基于链路同质性的应用层流量分类方法

随着高速网络链路中数据量的剧增,以及越来越多的流行应用使用动态端口或使用加密流量通信,导致传统的网络流量分类方法失效.本文研究了应用层流量中存在的链路同质性,结合统计关联学习方法和流量传播图挖掘方法,提出了一种基于链路同质性的应用层流量分类方法.我们分析数据集中邻接链路之间的统计依赖关系并应用于网络协议识别,而不依赖于数据包载荷与网络流特征.实验结果表明,本文提出的方法能够实现超过80％的流量识别精度.     

基于小波的Web流量组合预测方法研究

为了提高Web流量的预测精度，提出一种基于小波、神经网络和自回归的组合预测方法．首先将Web流量构造为2个相关序列：历史序列和相似值序列；对具有平稳特征的相似值序列用AR模型进行预测；对体现了Web流量非线性、非平稳特性的历史序列则经过小波分解与单支重构后，针对各分支特点分别采用神经网络和自回归模型预测；最后组合2条序列的预测结果获得最终预测值．理论分析与实验表明：组合预测方法可以充分利用与流量相关的多种数据关系；小波分析可以将历史序列分解为多层频率成分更加单纯、更加易于预测的时间序列．因而所建方法比传统的预测方法具有更高的预测精度．     

基于模块度相似性的二分网络链路预测算法

基于社团结构,提出模块度相似性的二分网络链路预测算法,克服了二分网络在链路预测中丢失社团结构信息的局限性。首先,通过定义二分模块度,利用奇异值分解,将网络中的节点嵌入到欧式空间中的向量。其次,提出二分网络模块度相似性的框架,利用向量余弦相似度定义二分网络节点对之间的模块度相似性指标(MS指标)。最后,基于小提琴图和评价指标AUC,在3个真实网络上进行模拟仿真,与9种链路预测相似性指标进行对比,证明MS指标用于二分网络链路预测具有较高的精度。     

融合用户行为同步指标的链路预测研究

现有链路预测方法大多基于网络结构相似性及连边的权重特征,没有有效挖掘连边权重形成的时序信息。考虑到两个节点行为的时间同步性往往是由于两个节点存在链接造成的,因此在网络结构的重构研究中通常利用节点的行为同步性来反推它们之间是否存在链接关系。该文尝试将节点同步性信息这一网络重构的方法引入链路预测领域,提出一种网络拓扑相似性上融合节点行为同步指数的链路预测算法。经过两类6种真实网络数据的比较分析,发现该算法可有效提高链路预测准确率,相比现有方法,Precision指标提高了15.3%～68.2%。该研究不仅发现节点局域结构相似性和节点行为同步指数对链路预测的共同影响,也揭示了不同类别真实加权网络的内在结构和动态特征。     

一种基于链路繁忙趋势值的等价多路径选择算法

为了减少网络拥塞并充分利用链路带宽,当转发节点与目的子网间存在多条等价路径（ECMPs）时,流量负载应尽量避免在热点链路上传输,并且属于同一个目的地的IP分组应该按照某个固定的下一跳进行转发,这符合当前网络单径模式的路由架构。文章通过链路在网络中的路径趋势值表征链路的可能任务量,链路带宽表征链路的传输能力,提出一种基于链路繁忙趋势值的等价多路径选择算法。该算法可以有效地避免多个最短路径树在某条链路上的重叠,从而增大网络的吞吐量,提高资源利用率。仿真结果表明,该算法比随机选择算法在提高吞吐量,减小丢包率方面性能较优。     

基于流相似性的两阶段P2P僵尸网络检测方法

僵尸网络利用诸如蠕虫、木马以及rootkit等传统恶意程序,进行分布式拒绝服务攻击、发送钓鱼链接、提供恶意服务,已经成为网络安全的主要威胁之一。由于P2P僵尸网络的典型特征是去中心化和分布式,相对于IRC、HTTP等类型的僵尸网络具有更大的检测难度。为了解决这一问题,该文提出了一个具有两阶段的流量分类方法来检测P2P僵尸网络。首先,根据知名端口、DNS查询、流计数和端口判断来过滤网络流量中的非P2P流量;其次基于数据流特征和流相似性来提取会话特征;最后使用基于决策树模型的随机森林算法来检测P2P僵尸网络。使用UNB ISCX僵尸网络数据集对该方法进行验证,实验结果表明,该两阶段检测方法比传统P2P僵尸网络检测方法具有更高的准确率。     

基于K-Means算法的架空输电线路载流量计算

针对边界条件取值过于保守导致架空输电线路载流量过小而无法充分发挥输电线路的载流能力的问题,本文提出了一种基于K-Means算法的架空输电线路载流量计算方法.首先对历史气象数据进行统计分析,然后根据每月气象数据的相似性,使用K-Means算法划分时段,并选取各时段最为合适的边界条件,最后基于选定的边界条件使用摩根公式进行仿真计算.通过这种方法,可以在保证线路运行安全的条件下挖掘输电线路的隐性输送能力.     

基于蚁群算法的多路径QoS路由算法研究

针对现代网络通信量不断地增大以及蚁群算法在解决路由问题时存在的一些不足提出了基于改进蚁群算法的路由优化算法.该算法将蚁群系统的特点和流量工程的思想相结合对基本的蚁群算法进行了3方面的改进:将路由器的缓冲队列的利用率加入下一结点选择的标准;采用链路的利用率做为全局更新信息素;选择多条路径来进行数据传输.仿真实验结果表明该...     

