一种物联网环境下的分布式异常流量检测方案

物联网终端设备数量的急剧增加带来了诸多安全隐患,如何高效地进行异常流量检测成为物联网安全研究中的一项重要任务。现有检测方法存在计算开销大的问题,且不能显式地捕捉流量数据中的关系和结构,难以应对新型网络攻击。考虑网络结构和节点设备之间的复杂通信模式,提出一种基于图神经网络的分布式异常流量检测方案。结合物联网环境对卷积神经网络进行改进,识别节点之间的复杂关系,同时在物联网设备、转发器和雾节点上设计并部署分布式检测单元,通过分布式检测架构实现本地化的异常流量检测,从而降低检测延迟和时间开销。在此基础上,引入注意力模块强化对关键特征的提取,增强模型的可解释性,进一步提高检测精度。在公开数据集CTU-13上的实验结果表明,该方案准确率和AUC值达到99.93%和0.99,只需9.26 s即可完成检测,且带宽消耗仅为845 kb/s。     

一种基于深度Encoder-Decoder神经网络的智能电网数据服务器流量异常检测算法

传统的网络流量异常检测通常基于单一原始特征变量进行阈值判断,或者对多个相关变量进行降维设计统计量后进行阈值判断,这类方法虽然简单,但无法应对变量间非线性关系随时间变化的情况。本文设计一种能够自适应动态逼近变量间非线性关系的深度神经网络,在普通的Encoder-Decoder神经网络的基础上引入2层注意力机制,提高了神经网络对长期历史信息的利用程度,实现了流量正常状态估计。基于估计得到的流量正常行为,分析其与实测值的残差分布情况,并最终给出置信区间作为判别异常行为的控制限。     

一种基于相关性的分布式异常检测算法

提出了一种传感器网络异常检测算法,与传统的基于相邻节点数据对比的检测算法不同,该算法首先在节点内分析数据的时间相关性,仅在发生异常时,上传至簇头节点,分析空间相关性;对于不确定的异常数据,在相邻分簇内,计算数据的相关性.还给出了采用直方图计算均值和分析相关性的方法.实验表明,该算法减少了通信量,提高了异常检测的准确率.     

一种基于环形结构的新型分布式入侵检测模型

分析了目前的分布式入侵检测系统的特点和协作方式,提出了基于逻辑环形分布式协作控制技术的分布式入侵检测模型,解决了目前分布式入侵检测系统中各系统闭协作效率低、配置复杂、检测响应慢等缺陷。详细论述了环形结构的分布式入侵检测系统的体系结构和系统框架,提出了一套基于环形结构的分布式入侵检测协作算法。     

一种网络流量异常检测模型

网络流量异常影响网络性能,严重时造成网络中断,在基于统计的网络流量异常检测模型基础上,本文提出一种改进的方法。首先对采样数据进行预处理,去除坏值;然后采用统计学方法对网络流量稳态模型进行建模和更新,选择表现流量特征明显、属性相关性小的指标反映网络流量;最后利用同比和环比相结合的方法对网络流量进行异常判断。实验结果表明,该方法能对网络流量异常有较好的监控,并减小异常检测的误判率。     

基于智能代理的分布式入侵检测系统模型

本文针对通用入侵检测系统的存在的缺陷,分析了Agent的特性,提出了一种基于智能Agent的分布式入侵检测系统模型.该模型利用Agent的移动、自治特性,将基于主机和基于网络的入侵检测结合起来,增强了入侵检测系统对分布式网络的协同检测能力,有效降低网络通信负荷,提高系统自身的安全性.文章阐述了该模型实现的关键技术并对系统性能进行了评价.     

一种分布式防火墙过滤策略的异常检测模型

分布式防火墙的安全性很大程度上取决于过滤策略正确配置。过滤策略的异常可能导致分布式防火墙系统所保护的网络出现严重的访问漏洞。为了能够自动化地检测分布式防火墙过滤策略存在的异常,对分布式防火墙系统中各过滤节点上的过滤规则之间可能出现的异常进行分类,并建立了一个过滤策略异常检测的模型。该模型能够检测出分布式防火墙过滤规则之间的冗余、冲突、不完整等各种异常,从而保证了分布式防火墙过滤策略的完整性和一致性。     

基于深度学习的人体异常行为检测综述

如今,从大量视频流中手动搜索异常事件是一项艰巨的任务,而基于深度学习的人体异常行为检测不仅省时省力,且决策能力相对可靠,从而保证了公共安全。首先回顾了异常行为检测任务的传统机器学习方法并引入深度学习方法;然后概述异常事件的定义与人体异常行为检测的过程;最后详细介绍了基于深度学习的人体异常行为检测方法。     

