首页 | 本学科首页   官方微博 | 高级检索  
相似文献
 共查询到19条相似文献,搜索用时 125 毫秒
1.
熊伟 《计算机应用》2012,32(8):2171-2174
针对网络流量表现出的非线性和非平稳性等复杂的动力学特征,提出一种基于小波的网络流量异常协同相变检测方法。该方法从网络流量时间序列的离散小波域出发,利用序参量的非线性动力学方程描述网络流量系统的复杂行为,采用势函数来刻画网络流量系统的非平稳相变过程,进一步分析了网络流量状态与各种攻击模式之间的变化关系,并通过协同学模型对网络流量序参量进行演化,当相应序参量收敛时,即可检测到相应的攻击模式或是正常流量模式。最后,采用了DARPA 1999数据集进行了实验测试,网络流量异常的平均检测率达到了90.00%,而平均误检率只有15.03%。实验结果表明,基于小波的协同相变方法可以用于网络流量异常检测。  相似文献   

2.
基于时间序列图挖掘的网络流量异常检测   总被引:1,自引:0,他引:1  
网络流量异常检测要解决的核心问题之一是获得信息的全面性和流量信息描述的准确性.针对现有网络异常流量检测方法分析多时间序列的不足,提出了一种基于图挖掘的流量异常检测方法.该方法使用时间序列图准确、全面地描述用于流量异常检测的多时间序列的相互关系;通过对项集模式进行支持度计数,挖掘各种频繁项集模式,有利于对各种异常流量的有效检测;通过挖掘各项集之间的关系,引入了项集的权重系数,解决了流量异常检测的多时间序列相互关系的量化问题.仿真结果表明,该方法能有效地检测出网络流量异常,并且对DDos攻击的检测效果明显优于基于连续小波变换的检测方法.  相似文献   

3.
基于流量信息结构的异常检测   总被引:4,自引:0,他引:4  
朱应武  杨家海  张金祥 《软件学报》2010,21(10):2573-2583
由于人们对网络流量规律的认识还不够深入,大型高速网络流量的异常检测仍然是目前测量领域研究的一个难点问题.通过对网络流量结构和流量信息结构的研究发现,在一定范围内,正常网络流量的IP、端口等具有重尾分布和自相似特性等较为稳定的流量结构,这种结构对应的信息熵值较为稳定.异常流量和抽样流量的信息熵值以正常流量信息熵值为中心波动,构成以IP、端口和活跃IP数量为维度的空间信息结构.据此对流量进行建模,提出了基于流量信息结构的支持向量机(support vector machine,简称SVM)的二值分类算法,其核心是将流量异常检测转化为基于SVM的分类决策问题.实验结果表明,该算法具有很高的检测效率,还初步验证了该算法的抽样检测能力.因此,将该算法应用到大型高速骨干网络具有实际意义.  相似文献   

4.
尽管网络流量会出现异常,但大部分时间里流量变化是有规律的。如果网络流量出现异常,那么对整个网络具有较大的危害性,因此网管人员必须及时发现流量是否异常。在以往的流量检测算法中聚焦的焦点只是如何区分流量是正常还是异常,并未讨论此时是否存在攻击行为,这些是算法的不足之处。为了改进现有算法的不足之处,作者在查阅了有关资料和文献之后,提出了一种新的流量检测算法,该算法使用了相似性计算法算法,MMTD算法和粗糙集中的决策系统,将这三种算法在流量检测中进行应用是本文的创新点。本文解决问题的思路是首先使用MMTD算法对当前的流量是否异常做出判断,如果出现异常,则使用相似性计算算法将此时的流量与预警值进行比较,并且判断此时是否存在攻击行为,在文章的最后使用粗糙集中的决策系统对流量异常的原因做出决策。  相似文献   

5.
针对分布式拒绝服务(DDoS)攻击有效荷载快速变化,人工干预需要依赖经验设定预警阈值以及异常流量特征码更新不及时等问题,提出一种基于二进制流量关键点词袋(BSP-BoW)模型的DDoS攻击检测算法。该算法可以自动从当前网络的流量数据中训练得到流量关键点(SP),针对不同拓扑网络进行自适应异常检测,减少频繁更新特征集带来的人工成本。首先,对已有的攻击流量和正常流量进行均值聚类,寻找网络流量中的SP;然后,将原有的流量转化映射到相应SP上使用直方图进行形式化表达;最后,通过欧氏距离进行DDoS攻击的分类检测。在公开数据库DARPA LLDOS1.0上的实验结果表明,所提算法的异常网络流量识别率优于现有的局部加权学习(LWL)、支持向量机(SVM)、随机树(Random Tree)、logistic回归分析(logistic)、贝叶斯(NB)等方法。所提的基于词袋聚类模型算法在拒绝服务攻击的异常流量识别中有很好的识别效果和泛化能力,适合部署在中小企业(SME)网络流量设备上。  相似文献   

