TCP流的宏观平衡性

TCP流显式的连接建立和关闭过程决定了完整的TCP流的不同类型TCP报文之间在数量关系间保持一种宏观平衡性,这种数量间的约束所表现出的宏观平衡性可以用来揭示网络流量行为规律,识别网络流量行为异常的存在,从而可以成为网络安全监测和网络管理的有效手段之一．文章定义了TCP流宏观平衡性的相关测度,根据TCP流的到达模型和流长模型建立了测量误差的模型,并以此导出了实际测量模型和判断正常与异常的临界点．通过实验和仿真对这些测度进行了分析,证明了这些测度和临界点的可用性．     

SDN架构下基于ICMP流量的网络异常检测方法

互联网控制报文协议(Internet Control Message Protocol,ICMP)实时地反映着网络的状态,当网络故障或受到攻击时,ICMP报文在整个流量中出现的概率,以及ICMP流量中不同类型的报文比例等特征都会发生变化.本文利用ICMP流量小的特点,并结合SDN架构中控制面可对ICMP流量进行集中观察的优势,采用SVM分类的方法,提出一种轻量级的异常检测机制以改善异常检测的实时性和准确性——AD-ICMP-SDN(Anomaly Detection Method based on ICMP Traffic for SDN).实验结果证明,AD-ICMP-SDN在检测准确率和误报率等指标上展现了较好的性能.     

基于指数平滑技术的网络异常监测方法研究

网络流量异常指的是网络的流量行为偏离其正常行为的情形,异常流量的特点是发作突然,先兆特征未知,以在短时间内给网络或网络上的计算机带来极大的危害.因此准确、快速地检测网络流量的异常行为,并做出合理的响应是保证网络有效运行的前提之一.探索网络流量异常的一种方法--基于指数平滑技术的网络异常检测方法.基于时间序列的流量模型是网络异常监测的一种方式,指数平滑技术正是建立在时间序列模型基础之上的网络异常监测方法,对该监测技术进行了研究,分析了这一方法的特点及其存在的不足.     

基于行为模型的IP Forwarding异常检测方法

通过研究网络流动态特征,基于路由变化、流变化和包延迟,以及IP报文头信息（例如TTL、源/目的地址、报文长度和路由器时间戳）建立网络行为模型,通过高性能测量和在线分析网络流和路由信息对初始网络异常产生实时报警,实现了IP forwarding网络异常的有效检测和识别。定义了网络行为模型的五种功能模块,通过关联空间和时间状态信息检测识别网络异常为大范围监测网络提供强大支持。     

基于HMM的DDoS攻击流量检测方法研究

DDo S网络流量在当前网络攻击中扮演着重要的角色,本文提出了一种基于隐马尔科夫模型的DDo S异常网络流量检测系统,并与其它方法进行了比较和结果分析。所提出的方法选取了网络流量的实时特性为研究对象,对流入目标网络的数据源IP地址数量及单位IP平均数据包数量建立了隐马尔科夫模型,实现对网络中的DDo S异常流量进行检测。该方法具有较高的移植性和操作性。     

CERNET流量行为季节预测模型

网络流量行为预测是网络行为学的一个重要研究方向 .常规的网络流量预测大多采用的是 ARIMA时间序列模型 ,但普通时间序列预测模型的参数难以估计并且模型较难处理非平稳时间序列问题 .本文基于时间序列的神经网络模型研究 ,根据网络流量行为的季节性特点 ,提出了季节型神经网络模型 .用模型对 CERNET网络流量行为的预测分析表明 ,该模型预测效果较好 ,结果合理 ,对进行网络实时监控及网络管理都具有一定的理论和实践价值 .     

基于统计的网络流量异常检测模型

提出了一个基于统计的流量异常检测模型。根据网络流量的可测度集,描绘了一个正常网络流量的基线。参照该正常流量基线,使用假设检验理论进行异常检测。采用一个基于滑动窗口的流量更新策略,使异常检测能够更加高效。论述了在高速网络情况下提高检测性能的方法。     

基于流量模板检测网络异常流量

当前的网络异常流量检测技术侧重于采用机器学习和统计学方法,两者适用于通用网络环境。本文针对受控网络环境通信特征,提出了一种基于流量模板的网络异常流量检测方法,该方法实时抓取分析网络流量,提取网络流量头部特征和行为特征,基于网络八元组信息建立流量模板,通过匹配流量模板检测网络异常流量。实验结果表明该方法在受控网络环境下能准确检测出网络异常流量。     

