首页 | 本学科首页   官方微博 | 高级检索  
相似文献
 共查询到20条相似文献,搜索用时 250 毫秒
1.
随着网络攻击的复杂化、自动化和智能化水平的不断提高,网络中不断涌现出新的攻击类型,给基于特征码的网络攻击检测和及时响应带来极大挑战。为了更加有效准确的识别异常流量,提出一种基于多特征提取自编码器的网络流量异常检测算法。算法自定义基于多特征提取的自编码器模型,由5个不同的Encoder模块构成编码器,1个Decoder模块构成解码器,能够同时提取流量中的空间特征和时间特征,且能有效避免产生退化现象,有效检测异常流量。同时,自定义SMOTE-新样本过采样法来解决数据不均衡问题,使用方差分析进行特征选择,优化数据,降低模型复杂度,大大缩短检测时间,提高算法的检测实时性。实验结果表明,提出的算法在网络流量异常检测的准确率方面比当前同类最优算法提升了1%,对百万条流量数据的检测时间减少了4.22 s。  相似文献   

2.
一种基于Netflow的蠕虫攻击检测方法研究   总被引:1,自引:1,他引:0  
文中在分析Netflow原理和蠕虫攻击行为特征的基础上,提出了一种基于Netflow的蠕虫检测方法。对检测算法中的流量异常和特征异常检测模块进行了编码实现,并搭建了相应的实验环境。通过模拟RedCode蠕虫爆发时的网络行为,实验结果表明:该方法可快速、准确地实现常见蠕虫的检测,对新型蠕虫也可实现特征提取和预警。  相似文献   

3.
孙红艳  张红玉 《现代电子技术》2010,33(18):118-120,123
针对BGP异常检测领域中获得的数据具有多变性、小样本和高维性等特征,提出一种基于SVM的BGP异常流量检测方法。BGP数据实验结果表明,应用SVM算法进行BGP异常流量检测是可行的,有效的。  相似文献   

4.
章杜锡  谢宏  李力 《信息技术》2020,(5):140-144
针对变电站网络异常流量检测过程中需要兼顾准确度和实时性的问题,提出基于元启发优化算法的模块化的神经网络算法。仿真实验证明,在存在网络延迟和抖动的情况下,基于灰狼优化算法模块和进化策略算法模块的神经网络异常检测算法,能够准确和高效地识别变电站网络中的异常数据流量。  相似文献   

5.
基于奇异值分解更新的多元在线异常检测方法   总被引:1,自引:0,他引:1  
钱叶魁  陈鸣 《电子与信息学报》2010,32(10):2404-2409
网络异常检测对于保证网络稳定高效运行极为重要。基于主成分分析的全网络异常检测算法虽然具有很好的检测性能,但无法满足在线检测的要求。为了解决此问题,该文引入流量矩阵模型,提出了一种基于奇异值分解更新的多元在线异常检测算法MOADA-SVDU,该算法以增量的方式构建正常子空间和异常子空间,并实现网络流量异常的在线检测。理论分析表明与主成分分析算法相比,该算法具有更低的存储和计算开销。因特网实测的流量矩阵数据集以及模拟试验数据分析表明,该算法不仅实现了网络异常的在线检测,而且取得了很好的检测性能。  相似文献   

6.
为提出一种有效检测各类型DNS隐蔽通道的方法,研究了DNS隐蔽通信流量特性,提取可区分合法查询与隐蔽通信的12个数据分组特征,利用机器学习的分类器对其会话统计特性进行判别。实验表明,决策树模型可检测训练中全部22种DNS隐蔽通道,并可识别未经训练的新型隐蔽通道。系统在校园网流量实际部署中成功检出多个DNS隧道的存在。  相似文献   

7.
基于大数据的电力信息网络流量异常检测机制   总被引:2,自引:0,他引:2  
随着智能电网建设的加强,电力信息网络及其承载的业务系统得到迅猛发展,网络业务流量的检测和预警具有重要的安全意义.针对目前电力信息网络缺乏处理流量异常问题的有效技术手段,提出了一种基于大数据的电力信息网络流量异常检测机制,并通过对改进的局部异常因子(M-LOF)和支持向量域数据描述(SVDD)两种常用异常检测算法的对比分析,总结出适合电力信息网络的流量异常检测方法.  相似文献   

8.
数字化变电站通信网异常流量检测过程中易陷入局部最优,导致检测结果不精准。为了解决这个问题,提出了基于Wolf的数字化变电站通信网异常流量检测系统。构建系统总体结构,分析通信网流量异常频域特征。通过采集异常流量模块解析目的物理地址,检查组件为系统提供信息交互引擎。使用Wolf算法将混沌序列映射到数字化变电站通信网异常流量多维相空间,设置控制收敛因子,避免检测结果陷入局部最优。计算异常流量特征值的熵,判断流量异常类型。实验结果表明,该系统一次设备异常流量检测结果与实际数据一致,二次设备异常流量检测结果与实际数据存在最大为2 Mb/s的误差,说明使用所设计系统检测结果精准。  相似文献   

