共查询到18条相似文献,搜索用时 78 毫秒
1.
2.
基于应用层协议分析的应用层实时主动防御系统 总被引:4,自引:0,他引:4
主动防御是当今网络安全研究领域的一个热点,现有的主动防御技术主要从网络层和传输层的角度来防御攻击.由于新出现的网络攻击主要发生在应用层,这类攻击在网络层和传输层的数据流与正常数据流没有显著区别,导致现有的主动防御技术无法有效应对这一类攻击,因此研究有效的应用层主动防御具有重要的意义.文中提出一种基于隐半马尔可夫模型的应... 相似文献
3.
为了自动解析未知应用层协议的报文格式,提出一种未知应用层协议报文格式的最佳分段方法.这种方法不需要关于未知应用层协议的先验知识.它首先建立一种用于最佳分段的隐半马尔可夫模型(HSMM),并利用未知应用层协议在网络会话过程中传输的报文序列样本集来估计该模型的参数;再通过基于HSMM的最大似然概率分段方法,对报文中的各个字段进行最佳划分,同时获取代表各个字段语义的关键词.这种方法并不要求训练集绝对纯净.它能够基于观测序列的似然概率分布,发现混杂在训练集中的其他协议数据(噪声)并进行有效过滤.实验结果表明,该方法能够解析文本和二进制协议的报文格式,依据关键词构建的协议识别特征有很高的准确识别率,并能有效地检测出噪声. 相似文献
4.
随着网络攻击的不断多样化,现有的协议异常检测工作在准确率和实时性方面面临新的挑战。针对目前的协议异常检测方法只面向单一协议的恶意攻击而未考虑协议之间的关联,提出一种基于HMM的协议异常交叉检测算法。使用多个协议的语义关键词和时间标记来构造报文序列作为模型的训练集,提出协议报文语义合并算法并结合Baum-Welch算法构建多协议交叉的HMM,在序列化协议报文的同时收集子序列重复数来进一步校验HMM对存在大量循环操作的攻击行为的检测。通过在视频监控网络中进行仿真实验,证明该检测算法同现有的HMM异常检测方法相比,可以更准确地检测多种恶意攻击,同时具有一定的通用性。 相似文献
5.
目前网络攻击越来越多地发生在应用层,而传统的网络防护技术主要针对网络层、传榆层的防护.虽然目前有些网络防护技术可以检测出一些应用层攻击,但这些技术主要针对应用层一些已知攻击的防范,对于应用层未知攻击或新出现的攻击就显得无能为力.理论上而言,应用层异常检测能识别应用层上的所有攻击,因此应用层异常检测的研究就显得十分重要.本文在分析了应用层异常检测研究现状的基础上,提出一种基于关键事件序列的应用层异常检测机制,该机制是通过跟踪用户的应用层协议行为来发现用户的应用层异常操作,从而达到识别应用层攻击的目的. 相似文献
6.
文章从HMM的基本思想、概念出发,建立了以捕获的网络数据包为观测对象的HMM异常检测原型。对原型中存在的可见符号集太大的问题,提出了对观测对象进行分段的改进办法,进而建立了具有可操作性的HMM异常检测模型。在观测对象的概率计算方面,引入了滑动窗口的概念,解决了概率值过小的问题。对模型的训练,给出了模型训练算法、矩阵B的更新公式。 相似文献
7.
基于自编码器和隐马尔可夫模型的时间序列异常检测方法 总被引:1,自引:0,他引:1
针对已有基于隐马尔可夫模型(HMM)的时间序列异常检测模型的符号化方法不能很好地表征原始时间序列的问题,提出了一种基于自编码器和HMM的时间序列异常检测方法(AHMM-AD)。首先,通过滑动窗口对时间序列样本进行分段,按照分段位置形成若干时间序列分段样本集,由正常时间序列上不同位置的分段样本集训练各个分段的自编码器;然后,利用自编码器得到每个分段时间序列样本的低维特征表示,通过对低维特征表示向量集的K-means聚类处理,实现时间序列样本集的符号化;最后,由正常时间序列的符号序列集生成HMM,根据待测样本在已建HMM上的输出概率值进行异常检测。在多个公共基准数据集上的实验结果显示,AHMM-AD比已有的基于HMM的时间序列异常检测模型在精确度、召回率和F1值分别平均提高了0.172、0.477、0.313,比基于autoencoder的时间序列异常检测模型,在这三方面分别平均提高了0.108、0.450、0.319。实验结果表明,AHMM-AD方法能够提取时间序列中的非线性特征,解决已有HMM建模时间序列符号化过程中不能很好表征时间序列的问题,并在时间序列异常检测性能上也有显著提升。 相似文献
8.
应用层异常检测方法研究 总被引:2,自引:1,他引:1
目前绝大部分异常检测方法只利用数据包的头部信息来检测网络攻击,即仅仅从网络层、传输层来分析网络的异常情况.而研究表明现在的网络攻击主要发生在应用层,因此从应用层来分析网络异常的研究就显得十分重要.首先介绍了入侵检测和异常检测的研究现状,突出强调了应用层异常检测的重要性,接着详细介绍了目前几种主要的应用层异常检测方法,最后讨论了应用层异常检测所面临的挑战. 相似文献
9.
