基于概要数据结构可溯源的异常检测方法

提出一种基于sketch概要数据结构的异常检测方法.该方法实时记录网络数据流信息到sketch数据结构,然后每隔一定周期进行异常检测.采用EWMA(exponentially weighted moving average)预测模型预测每一周期的预测值,计算观测值与预测值之间的差异sketch,然后基于差异sketch采用均值均方差模型建立网络流量变化参考.该方法能够检测DDoS、扫描等攻击行为,并能追溯异常的IP地址.通过模拟实验验证,该方法占用很少的计算和存储资源,能够检测骨干网络流量中的异常IP地址.     

基于流量模板检测网络异常流量

当前的网络异常流量检测技术侧重于采用机器学习和统计学方法,两者适用于通用网络环境。本文针对受控网络环境通信特征,提出了一种基于流量模板的网络异常流量检测方法,该方法实时抓取分析网络流量,提取网络流量头部特征和行为特征,基于网络八元组信息建立流量模板,通过匹配流量模板检测网络异常流量。实验结果表明该方法在受控网络环境下能准确检测出网络异常流量。     

基于协议分析与PNN组合的网络异常检测

提出了一种基于协议分析与概率神经网络结合的网络异常状况检测方法。该方法首先基于网络协议分析,对网络运行中的敏感数据进行捕获及状态扫描;然后结合Baycs最小风险准则和基于Parzen窗的概率神经网络（PNN）,对网络特征数据与网络基线数据进行比较判断,从而及时、准确地检测出网络发生的异常状况。     

多视图协同分析的异常检测方法

异常检测是识别和防御网络攻击的一种重要分析手段,针对现有网络异常检测方法的数据可解释性不高,本文从可视化分析出发,基于数据结构特征和业务行为的理解,对数据集CIC-IDS2017五天的流量数据进行多视图协同分析,识别周二到周五的攻击行为。可视化分析抽取了通信主机流量,端口使用率数据等多维特征,研究采用网络图、旭日图、河流图和热力图对数据进行多图协同分析检测异常。实验结果表明该方法可以有效检测网络异常行为,解释网络攻击的特征变化和相关性,提高了数据的可读性和可解释性,增强了检测结果的可信度,为安全管理员防御同类异常提供了预警。     

基于信息熵与LSTM的ICMPv6 DDoS攻击检测方法

ICMPv6（Internet Control Management Protocol version 6）协议作为IPv6网络运行的基础支撑协议,是IPv6 DDoS（Distribute Denial of Service）攻击防御的一个重要环节。在分析国内外ICMPv6 DDos攻击检测现状的基础上,提出了一种基于信息熵与长短期记忆网络（Long Short-Term Memory,LSTM）相结合的双重检测方法。该方法通过基于信息熵的初步检测能有效识别出异常流量,再进一步基于改进的LSTM网络的深度检测对异常流量进行确认。仿真实验表明,该方法对ICMPv6 DDoS攻击的识别准确率能达到95%以上,与常用的检测方法相比,该方法的准确率更高。同时,与只基于LSTM的检测方法相比,该方法缩短了50%以上的检测时间,具有更好的性能。     

一种基于协议分析的入侵检测模型的设计

本文在对TCP/IP协议以及各种网络入侵攻击进行深入分析研究的基础上,设计了一种基于协议分析的同时使用异常检测和误用检测技术的网络入侵检测模型,并给出了实现思想,其中重点介绍了利用协议分析思想对TCP数据包进行入侵检测的具体算法思想和数据结构。基于协议分析将异常检测和误用检测方法有效结合不仅可以检测到大多数已知的攻击类型,而且可以发现大量未知的攻击类型,提高检测的准确性和效率。     

