基于特征属性信息熵的网络异常流量检测方法

针对网络异常流量检测问题,文章提出一种基于网络流量特征属性信息熵的异常流量检测方法。该方法首先计算描述网络流量特征变化的源端口号、目的端口号、源IP地址和目的IP地址这4种特征属性信息熵,并进行归一化处理,降低异常样本数据对分类性能的影响;然后利用自适应遗传算法对支持向量机分类器的惩罚参数和核函数参数进行优化,提高分类器泛化能力,同时改进遗传算法的交叉算子和变异算子,减少支持向量机分类器的训练时间;最后通过训练好的支持向量机分类器识别4种流量特征属性信息熵的变化以实现网络异常流量检测。仿真实验表明,该方法提取的4种流量特征属性信息熵能够有效表征异常流量变化,在多种异常流量类型条件下,具有较高的异常流量识别率和较低的误判率,且检测方法的鲁棒性较好。     

军事电子网络对抗中网络流量异常识别

由于军事电子网络对抗中的流量具有海量、高速的特征,且异常流量具有较强的特征隐蔽性,因此,采用传统算法进行异常流量识别往往均有耗时大、有效识别率低的缺陷.为此,提出基于主分量分析与多时间序列数据挖掘算法相结合的军事电子网络对抗中网络流量异常识别方法.针对各维熵值时间序列之间具有关联性的特点,利用支持向量机算法进行多维流量数据分类,为异常流量的识别提供数据支持,依据主分量分析法对维数进行缩减,对信息熵值异常子空间与正常子空间进行有效分离,实现军事电子网络对抗中网络异常流量的有效识别.实验结果表明,采用改进算法进行军事电子网络对抗中网络流量异常识别,能够有效提高异常流量识别率及识别准确性,有效的保障了军事电子网络的安全性,具有显著的优越性.     

面向IP流测量的哈希算法研究

为了解决计算资源和高速网络流量之间的矛盾,需要对IP流进行抽样或负载均衡等处理,而哈希算法是资源代价的核心.首先提出评价哈希算法性能的随机测度;其次从理论上证明比特之间异或运算和位移运算能够提高哈希值的随机特性,提出比特流之间哈希算法的原则;然后分析IP报文的4个字段:源IP、宿IP、源端口和宿端口的特性,由此提出相关的哈希算法;最后使用CERNET主干流量和PMA的数据验证算法的性能,并与IPSX和CRC32算法进行比较.研究表明,基于异或、位移原则的比特流哈希算法的执行效率和哈希值的均匀性两方面具有较好的性质,能够满足高速网络流量测量需求.     

智能变电站过程层网络异常流量检测

为了避免智能变电站过程层网络通信出现异常变动的现象,需要准确检测智能变电站过程层网络异常流量,为此提出新型的检测方法.设计了基于网络演算的变电站通信网络流量计算模型,将根节点全部设成信源,通过流量路由实现周围输入与输出端口的联系,获取智能变电站过程层网络中全部设备端口输入与输出流量.还应用优化支持向量模型进行异常流量检测,将网络异常流量与正常流量分类,实现智能变电站过程层网络异常流量检测.实验结表明:在检测,网络流量特征提取、异常流量检测效果均符合应用需求.     

基于Netflow的异常流量分离以及归类

针对以往的各种异常流量检测算法只能在宏观上进行流量异常监测,不能进一步实时地将异常流量分离处理,提出了在Netflow流数据环境下对单体IP历史数据的研究的方法,通过对单体IP统计、预测,能快速的检测出导致网络异常流量的主机,并根据其流的类型判断,分类以发现其发生异常的原因并提供ACL策略,从而将网络流量控制在稳定的空间和时间之内,实验结果表明了此方法的可行性和有效性.     

基于流量特征的区域互联网攻击源IP地址检测

当区域互联网受到攻击时,其流量会发生较为明显的变化,因此提出基于流量特征的区域互联网攻击源IP地址检测方法。采用NetFlow技术采集用户高速转发的IP数据流,得到网络流量数据。针对网络流量中突变数据,实施去除处理。通过最小冗余最大相关性,提取互联网的流量特征,以提高攻击源IP地址的检测精度。以流量特征的信息熵作为输入,结合极限学习机与k均值算法实现攻击流量检测并确定互联网攻击源IP地址。测试结果表明:在该方法的应用下,攻击源IP地址检测质量指数在0.9以上,由此说明该方法的检测准确性更高,检测质量更好。     

基于熵的网络异常流量检测研究综述

网络流量异常检测及分析作为一种重要的网络监管控制手段,是网络及安全管理领域的重要研究内容.本文探讨了网络异常流量的种类,简述了基于传统的异常检测方法在网络异常流量检测中的应用以及存在的问题.针对基于信息熵、相对熵、活跃熵等熵值理论在网络异常流量检测中的研究,阐述了基于熵值理论的异常检测在国内外的研究进展情况.总结了当前基于熵值理论的异常检测研究工作中存在的问题及改进方向.     