10.
在时间序列数据挖掘中,在线检测在时间上存在任意缩放的相似模式是一个具有挑战性的问题.本文对基于模型匹配的分段半马尔可夫模型进行改进,通过引入偏移量分布、振幅差值分布和前项状态,克服该模型参数难以确定、鲁棒性差的缺点.实验表明,改进分段半马尔可夫模型能够快速准确检测出在时间上存在任意缩放的相似模式. 相似文献
11.
12.
提出了一种基于粗糙集约简的系统调用序列异常检测方法,其基本思想是利用粗糙集约简来对第k个系统调用位置进行预测,把前k-1个位置视为条件属性集,第k个位置视为决策属性,通过Rough集约简方法得到一组预测第k个系统调用位置的最小规则集,进而可用于对实际进程的异常检测。基于合成的UNM sendmail系统调用数据的实验结果表明,本文所提出的异常检测算法性能好于Forrest等人的tide方法,与Wenke Lee等人的数据挖掘算法检测精度相当。但在选择较大的阈值时,漏报率更低。 相似文献
13.
短序列频度模式分类异常检测 总被引:1,自引:0,他引:1
正确识别短序列的局部行为性质,是提高系统调用跟踪异常检测精度的关键要素.通过分析特权程序和不同短序列的行为模式空间,认为实际采集的系统调用跟踪不仅包含了具有显著局部行为特征的正常和异常短序列,也包含了大量局部行为归属不明确的短序列.以短序列模式在系统调用跟踪中出现频度为基础,提出了未知短序列概念.根据短序列分别在正常和攻击时段具有聚类效应原理,专门设计了短序列关联算法.采用RIPPER学习算法归纳出简洁的频度模式分类规则集.实验结果表明,创建的频度模式分类异常检测方法明显地提高了对未知和已知攻击的检测能力. 相似文献
14.
基于序列模式的异常检测 总被引:1,自引:1,他引:1
数据挖掘技术是目前国际上的研究热点,入侵检测作为一种主动的信息安全保障措施,有效地弥补了传统安全防护技术的缺陷。文中把数据挖掘中的序列模式方法应用于入侵检测系统,摒弃了以前入侵检测方法需要根据专家经验建立攻击模式库的不足,具有较强的灵活性,能检测出未知的攻击手段。为了比较用户在正常情况下所形成历史模式和从包含异常行为的检测数据中挖掘出的当前模式,文中还设计了相似度函数。最后给出了具体实验步骤,并针对9个Unix用户的实验结果证明了该方法的可行性。 相似文献
15.
基于运动方向的异常行为检测 总被引:7,自引:0,他引:7
提出了一种基于运动方向的异常行为检测方法. 根据不同行为的运动方向具有不同的规律性, 该方法采用块运动方向描述不同的动作, 并利用支持向量机(Support vector machine, SVM)对实时监控视频进行异常行为检测. 为了减少噪声运动的影响, 同时有效保留小幅度运动的前景目标, 在行为描述之前, 本文采用了背景边缘模型对每一视频帧进行前景帧(有目标出现的视频帧)判断. 在行为描述时, 先提取相应视频段的所有前景帧的块运动方向, 然后对这些运动方向进行归一化直方图统计得到该视频段的行为特征. 在走廊等公共场景中的实验结果表明, 该方法能够对单人以及多人的复杂行为进行有效检测, 对运动过程中目标大小的变化、光照的变化以及噪声等具有较好的鲁棒性, 而且计算复杂度小, 能够实现实时监控. 相似文献
16.
对盈千累万且错综复杂的数据集进行分析,是一个非常具有挑战性的任务,检测数据中的异常值的技术在该任务中发挥着举足轻重的作用.通过聚类捕获异常的方式,在日趋流行的异常检测技术中是最为常用的一类方法.文中提出了一种基于二阶近邻的异常检测算法(anomaly detection based second-order proximity, SOPD),主要包括聚类和异常检测两个阶段.在聚类过程中,通过二阶近邻的方式获取相似性矩阵;在异常检测过程中,根据簇中的点与簇中心的关系,计算聚类生成的每一个簇中的所有的点与该簇中心的距离,捕捉异常状态,并把每个数据点的密度考虑进去,排除簇边界情况.二阶近邻的使用,使得数据的局部性以及全局性得以被同时考虑,进而使得聚类得到的簇数减少,增加了异常检测的精确性.通过大量实验,将该算法与一些经典的异常检测算法进行比较,结果表明, SOPD算法整体上性能较好. 相似文献
17.
18.
数据挖掘技术是目前国际上的研究热点,入侵检测作为一种主动的信息安全保障措施,有效地弥补了传统安全防护技术的缺陷.文中把数据挖掘中的序列模式方法应用于入侵检测系统,摒弃了以前入侵检测方法需要根据专家经验建立攻击模式库的不足,具有较强的灵活性,能检测出未知的攻击手段.为了比较用户在正常情况下所形成历史模式和从包含异常行为的检测数据中挖掘出的当前模式,文中还设计了相似度函数.最后给出了具体实验步骤,并针对9个Unix用户的实验结果证明了该方法的可行性. 相似文献