基于尖点突变模型的联动网络流量异常检测方法

针对现有方法没有考虑联动网络流量的非线性动力学特性,以及不能有效区分正常联动业务流量和异常攻击流量的问题,提出了一种基于尖点突变模型的联动流量异常检测方法。通过对联动网络流量非线性动力学特征参数的分析与提取,建立正常流量的尖点突变模型;利用模型的平衡曲面来描述网络流量系统的行为,构造正常网络流量行为的平衡曲面;并以网络流量行为相对于正常平衡曲面的偏离程度作为异常检测的依据。实验结果表明,所提方法具有较高的检测率和较低的误报率。     

基于网络流量小波分析的异常检测研究*

网络流量是局域网和广域网的重要特征之一,小波分析能将复杂的非线性网络流量时间序列分解成不同频率的子序列.基于小波分解的思想,利用网络流量的自相似特性来对网络的异常行为进行检测,给出了根据网络流量自相似特征参数的偏差来检测攻击的方法,对不同分辨率下Hurst参数的变化进行了比较分析.在DARPA上的测试结果表明,该方法不仅能够发现网络中存在的突发性流量攻击,还能够确定异常发生的位置.     

基于改进小波分析的DDoS攻击检测方法

为准确及时检测DDoS攻击,在研究小波分析法检测DDoS攻击的基础上,提出一种基于主成分分析法和小波分析法的自适应DDoS检测方法,设计采用该方法检测DDoS攻击的模型及算法,分析其增大正常网络流量与异常网络流量之间Hurst参数差值的原因。实验结果表明,该方法减弱了检测结果对门限值的依赖性,提高检测率,防止漏报、误报情况的发生,且由于网络数据维数的降低,该方法大幅提高了检测速度。     

一种基于小波分析的DDoS攻击检测方法

通过对网络流量的分形特性和分布式拒绝服务（DDoS）的特点进行研究,提出了一种基于小波分析的DDoS攻击检测方法,并设计了该方法检测攻击的模型。对网络流量的分形特性进行判断,然后对具有自相似特性和多重分形特性的网络流量,分别采用基于小波分析的Hurst指数方差法和基于多窗口小波分析的Holder指数法检测DDoS攻击。通过对DARPA 2000年数据的实验表明,该方法能够有效地检测到攻击,对大流量背景攻击、低速率攻击、反射式攻击也都达到了较高的检测率,比传统方法有效。     

一种图像水印鲁棒性的协同序参量评价方法

针对图像水印的鲁棒性,运用协同序参量理论,提出一种基于协同序参量的定量评价方法。对载体图像完成各类鲁棒性实验,计算比较了各模式的协同序参量初始值,使用序参量演化曲线进行验证,得到相应的鲁棒性定量评价。评价结果与相关系数法一致,但更加方便和实用。     

一种基于超统计理论的非平稳时间序列异常点检测方法研究

从非平稳时间序列的分布函数及其参数入手,主要研究分布函数不变分布参数变化的这一类非平稳的时间序列异常点检测方法,提出了基于超统计的异常检测方法,并将其应用于非平稳网络流量时间序列。从网络流量的非平稳和突发性特点出发,特别考虑到由于攻击流量所引起的流量特性的变化,结合超统计理论,主要研究分布参量的变化。根据超统计的理论,先应建立分布统计模型,研究分布模型不同参数变化对分布的决定性作用,从而将异常网络流量的检测研究转化成对慢变量参数序列的检测研究。该检测方法大大降低了计算的复杂度。通过大量实验表明该方法具有良好的效果。     

用于数字水印鲁棒性评判的协同序参量指标

简述协同序参量的来源、定义、动力学演化方程及其特性。针对数字水印的鲁棒性要求,提出把水印模式的协同序参量作为数字水印鲁棒性的定量指标,并给出了详细的运用步骤。以图像数字水印为例,对空域水印和DCT域水印的Lena图像进行了鲁棒性实验,计算比较了模式间的协同初始序参量值,给出了相应的鲁棒性评判。从理论推导和实验计算分析,用协同序参量作为数字水印的鲁棒性评判指标,具有一定可行性和实用性。     

