应用层异常检测方法研究

目前绝大部分异常检测方法只利用数据包的头部信息来检测网络攻击,即仅仅从网络层、传输层来分析网络的异常情况.而研究表明现在的网络攻击主要发生在应用层,因此从应用层来分析网络异常的研究就显得十分重要.首先介绍了入侵检测和异常检测的研究现状,突出强调了应用层异常检测的重要性,接着详细介绍了目前几种主要的应用层异常检测方法,最后讨论了应用层异常检测所面临的挑战.     

应用层DDOS攻击检测技术研究

随着检测底层DDoS攻击的技术不断成熟和完善,应用层DDoS攻击越来越多。由于应用层协议的复杂性,应用层DDoS攻击更具隐蔽性和破坏性,检测难度更大。通过研究正常用户访问的网络流量特征和应用层DDoS攻击的流量特征,采用固定时间窗口内的请求时间间隔以及页面作为特征。通过正常用户和僵尸程序访问表现出不同的特点,对会话进行聚类分析,从而检测出攻击,经过实验,表明本检测算法具有较好的检测性能。     

利用蚁群聚类检测应用层DDoS攻击的方法

提出了一种利用蚁群聚类检测应用层分布式拒绝服务攻击的方法,根据合法用户和攻击用户在浏览行为上的差异,从合法用户的Web日志中提取用户会话并计算不同会话间的相似度,运用一种蚁群聚类算法自适应地建立检测模型,利用该模型对待检测会话进行攻击识别。实验结果表明该方法能够有效地检测出攻击行为,并具有较好的适应性。     

基于关键事件序列的应用层异常检测机制

目前网络攻击越来越多地发生在应用层,而传统的网络防护技术主要针对网络层、传榆层的防护.虽然目前有些网络防护技术可以检测出一些应用层攻击,但这些技术主要针对应用层一些已知攻击的防范,对于应用层未知攻击或新出现的攻击就显得无能为力.理论上而言,应用层异常检测能识别应用层上的所有攻击,因此应用层异常检测的研究就显得十分重要.本文在分析了应用层异常检测研究现状的基础上,提出一种基于关键事件序列的应用层异常检测机制,该机制是通过跟踪用户的应用层协议行为来发现用户的应用层异常操作,从而达到识别应用层攻击的目的.     

一种基于web漏洞威胁模型的应用层异常检测方法研究

首先从入侵检测和异常检测的研究现状入手,介绍了WEB应用层存在的主要安全隐患,采用攻击图思想设计了web漏洞威胁模型,并给出了模型的参数量化方法,推导了模型参数估计与异常检测算法,并对web漏洞威胁模型的应用层异常检测方法进行了安全评估。     

基于应用层协议关键词序列的应用层异常检测方法

提出一种基于应用层协议关键词序列的应用层异常检测方法.它用应用层协议关键词和关键词之间的时间间隔构成观测序列,用隐半马尔可夫模型来刻画正常用户在使用每种应用层协议时的行为.该方法可分为模型训练和异常检测两个阶段:在模型训练阶段,利用前后向算法训练得到正常用户在使用每种应用层协议时其行为的隐半马尔可夫模型;在异常检测阶段,在线统计每个观测序列相对于模型的平均对数或然概率,当发现某个用户在使用某种应用层协议的过程中其行为出现异常时,采取调整该用户数据流的优先级或者带宽的方式来对该用户的异常行为进行控制,从而可以自动纠正用户的异常行为.使用包括DARPA测试数据集在内的一些数据对该方法进行了验证.实验结果表明该方法能很好地描述正常用户在使用应用层协议时的行为,并且在检测用户异常行为时具有很高的检测率和很低的误报率.     

面向链路洪泛攻击的多维检测与动态防御方法

针对现有链路洪泛攻击检测存在的不足,提出了多维指标检测算法,通过会话连接时长、数据分组低速比例、数据分组距离均匀性、平均低速率数据分组占比、低速数据分组占比变化率5维要素对存在异常的转发链路进行多维检测,改善了现有方法误报率高的情况。进一步,提出基于染色理论的“控制器-交换机”动态部署方法,解决了现有防御缓解机制存在的“难以实际部署在交换机变体类型受限的实际环境中”问题。最后,实验验证所提方法的有效性。     

应用层异常检测模型

目前的应用层异常检测方法多是针对某一种应用层攻击而设计的,通用性较差。本文基于人体免疫系统T细胞识别自体和非自体的原理,设计了基于否定选择的应用层异常检测通用模型,研究了实现否定选择应用层的关键技术。仿真实验表明,该模型能够有效地检测网络服务器的应用层的异常访问,具有广泛的应用前景和推广价值。     

基于聚类的应用层DDoS攻击检测方法

提出了一种基于聚类的应用层DDoS攻击检测方法,该方法首先采集Web服务器端网络流量,经过数据预处理后从中选取4个属性组成流量特征向量,后利用粒子群算法优化的K-Means聚类算法建立检测模型,并通过该模型识别攻击行为.实验结果表明,该方法与K-Means算法建立的检测方法相比,能有效地识别应用层DDoS攻击行为,且具...     