一种基于环形协作算法的分布式入侵检测模型

文章分析了当前流行的分布式入侵检测系统的特征以及协作方式，提出了一种基于逻辑环形协作算法的分布式入侵检测系统，以解决目前分布式入侵检测系统中各系统间协作效率低、检测响应慢的缺陷。     

基于深度学习的系统日志异常检测研究

系统日志反映了系统运行状态,记录着系统中特定事件的活动信息,快速准确地检测出系统异常日志,对维护系统安全稳定具有重要意义。提出了一种基于GRU神经网络的日志异常检测算法,基于log key技术实现日志解析,利用执行路径的异常检测模型和参数值的异常检测模型实现日志异常检测,具有参数少、训练快的优点,在取得较高检测精度的同时提升了运行速度,适用于大型信息系统的日志分析。     

基于分布式学习的大规模网络入侵检测算法

计算机网络的高速发展,使处理器的速度明显低于骨干网的传输速度,这使得传统的入侵检测方法无法应用于大规模网络的检测.目前,解决这一问题的有效办法是将海量数据分割成小块数据,由分布的处理节点并行处理.这种分布式并行处理的难点是分割机制,为了不破坏数据的完整性,只有采用复杂的分割算法,这同时也使分割模块成为检测系统新的瓶颈.为了克服这个问题,提出了分布式神经网络学习算法,并将其用于大规模网络入侵检测.该算法的优点是,大数据集可被随机分割后分发给独立的神经网络进行并行学习,在降低分割算法复杂度的同时,保证学习结果的完整性.对该算法的测试实验首先采用基准测试数据circle-in-the-square测试了其学习能力,并与ARTMAP(adaptive resonance theory supervised predictive mapping)和BP(back propagation)神经网络进行了比较;然后采用标准的入侵检测测试数据集KDD'99 Data Set测试了其对大规模入侵的检测性能.通过与其他方法在相同数据集上的测试结果的比较表明,分布式学习算法同样具有较高的检测效率和较低的误报率.     

物联网设备识别及异常检测研究综述

随着物联网技术的发展,物联网设备广泛应用于生产和生活的各个领域,但也为设备资产管理和安全管理带来了严峻的挑战.首先,由于物联网设备类型和接入方式的多样性,网络管理员通常难以得知网络中的物联网设备类型及运行状态.其次,物联网设备由于其计算、存储资源有限,难以部署传统防御措施,正逐渐成为网络攻击的焦点.因此,通过设备识别了解网络中的物联网设备并基于设备识别结果进行异常检测,以保证其正常运行尤为重要.近几年来,学术界围绕上述问题开展了大量的研究.系统地梳理物联网设备识别和异常检测方面的相关工作.在设备识别方面,根据是否向网络中发送数据包,现有研究可分为被动识别方法和主动识别方法.针对被动识别方法按照识别方法、识别粒度和应用场景进行进一步的调研,针对主动识别方法按照识别方法、识别粒度和探测粒度进行进一步的调研.在异常检测方面,按照基于机器学习算法的检测方法和基于行为规范的规则匹配方法进行梳理.在此基础上,总结物联网设备识别和异常检测领域的研究挑战并展望其未来发展方向.     

基于深度学习的工业物联网智能入侵检测

如何有效识别工业物联网入侵攻击行为是一个新挑战.针对工业物联网中入侵检测特征提取不高、检测效率低、适应能力差等问题,提出一种基于深度学习的工业物联网智能入侵检测方法.首先,在数据处理上改进采样算法用于调节少数类别样本数量,提高检测精度;其次,构建堆叠降噪卷积自编码网络提取关键特征,结合卷积神经网络和降噪自编码器,加强特征识别能力;为了避免信息丢失和信息模糊,改进池化操作以增加其自适应处理能力,并在模型训练过程中采用Adam算法获取最优参数;最后,采用NSL-KDD数据集测试提出方法的性能.实验结果表明,该方法相比现有的RNN、DBN和IDABCNN的准确率分别提高了3.66%、4.93%和4.6%;与未经采样算法的SDCAENN试验对比, U2R和R2L的检测精度分别提高17.57%和3.28%.     

