数据包在网络异常行为研究中的应用

以网络访问中的异常行为为研究对象,通过对数据包的深入分析,从数据包中提取与网络异常行为相关的内容特征,然后通过与数据包包头信息的集合,构成对网络行为进行研究的特征库。在实验的基础上,通过对所提取得到的网络异常特征进行记录,构建完善的网络异常行为数据库。     

基于t-SNE降维预处理的网络流量异常检测

网络流量中大多数流量都是正常的,但经常会出现偏离正常范围的异常流量,主要由DDOS攻击、渗透攻击等恶意的网络行为引起,这些异常行为通常会导致网络质量下降,甚至网络直接瘫痪。因此引入网络安全态势的预测,在仅知道正常网络流量的情况下判断网络中的异常。异常检测是一种网络安全态势的预测方法,用来判断网络中是否有异常。现有的异常检测算法由于无法准确提取网络数据包的低维特征导致算法的性能不佳,因此,需要找到网络数据包的准确的低维特征表示,该低维特征表示能够区分网络数据包是正常的还是有攻击的。为此,本文引入基于t-SNE降维的NLOF异常检测算法。该算法采用t-SNE算法自动预处理网络数据包以获得低维的网络数据包特征,之后将得到的低维的网络数据包特征作为NLOF算法的输入进行异常检测。其中,本文的NLOF算法首先采用k-means算法将网络数据包聚类成为K个簇,并将网络数据包数量小于N个的簇标记为异常簇,之后将未被标记为异常簇的网络数据包作为LOF算法的输入进行异常检测。在ISCX2012数据集上的实验结果表明,基于t-SNE降维的LOF算法达到最优性能时,准确率为98.46%,精确度为98.38%,检测率为98.54%,FAR为0.66%。该算法比基于现有最新算法的准确率、检测率和F1分别高3.18个百分点、0.02个百分点和0.01个百分点。基于t-SNE降维的NLOF算法达到最优性能时,准确率为98.53%,精确度为98.86%,检测率为98.86%,FAR为0.32%。该算法比基于现有最新算法的准确率、检测率和F1分别高3.25个百分点、0.34个百分点和0.41个百分点。这是异常检测中首次采用t-SNE算法自动提取低维的网络数据包特征。此外,LOF算法仅能捕获异常点,而本文的NLOF算法能够同时捕获异常点和异常簇。     

非包还原恶意代码检测的特征提取方法

恶意代码在网络中传播时不会表现出恶意行为,难以通过基于行为的检测方法检测出.采用基于特征的方法可以将其检测出,但需要进行网络包还原,这在大流量时对网络数据包进行还原不仅存在时空开销问题,且传统的特征提取方法提取的特征往往过长,容易被分割到多个网络数据包中,导致检测失效.本文提出非包还原恶意代码特征提取,采用自动化与人工分析相结合、基于片段的特征码提取,以及基于覆盖范围的特征码筛选等方法,实验结果表明,对恶意软件片段具有一定识别能力.     

基于深度学习的网络流时空特征自动提取方法

流量异常检测是网络入侵检测的主要途径之一,也是网络安全领域的一个热门研究方向。通过对网络流量进行实时监控,可及时有效地对网络异常进行预警。目前,网络流量异常检测方法主要分为基于规则和基于特征工程的方法,但现有方法需针对网络流量特征的变化需重新人工收集规则或 构造特征,工作量大且繁杂。为解决上述问题,该文提出一种基于卷积神经网络和循环神经网络的深度学习方法来自动提取网络流量的时空特征,可同时提取不同数据包之间的时序特征和同一数据包内字节流的空间特征,并减少了大量的人工工作。在 MAWILab 网络轨迹数据集上进行的验证分析结果表明,该文所提出的网络流时空特征提取方法优于已有的深度表示学习方法。     

基于时空注意力特征的异常流量检测方法

针对当前基于循环神经网络的异常流量检测方法无法并行利用全局流量数据包挖掘时序特征的问题，提出一种基于时空注意力特征的异常流量检测方法。将原始流量以会话为单元切分为网络流，网络流中的数据包均转换为灰度图并归一化；利用卷积网络层提取数据包的空间特征，进而通过多头自注意力机制对流中的全部数据包空间特征并行建模，计算数据包之间显著的时序关联特征表示；将该特征表示输入到全连接神经网络层和Softmax层，输出识别概率完成检测。在UNSW-NB15数据集上的实验结果表明该方法切实可行，相较于对比方法，在取得较高的准确率和精度的同时，保持了最低的误警率。     

