共查询到20条相似文献,搜索用时 234 毫秒
1.
提出了将DDoS威胁识别与路由优化有机结合的软件定义网络(SDN)通信质量保障策略,即在DDoS攻击造成部分网络链路拥塞的情况下,对异常数据分组进行识别过滤,同时生成最优路径,以保障网络通信质量.首先,设计了一种SDN架构下的分布式入侵检测系统,实现了对欺骗报文、异常报文以及破坏报文3类DDoS威胁的检测识别和过滤处理.其次,实现了一种最优路径的生成算法.实验测试结果表明,部署了通信质量保障策略的SDN可有效识别并滤除DDoS攻击数据分组,且处理过程中网络平均传输时延无激增. 相似文献
2.
基于克隆选择聚类的入侵检测 总被引:1,自引:1,他引:1
白琳 《微电子学与计算机》2007,24(3):135-137,141
提出基于克隆选择的模糊聚类算法,将该聚类算法用于网络入侵检测。针对入侵数据的混合属性改进距离测度的计算方法,实现了对大规模混合属性原始数据的异常检测,并能有效检测到未知攻击。在KDDCUP99数据集中进行了对比仿真实验,实验结果表明算法对已知攻击和未知攻击的检测率以及算法的误誊率都是理想的。 相似文献
3.
在网络入侵流量检测中,普遍存在不同攻击类型的流量分布不均现象,导致少数攻击流量类识别率较低.为解决此类问题,基于不同特征空间的分类器流水线组合方法将多分类问题转化为不同特征空间上的两分类问题,有效地实现少数类重抽样和特征空间的优化,避免了少数类受多数类特征的干扰.实验表明,此方法可以有效地提高攻击流量中少数类的分类精度和召回率. 相似文献
4.
在研究K-MEANS算法和网络入侵的基础上将一种已知聚类中心的K-MEANS聚类算法用于网络的异常检测中.该算法避免了由于传统聚类算法随机选取初始聚类中心而带来的网络异常检测中检测率低的问题.在实例中验证了该算法的可行性和优越性.结果表明该算法相对传统聚类算法在检测率方面有了很大提高,并且能通过无监督学习的方法来获得对新型攻击的检测. 相似文献
5.
为避免传统谱聚类算法高复杂度的应用局限,基于地标表示的谱聚类算法利用地标点与数据集各点间的相似度矩阵,有效降低了谱嵌入的计算复杂度。在大数据集情况下,现有的随机抽取地标点的方法会影响聚类结果的稳定性,k均值中心点方法面临收敛时间未知、反复读取数据的问题。该文将近似奇异值分解应用于基于地标点的谱聚类,设计了一种快速地标点采样算法。该算法利用由近似奇异向量矩阵行向量的长度计算的抽样概率来进行抽样,同随机抽样策略相比,保证了聚类结果的稳定性和精度,同k均值中心点策略相比降低了算法复杂度。同时从理论上分析了抽样结果对原始数据的信息保持性,并对算法的性能进行了实验验证。 相似文献
6.
针对聚类的入侵检测算法误报率高的问题,提出一种主动学习半监督聚类入侵检测算法.在半监督聚类过程中应用主动学习策略,主动查询网络中未标记数据与标记数据的约束关系,利用少量的标记数据生成正确的样本模型来指导大量的未标记数据聚类,对聚类后仍未能标记的数据采用改进的K-近邻法进一步确定未标记数据的类型,实现对新攻击类型的检测.实验结果表明了算法的可行性及有效性. 相似文献
7.
有指导的入侵检测方法研究 总被引:5,自引:0,他引:5
基于一种用于混合属性数据的距离定义和改进的最近邻分类方法,提出了一种基于聚类的有指导的入侵检测方法。该方法首先利用一趟聚类算法对训练集进行聚类,再利用数据的标识和少数服从多数的原则将聚类标识为“正常”或“攻击”,以标识的聚类作为分类模型对数据进行分类。理论分析表明提出的检测方法关于数据集大小和属性个数具有近似线性时间复杂度。不同于一般的有指导的入侵检测方法,改进的最近邻方法从理论上保证了该方法对未知入侵有一定的检测能力。在KDDCUP99数据集上的测试结果表明,该方法有高的检测率和低的误报率。 相似文献
8.
改进k-means算法的网络数据库入侵检测 总被引:1,自引:0,他引:1
韩占柱 《微电子学与计算机》2012,29(3):144-146,150
提出改进的k-means算法,加入过滤优化功能,通过簇候选集合中攻击簇的数目优化,删除掉非最优聚类数据集合中的攻击数据,生产最优簇,提高后期网络数据库入侵检测的时效性,降低漏检率.实验结果表明,本文的方法能够优化聚类后生成攻击簇的数目的数目,为网络数据量入侵检测提供便利,提高了检测的准确性,降低了漏检率. 相似文献
9.
异常数据社团发现是解决异常数据挖掘中大规模未授权行为分析的重要方法,文中基于多层α-核心集对散列数据进行高斯核相似聚类,对大规模散列的网络入侵数据进行凝聚社团化处理,将难以聚类重叠的数据进行多层核簇类分析,并利用多层α-核心集处理与孤立点检测。通过实验证明,该方法对大数量具有明显散列特点的网络入侵攻击的检测具有较好的预期效果,在准确率与算法执行效率方面具有明显优势。 相似文献
10.