基于数据挖掘的网络异常流量入侵检测方法

为解决利用传统方法进行网络流量异常入侵检测时存在检测正确率较低的问题,提出基于数据挖掘的网络流量异常入侵检测方法。根据网络攻击行为对网络异常流量特征属性进行提取,利用数据挖掘的关联分析找出异常流量特征之间的相关性,并将网络异常流量特征进行联合计算熵值处理,实现异常网络流量入侵检测。实验结果表明,设计的网络流量异常入侵检测方法在不同入侵行为类型上的检测正确率均在96.00%以上,证明该方法可以准确地检测出网络中潜在的入侵行为,具有较好的实用性。     

基于时间序列图挖掘的网络流量异常检测

网络流量异常检测要解决的核心问题之一是获得信息的全面性和流量信息描述的准确性.针对现有网络异常流量检测方法分析多时间序列的不足,提出了一种基于图挖掘的流量异常检测方法.该方法使用时间序列图准确、全面地描述用于流量异常检测的多时间序列的相互关系;通过对项集模式进行支持度计数,挖掘各种频繁项集模式,有利于对各种异常流量的有效检测;通过挖掘各项集之间的关系,引入了项集的权重系数,解决了流量异常检测的多时间序列相互关系的量化问题.仿真结果表明,该方法能有效地检测出网络流量异常,并且对DDos攻击的检测效果明显优于基于连续小波变换的检测方法.     

基于DBSCAN的环境传感器网络异常数据检测方法

随着传感器网络环境监控应用的发展,传感器网络测量数据的异常检测近年来受到学术界和工业界的高度关注.提出一种基于DBSCAN(Density BasedSpatialClusteringofApplicationwithNoise)的异常数据检测方法,该方法利用距离定义数据的相似度进行划分聚类,使用DBSCAN算法提取环境特征集,并根据特征集对异常数据进行检测.最后,基于真实的传感器网络完成了多组实验,实验结果表明该方法能够实时准确地检测出异常数据.     

基于分布式用户数据流的网络安全审计系统的研究

本文提出了基于分布式用户数据流的网络安全审计系统的总体框架,介绍了两种异常流量检测方法,并给出了检测异常流量的各项指标。基于异常流量的检测指标,根据中心极限定理,使用采样统计方法刻画出正常网络的基线。参照该基线和对蠕虫特征进行匹配检测出异常流量,并进行预警。     

基于相对熵理论的多测度网络异常检测方法

检测率低、误报率高和检测攻击范围不够全面已经成为制约网络异常检测发展的最大障碍,为了提高检测率,降低误报率,扩大检测攻击范围,提出了一种新的网络异常检测方法。首先,对网络流量进行统计分析并引入相对熵理论来表征测度对应的全概率事件;然后,通过加权系数融合多个测度相对熵而得到加权相对熵;最终,以综合的多测度加权相对熵作为网络异常判断的依据。实验数据采用DARPA1999测评数据集,实验结果表明该方法在低误报率的前提下,达到了较高的检测率。     

A hybrid local and distributed sketching design for accurate and scalable heavy key detection in network data streams

Real-time characterization of network traffic anomalies, such as heavy hitters and heavy changers, is critical for the robustness of operational networks, but its accuracy and scalability are challenged by the ever-increasing volume and diversity of network traffic. We address this problem by leveraging parallelization. We propose LD-Sketch, a data structure designed for accurate and scalable traffic anomaly detection using distributed architectures. LD-Sketch combines the classical counter-based and sketch-based techniques, and performs detection in two phases: local detection, which guarantees zero false negatives, and distributed detection, which reduces false positives by aggregating multiple detection results. We derive the error bounds and the space and time complexity for LD-Sketch. We further analyze the impact of ordering of data items on the memory usage and accuracy of LD-Sketch. We compare LD-Sketch with state-of-the-art sketch-based techniques by conducting experiments on traffic traces from a real-life 3G cellular data network. Our results demonstrate the accuracy and scalability of LD-Sketch over prior approaches.     

