DIDAPPER:具有认知能力的分布式入侵检测系统

近年来,随着网络安全问题日益突出,入侵检测也越来越受到关注。目前,研究入侵检测的课题很多,侧重点也各不相同。该文介绍的ＤＩＤＡＰＰＥＲ系统是一种具有认知能力的分布式入侵检测系统。分布式结构、认知能力和知识的共享是ＤＩＤＡＰＰＥＲ系统的重要特点。流量标本和ＩＰ陷阱是ＤＩＤＡＰＰＥＲ系统所提出的新概念。ＤＩＤＡＰＰＥＲ的分布式三级结构使得它适合于检测大规模网络自动攻击行为,而且有较强的可扩展性和高效性。     

基于人工免疫的多Agent自适应入侵检测系统

简介了入侵检测系统(IDS)的基本概念,指出了目前的入侵检测系统存在的不足.为了解决传统入侵检测系统中的不足,将人工免疫原理引入入侵检测系统.根据自然免疫系统的特点,提出建立基于人工免疫原理的多Agent网络入侵检测系统,该系统采用了基于多Agent的分布式体系结构,同时应用了阴性选择、克隆选择、基因库进化以及联想记忆等人工免疫原理,使得构造的网络入侵检测系统具有自适应性、分布性、自识别能力和可扩展性的特点.     

无线自组织网络中多层综合的节点行为异常检测方法

Ad hoe网络由于采用无线信道、有限的电源和带宽、分布式控制等,会比有线网络更易受到入侵攻击.通常的入侵检测技术具有检测能力单一、缺乏对抗新入侵方式的能力等缺陷.在分布式入侵检测系统(IDS)的基础上,提出一种针对移动节点网络行为的异常检测机制.基于多层综合的观测值序列,采用隐半马尔可夫模型(HSMM)建立描述网络中合法节点正常行为的检测模型,继而对网络中的正常与异常行为进行判断与识别.实验表明,此方法能针对现有多种入侵方式进行有效的检测.     

基于P2P的移动Agent入侵检测系统

传统入侵检测系统的能力在迅猛发展的互联网面前日显薄弱.探讨了将P2P技术、Mobile-agent技术引入到传统入侵检测系统中,构建一个基于P2P的Mobile-agent入侵检测系统.组成该系统的Agent在网络的各个节点间流动,实时监测网络状况,同时Agent能够互相识别各自的行为并能根据潜在的策略采取适当的反应.该系统与传统系统相比具有灵活性、分布式、智能化等特点,能全面、深入地实现入侵的检测和防御.     

基于聚集流量分类的流量型DoS攻击防御方法

提出一种基于主机服务状态检测和关键流量识别的聚集流量细粒度分类、识别及控制方法,并在可控网络上实现基于此聚集流量分类的流量型DoS攻击分布式检测和防御.该方法利用攻击检测感知器和控制路由器间的安全通讯协作,通过调整控制路由器集上的聚集流量分类策略和Rampart控制机制对一般聚集流量的控制力度,使得被保护主机及其网络在受到流量型DoS攻击的情况下,其负载和拥塞程度仍可以稳定在一个正常的范围内,从而有效地保证关键聚集流量服务请求的QoS需求.     

基于混合深度学习的多类型低速率DDoS攻击检测方法

低速率分布式拒绝服务攻击针对网络协议自适应机制中的漏洞实施攻击,对网络服务质量造成了巨大威胁,具有隐蔽性强、攻击速率低和周期性的特点.现有检测方法存在检测类型单一和识别精度低的问题,因此提出了一种基于混合深度学习的多类型低速率DDoS攻击检测方法.模拟不同类型的低速率DDoS攻击和5G环境下不同场景的正常流量,在网络入...     

一种可扩展网络流量识别模型

一些新型的网络应用,如P2P、流媒体和网络游戏等,丰富了人们的网络生活,同时也消耗了大量的网络带宽.从网络运营的层面来看,要保障网络的正常运行,需要有效的管理和控制不同类别的网络流量.流量控制的前提是流量识别,STI(Scalable Traffic Identification)模型,采用端口映射、流量特征配置和内核模块插件等技术灵活扩展系统识别能力,进而可以实现对流量的有效控制.通过实验验证了这种流量识别模型的有效性和正确性.     

基于多协议多阶段的P2P内容分析技术研究

当前网络环境中,P2P下载软件流量占用了宽带接入的大量带宽,这造成了网络带宽的巨大消耗,因此,对P2P流量的检测和控制是十分必要的.提出了一种基于多协议多阶段的深度数据包检测的P2P流量识别的方法,该方法较已有方法具有识别准确度高、执行效率高、扩展性强的特点.基于这种方法,实现了一个多协议可扩展的P2P流量识别系统,系统以分层化可扩展插件的形式设计,可以对各种不同协议的P2P流量业务,进行高效、准确的识别.实验表明,系统能够以99.90％以上的准确度完成对P2P流量业务的识别.     