9.
李涵秋  马艳  雷磊 《电讯技术》2011,51(3):89-92
针对日益严重的DoS(拒绝服务)网络攻击行为,提出了一种RED(相对熵检测)算法.该算法基于相对熵理论,利用网络流量的自相似特性,通过判断相邻时刻流量之间的相对熵值是否发生突变来进行DoS攻击检测.实验结果表明,与传统的信息熵DoS攻击检测算法相比,该算法具有较高的检测率.  相似文献   

10.
为提升对区块链网络层混合型攻击流量的综合泛化特征感知能力,增强异常流量检测性能,提出一种具有支持异常数据综合判决机制和强泛化能力的基于多分类器集成的区块链网络层异常流量检测方法。首先,为扩大所用基分类器的输入特征子集差异度,提出基于区分度和冗余信息量特征子集选择算法,特征筛选过程中激励高区分度子集项输出,同时抑制冗余信息生成。其次,在Bagging集成算法中引入随机方差缩减梯度算法动态调整各基模型投票权重,提升对混合型攻击流量的检测泛化能力。最后,为了将集成算法输出的低维数值向量向高维空间映射,提出基于数据场概念的局部离群因子算法,并基于数据点间势差放大各样本数据点空间密度分布差异性,提升异常数据点检测召回率。实验结果表明,相较于单一分类检测器集成方法,所提方法的异常检测准确率、召回率分别平均提升1.57%、2.71%。  相似文献   

11.
罗志强  沈军  金华敏 《电信科学》2015,31(10):1-196
分布式DNS反射DDoS攻击已经成为拒绝服务攻击的主要形式之一,传统的基于网络流量统计分析和网络流量控制技术已经不能满足防护需求。提出了基于生存时间值(TTL)智能研判的DNS反射攻击检测技术,能够准确发现伪造源IP地址分组;基于多系统融合的伪造源地址溯源阻断技术,从源头上阻断攻击流量流入网络。  相似文献   

12.
This paper presents a systematic method for DDoS attack detection. DDoS attack can be considered a system anomaly or misuse from which abnormal behavior is imposed on network traffic. Attack detection can be performed via abnormal behavior identification. Network traffic characterization with behavior modeling could be a good indication of attack detection. Aggregated traffic has been found to be strong bursty across a wide range of time scales. Wavelet analysis is able to capture complex temporal correlation across multiple time scales with very low computational complexity. We utilize energy distribution based on wavelet analysis to detect DDoS attack traffic. Energy distribution over time will have limited variation if the traffic keeps its behavior over time (i.e. attack-free situation) while an introduction of attack traffic in the network will elicit significant energy distribution deviation in a short time period. Our experimental results with typical Internet traffic trace show that energy distribution variance markedly changes, causing a spike when traffic behaviors are affected by DDoS attack. In contrast, normal traffic exhibits a remarkably stationary energy distribution. In addition, this spike in energy distribution variance can be captured in the early stages of an attack, far ahead of congestion build-up, making it an effective detection of the attack.  相似文献   

13.
Domain Name Server (DNS) is a type of server used to maintain and process the IP addresses of all the domains in the Internet. It works by responding with corresponding IP addresses when a client requests with a domain name. The DNS can be attacked by redirecting all the incoming traffic to a fake server by returning fake IP address when requested by a client. In this work, a novel work has been employed to detect DNS attack using box‐counting method (BCM)–based multifractal analysis. A set of network features are selected and rules are created using CISCO's Flowspec model, and those features are analysed using BCM technique to find the attack in the network traffic. To the best of our knowledge, this is the first work that implements Flowspec‐based monitoring of DNS attack using fractal analysis.  相似文献   

14.
近年来,复杂环境下的高级持续性威胁(APT)防御逐渐成为网络安全关注的重点。APT攻击隐蔽性强,早期发现则危害性较小。文中提出的方法基于DNS日志深度挖掘,通过DGA域名智能检测,APT隧道智能检测等功能维度入手,从DNS日志角度提出APT防御的新思路,实现检测,监控,溯源等一体化功能。论文提出了基于Transformer神经网络和GRU融合算法检测恶意DGA域名和采用统计机器学习算法检测APT攻击通讯的DNS隧道,将早期网络安全防护预警扩展到DNS层面,弥补了网络安全措施对算法生成域名关注度的不足和DNS易被APT潜伏利用的漏洞。通过在实验环境中的深度测试,结果表明论文方法能够较好的应对日益严峻的互联网APT安全威胁。  相似文献   