基于小波分析与信息熵的DDoS攻击检测算法

DDoS(Distributed Denial of Service)攻击检测方法中,基于网络流量自相似性的检测方法作为一种异常检测方法,对网络流量变化情况比较敏感,检测率较高,然而同时也存在误报率较高的问题。对传统自相似方法以及网络中可能引起流量异常的事件进行分析,在此基础上提出一种改进的检测算法WAIE。WAIE采用小波分析的方法计算网络流量的Hurst指数并引入信息论中的信息熵对源IP地址的分散程度进行度量,根据初始阶段Hurst指数及熵值的变化自适应地设定阈值以检测攻击的发生。采用MIT林肯实验室发布的数据集以及实验室环境下采集的数据集进行实验,实验结果表明该算法能准确检测到攻击的发生。     

一种基于小波求解的DDoS攻击检测模型

分析了小波求解检测DDoS攻击的方法,提出了一种基于小波求解的DDoS检测模型。通过实时监控网络的数据流量,形成实时流量序列,动态的更新分解尺度,对网络流量序列的长相关性的特征值Hurst指数实时监控,以此来检测DDoS攻击。实验证明,该模型能实时有效地检测到DDoS攻击的发生,检测率和误检率都较好,耗时较短。     

基于自回归滑动平均的网络数据流量预测模型

在无线网络中,对入侵攻击的准确和迅速的检测是关系到无线网络安全的重要问题。各种入侵攻击可以由其导致的网络流量的变化来检测。针对网络流量复杂的非线性以及混沌性,结合网络流量的时间序列特性,提出了一种基于自回归滑动平均(ARMA)的网络数据流量预测模型。该模型利用第三方检测系统,不需要耗费网络资源,能够迅速和准确地预测网络流量。采用从16个信道分析器获得的数据流量测量值对模型进行了初始化。仿真实验结果表明,文中提出的模型能够有效地检测网络入侵攻击,提高了整个网络的性能,延长了网络的寿命。     

基于混合深度学习的多类型低速率DDoS攻击检测方法

低速率分布式拒绝服务攻击针对网络协议自适应机制中的漏洞实施攻击,对网络服务质量造成了巨大威胁,具有隐蔽性强、攻击速率低和周期性的特点.现有检测方法存在检测类型单一和识别精度低的问题,因此提出了一种基于混合深度学习的多类型低速率DDoS攻击检测方法.模拟不同类型的低速率DDoS攻击和5G环境下不同场景的正常流量,在网络入...     

面向高速网络流量的加密混淆型WebShell检测

WebShell 是一种常见的 Web 脚本入侵工具。随着流量加密和代码混淆等技术的逐渐发展,使用传统的文本内容特征和网络流特征进行匹配的检测手段越来越难以防范生产环境下复杂的 WebShell 恶意攻击事件,特别是对于对抗性样本、变种样本或 0Day 漏洞样本的检测效果不够理想。搭建网络采集环境,在高速网络环境中利用数据平面开发套件（DPDK,data plane development kit）技术捕获网络数据包,标注了一套由1万余条不同平台、不同语言、不同工具、不同加密混淆方式的WebShell恶意流量与3万余条正常流量组成的数据集;通过异步流量分析系统框架和轻量型日志采集组件快速地解析原始流量,并融合专家知识深度分析几种流行的WebShell管理工具通信过程中的HTTP数据包,从而构建面向加密混淆型WebShell流量的有效特征集;基于该有效特征集使用支持向量机（SVM,support vector machine）算法实现对加密混淆型 WebShell 恶意流量的离线训练和在线检测。同时,利用遗传算法改进参数搜索方式,克服了由人工经验设置参数方位以及网格搜索陷入局部最优解的缺点,模型训练效率也得到提升。实验结果显示,在自建的WebShell攻击流量数据集上,保证了检测高效性的同时,检测模型的精确率为97.21%,召回率为98.01%,且在对抗性WebShell攻击的对比实验中表现良好。结果表明,所提方法能够显著降低WebShell攻击风险,可以对现有的安全监控体系进行有效补充,并在真实网络环境中部署和应用。     

DDoS攻击的全局异常相关检测方法

骨干网中存在的DDoS攻击,由于背景流量巨大,且分布式指向受害者的多个攻击流尚未汇聚,因此难以进行有效的检测。为了解决该问题,提出一种基于全局流量异常相关分析的检测方法。根据攻击流引起流量之间相关性的变化,采用主成分分析提取多条流量中潜在异常部分之间的相关性,并将相关性变化程度作为攻击检测测度。实验结果证明了该测度的可用性,能够克服骨干网中DDoS攻击流幅值相对低且不易检测的困难,同现有的全局流量检测方法相比,所提出的方法能够取得更高的检测率。     