基于无监督Hebb规则的入侵检测方法

通过分析现有的入侵检测方法,提出了一个基于无监督Hebb规则的入侵检测方法。此方法采用高效的抓包工具抓取计算机网络数据包;根据抓取到的网络数据包的信息定义行为变量;根据无监督的Hebb规则构建网络行为模型;采用Hamming距离进行检测。实验证明该方法能够正确地构造网络行为模型,并能准确地检测出异常行为。     

基于 HMM的分布式拒绝服务攻击检测方法

在分布式拒绝服务（DDoS）攻击时，网络中数据包的统计特征会显示出异常．检测这种异常是一项重要的任务．一些检测方法基于数据包速率的假设，然而这种假设在一些情况下是不合理的．另一些方法基于IP地址和数据报长度的统计特征，但这些方法在IP地址欺骗攻击时检测率急剧下降．提出了一种基于隐马尔可夫模型（HMM）的DDoS异常检测方法．该方法集成了4种不同的检测模型以对付不同类型的攻击．通过从数据包中提取TCP标志位，UDP端口和ICMP类型及代码等属性信息建立相应的TCP，UDP和ICMP的隐马尔可夫模型，用于描述正常情况下网络数据包序列的统计特征．然后用它来检测网络数据包序列，判断是否有DDoS攻击．实验结果显示该方法与其他同类方法相比通用性更好、检测率更高．     

基于信息熵的多Agent DDoS攻击检测

分布式拒绝服务攻击(DDOS)在短时间内产生大量的数据包,可以迅速耗尽网络或者主机的资源,对Internet的稳定性造成了巨大威胁.文中通过分析DDoS攻击的原理及攻击者的行为方式,划分攻击阶段,提取攻击特征,据此建立多Agent DDoS检测模型并分配各Agent的任务.模型由熵检测算法捕捉网络数据包的异常,再由DDoS的Ontology推断出攻击的具体情况.根据在DARPA 2000入侵检测数据集上的实验结果,模型对DDoS攻击的准备阶段和实施阶段有较高的识别率.     

基于前馈多层感知器的网络入侵检测的多数据包分析

提出了一种新型网络入侵检测模型,在该模型中,首先将截获的数据包结合历史数据包数据库进行协议分析,找出可能存在的入侵行为的相关数据包,然后采用前馈多层感知器神经网络对这些相关的数据包进行回归分析,最终获得检测结果。该模型与传统采用单数据包检测方式的网络入侵检测系统(NIDS)模型相比,具有更低的漏检率。     

基于大数据分析的计算机网络信息安全监测

为及时发现计算机网络安全威胁,研究基于大数据分析的计算机网络信息安全监测方法。通过WinPcap技术捕获计算机网络中的数据包,利用基于大数据分析的聚类方法提取网络异常信息特征,并输入支持向量机（Support Vector Machine,SVM）异常检测模型,实现计算机网络信息安全监测。实验验证,该方法可精准监测网络中的攻击数据。     

改进的字节频度负载异常入侵检测方法

数据集内容的特性对基于负载的网络异常入侵检测系统准确度有很大影响。本文分析了训练集数据包之间的内容特性差异对基于字节频度分布的模型的影响,较大的差异可能会导致分组计算频度均值的模型产生较高的误报率。本文据此提出了一种改进的模型—单包频度分布模型,以单个数据包的频度分布特征构成正常行为集,并以聚类方法控制其规模。在模拟数据集和DARPA99数据集上的实验表明,训练集数据包内容特性的差异确实导致基于均值的字节频度模型产生更多的误报,单包频度分布模型则不受影响,它有更高的检测准确度,在同等检测率下误报率更低。在数据包相互完全不同的情况下,基于均值的模型甚至失效。可认为单包频度分布模型对具有丰富动态内容的网络服务将有良好的适应能力。     

