基于熵的入侵检测研究综述

在网络安全领域中,用熵值分析网络中的异常流量是一个较为常用的异常入侵检测方法。总结已知入侵检测方法的分类,并给出各种方法的应用场景及优缺点。结合信息熵、相对熵、条件熵、活跃熵等熵值理论在入侵检测领域的研究,概述其研究现状,总结不同的熵值理论的应用场景和不足之处。最后讨论基于熵的入侵检测方法的改进方向。     

SDN环境中基于交叉熵的分阶段DDoS攻击检测与识别

针对软件定义网络易遭受DDoS攻击、监控负荷重等问题,提出一种分阶段多层次、基于交叉熵的DDoS攻击识别模型。采用监控SDN交换机CPU使用率的初检方法预判异常状态;引入交叉熵理论对异常交换机的目的IP交叉熵和PACKET_IN数据包联合检测,对正常与异常流量的特征分布相似性进行定量分析;通过选取的基于交叉熵的特征对流量进行检测识别。实验表明,在使用Mininet模拟SDN网络环境中,该检测方法可高效定位出异常网络设备,减轻了常态化监控时的设备负荷,同时相比信息熵检测方法及其他方法,拥有更高的灵敏度,降低了DDOS检测中的漏报率和误报率。     

基于模糊相对熵的网络异常流量检测方法研究

基于模糊相对熵的网络异常流量检测方法可以在缺乏历史流量数据的情况下,通过对网络流量特征进行假设检验,实现对网络异常行为的检测发现。通过搭建模拟实验环境,设计测试用例对基于模糊相对熵的网络异常流量检测方法进行多测度测试验证,结果表明该方法在设定合理模糊相对熵阈值的情况下检测率可达84.36%,具有良好的检测效率。     

全网异常流量簇的检测与确定机制

在网络安全管理领域,自动确定异常流量簇可为ISP分析和定位全网流量异常提供有效手段.提出了一种基于过滤的网络流数据的全网异常流量簇检测及确定机制.给出了问题的形式化描述和定义;扩展和改进了基于多维树的大流量簇检测方法,提出了灵活的"检测阈值"及"分裂值"的计算方法以改善大流量簇的检测精度;通过剪枝算法缩减了树的规模,提高了查找大流量簇的效率;给出了基于大流量簇确定异常流量簇的方法.实验表明该方法是可行的,可应用于全网异常诊断.     

网络流量异常检测及分析的研究

网络流量异常检测及分析是网络异常监视及响应应用的基础,是网络及安全管理领域的重要研究内容.本文探讨了网络流量数据类型、网络流量异常种类;从流量异常检测的范围、流量异常分析的深度、在线和离线异常检测方式等方面归纳了流量异常检测的研究内容;综述了已有的研究工作针对不同应用环境和研究内容所采用的不同的研究方法和技术手段,并分析了各种研究方法的特点、局限性和适用场合等;最后本文还对现有研究工作存在的问题及有待于进一步研究的课题进行了探讨.     

基于信息熵的网络流量信息结构特征研究

随着人们对网络流量特征研究的深入,网络异常检测技术得以不断发展,因此流量特征分析是网络异常检测的基础性重要工作。文章研究基于熵的流量信息结构特征,不同于已有的网络流量初级统计特征研究,它以提取的流量属性在单位时间内分布特征为研究对象。基于 DARPA 99数据集的实验表明,该方法相对于基于流量初级统计特征方流量异常表示方法具有更强的敏感性。     

基于多维聚类挖掘的异常检测方法研究

网络异常检测是网络管理中非常重要的课题,因此已在近年来得到广泛研究.人们在该领域提出了许多先进的网络流量异常检测方法,但是自动准确地对网络流量进行分类和识别来发现网络中的异常流量仍然是一个非常具有挑战性的问题.文中提出了一种基于多维聚类挖掘的异常检测方法,通过两个阶段来实现异常检测.第一阶段先通过多维聚类挖掘算法,自动对网络中的流量进行多维聚类,第二阶段通过计算多维聚类的异常度来实现异常检测.通过文中的方法,网络中的异常流量被自动归类到不同的有意义的聚类中,通过对这些聚类进行分析可以发现网络中的异常行为.最后通过实验对算法进行了验证,结果表明该方法能够有效检测网络中的异常流量.     

基于信息熵理论的教育网异常流量发现*

为提高异常流量发现的效率,解决传统流量分析方法效率较低、异常检测能力弱的问题,对骨干路由器的netflow流数据采用基于多个信息熵的联合指标并结合基于滑动窗口的熵流突发检测算法来实现网络异常的发现;并利用各指标熵值的相关度分析将指标分类,根据已知的异常类型对每一类指标的异常检测范围作出总结。通过实验成功剔除了冗余度高的指标,将网络异常流量分为了能准确地被联合指标识别出的四种类型。实验证明,该异常检测方案实用性强,较传统的流量分析方法在异常类型的判断上更加准确和有效。     

基于联邦学习的SDN异常流量协同检测技术

网络流量异常状态检测是发现潜在安全威胁的重要手段，但是现有异常流量检测方法普遍存在环境适应性不强、协同能力较弱等问题。结合SDN网络的拓扑结构与流量特征，提出基于联邦学习的异常流量协同检测技术。利用SDN网络中的检测节点，构建基于联邦学习的多检测节点协同检测架构。通过信息熵计算提取流量特征，从相对熵的角度分析检测节点的流量关联度，并根据该关联度设计模型训练过程中的参数聚合权重优化算法，提高检测模型的适应能力。应用参数聚合权重优化算法进行多检测节点异常流量检测模型的协同训练，提升检测模型对异常流量的识别准确率。仿真结果表明，与本地独立训练和传统联邦学习算法相比，基于参数聚合权重优化算法的识别准确率分别提升了31.69%和7.92%，具有更好的异常流量检测效果及更强的环境适应能力。     