一种P2P流量监控系统的设计及实现

当前P2P流量已经成为互联网流量的重要组成部分,针对互联网中存在大量的P2P业务流量影响了互联网关键业务的应用,设计了一种P2P流量监控系统.该系统采用分布式检测技术,通过网络抓包工具Analyzer分析的P2P业务流量特征,对P2P流量进行检测,并在网卡驱动NDIS层实现P2P流量控制.其监控策略由系统管理员制定,而策略的具体实施是在各个终端的网卡驱动层,通过实验验证了该方案的可行性.实验结果显示该系统检测精度高和扩展性强,易于在现有网络中部署实现.     

互联网加密流量检测、分类与识别研究综述

互联网流量分析是网络管理与安全的核心途径,传统基于明文的分析方法在加密流量大势所趋的环境下已基本失效.虽有部分针对加密流量的分析方法,但其忽略了不同加密流量分析目标需求内在的逻辑性与层次性,并缺乏对加密流量本质特征的研究,难以系统化地解决加密流量分析的难题.本文首先面向网络管理与安全监管的实际需求,将互联网加密流量分析按照目标需求划分为检测、分类、识别三个阶段,并描述其目标与方法上的差异;接着基于现有研究成果,分别对现有检测、分类、识别方法从多个粒度、角度进行划分,系统性地归纳与比较现有研究的优缺点;最后,本文基于目前研究,结合未来互联网网络环境发展趋势和加密流量概念漂移的实际问题,从加密流量样本数据集完善、复杂新型网络协议下的加密流量分类与识别、基于应用层特征的加密流量分类与识别、多点协同分布式加密流量分类与识别四个方面分析与展望了未来互联网加密流量检测、分类与识别中可能的研究方向.     

基于分布式学习的大规模网络入侵检测算法

计算机网络的高速发展,使处理器的速度明显低于骨干网的传输速度,这使得传统的入侵检测方法无法应用于大规模网络的检测.目前,解决这一问题的有效办法是将海量数据分割成小块数据,由分布的处理节点并行处理.这种分布式并行处理的难点是分割机制,为了不破坏数据的完整性,只有采用复杂的分割算法,这同时也使分割模块成为检测系统新的瓶颈.为了克服这个问题,提出了分布式神经网络学习算法,并将其用于大规模网络入侵检测.该算法的优点是,大数据集可被随机分割后分发给独立的神经网络进行并行学习,在降低分割算法复杂度的同时,保证学习结果的完整性.对该算法的测试实验首先采用基准测试数据circle-in-the-square测试了其学习能力,并与ARTMAP(adaptive resonance theory supervised predictive mapping)和BP(back propagation)神经网络进行了比较;然后采用标准的入侵检测测试数据集KDD'99 Data Set测试了其对大规模入侵的检测性能.通过与其他方法在相同数据集上的测试结果的比较表明,分布式学习算法同样具有较高的检测效率和较低的误报率.     

基于深度学习的网络流时空特征自动提取方法

流量异常检测是网络入侵检测的主要途径之一,也是网络安全领域的一个热门研究方向。通过对网络流量进行实时监控,可及时有效地对网络异常进行预警。目前,网络流量异常检测方法主要分为基于规则和基于特征工程的方法,但现有方法需针对网络流量特征的变化需重新人工收集规则或 构造特征,工作量大且繁杂。为解决上述问题,该文提出一种基于卷积神经网络和循环神经网络的深度学习方法来自动提取网络流量的时空特征,可同时提取不同数据包之间的时序特征和同一数据包内字节流的空间特征,并减少了大量的人工工作。在 MAWILab 网络轨迹数据集上进行的验证分析结果表明,该文所提出的网络流时空特征提取方法优于已有的深度表示学习方法。     

Large-scale network intrusion detection based on distributed learning algorithm

As network traffic bandwidth is increasing at an exponential rate, it’s impossible to keep up with the speed of networks by just increasing the speed of processors. Besides, increasingly complex intrusion detection methods only add further to the pressure on network intrusion detection (NIDS) platforms, so the continuous increasing speed and throughput of network poses new challenges to NIDS. To make NIDS usable in Gigabit Ethernet, the ideal policy is using a load balancer to split the traffic data and forward those to different detection sensors, which can analyze the splitting data in parallel. In order to make each slice contains all the evidence necessary to detect a specific attack, the load balancer design must be complicated and it becomes a new bottleneck of NIDS. To simplify the load balancer this paper put forward a distributed neural network learning algorithm (DNNL). Using DNNL a large data set can be split randomly and each slice of data is presented to an independent neural network; these networks can be trained in distribution and each one in parallel. Completeness analysis shows that DNNL’s learning algorithm is equivalent to training by one neural network which uses the technique of regularization. The experiments to check the completeness and efficiency of DNNL are performed on the KDD’99 Data Set which is a standard intrusion detection benchmark. Compared with other approaches on the same benchmark, DNNL achieves a high detection rate and low false alarm rate.     

