一种基于SDN的在线流量异常检测方法

基于软件定义网络的集中管控平面,提出了一种在线流量异常检测方法.首先在控制器上在线获取OpenFlow交换机的流表信息,并构造整个网络的流量矩阵与样本熵矩阵进行组合,然后采用主成分分析方法检测异常流量.实验结果表明,相比于传统网络中利用主成分分析方法分别单独处理离线的流量矩阵或样本熵矩阵的方法,在线流量异常检测方法实现和处理方式简单、有效,异常流量能够得到快速隔离,是基于软件定义网络的一种轻量级在线流量异常检测方法.     

OpenTAD：一种基于 SDN 的在线流量异常检测方法

基于软件定义网络（Software Defined Networking, SDN）的集中管控平面,提出了一种在线流量异常检测方法（Online Traffic Anomaly Detection method, OpenTAD）。首先在控制器上在线获取OpenFlow 交换机的流表信息,并构造整个网络的流量矩阵和样本熵矩阵进行组合,然后采用主成分分析方法（PCA）检测异常流量。实验结果表明,相比于传统网络中利用PCA分别单独处理离线的流量矩阵或样本熵矩阵的方法,OpenTAD 实现和处理方式简单有效,异常流量能够得到快速隔离,是基于 SDN的一种轻量级在线流量异常检测方法。     

基于熵和线性关系的两级流量异常检测方法

提出了一种基于熵和线性关系的两级流量异常检测方法,综合考虑了流量异常检测方法的准确性和实时性要求.该方法在时间域上设定两级动态阈值,采用基于熵的方法对异常时间点进行检测,对熵值变化程度明显的时间点可使用一级阈值检测出来,而对熵值变化程度处于一级阈值和二级阈值之间的时间点采用基于线性关系的方法再次进行检测,并通过定义的报警触发函数识别异常类型.仿真实验结果证明,该方法在准确性和实时性方面优于现有的方法.     

企业IT网络异常流量综合检测模型与算法(会议)

结合企业内部IT网络特点,提出了用时间窗比较进行网络异常流量检测的新算法;将所提出的新算法同已有的静态、动态检测算法相结合,提出了网络异常流量综合检测模型。模型通过不同方法和不同角度比较来发现网络中是否存在异常流量,最后通过实际实现和测试验证模型的有效性。     

基于迁移学习的跨域异常流量检测

基于已知数据的机器学习模型在实际异常流量检测任务中不完全可靠,为此,将不同分布的流量分别作为源域和目标域,建立跨域网络异常流量检测框架,提出了基于联合分布适配的迁移学习方法.通过寻找最优变换矩阵、适配源域与目标域之间的条件概率和边缘概率,实现源域与目标域间的特征迁移,从而解决由于源域与目标域分布差异大所引起的检测准确率下降等问题.实验结果表明,所提方法可以显著提升跨域流量的检测准确率.     

企业IT网络异常流量综合检测模型

结合企业内部信息技术网络特点,提出了用时间窗比较进行网络异常流量检测的新算
法. 将新算法同已有的静态、动态检测算法相结合,提出了网络异常流量综合检测模型. 该
模型可通过不同方法和角度进行比较,以发现网络中是否存在异常流量. 通过实际实现和
测试验证了模型的有效性.     

TCP/IP骨干通信网流量规律性及异常检测方法

针对TCP/IP骨干网，提出一种新的基于业务流量周期规律特性的建模与异常检测方法. 该方法通过挖掘骨干网主要业务流量的规律性，结合时间序列分析方法，有效地预测流量的变化趋势，避免了对复杂的流量非线性趋势进行建模分析.     

采用Netflow数据的典型异常流量检测方法

基于Netflow数据提出了根据流量特征进行异常检测的方法;分析了造成异常流量的DDoS和端口扫描的流量特征两种网络攻击行为;并根据其特征进行用户可控的实时异常流量检测,给出告警,报告异常的时空坐标.用户可以调整自己的参数设置,在计算时间和空间上平衡自己的参数,得到满意的结果.采用Web形式和CS架构模式进行异常监控的实时显示,用尸可以实时地在任何连接到服务器的主机设置参数和查看检测结果.     

基于信息熵的异常检测算法

针对K-means异常检测算法检测性能低的问题,提出了一种结合信息熵与改进K-means算法的异常检测算法。该算法均匀地选出密度大于数据集平均密度的数据对象作为初始聚类中心,避免了初始中心的随机选择。在此基础上,引入了信息熵确定属性权重的方法来计算簇中数据点与该簇聚类中心的加权欧氏距离,通过对比簇中数据点的加权欧氏距离与该簇中所有数据点的平均加权欧氏距离来进行异常检测。实验表明,改进算法具有更高的检测率和更低的误检率,应用于电力负荷数据时检测率达到了90. 5%,能够有效地检测出异常的负荷数据。     

异常入侵检测中数据挖掘技术RIPPER的应用

介绍了入侵检测技术的分类以及数据挖掘技术在入侵检测中的应用,并阐述了构建的基于数据挖掘算法RIPPER的异常入侵检测系统的设计与实现.     