15.
Routing protocol of MANET works with the presumption that nodes will transmit the data in collaboration. This presumption is a limitation of routing protocol which gives an occasion to attackers to hinder the security of the device and data in the network. Therefore, it becomes vital to develop methods and systems which will ensure the safety, integrity and confidentiality of data in such devices and systems. Although, existing IDS are able to detect various types of attack but some misbehavior goes undetected which potentially damage the network. Collusion attack is one such misbehavior where nodes perform maliciously in collaboration with neighboring nodes without being detected. In this work, Intrusion detection algorithm has been proposed that can effectively detect and isolate colluding nodes from the network so that these malicious nodes do not affect the performance of the network . Proposed detection algorithm uses in–out traffic information and overhearing statistics of nodes to identify colluding attackers. Detection algorithm works successfully for DSR routing protocol. Experimental results on NS-2 show that the proposed algorithm is capable of reducing the packet drops consequently improving the throughput of the network in presence of collusion attack.  相似文献   

16.
随着互联网安全形势的日益严峻,采用流量加密方式进行业务传输的比重越来越大,针对加密流量的监管成为挑战。面对加密流量难以监管的难题,提出了一种加密流量行为分析系统。系统基于加密业务的流量特征,采用机器学习算法,无需解密网络流量就能对流量进行行为分析,实现了加密流量的识别和分类,并对系统进行了试验测试。测试结果显示,该系统可以发现隐藏在加密流量中的攻击行为、恶意行为和非法加密行为,对于安全人员掌握网络安全态势、发现网络异常具有重要意义。  相似文献   

17.
刘国荣  刘东鑫  沈军  金华敏 《电信科学》2015,31(12):142-147
近年来,LTE成为全球通信行业的发展热点。针对LTE/SAE的安全特性,对LTE规模部署过程中面临的如控制平面拥塞、异常流量攻击、网络融合等各层面的安全风险进行深入分析,并提出相应的安全防护建议。这些安全防护建议包括安全域划分、信令保护、异常流量防护等措施,以期对我国LTE规模部署的安全保障提供必要的参考。  相似文献   

18.
DNS(domain name system)作为互联网基础设施的重要组成部分,其数据一般不会被防火墙等网络安全防御设备拦截。以DNS协议为载体的隐蔽信道具有较强的穿透性和隐蔽性,已然成为攻击者惯用的命令控制和数据回传手段。现有研究中缺乏对真实APT(advanced persistent threat)攻击中DNS隐蔽信道的检测技术或方法,且提取的特征不够全面。为深入分析攻击流量和行为特征,基于有限状态机对真实APT攻击中DNS隐蔽通信建模,剖析了APT攻击场景下DNS隐蔽信道的构建机理,详细阐述了其数据交互过程,通过总结和分析DNS隐蔽通信机制,基于有限状态机建立通信模型,提出通信过程中存在关闭、连接、命令查询、命令传输等7种状态,控制消息和数据消息等不同类型消息的传输将触发状态迁移。利用泄露的Glimpse工具模拟真实APT攻击下DNS隐蔽通信,结合Helminth等恶意样本实验验证了模型的适用性和合理性,为人工提取特征提供了充分的依据。  相似文献   

19.
Nowadays we see a tremendous growth of the Internet, especially in terms of the amont of data being transmitted and new network protocols being introduced. This poses a challenge for network administrators, who need adequate tools for network management. Recent findings show that DNS can contribute valuable information on IP flows and improve traffic visibility in a computer network. In this paper, we apply these findings on DNS to propose a novel traffic classification algorithm with interesting features. We experimentally show that the information carried in domain names and port numbers is sufficient for immediate classification of a highly significant portion of the traffic. We present DNS‐Class: an innovative, fast and reliable flow‐based traffic classification algorithm, which on average yields 99.8% of true positives and < 0.1% of false positives on real traffic traces. The algorithm can work as a major element of a modular system in a cascade architecture. Additionally, we provide an analysis on how various network protocols depend on DNS in terms of flows, packets and bytes. We release the complete source code implementing the presented system as open source. Copyright © 2014 John Wiley & Sons, Ltd.  相似文献   

20.
对于骨干网中存在的DDoS攻击,由于背景流量巨大,且分布式指向受害者的多个攻击流尚未汇聚,因此难以进行有效的检测。为了解决该问题,本文提出一种基于全局流量异常相关分析的检测方法,根据攻击流引起流量之间相关性的变化,采用主成份分析提取多条流量中的潜在异常部分之间的相关性,并将相关性变化程度作为攻击检测测度。实验结果证明了测度的可用性,能够克服骨干网中DDoS攻击流幅值相对低且不易检测的困难,同现有的全局流量检测方法相比,该方法能够取得更高的检测率。  相似文献   

设为首页 | 免责声明 | 关于勤云 | 加入收藏

Copyright©北京勤云科技发展有限公司  京ICP备09084417号