一种基于统计的网络流量异常检测方法

异常的网络环境往往可以通过观察网络流量的变化而提前发现,因此,如何实时准确地判定流量异常便成为网络异常检测中的重点。本文将自适应滤波理论引入网络流量异常检测,提出一种基于自适应AR模型的网络流量异常检测方法,该方法收敛快、精度高,能降低误报率,从而使异常检测更准确。     

基于稳态模型的流异常检测算法

在日常网络管理中如何实时、准确地判定流量异常是网络异常检测中的难点问题。提出了一种基于稳态模型的流异常检测算法，采用加权均值和方差计算相结合的统计学方法对网络流量稳态模型进行建模和更新，并使用ROC曲线进行异常检测模型的性能评估。研究表明，该算法复杂度较低，资源占用小，能够很好地实现实时自动报警功能。实验结果对进一步探索实时的网络流异常检测方法和预测算法具有参考价值。     

会话属性优化的网络异常检测模型

网络异常检测模型的检测性能在很大程度上依赖于网络会话属性,因网络会话属性在本质上刻画了网络行为模式。基于假设验证的实验分析手段,采用Tcpdump网络数据包作为实验数据源,在将数据包解析成具有基本属性的网络会话记录基础上,提出了一组简洁和精确的会话属性组合模式。实验结果表明,优化后的会话属性组合模式确实能够有效地提高网络异常检测模型‘对未知攻击的检测能力,采用基本属性、全部属性和任意部分属性训练检测模型,并不能获得良好的检测效果。     

基于网络聚合行为的异常检测方法研究

异常检测是目前入侵检测领域中非常活跃的一个方向,其作为一种网络测量手段,对于分组报头的信息统计在很多网络管理任务中扮演着重要的角色。将网络分组中报头的信息按不同方式汇聚起来,可以有效地构成网络流量属性的度量。从中提取的特定的子集在理论上可用于刻画网络流量中的攻击行为特征。如果这些度量在无攻击情况下能够表现出相对的稳定性,而在发生攻击时相对敏感,则可用于判断攻击的发生。并利用主成份分析和信息增益对冗余特征进行删减,能够使得判断攻击时需要的开销降低,增加实时性。基于机器学习的分类器是判断攻击导致的异常的有效手段。根据所选取的度量指标设计了三种分类器。     

基于t-SNE降维预处理的网络流量异常检测

网络流量中大多数流量都是正常的,但经常会出现偏离正常范围的异常流量,主要由DDOS攻击、渗透攻击等恶意的网络行为引起,这些异常行为通常会导致网络质量下降,甚至网络直接瘫痪。因此引入网络安全态势的预测,在仅知道正常网络流量的情况下判断网络中的异常。异常检测是一种网络安全态势的预测方法,用来判断网络中是否有异常。现有的异常检测算法由于无法准确提取网络数据包的低维特征导致算法的性能不佳,因此,需要找到网络数据包的准确的低维特征表示,该低维特征表示能够区分网络数据包是正常的还是有攻击的。为此,本文引入基于t-SNE降维的NLOF异常检测算法。该算法采用t-SNE算法自动预处理网络数据包以获得低维的网络数据包特征,之后将得到的低维的网络数据包特征作为NLOF算法的输入进行异常检测。其中,本文的NLOF算法首先采用k-means算法将网络数据包聚类成为K个簇,并将网络数据包数量小于N个的簇标记为异常簇,之后将未被标记为异常簇的网络数据包作为LOF算法的输入进行异常检测。在ISCX2012数据集上的实验结果表明,基于t-SNE降维的LOF算法达到最优性能时,准确率为98.46%,精确度为98.38%,检测率为98.54%,FAR为0.66%。该算法比基于现有最新算法的准确率、检测率和F1分别高3.18个百分点、0.02个百分点和0.01个百分点。基于t-SNE降维的NLOF算法达到最优性能时,准确率为98.53%,精确度为98.86%,检测率为98.86%,FAR为0.32%。该算法比基于现有最新算法的准确率、检测率和F1分别高3.25个百分点、0.34个百分点和0.41个百分点。这是异常检测中首次采用t-SNE算法自动提取低维的网络数据包特征。此外,LOF算法仅能捕获异常点,而本文的NLOF算法能够同时捕获异常点和异常簇。     

基于熵的网络异常流量检测研究综述

网络流量异常检测及分析作为一种重要的网络监管控制手段,是网络及安全管理领域的重要研究内容.本文探讨了网络异常流量的种类,简述了基于传统的异常检测方法在网络异常流量检测中的应用以及存在的问题.针对基于信息熵、相对熵、活跃熵等熵值理论在网络异常流量检测中的研究,阐述了基于熵值理论的异常检测在国内外的研究进展情况.总结了当前基于熵值理论的异常检测研究工作中存在的问题及改进方向.     