6.
针对当前网络流量预测法是通过监测网络流量历史数据进行预测,存在预测精准度低和流量信息参数自适性差的问题,提出基于多元线性回归分析的高峰期网络流量预测模型。通过BP神经网络法,确定网络流量信息权值,采用滑动窗口算法得到流量序列中对应信息数据,构成新的网络流量序列,得到多元线性回归初始模型;引入最小二乘法对流量信息参数进行估算,得到流量信息的样本回归函数,使用可决系数F检验及统计样本回归函数,完成高峰期网络流量预测模型的构建。实验结果表明,使用该模型可降低误差、提高拟合度、增加能量利用率,为高峰期网络流量预测提供了基础保障。  相似文献   

7.
张浩  吴敏 《计算机工程》2012,38(8):73-75
对于校园网等小规模的局域网,通过计算网络流量自相似值的方法无法有效检测网络异常流量。针对该问题,在分析校园网络流量特点的基础上,将网络流量分解成趋势项和随机成分等其他项,使用经验模式分解消除网络流量中的趋势项,使得网络流量序列的自相似值能直接反映随机成分状态。实验结果表明,该方法能提高异常流量检测的准确性。  相似文献   

8.
当今的网络在设计初期并没有充分考虑其安全性,因此使得网络被频频攻击成功。当网络管理人员在检测网络是否遭到黑客的攻击时,可以从网络流量的角度出发,检测网络流量是否异常。网络流量是否异常可以作为网络是否被攻击的一个依据。网络中的流量存在正常还是异常的两种状态,在参考已有的检测技术之后,使用MMTD这一算法来检测网络的流量。在文中根据流与流量的特性给出检测函数y=f(x),最后使用MMTD这一算法进行流量是否异常做出判断。利用MMTD算法来研究网络的流量尚属第一次,该算法能够使得已有流量检测算法具有一定的智能性,可以作为已有流量检测算法的补充。  相似文献   

9.
聚类分析是一种有效的异常入侵检测方法,可用以在网络数据集中区分正常流量和异常流量。采用模糊C均值聚类算法对网络流量样本集进行划分,从中区分正常流量和异常流量,并针对入侵检测问题的特性提出了聚类中心确定方法。最后,利用KDD99数据集进行实验,证明该算法能够有效地发现异常流量。  相似文献   

10.
本文介绍了入侵检测系统的概念、分类和常用的入侵分析技术,对常见的引起流量异常的原因进行了简单的介绍,并设计了一种使用时间序列分析的网络流量异常检测的实时入侵检测系统原型,用于监测局域网的网络流量。该流量异常检测系统能够对整个局域网或者一些核心服务器和主机的异常流量进行识别和判断。  相似文献   

11.
多维多层次网络流量异常检测研究   总被引:2,自引:0,他引:2  
随着网络攻击种类和数量的增加以及网络带宽的不断增大,网络流量异常检测系统面临着误报率高和漏报率高的问题.针对该问题,首先对采集到的网络流量数据进行多维多层次在线联机分析,通过构建检测立方体数据结构并在检测立方体上针对异常检测的应用特征提出了一系列优化策略,采用最小生成树对多维度上的多查询进行优化,采用异常驱动的方法动态...  相似文献   

12.
基于网络流量小波分析的异常检测研究*   总被引:4,自引:0,他引:4  
网络流量是局域网和广域网的重要特征之一,小波分析能将复杂的非线性网络流量时间序列分解成不同频率的子序列.基于小波分解的思想,利用网络流量的自相似特性来对网络的异常行为进行检测,给出了根据网络流量自相似特征参数的偏差来检测攻击的方法,对不同分辨率下Hurst参数的变化进行了比较分析.在DARPA上的测试结果表明,该方法不仅能够发现网络中存在的突发性流量攻击,还能够确定异常发生的位置.  相似文献   

13.
弹性分组环(ResilientPacketRing,RPR)是刚被IEEE802.17标准化的主要用于宽带IP光城域网的新型技术,其带宽利用效率和传统环网相比具有较大的优势。论文通过建立弹性分组环基本带宽模型并对其带宽利用率及带宽分配的公平策略进行分析。分析结果表明:RPR带宽利用率在“环形”业务模式下最高,而在星型业务模式下和传统环网相比则无优势;在比较接近实际情况的“网状”业务模式下,基于节点公平的带宽利用率可以到达传统环网的2倍,而基于流的公平策略的带宽利用率可以到达基于节点公平的近2倍,更适合于具有空间重利用能力的RPR。  相似文献   