A nonlinear,recurrence-based approach to traffic classification

The ability to accurately classify and identify the network traffic associated with different applications is a central issue for many network operation and research topics including Quality of Service enforcement, traffic engineering, security, monitoring and intrusion-detection. However, traditional classification approaches for traffic to higher-level application mapping, such as those based on port or payload analysis, are highly inaccurate for many emerging applications and hence useless in actual networks. This paper presents a recurrence plot-based traffic classification approach based on the analysis of non-stationary “hidden” transition patterns of IP traffic flows. Such nonlinear properties cannot be affected by payload encryption or dynamic port change and hence cannot be easily masqueraded. In performing a quantitative assessment of the above transition patterns, we used recurrence quantification analysis, a nonlinear technique widely used in many fields of science to discover the time correlations and the hidden dynamics of statistical time series. Our model proved to be effective for providing a deterministic interpretation of recurrence patterns derived by complex protocol dynamics in end-to-end traffic flows, and hence for developing qualitative and quantitative observations that can be reliably used in traffic classification.     

一种动态的入侵检测系统负载均衡算法

目前的入侵检测不仅需要模式匹配，而且需要协议异常检测，提出了一种新动态的负载均衡算法,采用两层结构，对网络流量按照服务类型进行初步划分之后分别对每部分流量进行二次分配，并对每种类型的流量进行相应的协议异常检测。该算法能在不牺牲系统性能的前提下有效提高网络入侵检测系统的检测效率，降低误检率，并可有效地适应网络流量的变化，降低漏检率。     

An approach for detecting LDoS attack based on cloud model

Cybersecurity has always been the focus of Internet research. An LDoS attack is an intelligent type of DoS attack, which reduces the quality of network service by periodically sending high-speed but short-pulse attack traffic. Because of its concealment and low average rate, the traditional DoS attack detection methods are challenging to be effective. The existing LDoS attack detection methods generally have the problems of high FPR and FNR. A cloud model-based LDoS attack detection method is proposed, and a classifier based on SVM is used to train and classify the feature parameters. The detection method is verified and tested in the NS2 simulation platform and Test-bed network environment. Compared with the existing research results, the proposed method requires fewer samples, and it has lower FPR and FNR.     

基于矢量空间重构的网络流量预测算法

客户机与服务器之间存在数据存储隐通道,对该通道的网络流量进行准确预测可避免网络拥堵,提高网络流量的调度和管理能力。传统方法采用线性时间序列分析方法进行网络流量预测,没有准确反映流量序列的非线性特征信息,预测精度不高。提出一种基于非线性时间序列分析和矢量空间重构的网络流量预测算法。进行相位随机化处理,使得网络流量数据离散解析化,把网络流量时间序列解析模型分解为含有多个非线性成分的统计量。采用自相关函数法求得矢量空间重构的时间延迟,采用互信息最小嵌入维算法求得网络流量序列的矢量空间嵌入维,实现流量序列的矢量空间重构。在高维矢量空间中,提取网络流量的高阶谱特征,实现网络流量的准确预测。仿真结果表明,采用该算法能有效拟合流量序列的非线性状态特征,对流量状态变化的动态跟踪性能较好,其预测误差比传统方法的低。     

基于词袋模型的分布式拒绝服务攻击检测

针对分布式拒绝服务（DDoS）攻击有效荷载快速变化,人工干预需要依赖经验设定预警阈值以及异常流量特征码更新不及时等问题,提出一种基于二进制流量关键点词袋（BSP-BoW）模型的DDoS攻击检测算法。该算法可以自动从当前网络的流量数据中训练得到流量关键点（SP）,针对不同拓扑网络进行自适应异常检测,减少频繁更新特征集带来的人工成本。首先,对已有的攻击流量和正常流量进行均值聚类,寻找网络流量中的SP;然后,将原有的流量转化映射到相应SP上使用直方图进行形式化表达;最后,通过欧氏距离进行DDoS攻击的分类检测。在公开数据库DARPA LLDOS1.0上的实验结果表明,所提算法的异常网络流量识别率优于现有的局部加权学习（LWL）、支持向量机（SVM）、随机树（Random Tree）、logistic回归分析（logistic）、贝叶斯（NB）等方法。所提的基于词袋聚类模型算法在拒绝服务攻击的异常流量识别中有很好的识别效果和泛化能力,适合部署在中小企业（SME）网络流量设备上。