本文结合流量的动态特征和入侵检测系统规则库的静态特征生成高性能报文分类树,提出了一个新的面向骨干网高速入侵检测的报文分类算法FlowCopySearch(FCS).改进在于:①从流量的新角度提出了最优分类树定义并引入分类域熵衡量每个分类域对于流量的分类能力;②将传统分类算法中每个报文都必须频繁执行的内存拷贝操作简化为每个流只执行一次内存拷贝操作,克服了报文分类算法的瓶颈.实验结果表明FCS更适用于骨干网大流量trace的报文分类,较之两种经典分类算法,分类速度提高了10.1%~45.1%,同时存储消耗降低了11.1%~36.6%. 相似文献
11.
针对基于概率抽样的网络流量异常检测数据集构造过程中无法同时兼顾大、小流抽样需求及未区分flash crowd与流量攻击等问题,该文提出一种面向流量异常检测的概率流抽样方法。在对数据流按目的、源IP地址进行分类的基础上,将每类数据流抽样率定义为其目的、源IP地址抽样率的最大值,并在抽样过程中对数据流抽样数目向上取整,保证每类数据流至少被抽样一次,使抽样得到的数据集可有效反映原始流量在大、小流和源、目的IP地址方面的分布性。采用源IP地址熵刻画异常流源IP地址分散度,并基于源IP地址熵阈值设计攻击流抽样算法,降低由flash crowd引起的非攻击异常流抽样概率。仿真结果表明,该方法能同时满足大、小流抽样需求,具有较强的异常流抽样能力,可抽样到所有与异常流相关的可疑源、目的IP地址,并能在抽样过程中过滤非攻击异常流。 相似文献
12.
利用互信息进行网络异常检测的熵特征优选 总被引:1,自引:0,他引:1
首先讨论了传统流量统计分析的缺点,指出熵分析能够反映更多潜在的信息,发现传统流量统计分析不能发现的网络异常.其次,讨论了流量熵和计数熵的不同,指出两者应该配合使用,不能如现有研究中一样片面地使用其中一种.最后,用互信息法分析了两种熵的常用特征,实验发现两者分别呈现冗余状态,在剔除冗余之后检测的效率有明显提高,且不失检测... 相似文献
13.
分布式拒绝服务(DDoS)攻击是互联网安全的严重威胁,攻击发生时会有大规模流量淹没目标网络和主机。能够准确快速地检测到攻击,区分合法拥塞流量和攻击流量,对攻击流量加以清洗,对于DDoS攻击的防御来说十分重要。采用信息熵对流量参数进行实时统计来检测攻击,用累积和(CUSUM)算法控制熵值连续变化情况。检测到攻击后,依据目的IP数量前后增长情况找出受害者,对流向受害者处的流量进行重点观察。由于大规模的攻击流量与合法的拥塞流量非常相似,难以识别,在此对流本身的相似性进行考察,使用流相关系数算法辨别攻击流量和合法拥塞流量,为流量清洗工作提供依据。 相似文献
14.
基于滥用和基于异常的检测模型是IDS系统两大检测模型,其对应的技术即为网络引擎和主机代理.本文主机代理采用基于异常的模型进行入侵检测,与数据库中存储的入侵特征库进行比较,从而判断是否是一次攻击,从而实现一个网络引擎可以监视具有多台主机的整个网段,通过网络引擎实现企业网络中所有组件不受攻击. 相似文献
15.
Intrusion detection systems (IDS) are systems aimed at analyzing and detecting security problems. The IDS may be structured into misuse and anomaly detection. The former are often signature/rule IDS that detect malicious software by inspecting the content of packets or files looking for a “signature” labeling malware. They are often very efficient, but their drawback stands in the weakness of the information to check (eg, the signature), which may be quickly dated, and in the computation time because each packet or file needs to be inspected. The IDS based on anomaly detection and, in particular, on statistical analysis have been originated to bypass the mentioned problems. Instead of inspecting packets, each traffic flow is observed so getting a statistical characterization, which represents the fingerprint of the flow. This paper introduces a statistical analysis based intrusion detection system, which, after extracting the statistical fingerprint, uses machine learning classifiers to decide whether a flow is affected by malware or not. A large set of tests is presented. The obtained results allow selecting the best classifiers and show the performance of a decision maker that exploits the decisions of a bank of classifiers acting in parallel. 相似文献
16.
Software defined networking (SDN) simplifies the network architecture,while the controller is also faced with a security threat of “single point of failure”.Attackers can send a large number of forged data flows that do not exist in the flow tables of the switches,affecting the normal performance of the network.In order to detect the existence of this kind of attack,the DDoS attack detection method based on conditional entropy and GHSOM in SDN (MBCE&G) was presented.Firstly,according to the phased features of DDoS,the damaged switch in the network was located to find the suspect attack flows.Then,according to the diversity characteristics of the suspected attack flow,the quaternion feature vector was extracted in the form of conditional entropy,as the input features of the neural network for more accurate analysis.Finally,the experimental environment was built to complete the verification.The experimental results show that MBCE&G detection method can effectively detect DDoS attacks in SDN network. 相似文献
17.
18.
19.
20.
入侵检测系统是保护网络安全的手段之一,在选择入侵检测系统时,其引擎是基于签名检测还是异常检测是决策的关键点.文章从技术角度分析了两种模型的优势及不足,在实际应用中,可以根据保护对象的特点,灵活部署入侵检测系统,如果需要提供更高的保护策略,应该使用两者兼顾的产品. 相似文献