基于信息熵的网络流量信息结构特征研究

随着人们对网络流量特征研究的深入,网络异常检测技术得以不断发展,因此流量特征分析是网络异常检测的基础性重要工作。文章研究基于熵的流量信息结构特征,不同于已有的网络流量初级统计特征研究,它以提取的流量属性在单位时间内分布特征为研究对象。基于 DARPA 99数据集的实验表明,该方法相对于基于流量初级统计特征方流量异常表示方法具有更强的敏感性。     

基于决策树的P2P流量识别方法研究

针对新型P2P业务采用净荷加密和伪装端口等方法来逃避检测的问题,提出了一种基于决策树的P2P流量识别方法.该方法将决策树方法应用于网络流量识别领域,以适应网络流量的识别要求.决策树方法通过利用训练数据集中的信息熵来构建分类模型,并通过对分类模型的简单查找来完成未知网络流样本的分类.实验结果验证了C4.5决策树算法相比较Na(i)ve Bayes、Bayes Network算法,处理相对简单且计算量不大,具有较高的数据处理效率和分类精度,能够提高网络流量分类精度,更适用于P2P流量识别.     

基于直方图聚类的网络流量异常检测技术研究

基于流量特征的异常检测技术主要是通过网络流量特征属性分布规律映射网络异常行为。为提高检测准确率,降低误报率,文章提出了基于流量特征直方图聚类的异常检测和分类的技术。通过直方图的方法详细描述网段流量特征的时空信息,然后聚类分析各种属性特征的正常模型,最后根据待测流量特征属性与正常模型之间的距离所组成的向量来衡量异常。基于DARPA99数据集的实验表明,该算法具有较高的异常检测和分类准确性。     

基于特征分布分析的网络流量监测系统

多数现有网络流量监测系统只关注流量大小,没有分析流量内部信息。该文利用熵来衡量源IP地址、目的IP地址、目的端口等流量特征参数的分布变化,从特征分布的角度对网络流量进行分析。采用该方法实现一个流量监测系统,实验结果证明,该系统具有较高检测率和较低误报率。     

基于决策树的网络流量异常分析与检测

针对现有网络流量异常检测方法准确率较低的问题,提出基于决策树的网络流量异常分析与检测方法。研究网络流量结构特征及流量异常的交叉熵表示方法。采用C4.5算法建立决策树模型,将具有连续性的属性值离散化,根据最大信息增益比逐层选取分类属性,依此规则对流量数据进行分类。实验结果表明,当该方法的检测准确率达90%以上时,误报率可控制在5%以内,与同类方法相比能更准确地发现网络流量异常并进行分类。     

基于信息熵的大规模网络流量异常分类

本文提出了基于信息熵的大规模网络流量异常分类方法。该方法综合运用子空间方法和k-means分类方法,并以校园网为实验环境实现了网络流量异常分类实验。实验结果表明,基于信息熵的大规模网络流量异常分类实现简单、计算量小,分类准确性高。     

基于信息熵的大规模网络流量异常检测

提出了基于信息熵的大规模网络流量异常检测方法。该方法吸收了子空间方法的思想，并结合了K-means分类方法。以校园网为实验环境，应用基于信息熵的方法实现了网络流量异常检测的全过程。通过实验结果与应用标准子空间方法对测量数据分析结果的对比，证明了基于信息熵的大规模网络流量异常检测有着更高的检测精度。     

电网工控系统流量异常检测的应用与算法改进

“两化融合”的工业控制网络的安全问题不断突显.电力作为国家重要基础设施,其电网工控系统的安全防护工作极其重要.本文根据电网工控系统中控制网的内防水平低且其安全监测和防护缺乏内部网络流量异常检测的现状,分析了电网工控系统的组成结构、网络安全需求及面临的威胁.提出了将流量异常检测技术应用于针对电网工控系统控制网的安全防护中,形成针对电网工控系统控制网的两级安全防护.然后研究了流量异常检测方法的分类和特点以及电网工控系统的网络流量数据特点,提出了基于熵的动态半监督K-means算法并辅以单类支持向量机对半监督K-means算法进行改进,为提升电力系统内防水平奠定基础.     

基于信息熵的加密会话检测方法

传统协议分析方法在检测网络加密会话时大都通过端口识别,在加密应用使用非常规端口或者在周知明文端口出现加密流量时无法进行有效的检测.为此,提出基于信息熵的加密会话检测方法.该方法先对数据流按端口进行会话重组,再计算会话数据包字符熵,进而统计出整个会话字符熵,判断熵值是否属于训练模型正态分布置信区间,通过信息分布均匀度来检测加密会话.实验表明,该方法无需特征指纹库,且检测准确率高,并能实现实时检测和处理.     

基于IP监控和非高斯统计的网络异常流量检测

为保障网络和信息系统安全,需要对网络实施有效的监控,确保能及时检测出网络异常(蠕虫爆发、DDoS攻击等)等流量,进而为后续的动态量化风险评估、主动防御提供有力支持。为此,本文提出了一种基于IP监控和非高斯统计的网络异常流量检测方法(IPM-NGSD)。该方法包括两个关键部分:常用IP地址库FIPD和非高斯统计建模。前者,通过利用Bloomfilter技术和FIPD,将网络流量快速分流为常见和非常见IP网络流量:S0和S1;后者,在不同聚合层次上,提取S0和S1的非高斯边缘分布的轮廓值Porfile0和Porfile1,并通过计算Porfile0和Porfile1之间的统计距离,来检测是否存在异常。通过理论分析和两组统计实验验证了该方法的有效性:在缺少有关目标流量先验知识的前提下,该方法能快速、准确地发现短期突发攻击流量和长期低密度攻击流量。