14.
在面向特定应用的片上系统中,不同模块之间的通信量和延迟需求差异很大,均等位宽的链路不能充分利用带宽资源。为此,提出一种非均匀的带宽分配方案,根据流量特征和竞争状况设定各链路的数据宽度,采用异构的互联结构合理分配连线资源并优化吞吐量。实验结果表明,在均匀流量模式下,非均匀位宽的异构网络和同构架构的吞吐量相近,而连线资源节省16%。在热点流量模式下,异构网络能够有效缓解局部拥塞状况,提高网络吞吐量。  相似文献   

15.
T.  C.  G.   《Computer Networks》2003,41(6):761-777
This paper is motivated by the concern of a multi-service network provider who plans to offer quality of service guarantees to users. A bandwidth broker acts as the resource manager for each network provider. Neighboring bandwidth brokers communicate with each other to establish inter-domain resource reservation agreements. Conventional approaches for resource allocation rely on pre-determined traffic characteristics. If allocation follows the traffic demand very tightly, the resource usage is efficient but leads to frequent modifications of the reservations. This would lead to increased inter-bandwidth-broker signaling in order to propagate the changes to all the concerned networks. Contrarily, if large cushions are allowed in the reservations, the modifications are far spaced in time but the resource usage becomes highly inefficient. In this paper, a new scheme for estimating the traffic on an inter-domain link and forecasting its capacity requirement, based on a measurement of the current usage, is proposed. The method allows an efficient resource utilization while keeping the number of reservation modifications to low values.  相似文献   

16.
一种动态的入侵检测系统负载均衡算法   总被引:2,自引:0,他引:2  
目前的入侵检测不仅需要模式匹配,而且需要协议异常检测,提出了一种新动态的负载均衡算法,采用两层结构,对网络流量按照服务类型进行初步划分之后分别对每部分流量进行二次分配,并对每种类型的流量进行相应的协议异常检测。该算法能在不牺牲系统性能的前提下有效提高网络入侵检测系统的检测效率,降低误检率,并可有效地适应网络流量的变化,降低漏检率。  相似文献   

17.
为保障网络和信息系统安全,需要对网络实施有效的监控,确保能及时检测出网络异常(蠕虫爆发、DDoS攻击等)等流量,进而为后续的动态量化风险评估、主动防御提供有力支持。为此,本文提出了一种基于IP监控和非高斯统计的网络异常流量检测方法(IPM-NGSD)。该方法包括两个关键部分:常用IP地址库FIPD和非高斯统计建模。前者,通过利用Bloomfilter技术和FIPD,将网络流量快速分流为常见和非常见IP网络流量:S0和S1;后者,在不同聚合层次上,提取S0和S1的非高斯边缘分布的轮廓值Porfile0和Porfile1,并通过计算Porfile0和Porfile1之间的统计距离,来检测是否存在异常。通过理论分析和两组统计实验验证了该方法的有效性:在缺少有关目标流量先验知识的前提下,该方法能快速、准确地发现短期突发攻击流量和长期低密度攻击流量。  相似文献   

18.
The basic goal of scene understanding is to organize the video into sets of events and to find the associated temporal dependencies. Such systems aim to automatically interpret activities in the scene, as well as detect unusual events that could be of particular interest, such as traffic violations and unauthorized entry. The objective of this work, therefore, is to learn behaviors of multi-agent actions and interactions in a semi-supervised manner. Using tracked object trajectories, we organize similar motion trajectories into clusters using the spectral clustering technique. This set of clusters depicts the different paths/routes, i.e., the distinct events taking place at various locations in the scene. A temporal mining algorithm is used to mine interval-based frequent temporal patterns occurring in the scene. A temporal pattern indicates a set of events that are linked based on their relationship with other events in the set, and we use Allen's interval-based temporal logic to describe these relations. The resulting frequent patterns are used to generate temporal association rules, which convey the semantic information contained in the scene. Our overall aim is to generate rules that govern the dynamics of the scene and perform anomaly detection. We apply the proposed approach on two publicly available complex traffic datasets and demonstrate considerable improvements over the existing techniques.  相似文献   

19.
网络异常检测模型的检测性能在很大程度上依赖于网络会话属性,因网络会话属性在本质上刻画了网络行为模式。基于假设验证的实验分析手段,采用Tcpdump网络数据包作为实验数据源,在将数据包解析成具有基本属性的网络会话记录基础上,提出了一组简洁和精确的会话属性组合模式。实验结果表明,优化后的会话属性组合模式确实能够有效地提高网络异常检测模型‘对未知攻击的检测能力,采用基本属性、全部属性和任意部分属性训练检测模型,并不能获得良好的检测效果。  相似文献   

设为首页 | 免责声明 | 关于勤云 | 加入收藏

Copyright©北京勤云科技发展有限公司  京ICP备09084417号