基于扩展状态机的SIP洪泛攻击自适应检测

IP多媒体子系统(IMS)中现有的会话初始协议(SIP)洪泛检测方法不能根据网络状况进行自适应检测。针对该问题,提出一种基于扩展状态机的SIP洪泛自适应检测方法。通过增加描述网络受到攻击或出现异常时的状态,构造IMS网络中的SIP扩展状态机,基于卡尔曼滤波设计自适应阈值调整算法,对SIP洪泛攻击进行自适应检测。实验结果表明,该方法比固定阈值的检测方法具有更好的检测性能,更适用于真实网络。     

一种IMS网络中的SIP洪泛攻击检测方法

IMS（IP Multimedia Subsystem,IP多媒体子系统）是3G系统中核心网的重要部分,它由SIP协议提供的会话发起能力建立起端到端的会话,并获得所需要的服务质量。针对IMS网络中存在的SIP洪泛攻击,本文在详细分析SIP洪泛攻击原理和实现过程的基础上,提出了一种基于累积和算法的SIP洪泛攻击检测方法。该方法首先通过对接收到的SIP数据包中的INVITE消息的数量进行统计,然后将统计结果输入到累积和算法,以检测是否发生SIP消息洪泛攻击,最后通过设置的阙值来判决检测结果。实验结果表明,本文提出的方法能够有效地检测到IMS网络中的SIP洪泛攻击。     

一种基于主动探测机制的SYN Flooding攻击检测方法

SYN Flood给网络正常运行带来极大危害,而已有广泛研究的基于流量自相似性的检测方式对这种小包攻击可能会失效。通过对DAG卡捕获高精度流量样本进行分析,提出一种基于主动探测机制的SYN攻击检测方法。该方法将包对测量背景流量技术应用于异常流量检测中,用夹入背景流长度变化来检测攻击。实验表明,该算法对SYN攻击检测率可达88%。这种基于端到端的检测方法,具有良好的灵活性和可控制性等优点。     

一种可抗TCP Flooding攻击的网络流量监测机制

DDoS攻击是互联网的主要安全威胁之一, 而大部分DDoS攻击工具都使用TCP Flooding攻击方式, 基于大量研究相关技术的基础上, 提出了一种可用于局域网的网络流量监测机制, 可以有效的检测出TCP Flooding攻击, 解决当前各种网络安全设备在此方面存在的问题.     

IMS网络中的SIP洪泛攻击检测

为了检测针对3G核心网中IP多媒体子系统的SIP(session initiation protocol)洪泛攻击,提出了一种双抽样多点检测方法.该方法在使用计数式布鲁姆过滤器统计检测特征信息的基础上,将检测空间划分为5个范围,即正常范围、关注范围、检测范围、精检测范围和攻击范围,然后对落在不同范围内的统计信息给予相应...     

非平稳动态行为模型及其在DDoS检测中的应用

应用层分布式拒绝服务攻击严重威胁承载网络应用与服务的服务器.传统服务器端检测方法的主要问题是难以刻画非稳态网站的用户访问行为,也无法动态跟踪正常用户的行为变化,导致误检率随时间推移逐渐增高.提出一种动态的用户行为模型,并应用于诊断基于HTTP协议的分布式拒绝服务攻击.该方法采用半马尔可夫链描述正常用户行为.模型通过有监督的前后向算法获得初始化参数,利用动态参数递推算法使模型可以根据用户群体行为的变化实时调整自身参数.从而精确地实现对用户行为的跟踪及诊断可能存在的异常行为.实验结果证明了本文所提方法的有效性.     

应用层的多播协议

传统的多播(multicasting)服务被实现在TCP／IP协议的网络层,但由于网络层的多播服务实现需要扩展网络层的路由与数据包收发协议,这在大多数的实际网络环境里并不是一件容易的事情。从最近几年来,研究人员开始重新审视多播服务的实现宿主层,并提出将多播服务实现在TCP／IP协议的应用层。应用层的多播在提供与网络层的多播的相近质量的服务情况下,具有更好的应用灵活性。本文介绍了应用层多播的定义和方法,及现阶段国内外已提出的应用层多播协议,并简要地讨论了应用层多播协议的性能评价问题。     

基于非参数CUSUM算法的SYN Flooding攻击检测

针对危害性极大的SYNFlooding攻击，提出了一种新的检测方法。该方法监控进入网络的TCP业务的SYN包与FIN（RST）包的平衡性，并使用非参数累积和（CUSUM）算法来检测SYN包与FIN（RST）包数量的均衡灶的变化。该方法不需要正常业务和攻击业务的详细模型，能提高检测的准确性和在线检测速度，降低运算开销。     

一种基于DFA的网络攻击检测算法

提出一种基于确定有限自动状态机(DFA)语法的网络攻击检测方法。正常的网络行为符合一定的语法规则,异常的行为会偏离正常的语法规则。通过对正常行为样本的学习得到基于DFA的语法,用学习得到的DFA模型检测针对网络服务器的应用层攻击。基于现实数据的对比实验表明该方法检测性能较好。     

多资料水淹层识别的模糊神经网络模型研究

该文研究了利用多资料识别水淹层水淹等级的模糊神经元网络自适应模型,模型由若干个规则网络和适用度网络组成,汇合了神经网络与模糊逻辑的优点,具有非线性系统的逼近能力。通过相关性分析和反复测试,最终选择13个参数作为输入参数,水淹层的含水饱和度作为输出参数,实际资料的检验证明该算法明显改进了识别效果。     

环境重现的非稳态流量异常检测系统设计

网络入侵检测中的流量异常检测方法存在着虚警率较高的问题,为此提出了结合环境重现的非稳态流量异常检测系统。该系统采取了基于发生新事件的先验概率和趋势来评估异常的思想,建立非稳态正常模型,采用环境重现进行进一步数据挖掘,最后给出了综合系统的原型设计。