基于多维熵值分类的骨干网流量异常检测研究

针对高速骨干网上异常检测要求高检测效率和低误报率问题,提出了一个基于多维流量数据熵值分类方法.在多个不同维度上采用熵度量流量数据的分布特征,提出了多维高效熵值计算算法有效减低熵值计算的时间和空间复杂度;在每个时间窗口上把不同维度熵值序列排列成检测向量,采用一类支持向量机对检测向量进行分类;对支持向量机分类判断过程中可能出现误报的情况,提出多窗口关联检测算法,通过在多个连续时间窗口上对异常向量进行多窗口关联检测,最终判断异常是否发生.通过在真实网络流量数据集上的两个对比实验,验证了本文算法在检测效率方面随着网络流量和攻击流量的增加时间和空间开销增长较为平缓,在检测精度方面也取得了令人满意的效果.     

基于尖点突变模型的联动网络流量异常检测方法

针对现有方法没有考虑联动网络流量的非线性动力学特性,以及不能有效区分正常联动业务流量和异常攻击流量的问题,提出了一种基于尖点突变模型的联动流量异常检测方法。通过对联动网络流量非线性动力学特征参数的分析与提取,建立正常流量的尖点突变模型;利用模型的平衡曲面来描述网络流量系统的行为,构造正常网络流量行为的平衡曲面;并以网络流量行为相对于正常平衡曲面的偏离程度作为异常检测的依据。实验结果表明,所提方法具有较高的检测率和较低的误报率。     

基于小波的网络流量异常分析与仿真

网络流量异常检测及分析是网络及安全管理领域的重要研究内容,文章根据网络流量的信号特性和自相似性,利用小波变换局部放大能力及Hurst和李氏指数的变化与网络流量异常的对应关系,提出了一种基于小波分析的网络流量异常检测与定位方法。根据自相似指数的值在大时间尺度上来判定异常发生,并进一步在小时间尺度下基于李氏指数与信号奇异性的对应关系来分析并定位异常点。此方法通过DipSIF平台所采集的数据进行仿真验证,可有效地检测网络函：量异常并定位异常发生点,与传统方法相比,异常检测的有效率更高。     

基于相对熵理论的多测度网络异常检测方法

检测率低、误报率高和检测攻击范围不够全面已经成为制约网络异常检测发展的最大障碍,为了提高检测率,降低误报率,扩大检测攻击范围,提出了一种新的网络异常检测方法。首先,对网络流量进行统计分析并引入相对熵理论来表征测度对应的全概率事件;然后,通过加权系数融合多个测度相对熵而得到加权相对熵;最终,以综合的多测度加权相对熵作为网络异常判断的依据。实验数据采用DARPA1999测评数据集,实验结果表明该方法在低误报率的前提下,达到了较高的检测率。     

基于信息熵的大规模网络流量异常检测

提出了基于信息熵的大规模网络流量异常检测方法。该方法吸收了子空间方法的思想，并结合了K-means分类方法。以校园网为实验环境，应用基于信息熵的方法实现了网络流量异常检测的全过程。通过实验结果与应用标准子空间方法对测量数据分析结果的对比，证明了基于信息熵的大规模网络流量异常检测有着更高的检测精度。     

Diagnosing Traffic Anomalies Using a Two-Phase Model

Network traffic anomalies are unusual changes in a network,so diagnosing anomalies is important for network management.Feature-based anomaly detection models (ab)normal network traffic behavior by analyzing packet header features.PCA-subspace method (Principal Component Analysis) has been verified as an efficient feature-based way in network-wide anomaly detection.Despite the powerful ability of PCA-subspace method for network-wide traffic detection,it cannot be effectively used for detection on a single link.In this paper,different from most works focusing on detection on flow-level traffic,based on observations of six traffic features for packet-level traffic,we propose a new approach B6SVM to detect anomalies for packet-level traffic on a single link.The basic idea of B6-SVM is to diagnose anomalies in a multi-dimensional view of traffic features using Support Vector Machine (SVM).Through two-phase classification,B6-SVM can detect anomalies with high detection rate and low false alarm rate.The test results demonstrate the effectiveness and potential of our technique in diagnosing anomalies.Further,compared to previous feature-based anomaly detection approaches,B6-SVM provides a framework to automatically identify possible anomalous types.The framework of B6-SVM is generic and therefore,we expect the derived insights will be helpful for similar future research efforts.     

基于信息熵的大规模网络流量异常分类

本文提出了基于信息熵的大规模网络流量异常分类方法。该方法综合运用子空间方法和k-means分类方法,并以校园网为实验环境实现了网络流量异常分类实验。实验结果表明,基于信息熵的大规模网络流量异常分类实现简单、计算量小,分类准确性高。     

基于主机行为异常的P2P僵尸网络在线检测方法

僵尸网络已经成为当前最为严重的网络威胁之一,其中P2P僵尸网络得到迅速发展,其自身的通信特征给检测带来巨大的挑战.针对P2P僵尸网络检测技术的研究已经引起研究人员的广泛关注.提出一种P2P僵尸网络在线检测方法,首先采用信息熵技术发现网络流量中的异常点,然后通过分析P2P僵尸网络中主机的行为异常,利用统计学中的假设检验技术,从正常的网络流量数据中识别出可疑P2P僵尸主机,同时根据僵尸主机通信模式的相似性进行最终确认.实验结果表明该方法能够有效实现P2P僵尸网络的在线检测.