征提取,完全可以检测出DDoS攻击的发生.     

内容中心网中多参数的缓存污染攻击检测算法

针对内容中心网络中的缓存污染攻击检测问题，以单位时间缓存替换率、内容请求平均跳数、节点流量和低流行内容的稳态存储比例4个参数作为攻击下的节点状态参数，根据模糊层次分析法建立了攻击下的模糊层次结构模型，进而确定了攻击对各个状态参数的影响权重并定义了攻击影响度，通过观测攻击影响度并设置判决门限来检测攻击是否发生。仿真结果与性能分析表明，所提检测算法能有效检测Locality-Disruption和False-Locality两类典型的缓存污染攻击，与现有主要检测算法相比，可保证较高的正确检测率和较低的平均检测时延。     

基于主成分分析的拒绝服务和网络探测攻击检测

针对拒绝服务和网络探测攻击难以检测的问题,提出了一种新的基于主成分分析的拒绝服务和网络探测攻击检测方法。首先在攻击流量和正常流量数据集上应用主成分分析,得到所有流量数据集的各种不同统计量;然后依据这些统计量构造攻击检测模型。实验表明：该模型检测拒绝服务和网络探测攻击的检测率达到99%;同时能够让受攻击对象在有限的时间内做出反应,减少攻击对服务器的危害程度。     

基于Sibson距离的OpenFlow网络DDoS攻击检测方法研究*

为解决软件定义网络(Software Defined Network, SDN)控制器易受分布式拒绝服务(Distributed Denial of Service, DDoS)攻击的问题,本文提出了一种基于Sibson距离的DDoS攻击检测方法。首先,针对现有SDN网络控制器负载过重问题,设计了一种分层式DDoS攻击检测架构,通过采用多个代理控制器来减轻主控制器负荷;其次,针对现有DDoS攻击检测误报率高的问题,提出了一种基于Sibson距离DDoS攻击检测算法,在提高检测时效性和保证检测精度的同时,加强对正常突发流的识别能力。仿真实验表明,该方法能有效区分攻击流和正常突发流,提高了网络的稳健性。     

一种新的全面安全防御系统设计与实现

计算机网络的信息共享与信息安全是网络上最大的悖论。分析了网络攻击的主要手段及防范措施，探讨了常用网络安全技术，针对网络攻击手段多样化的特点，提出利用复杂系统和安全工程风险管理的思想与方法来处理网络安全问题，构建全面的安全防御系统，并设计了该系统的功能结构模型。     

基于用户使用网络行为分析的主动网络安全模型

目前广泛使用的网络安全防护手段都是被动性的,只能防止部分网络攻击,但无法有效地应付新出现的网络攻击,并且有效地抑制“黑客”活动。基于此,该文提出了一种根据用户使用网络的行为来主动发现并抑制其非法活动的模型,并探讨了其可能的实现方法,以及该模型的有效性和存在的问题。该模型可以和被动防护手段相结合,进一步增强Internet中的网络安全问题。     

一种基于状态监测的防火墙

在OpenBSD系统上开发了一种基于状态检测的防火墙，并开发了内置的检测和防范几种常见网络攻击(syn flood、端口扫描、分片攻击、icmp flood、smurf)的功能。由于大多数这种攻击总是用假冒的源地址和随机的源端口来产生攻击包，因此这种防范模型比入侵检测系统的检测-修改防火墙策略模型更为有效。     

基于自适应免疫计算的网络攻击检测研究

互联网与生俱来的开放性和交互性的特征,导致攻击者能利用网络的漏洞对网络进行破坏。网络攻击一般具有隐蔽性和高危害性,因此有效地检测网络攻击变得极为重要。为了解决大部分检测算法只能检测一类网络攻击且检测延迟高等问题,提出了一种基于自体集密度自动划分聚类方法的阴性选择算法,简称DAPC-NSA。该算法采用基于密度的聚类算法对自体训练数据进行预处理,对其进行聚类分析,剔除噪声并生成自体检测器;然后根据自我检测器生成非我检测器,同时利用自我检测器和非我检测器来检测异常。文中最后进行了模拟入侵检测实验,结果表明,相比于其他检测算法,该算法不仅能同时检测6种攻击,具有较高的检测率和较低的误测率,而且检测时间短,能达到实时检测的目标。     

一种可视化的网络蠕虫早期检测系统

为了对网络蠕虫等网络攻击行为进行早期检测,设计实现了一个基于暗网的可视化的早期检测系统,并采用实际网络实验的方法,在某专用网络中进行实验,结果表明,该系统在专用网络中比传统入侵检测系统更早发现蠕虫,且时间提前量十分可观。     

面向入侵检测的网络安全监测实现模型

本文提出了一种面向入侵监测的网络安全监测模型,它由数据采集、决策分析和分析机三个独立的部分以层次方式构成,能够对已知的网络入侵方式进行有效地实时监测。文章给出了基于安全分析机概念和安全知识表达方法,并对扫描（scan),terdrop,land等常见攻击方式进行了特征刻划,此外,论文还对安全监测系统设计中应当考虑的问题,如报警问题进行了讨论。     

一种基于流量统计的DDoS攻击检测方法

介绍的方法可使网络设备检测出并消除DDOS攻击。通过进出受害者或攻击者数据包流量显著的不平衡特性，网络设备可以检测出DDOS攻击。采用此方法的网络设备维护一个针对在线数据包的多层树，通过它监视数据包的流量特性。     

无线传感器网络中基于路径序列检测的安全机制

针对无线传感器网络(WSN)中容易受到的攻击的问题,提出一种新的基于路径序列检测的安全机制。该机制通过构建合理的路径序列并进行安全验证来实现数据包的路由规则检测及上一跳节点的身份认证,保证路由规则的正确性和数据的真实性。经过性能分析和仿真实验表明该机制在网络规模增加的情况下攻击检测失效的概率不会降低,所提策略能有效地检测出恶意篡改数据传输路径的路由攻击,提升无线传感器网络的安全性。     

复杂网络病毒防治系统设计与实现

如何加强整个复杂网络系统的防治病毒能力已经成为影响一个系统的成功应用的重要因素,而随着我校在合理应用现有资源提高实验水平的同时,则无可避免地建设了一个较为复杂的网络系统.主要集中研究如何根据多实验室复杂的网络实际结构,综合考虑全网络的各个环节,将防范网络病毒的具体措施布置到每个环节,以确保对病毒安全防范的快速反应综合系统的实现.     

Detecting Network Attacks in the Internet via Statistical Network Traffic Normality Prediction

The information technology advances that provide new capabilities to the network users and providers, also provide powerful new tools for network intruders that intend to launch attacks on critical information resources. In this paper we present a novel network attack diagnostic methodology, based on the characterization of the dynamic statistical properties of normal network traffic. The ability to detect network anomalies and attacks as unacceptable when significant deviations from the expected behavior occurs. Specifically, to provide an accurate identification of the normal network traffic behavior, we first develop an anomaly-tolerant nonstationary traffic prediction technique that is capable of removing both single pulse and continuous anomalies. Furthermore, we introduce and design dynamic thresholds, where we define adaptive anomaly violation conditions as a combined function of both magnitude and duration of the traffic deviations. Finally numerical results are presented that demonstrate the operational effectiveness and efficiency of the proposed approach under the presence of different attacks, such as mail-bombing attacks and UDP flooding attacks.