Bayesian Neural Networks for Internet Traffic Classification

Internet traffic identification is an important tool for network management. It allows operators to better predict future traffic matrices and demands, security personnel to detect anomalous behavior, and researchers to develop more realistic traffic models. We present here a traffic classifier that can achieve a high accuracy across a range of application types without any source or destination host-address or port information. We use supervised machine learning based on a Bayesian trained neural network. Though our technique uses training data with categories derived from packet content, training and testing were done using features derived from packet streams consisting of one or more packet headers. By providing classification without access to the contents of packets, our technique offers wider application than methods that require full packet/payloads for classification. This is a powerful advantage, using samples of classified traffic to permit the categorization of traffic based only upon commonly available information     

基于模拟数据集的字节频度入侵检测研究

为解决目前网络负载异常入侵检测领域缺乏有效、针对性的测试数据集的问题,提出一种基于虚拟关键字的构造模拟网络数据集的方法。并用它对基于字节频度分布的异常检测模型进行了测试分析。实验结果表明,模拟数据集提供了一种负载内容异常程度可控的测试数据集;检测阈值和网络环境的数据特性包括数据包尺寸分布情况、异常和正常访问相对于训练数据的偏离程度等有关。单包频度分布模型相比连接模型对负载数据异常程度的变动有更好的灵敏度。     

基于旁路监听的数据库安全审计系统

通过分析数据库安全审计机制,提出一种基于旁路监听的数据库安全审计系统框架,并实现了针对Oracle数据库的安全审计系统。涉及Java网络抓包、TNS协议解析、SQL语法解析和数据库安全检测等技术实现,提出一种发现用户正常行为规则的异常检测算法。系统实验结果表明该系统能有效对Oracle数据库进行实时安全审计,并实现了数据库操作行为的安全检测。     

基于语义向量与OCSVM的工控网络异常行为识别

为克服基于漏洞库等传统安全防护策略的短板,实现对未知攻击行为的识别和预警.使用时间窗划分和深度包检测技术,将端到端的通信内容转化为控制行为序列.根据工控协议的语义特性,采用语义向量模型将行为序列转化为统一维度的特征向量.基于单类支持向量机（OCSVM）仅使用正常行为样本构造的异常识别模型,克服了无法从生产环境中获得异常样本的困难.对于所仿真出的多种异常行为序列,模型识别的平均准确率能够达到93%以上.     

一种新型大规模分布式拒绝服务检测模型研究

将基于HOPCOUNT的异常数据包过滤技术引入到TaoPeng等人提出的检测方法中,提出了一个新型的DDoS攻击的检测模型.通过判定算法,该模型能够较为准确的区分出正常通信量和异常通信量,并在此基础上,运用CUSUM算法监测两个特征量,实现了DDoS攻击检测.此外,本文将Bloom Filter算法引入到数据库的查找过程中,提高了检测的性能以及检测模型自身的安全性.实验结果证明,该检测模型能够以较高的精确度及时的检测出DDoS攻击行为.     

一种基于历史信任数据的DDOS防御模型

分布式拒绝服务攻击给网络安全和网络服务质量带来了巨大的威胁。通过对分布式拒绝服务攻击原理及现有防御措施的分析,为了更有效防御这类攻击的发生,可以考虑在边界路由器上建立一种基于历史信任数据的源地址库的防御模型。该模型以历史信任数据库为依托,通过对异常IP包使用核心无状态公平排队算法进行源地址检测并对其处理结果做出相应的处理,可以有效、快速过滤掉异常的IP包数据,提前防止网络受到分布式拒绝服务攻击的侵害。     

基于深度时空卷积神经网络的人群异常行为检测和定位

针对公共场合人群异常行为检测准确率不高和训练样本缺乏的问题,提出一种基于深度时空卷积神经网络的人群异常行为检测和定位的方法。首先针对监控视频中人群行为的特点,综合利用静态图像的空间特征和前后帧的时间特征,将二维卷积扩展到三维空间,设计面向人群异常行为检测和定位的深度时空卷积神经网络;为了定位人群异常行为,将视频分成若干子区域,获取视频的子区域时空数据样本,然后将数据样本输入设计的深度时空卷积神经网络进行训练和分类,实现人群异常行为的检测与定位。同时,为了解决深度时空卷积神经网络训练时样本数量不足的问题,设计一种迁移学习的方法,利用样本数量多的数据集预训练网络,然后在待测试的数据集中进行微调和优化网络模型。实验结果表明,该方法在UCSD和subway公开数据集上的检测准确率分别达到了99%和93%以上。