基于智能代理的分布式入侵检测系统模型

介绍了入侵检测系统在计算机及网络安全中的意义和现有入侵检测系统的局限性。在智能代理技术的基础上,提出了一种基于智能代理的分布式入侵检测系统模型(IADIDS),描述了系统的体系结构和详细设计,并给出了智能代理的结构模型。     

基于深度学习的时间序列数据异常检测方法

针对类间分布不平衡的时间序列数据的异常检测问题,提出了一种基于深度卷积神经网络的检测方法.首先采用抽样法对不平衡时间序列数据进行预处理;其次,将处理后的时间序列数据转换为尺度一致、时长一致的片段;最后将数据送入具有4层隐藏层结构的卷积神经网络模型中进行异常检测.实验结果表明,所提方法弥补了现存的检测技术由于忽略数据分布的偏斜性而造成的少数类检测精度低的缺点,并通过与现有的时间序列分类方法的比较,验证了所提方法的高效性.     

基于深度学习的图异常检测技术综述

图异常检测旨在大图或海量图数据库中寻找“陌生”或“不寻常”模式,具有广泛的应用场景.深度学习可以从数据中学习隐含的规律,在提取数据中潜在复杂模式方面表现出优越的性能.近年来随着基于深度神经网络的图表示学习取得显著进展,如何利用深度学习方法进行图异常检测引起了学术界和产业界的广泛关注.尽管最近一系列研究从图的角度对异常检测技术进行了调研,但是缺少对深度学习技术下的图异常检测技术的关注.首先给出了静态图和动态图上各类常见的异常定义,然后调研了基于深度神经网络的图表示学习方法,接着从静态图和动态图的角度出发,梳理了基于深度学习的图异常检测的研究现状,并总结了图异常检测的应用场景和相关数据集,最后讨论了图异常检测技术目前面临的挑战和未来的研究方向.     

基于分布式集成学习的入侵检测模型

针对入侵检测系统的高漏报率及高误报率问题,提出一种混杂入侵检测模型。该模型分别构造基于核主成分分析(KPCA)和核独立成分分析(KICA)的特征提取器,并采用集成学习对特征提取结果进行整合学习。采用分布式神经网络对集成结果进行再学习,从而实现对大规模数据的分布式处理。通过反馈机制调节KPCA和KICA的集成学习权重,达到最优检测效果。采用KDD CUP’99数据集进行测试实验,结果表明：该模型能够获得较高的检测正确率,同时具有较低的漏报率及误报率。     

基于宽度学习的智能电网数据服务器流量异常检测算法

电力系统的信息网络是电力行业长久持续有效运行下的重要组成部分,而智能电网中电力网与信息网耦合下的复杂网络结构给信息通讯网络安全中的流量异常检测带来了巨大的挑战。传统机器学习算法与新兴的深度学习算法在解决流量异常检测问题领域往往存在着检测准确度低、实时性差等缺陷,而结合宽度学习与质量管理图的流量异常检测流程则有着训练速度快、准确性高、实时性强的优势,在一定程度上可以满足智能电网服务器流量异常检测需求,从而达到提升电网信息安全的目的。     

基于DHT的物联网分布式发现系统

物联网中海量设备的频繁接入、退出以及动态的网络变化为节点管理带来了压力,结构化的P2P网络可以有效缓解这种压力,但是大多数物联网P2P网络只能利用节点ID进行简单搜索。本文对分布式哈希表（DHT）进行改进,实现利用节点的多个属性和属性的范围进行搜索和管理。基于改进后的DHT,实现了一种新的物联网资源发现系统,它可以将物联网内的各类资源组织在一起,形成一个分布式、松耦合的物联网架构。实验结果表明该搜索系统可以在物联网中实现高效的资源发现。     

基于深度学习的网络流量异常预测方法

针对网络入侵检测系统（NIDS）能够检测当前系统中存在的网络安全事件,但由于自身的高误报率和识别安全事件产生的时延,无法提前对网络安全事件进行准确率较高的预警功能,严重制约了NIDS的实际应用和未来发展的问题,提出了基于深度学习的网络流量异常预测方法。该方法提出了一种结合深度学习算法中长短期记忆网络和卷积神经网络的预测模型,能够训练得到网络流量数据的时空特征,实现预测下一时段网络流量特征变化和网络安全事件分类识别,为NIDS实现网络安全事件的预警功能提供了方法分析。实验通过使用设计好的神经网络框架对入侵检测系统流量数据集CICIDS2017进行了训练和性能测试,在该方法下流量分类的误报率下降到0.26%,总体准确率达到了99.57%,流量特征预测模型R2的最佳效果达到了0.762。