CPSO和LSSVM融合的网络入侵检测

网络攻击具有多样性和隐蔽性,为了提高网络安全性入侵检测的正确率,提出一种混沌粒子群算法（CPSO）和最小二乘支持向量机（LSSVM）相融合的网络入侵检测方法（CPSO-LSSVM）。利用混沌粒子群算法对LSSVM模型参数进行搜索,选择LSSVM最优参数,采用KDDCUP99数据集对CPSO-LSSVM性能进行测试,实验结果表明,CPSO-LSSVM提高了网络入侵检测正确率,降低了误报率,可以为网络安全提供有效保证。     

基于多尺度特征融合的异常流量检测方法

快速、准确地检测异常是网络安全的重要保证。但是由于网络流量的非线性、非平稳性以及自相似性,异常流量检测存在误报率高、检测率低、不能满足骨干网实时性要求等问题。该方法综合了希尔伯特-黄变换(Hilbert-Huang Transform,HHT)和Dempster-Shafer证据理论(D-S evidence theory)评测框架。前者将不同的流特征分别分解为多时间尺度上的固有模态函数(Intrinsic Mode Function,IMF),滤除特征中的非线性、非平稳分量;后者将前者分解得到的多尺度特征作为证据融合并最终做出决策。通过对KDD CUP 1999的入侵检测系统(Intrusion DetectionSystem,IDS)基准数据的实验表明,该方法能有效区分突发流量(crowd flow)和拒绝服务攻击(Denail of service,DoS)攻击流,整体上在保证低误报率前提下检测率达到85.1%。目前该方法已经作为入侵检测的子模块实现,并试用于某骨干网入口处检测异常。     

网络异常的检测与诊断方法

为提高网络的可用性和可靠性，当网络出现异常时，首先，必须尽快地发现异常(即异常检测)，发出警报，这样可以提前采取措施以避免或减轻对服务的影响，其次，必须从大量的警报信息中作出正确的诊断，提取出真正的、非冗余的信息，以便找出问题的根源(即警报关联)，从而解决问题，改善服务质量．本文就网络异常检测和警报关联两个方面进行总结和分析，回顾了该领域的主要研究工作，最后提出了一种新的异常检测方法．     

基于智能蝙蝠算法的异常数据检测方法

随着大数据应用的普及,网络攻击日益严重并已成为主要的网络安全问题。针对大数据环境下的网络攻击检测问题,设计一种融合聚类和智能蝙蝠算法（DEBA）的网络攻击检测系统。该系统将K-means算法与蝙蝠算法相结合进行数据流分类,实现了对异常数据的高效检测。实验结果显示,该系统的聚类准确率、算法耗时和误报率方面明显优于基于传统蝙蝠算法的K-means算法和单独K-means算法的网络异常数据检测方法。     

利用链路相关性进行网络流量异常检测

传统的网络异常检测方法应用于具有较大链路数量的网络上时,往往存在着误报率高、检测范围不够全面、检测效率不能满足高速网络实时监测需求等问题。由于多链路之间往往存在有较强的相关性,这种相关性反映了链路流量的整体趋势,可以被用来进行网络流量异常分析。采用基于PCA的相关性分析方法对网络流量异常检测进行研究,利用链路之间相关性评估网络流量的异常。实验证明,这种方法应用于大规模流量异常检测是简单有效的。     

异常检测测试平台的设计

提出了一种可以测试不同算法的异常检测测试平台.为适合大规模分布式网络,将网络分成不同网段,每个网段放置一个探测器IC,把不同IC提供的网络数据汇总至异常检测部件,在此进行异常分析,并根据分析结果对可能的入侵行为进行实时报警,其中的异常检测算法可以替换.最后,针对一种基于统计的异常检测算法进行了实验,并给出异常检测结果.     

基于各向异性质心Voronoi图的网络异常检测技术

网络异常检测技术是入侵检测研究领域中的重要内容,但在检测率和误报率上存在相互制约的问题,导致实际应用中性能不高。基于各向异性质心Voronoi图,提出一种新的网络异常检测算法。在新算法中,首先对数据集用各向异性质心Voronoi图进行聚类,然后计算每个数据点的点密度,判断数据点是否正常。通过KDD Cup1999数据集的实验测试表明,新算法具有较高的检测率和较低的误报率。