网络入侵异常检测的实时方法

目前市面上的入侵检测系统一般都是基于特征匹配,不能对未知入侵进行有效检测,异常检测可以较好地检测未知入侵。M IT林肯实验室提出了一种离线的异常入侵检测方法,但不能据此建立实际的入侵检测系统,为此,提出一种能实时检测网络异常的入侵检测方法。该方法可以实时重建网络连接,提取每一连接的31个与入侵有关的特征,运用支持向量机进行在线检测,实验结果表明,该方法是有效的,检测精度在95%以上。为缩短入侵检测时间,对最短检测时间进行了研究,提出了最优入侵检测时间算法,根据此算法得出局域网内的异常连接在250m s内即可较准确地检测出。     

入侵异常检测研究综述

入侵检测是网络安全中极其重要的一环,异常检测是近年来入侵检测研究领域的热点。从分析入侵检测和网络安全模型间的关系开始,介绍入侵检测的概念和入侵检测系统的抽象模型,重点讨论基于网络数据、基于系统调用和基于系统调用参数的异常检测技术方法,对3种技术的重要研究方法进行了分析。指出入侵检测目前应尽量降低入侵检测系统对目标系统的性能影响和重点解决入侵异常检测系统的性能开销问题。随着网络环境的不断变化和入侵攻击手段的不断推陈出新,入侵异常检测未来的研究趋势之一是在入侵异常检测系统中增加可视化情景再现过程。     

网络入侵异常检测的实时方法

目前市面上的入侵检测系统一般都是基于特征匹配,不能对未知入侵进行有效检测,异常检测可以较好地检测未知入侵.MIT林肯实验室提出了一种离线的异常入侵检测方法,但不能据此建立实际的入侵检测系统,为此,提出一种能实时检测网络异常的入侵检测方法.该方法可以实时重建网络连接,提取每一连接的31个与入侵有关的特征,运用支持向量机进行在线检测,实验结果表明,该方法是有效的,检测精度在95%以上.为缩短入侵检测时间,对最短检测时间进行了研究,提出了最优入侵检测时间算法,根据此算法得出局域网内的异常连接在250ms内即可较准确地检测出.     

WEKA在基于系统调用序列异常检测中的应用

通过strace命令实时收集到基于Linux系统调用的数据,利用STIDE算法产生固定长度调用序列．对产生的数据集进行特征提取与选择,基于数据挖掘软件WEKA进行数据分析,以得出精确度较高的分类算法．     

网络安全态势异常检测技术研究

网络安全态势感知已成为下一代安全技术的研究热点,有望解决网络安全与管理中某些方面的问题。针对目前网络安全态势异常检测的时空复杂度较高且不易操作等问题,提出通过一组观测样本,利用假设检验检测网络安全态势是否异常的一个可行的量化方法,该方法能预测系统安全态势变化趋势,为网络管理员制定决策和防御措施提供可靠依据,做到防患于未然。最后,利用仿真数据,对所提出的网络安全态势异常检测技术与算法进行了验证,结果验证了该方法的正确性且具有简捷可行性。     

基于主成份分析的异常检测方法研究

针对现有的无监督异常检测技术的不足之处，提出了一种基于样本分布异常数据实例度量方法。针对数据对象是高维数据的问题，将主成份分析方法应用到异常检测中解决数据集的降维问题。在此基础上，提出了一种新的无监督异常检测算法μ-UAD，并对该算法进行了性能评估。     

ODA-IPNMF: 一种在线全网络流量异常检测方法

为实时、高效地检测网络流量异常,提出一种基于增量投影非负矩阵分解(IPNMF)的全网络流量异常检测方法(ODA-IPNMF).提出一种增量投影非负矩阵算法,该算法不仅具有与PCA相同的表达形式,还能以增量的方式构建正常子空间和异常子空间,进而利用Shewhart控制图实现全网络流量异常的在线检测.理论分析表明,该方法计算开销远小于NMF-NAD,具有更高的实用价值;模拟网络数据以及实测网络数据实验表明,基于NMF异常检测方法(NMF-NAD和ODAIPNMF)的检测性能优于PCA方法;本文所提ODA-IPNMF与NMF-NAD网络异常检测效果相当,且可在线检测网络异常.     

基于异常和误用检测协同的 多代理分布式入侵检测系统模型

入侵检测是一个比较新的、迅速发展的领域，已成为网络安全体系结构中的一个重要环节。本文通过对多代理技术和两种入侵检测方法的研究，提出了一种基于异常和误用检测协同的多代理分布式入侵检测系统模型，并且对该模型的结构和代理的处理流程进行了描述，该模型是一个开放的系统模型，具有很好的可扩展性，易于加入新的入侵检测代理，也易于增加新的入侵检测模式，代理之问的协同采用独立的通信服务代理来宾现。