基于熵的网络异常流量检测研究综述

网络流量异常检测及分析作为一种重要的网络监管控制手段,是网络及安全管理领域的重要研究内容.本文探讨了网络异常流量的种类,简述了基于传统的异常检测方法在网络异常流量检测中的应用以及存在的问题.针对基于信息熵、相对熵、活跃熵等熵值理论在网络异常流量检测中的研究,阐述了基于熵值理论的异常检测在国内外的研究进展情况.总结了当前基于熵值理论的异常检测研究工作中存在的问题及改进方向.     

基于数据挖掘的网络异常流量入侵检测方法

为解决利用传统方法进行网络流量异常入侵检测时存在检测正确率较低的问题,提出基于数据挖掘的网络流量异常入侵检测方法。根据网络攻击行为对网络异常流量特征属性进行提取,利用数据挖掘的关联分析找出异常流量特征之间的相关性,并将网络异常流量特征进行联合计算熵值处理,实现异常网络流量入侵检测。实验结果表明,设计的网络流量异常入侵检测方法在不同入侵行为类型上的检测正确率均在96.00%以上,证明该方法可以准确地检测出网络中潜在的入侵行为,具有较好的实用性。     

SDN环境中基于交叉熵的分阶段DDoS攻击检测与识别

针对软件定义网络易遭受DDoS攻击、监控负荷重等问题,提出一种分阶段多层次、基于交叉熵的DDoS攻击识别模型.采用监控SDN交换机CPU使用率的初检方法预判异常状态;引入交叉熵理论对异常交换机的目的IP交叉熵和PACKET IN数据包联合检测,对正常与异常流量的特征分布相似性进行定量分析;通过选取的基于交叉熵的特征对流...     

基于联邦学习的SDN异常流量协同检测技术

网络流量异常状态检测是发现潜在安全威胁的重要手段，但是现有异常流量检测方法普遍存在环境适应性不强、协同能力较弱等问题。结合SDN网络的拓扑结构与流量特征，提出基于联邦学习的异常流量协同检测技术。利用SDN网络中的检测节点，构建基于联邦学习的多检测节点协同检测架构。通过信息熵计算提取流量特征，从相对熵的角度分析检测节点的流量关联度，并根据该关联度设计模型训练过程中的参数聚合权重优化算法，提高检测模型的适应能力。应用参数聚合权重优化算法进行多检测节点异常流量检测模型的协同训练，提升检测模型对异常流量的识别准确率。仿真结果表明，与本地独立训练和传统联邦学习算法相比，基于参数聚合权重优化算法的识别准确率分别提升了31.69%和7.92%，具有更好的异常流量检测效果及更强的环境适应能力。     

基于统计的网络流量异常检测模型

提出了一个基于统计的流量异常检测模型。根据网络流量的可测度集,描绘了一个正常网络流量的基线。参照该正常流量基线,使用假设检验理论进行异常检测。采用一个基于滑动窗口的流量更新策略,使异常检测能够更加高效。论述了在高速网络情况下提高检测性能的方法。     

基于流量模板检测网络异常流量

当前的网络异常流量检测技术侧重于采用机器学习和统计学方法,两者适用于通用网络环境。本文针对受控网络环境通信特征,提出了一种基于流量模板的网络异常流量检测方法,该方法实时抓取分析网络流量,提取网络流量头部特征和行为特征,基于网络八元组信息建立流量模板,通过匹配流量模板检测网络异常流量。实验结果表明该方法在受控网络环境下能准确检测出网络异常流量。     

基于NetFlow时间序列的网络异常检测

网络流量在正常运行的情况下是具有一定的周期性、稳定性的,异常流量会打破这种规律使流量产生异常波动。提出了一种基于NetFlow时间序列滑动窗口检测网络异常的方法,利用时间序列异常发现算法发现网络流量的异常波动从而实现了实时高效的异常流量发现及预警。已经被检测到的网络异常会持续产生预警信息并影响后续的异常检测,为此还提出了两种平抑异常的方法。实验结果表明该方法能够有效地发现网络异常。     

基于信息熵理论的教育网异常流量发现*

为提高异常流量发现的效率,解决传统流量分析方法效率较低、异常检测能力弱的问题,对骨干路由器的netflow流数据采用基于多个信息熵的联合指标并结合基于滑动窗口的熵流突发检测算法来实现网络异常的发现;并利用各指标熵值的相关度分析将指标分类,根据已知的异常类型对每一类指标的异常检测范围作出总结。通过实验成功剔除了冗余度高的指标,将网络异常流量分为了能准确地被联合指标识别出的四种类型。实验证明,该异常检测方案实用性强,较传统的流量分析方法在异常类型的判断上更加准确和有效。     

基于信息熵的网络流量信息结构特征研究

随着人们对网络流量特征研究的深入,网络异常检测技术得以不断发展,因此流量特征分析是网络异常检测的基础性重要工作。文章研究基于熵的流量信息结构特征,不同于已有的网络流量初级统计特征研究,它以提取的流量属性在单位时间内分布特征为研究对象。基于 DARPA 99数据集的实验表明,该方法相对于基于流量初级统计特征方流量异常表示方法具有更强的敏感性。     