基于神经网络集成的入侵检测研究

提出一种新的基于神经网络集成的入侵检测方法。首先通过有区别地对待不同的训练数据训练神经网络，提高对小类别入侵的检测能力并防止网络训练中的退化现象；然后利用一种新的改进遗传算法优化集成网络的权，提高系统整体性能。理论和实验表明该方法具有较好的检测能力。     

基于径向基函数的入侵检测系统

入侵检测系统是信息安全管理的重要组成部分，通过监测网络流量模式来检测入侵行为。本文将径向基函数神经网络引入入侵检测中，提出了一个新基于径向基函数的网络入侵检测系统（RBFIDS）。RBFIDS系统首先采集网络运行数据，然后采用K-均值聚类算法确定RBF神经网络的系统参数。采用KDD99数据集对RBFIDS系统进行性能测试，总的检测率达到98%，误报率为1.6%，表明RBFIDS有较高的检测率和低的误报率。     

Flow-based anomaly detection in high-speed links using modified GSA-optimized neural network

Ever growing Internet causes the availability of information. However, it also provides a suitable space for malicious activities, so security is crucial in this virtual environment. The network intrusion detection system (NIDS) is a popular tool to counter attacks against computer networks. This valuable tool can be realized using machine learning methods and intrusion datasets. Traditional datasets are usually packet-based in which all network packets are analyzed for intrusion detection in a time-consuming process. On the other hand, the recent spread of 1–10-Gbps-technologies have clearly pointed out that scalability is a growing problem. In this way, flow-based solutions can help to solve the problem by reduction of data and processing time, opening the way to high-speed detection on large infrastructures. Besides, NIDS should be capable of detecting new malicious activities. Artificial neural network-based NIDSs can detect unseen attacks, so a multi-layer perceptron (MLP) neural classifier is used in this study to distinguish benign and malicious traffic in a flow-based NIDS. In this way, a modified gravitational search algorithm (MGSA), as a modern heuristic technique, is employed to optimize the interconnection weights of the neural anomaly detector. The proposed scheme is trained using an enhanced version of the first labeled flow-based dataset for intrusion detection introduced in 2009. In addition, the particle swarm optimization (PSO) algorithm and traditional error back-propagation (EBP) algorithm are employed to train MLP, so performance comparison becomes possible. The experimental results based on the actual network data show that the MGSA-optimized neural anomaly detector is effective for monitoring abnormal traffic flows in the gigabytes traffic environment, and the accuracy is about 97.8 %.     

基于SCSO-GRU模型的网络流量预测

网络流量有实时性、不稳定性和时序相关性等特点,传统网络流量预测模型存在泛化能力不强和预测精度低等不足之处。为解决这些不足,本文提出一种结合基于正余弦的群优化（SCSO）算法的GRU神经网络的网络流量预测模型（SCSO-GRU）。首先,介绍SCSO算法的粒子更新原理;然后构建SCSO-GRU神经网络的网络流量预测模型,将SCSO算法用于模型训练,提高训练效果,克服传统GRU神经网络收敛于局部最优的缺点;最后用SCSO-GRU模型进行网络流量预测。实验结果表明,与传统LSTM和GRU模型相比,本文模型具有显著的收敛效果和较好的预测精度,可以更好地刻画网络流量变化趋势。     

基于生物免疫机制的网络入侵检测方法

本文借鉴生物免疫系统中的免疫机制,对检测元的生成机制和匹配算法进行了较深入的探讨,描述了一个基于免疫原理的分布式自适应网络入侵检测系统。实验实证该系统具有分布性、自适应性和低消耗性等优良特性,可有效提高入侵检测效率。     

神经网络在入侵检测系统中的应用

本文简要分析了当前的几种入侵检测方法,指出了将神经网络应用于入侵检测系统的优越性。重点介绍了LVQ神经网络的结构及其学习算法,提出了将LVQ神经网络用于入侵检测系统的方法,并给出了基于LVQ神经网络的网络入侵检测系统模型结构。最后,用matlab进行了仿真实验。结果表明,运用LVQ神经网络检测入侵,可以达到较高的准确检测率,是一种有效的入侵检测手段。