基于FRFT自相似参数估计的异常流量检测方法

针对传统异常流量检测方法检测精度较低, Hurst指数估计受估计序列尺度的影响, 提出了基于分数阶傅里叶变换（FRFT）估计Hurst指数的方法。在此基础上, 实现了基于Hurst指数变化的异常检测, 有效解决了方法实现过程中FRFT最佳估计的分数阶阶数选择及Hurst参数求解的关键问题。实验表明, 基于FRFT的估计不受序列非平稳性影响, 对Hurst指数估计具有较高的估计精度, 并且可以准确地检测网络异常。     

基于流量信息结构的异常检测

由于人们对网络流量规律的认识还不够深入,大型高速网络流量的异常检测仍然是目前测量领域研究的一个难点问题.通过对网络流量结构和流量信息结构的研究发现,在一定范围内,正常网络流量的IP、端口等具有重尾分布和自相似特性等较为稳定的流量结构,这种结构对应的信息熵值较为稳定.异常流量和抽样流量的信息熵值以正常流量信息熵值为中心波动,构成以IP、端口和活跃IP数量为维度的空间信息结构.据此对流量进行建模,提出了基于流量信息结构的支持向量机(support vector machine,简称SVM)的二值分类算法,其核心是将流量异常检测转化为基于SVM的分类决策问题.实验结果表明,该算法具有很高的检测效率,还初步验证了该算法的抽样检测能力.因此,将该算法应用到大型高速骨干网络具有实际意义.     

基于ME-PGNMF的异常流量检测方法

由于部分网络异常对流量变化影响不明显,流量分析难以发现此类异常。传统基于主成分分析的网络异常流量检测方法追求全局最优解,对局部特征提取不充分,导致对连续异常不敏感,降低了异常流量的检测精度,且物理意义不明确。针对上述问题,在多维信息熵的基础上,提出梯度投影非负矩阵分解异常流量检测方法。将流量数据处理为多维特征熵矩阵,用梯度投影非负矩阵分解方法重构多维熵矩阵,分离出正常和异常子空间,采用多元统计过程控制方法中的Q图检测异常。实验结果表明,与以流量分析为基础的主成分分析方法、传统非负矩阵分解方法相比,该方法能更快、更准确地检测出连续异常,对流量变化不敏感的低速分布式拒绝服务攻击检测效果明显提高,对蠕虫攻击更加敏感。     

基于机器学习的网络异常流量分析检测系统的研究与设计

当前网络安全问题已成为网络世界的重要课题,如何有效的检测和响应则成为一项重大挑战。实际上,为保持超前于高级网络安全威胁的发展,网络检测、响应和取证解决方案必须要综合多种方法,本文通过研究和设计一种网络异常流量分析检测系统,主要将机器学习的方法应用在网络异常流量分析检测,实现对网络异常流量的有效分析和高准确率检测,从而达到洞悉网络中的恶意活动,并将可疑行为匹配到确认的威胁,提高对网络异常流量的检测目的。     

结合马氏距离与自编码器的网络流量异常检测方法

当前网络流量数据规模较大且分布不均衡,传统网络流量异常检测方法检测准确率较低。提出一种结合马氏距离和自编码器的检测方法,使用马氏距离倒数及判别阈值快速检测部分正常数据以减少训练数据量,同时,在自编码器代价函数中添加马氏距离度量项以增强自编码器的特征提取能力。在此基础上,将自编码器与分类器相结合以解决网络参数初始化问题,并通过调整自编码神经网络交叉熵损失函数中各项的权重,提高自编码神经网络对数据分布不均衡数据集的训练效果。实验结果表明,该方法在CICIDS2017数据集、NSL-KDD数据集上的异常检测准确率分别高达97.60%、99.84%,在CICIDS2017数据集上的F1值为0.941 3,高于DNN、LSTM、C-LSTM等方法。     

基于mallat算法的自相似网络流量随机建模

传统的网络流量自相似模型均从分形函数入手，计算复杂。文中应用小波变换对流量序列样本进行mallat多分辨分析，并重构各层数据，再随机拆分组合所得重构序列来进行仿真。所生成的仿真流量符合聚合方差估计，具有较好的自相似性。     

基于相似度的异常检测方法

提出一种时间序列的相似度计算方法,采用统计学中相关因子的思想,用来衡量两段时间序列数据在视觉上的相似程度.在在各种时间序列数据实时检测中,能快速检测到具有周期性数据的异常并定位异常源,实验证明用于异常检测时效果较好.     

基于多核处理器的自相似测试流量生成技术

研究并实现一种自相似测试流量生成技术,比较多种典型自相似流量分析模型,利用多分形小波作为自相似测试流量的生成模型,设计自相似测试流量生成算法。将该算法应用于基于IXP2400可编程多核多线程处理器构建的网络测试系统,在区间（0.5、1．0）内生成满足不同Hurst值的自相似测试流量,通过实验验证该技术的可用性和有效性。     

基于相似度的DDoS异常检测系统

实现了一种基于相似度的DDoS异常检测系统,利用网络流量高频统计结果的相似性建立模型,当发生DDoS攻击时这种相似性遭到破坏,使用相似度作为这种相似性的测度,通过与正常情况时的比较可以及时准确地发现DDoS攻击引起的异常。实验结果证明基于相似度的异常检测方法对DDoS攻击检测效果较好。     