基于小波技术的网络异常流量检测与实现

随着互联网的迅速发展和各种互联网应用的普及，对网络资源的需求和使用也迅速增加，网络中也包含大量的蠕虫、端口扫描、DDoS、网络滥用等异常流量，因此有效、快速检测这些异常流量的手段是必须的。本文通过采集路由端口上的NetFlow流，建立了一个利用小波方法分析网络异常流量的框架，通过此方法可以较为理想地检测出网络中的异常流量，在实际应用中取得了较为理想的效果。最后用小波方差分析了不同的小波函数在检测网络异常流量时的效能。     

一种基于MMTD网络异常流量的研究

当今的网络在设计初期并没有充分考虑其安全性,因此使得网络被频频攻击成功。当网络管理人员在检测网络是否遭到黑客的攻击时,可以从网络流量的角度出发,检测网络流量是否异常。网络流量是否异常可以作为网络是否被攻击的一个依据。网络中的流量存在正常还是异常的两种状态,在参考已有的检测技术之后,使用MMTD这一算法来检测网络的流量。在文中根据流与流量的特性给出检测函数y=f(x),最后使用MMTD这一算法进行流量是否异常做出判断。利用MMTD算法来研究网络的流量尚属第一次,该算法能够使得已有流量检测算法具有一定的智能性,可以作为已有流量检测算法的补充。     

遗传算法优化BP神经网络的网络流量预测

为了提高网络流量预测精度,提出一种基于遗传算法优化BP神经网络的网络流量预测模型(GA-BPNN)。首先采集网络流量数据,并进行相应预处理,然后将网络流量训练样本输入到BP神经网络进行学习,并采用遗传算法对BP神经网络参数进行优化,最后采用建立的网络流量预测模型对网络流量测试集进行预测,并通过仿真实验对模型性能进行测试。结果表明,GA-BPNN提高了网络流量的预测精度,获得比较理想的网络流量预测结果。     

基于决策树的网络流量异常分析与检测

针对现有网络流量异常检测方法准确率较低的问题,提出基于决策树的网络流量异常分析与检测方法。研究网络流量结构特征及流量异常的交叉熵表示方法。采用C4.5算法建立决策树模型,将具有连续性的属性值离散化,根据最大信息增益比逐层选取分类属性,依此规则对流量数据进行分类。实验结果表明,当该方法的检测准确率达90%以上时,误报率可控制在5%以内,与同类方法相比能更准确地发现网络流量异常并进行分类。     

基于信息熵的大规模网络流量异常检测

提出了基于信息熵的大规模网络流量异常检测方法。该方法吸收了子空间方法的思想,并结合了K-means分类方法。以校园网为实验环境,应用基于信息熵的方法实现了网络流量异常检测的全过程。通过实验结果与应用标准子空间方法对测量数据分析结果的对比,证明了基于信息熵的大规模网络流量异常检测有着更高的检测精度。     

基于小波的网络流量异常协同相变检测

针对网络流量表现出的非线性和非平稳性等复杂的动力学特征,提出一种基于小波的网络流量异常协同相变检测方法。该方法从网络流量时间序列的离散小波域出发,利用序参量的非线性动力学方程描述网络流量系统的复杂行为,采用势函数来刻画网络流量系统的非平稳相变过程,进一步分析了网络流量状态与各种攻击模式之间的变化关系,并通过协同学模型对网络流量序参量进行演化,当相应序参量收敛时,即可检测到相应的攻击模式或是正常流量模式。最后,采用了DARPA 1999数据集进行了实验测试,网络流量异常的平均检测率达到了90.00%,而平均误检率只有15.03%。实验结果表明,基于小波的协同相变方法可以用于网络流量异常检测。     

基于人工智能理论的网络安全管理关键技术的研究

网络安全对网络应用具有非常重要性的现实意义,其中,网络异常检测和泛化能力是网络安全管理中的关键环节。以基于人工智能理论的网络安全管理关键技术为研究对象,提出基于克隆选择模糊聚类算法的异常检测方法,解决异常检测效率低、误报率高等问题;提出基于交补分担准则的证据组合规则方法,解决信息融合证据组合冲突和规则缺陷等问题;提出基于改进证据组合规则的P2P信任管理模型,解决P2P系统难以有效处理恶意节点攻击、不能有效处理不确定性信息等问题。     

一种基于模糊综合评判的入侵异常检测方法

目前国际上已实现的大多数入侵检测系统是基于滥用检测技术的，异常检测技术还不太成熟，尤其是基于网络的异常检测技术，如何提高其准确性、效拿和可用性是研究的难点．提出了一种面向网络的异常检测算法FJADA，该算法借鉴了模糊数学的理论，应用模糊综合评判工具来评价网络连接的“异常度”，从而确定该连接是否“入侵”行为．实验证明，该方法能检测出未知的入侵方式，而且准确性较高．     

基于格贴近度的模糊异常检测方法

论文首先指出基于距离测度的入侵检测方法的不足,然后提出了一种基于格贴近度的旨在减少误报率和漏报率的模糊异常检测新方法,该方法利用模糊数学的模糊性度量理论,应用目前广泛使用的格贴近度工具评价网络连接过程中的异常度,从而确定入侵行为。最后,实验结果表明该方法不但能检测出未知的攻击,而且准确性及效率较高。