网络流量异常检测及分析的研究

网络流量异常检测及分析是网络异常监视及响应应用的基础,是网络及安全管理领域的重要研究内容.本文探讨了网络流量数据类型、网络流量异常种类;从流量异常检测的范围、流量异常分析的深度、在线和离线异常检测方式等方面归纳了流量异常检测的研究内容;综述了已有的研究工作针对不同应用环境和研究内容所采用的不同的研究方法和技术手段,并分析了各种研究方法的特点、局限性和适用场合等;最后本文还对现有研究工作存在的问题及有待于进一步研究的课题进行了探讨.     

Statistical cross-relation approach for detecting TCP and UDP random and sequential network scanning (SCANS)

Network scanning is considered to be the first step taken by attackers trying to gain access to a targeted network. System and network administrators find it useful if they are able to identify the targets scanned by network attackers. Resources and services can be further protected by patching or installing security measures, such as a firewall, an intrusion detection system, or some alternative computer system. This paper presents a statistical ‘cross-relation’ approach for detecting network scanning and identifying its targets. Our approach is based on using TCP RST packets for detecting TCP sequential scanning and ICMP type 3 (port unreachable) packets for detecting UDP sequential scanning. TCP or UDP random scanning is confirmed when there is a ‘cross-relation’ between an ICMP type 3, code 1 (host unreachable) and the TCP RST counts per source IP address and between an ICMP type 3, code 3 (port unreachable) and an ICMP type 3, code 1 (host unreachable). We tested the proposed approach with the DARPA 1998 data set and confirmed that our method was more effective in detecting TCP and UDP scanning than the existing approaches, and it also provided better detection accuracy.     

基于行为模型的工控异常检测方法研究

目前,工业控制系统(Industrial Control Systems,ICS)网络安全已经成为信息安全领域的重点问题,而检测篡改行为数据及控制程序等攻击是ICS网络安全的难点问题,据此提出了基于行为模型的工控异常检测方法。该方法从工控网络流量中提取行为数据序列,根据ICS的控制和被控过程构建正常行为模型,通过比较分析实时提取的行为数据与模型预测的行为数据,判断是否出现异常。通过实验分析,验证了所提方法能有效实现对篡改行为数据及控制程序等攻击的异常检测。     

基于模糊控制的自适应流量抽样方法

针对系统抽样中恒定报文采样概率方法异常检测的漏检率高和随机报文采样概率偏向于采集长流的缺陷,提出了一种模糊自适应流量抽样方法。该方法利用网络流量的相关性设定采样率,并实时自适应预测采样粒度,自动在允许误差范围内进行尽可能精确地测量,更好地捕捉到网络流量特征和网络行为特征。实验证明,所提方法不但能减少抽样数据对于异常检测的影响,而且可以高效地反映原始数据的异常情况。自适应模糊控制系统结构简单,易于实现,其控制策略达到了较高的工艺水平的要求,具有良好的预测性,并能提高流量检测的精确度,具有一定的推广价值。     

Flow-based anomaly intrusion detection using machine learning model with software defined networking for OpenFlow network

Moving towards recent technologies, Software Defined Networking (SDN) produces a promising network framework to combine the overall network management system with network programming. It gives a more effective tracking system towards the data center. By centralized system and symmetric controller, it prevents security cracks from creating new threats during OpenFlow packet transmission with vulnerabilities. It creates more interest to the researchers to work towards Flow-based SDN for the priority-driven algorithm in anomaly intruder detection. In this paper, we made a study towards a priority-based model using SDN to control the flow of data packets over the network, gives assurance to the bandwidth enforcement, and reallocation is made through virtual circuits. The network behavior of the system is continuously monitored through the machine learning model for normal and abnormal traffic data transmission to detect anomaly intruders. Flow-based machine learning (ML) model with SDN act as an intelligent system to limits the throughput virtually through the flow of reserved bandwidth and make use of extra bandwidth, which presents more than the utilization bandwidth for priority-based applications with minimal cost while compared with the traditional methods. The proposed work also compared with the schemes available at the network to produce outcomes with fast routing and the fault tolerance of existing networks to overcome the gap open at the security of the SDN architecture to detect and identify vulnerabilities.