基于自相似模型的智能网络质量管理系统

传统网络质量管理方法存在不能自适应网络环境变化,无法判断未知网络异常的不足。针对这种情况,以自相似模型为理论基础开发设计智能网络质量管理系统。该系统对用户网络流量行为建立自相似数学模型,然后引入图形图像学中图表相似度的比较方法,通过对比当前用户行为与模型,进而判断网络是否存在异常,并在自动或人工模式下启动相应干预操作。实际应用结果表明,相比较传统网络质量管理方法与传统的自相似模型基础下判断网络异常的方法而言,该系统有效地提高了网络质量管理的智能化水平和可靠性。     

基于自适应阈值的网络流量异常检测算法

网络流量异常检测大多采用固定阈值进行异常判断,无法精确刻画网络异常行为,从而影响检测精度。针对上述问题提出一种自适应阈值异常检测算法,通过刷新机制叠加前一时刻的行为,得出动态的阈值作为判断当前时刻检测点是否异常的准则,通过标准差设定置信区间,以更准确地描述网络状况。仿真实验及比较结果表明该算法能有效提高异常检测精度。     

基于分组无关问题模型的隐私保护算法

针对分组无关问题模型存在隐私泄露的问题,提出一种改进的分组无关问题模型,采用随机响应的方法,通过对原始数据进行伪装变换处理,实现具有隐私保护的关联规则挖掘。实验结果表明,改进后的模型在伪装变换后的数据集上挖掘出的规则与原始数据规则相比,保证了低误差,具有较好的隐私保护性。     

基于自相似特性的流量测量采样方法

针对大型网络流量测量中测量数据量巨大、不能有效地描述流量特征的问题,本文将近年来网络研究的热点自相似性运用在流量测量中。根据流量变化对自相似参数H的影响,提出了一种基于网络的自相似特性的流量测量采样方法。该方法降低了流量测量的采样频率,能够及时、准确地发现网络异常,并能使测量数据更准确地刻画流量特征。     

一种基于随机森林算法的MQTT异常流量检测方法

工业物联网系统所面临的网络安全威胁随着物联网技术的广泛应用日益增加,信息安全问题已成为其发展过程中的一大挑战。MQTT（Message Queuing Telemetry Transport）协议是物联网通信的主流协议,基于该协议的物联网通信安全研究是当前研究的热点话题。传统的流量识别技术如深度包检测无法有效地识别符合包格式的异常流量,而基于机器学习理论的异常流量识别技术则表现出很好的效果。对此提出一种基于随机森林算法的MQTT异常流量检测方法,实现整体高于90%的MQTT异常流量识别准确度,与其他常用分类模型相比拥有更好的识别效果。     

软件定义网络中的异常流量检测研究进展

软件定义网络(software defined networking,简称SDN)是一种新型的网络架构.SDN将控制层从数据层分离并开放网络接口,以实现网络集中控制并提高网络的可扩展性和编程性.但是SDN也面临诸多的网络安全威胁.异常流量检测技术可以保护网络安全,防御恶意流量攻击.对SDN异常流量检测进行了全面的研究,归纳了数据平面和控制平面可能遭受到的网络攻击;介绍并分析了位于应用平面、控制平面和中间平台的异常流量检测框架;探讨了异常流量识别机制、负载均衡机制、异常流量追溯机制和异常缓解机制;最后指明SDN异常流量检测在未来工作中的研究方向.     

一种基于异常流量的蠕虫入侵检测

该文对入侵检测常用检测方法做了简单概述,根据蠕虫与流量的关系,分析了基于异常流量检测蠕虫入侵的可行性,提出了一种基于异常流量的蠕虫检测模型,最后对将来需要进一步研究的工作提出了一些建议和设想。     

基于EBP的宏观网络流量异常行为检测

针对以往Hurst指数估算方法在求解精度和实时性上的不足,提出将EBP引入到网络流量白相似特性分析中,对比实验表明EBP对Hurst指数的估算更精确、实时性更高。利用EBP的这一优势将其运用到宏观网络行为的在线实时分析和异常行为的检测中,对林肯实验室宏观网络行为数据的分析表明,正常行为和异常行为的Hurst分布曲线差异明显。与传统匹配方法相比,基于EBP的异常行为检测方法检测效率更高。     

浅析基于网络协议的异常流量识别技术

本文提出构建基于网络协议的异常流量识别模型,结合网络协议分析、网络入侵检测技术等对网络数据层进行解析,通过对频繁IP 地址进行聚集发现网络中的异常流量IP 地址集合,统计出异常数据包。通过DDOS攻击实验结果分析得出,该模型具有较高的识别能力,并且在处理效率和计算强度方面都有很好的表现。     

网络流量自相似性影响因素的研究

网络流量特征是分析和研究网络性能、规划网络建设的基础。由于自相似模型能够更加真实地描述网络传输的特性,通过生成自相似性的流量进行仿真研究。提出将业务源流量自相似性与网络传输的TCP协议相结合进行研究的方法,探讨影响自相似流量的因素,分析网络行为随参数变化的情况。仿真结果表明业务源流量的自相似与网络状态无关,而网络传输的TCP协议自适应改变网络状态,从而间接改变网络流量的自相似性,但并不能消除业务源流量的自相似性。