一种基于局部社团和全局信息的链路预测算法

以往复杂网络的链路预测研究常常只考虑了公共邻居等局部网络的拓扑信息,不能很好的反映网络整体上的情况.在考虑局部社团网络拓扑信息的基础上,将同配系数等全局信息也引入预测算法中,提出了一种基于局部社团和全局信息的LCII预测算法.应用该算法对多个真实网络进行了链路预测,发现与其他几种经典链路预测算法相比,LCII预测算法有较好的预测效果和准确度.可见,综合考虑局部社团和全局信息可以挖掘出候选节点间更多的信息,从而能在一定程度上提升预测的命中率.     

基于改进蚂蚁算法的城市交通最佳路径选择

从现今城市交通网络分布的实际出发,采用改进的蚂蚁算法,通过设定实时更新的链路流量阈值和结点等待时间阈值,并且引入反向蚂蚁来全局更新城市交通路径中的链路流量及结点等待时间等信息,以选择实时的城市交通最佳路径.实验表明本文提出的改进算法获得了较好的效果,比较好的解决了这一问题.     

ODA-IPNMF: 一种在线全网络流量异常检测方法

为实时、高效地检测网络流量异常,提出一种基于增量投影非负矩阵分解(IPNMF)的全网络流量异常检测方法(ODA-IPNMF).提出一种增量投影非负矩阵算法,该算法不仅具有与PCA相同的表达形式,还能以增量的方式构建正常子空间和异常子空间,进而利用Shewhart控制图实现全网络流量异常的在线检测.理论分析表明,该方法计算开销远小于NMF-NAD,具有更高的实用价值;模拟网络数据以及实测网络数据实验表明,基于NMF异常检测方法(NMF-NAD和ODAIPNMF)的检测性能优于PCA方法;本文所提ODA-IPNMF与NMF-NAD网络异常检测效果相当,且可在线检测网络异常.     

基于特征符号表示的网络异常流量检测算法

为了准确检测网络中的流量异常情况,确保网络正常运行,提出基于特征符号表示的网络异常流量检测算法（NAAD-FD）. NAAD-FD算法利用趋势转折点将网络流量数据按照基于趋势特征的符号表示方法进行转化,按照表示结果将原始数据转化为包含7项特征值的子序列,将7项特征值运用到提出的距离计算方法中;结合基于密度的算法,按照时间序列的网络异常流量定义执行异常检测. 通过对算法参数、仿真数据和真实网络流量数据的实验与分析可知,该算法具有较强的鲁棒性,验证了该算法的有效性和稳定性. 该算法通过降维简化表示,显著降低了算法的时间复杂度,有效加速异常检测过程约40%.     

基于三部图的路网节点关键度排序方法

提出了一种基于三部图的路网节点关键度排序方法,首先从城市出租车轨迹数据中提取出行的起始地-目的地信息以及驾驶员路径选择的统计信息,并以此构建出行网络的三部图模型来刻画出行、路径和路口之间的互影响关系.通过节点之间的连接权重矩阵以迭代的方式计算路口节点的关键度评分.该方法有机地结合了路网的拓扑结构和交通流特征,并兼顾了关键路口节点之间以及路口节点与出行的起始地-目的地分布之间的相关性,可以有效准确地识别整个路网的关键节点.实验验证了方法的有效性.     

一种基于SDN的在线流量异常检测方法

基于软件定义网络的集中管控平面,提出了一种在线流量异常检测方法.首先在控制器上在线获取OpenFlow交换机的流表信息,并构造整个网络的流量矩阵与样本熵矩阵进行组合,然后采用主成分分析方法检测异常流量.实验结果表明,相比于传统网络中利用主成分分析方法分别单独处理离线的流量矩阵或样本熵矩阵的方法,在线流量异常检测方法实现和处理方式简单、有效,异常流量能够得到快速隔离,是基于软件定义网络的一种轻量级在线流量异常检测方法.     

企业IT网络异常流量综合检测模型与算法(会议)

结合企业内部IT网络特点,提出了用时间窗比较进行网络异常流量检测的新算法;将所提出的新算法同已有的静态、动态检测算法相结合,提出了网络异常流量综合检测模型。模型通过不同方法和不同角度比较来发现网络中是否存在异常流量,最后通过实际实现和测试验证模型的有效性。     

一种新的可变采样率的网络流量抽样测量方法

随机报文抽样方法是目前常用的流量抽样测量方法,但是它倾向于采集长流,影响了异常检测的正确性．提出了一种新的基于IP流可变采样率的网络流量抽样测量方法,将到达的数据报文按照流标识分类,并以每一个报文在所属流中的位置和流的大小为参数设置可变采样率进行抽样测量．实验表明,该方法提高了短流中报文的采样率,减少了随机报文抽样方法对异常检测的影响,检测结果能正确地反映原始数据的异常情况．     

企业IT网络异常流量综合检测模型

结合企业内部信息技术网络特点,提出了用时间窗比较进行网络异常流量检测的新算
法. 将新算法同已有的静态、动态检测算法相结合,提出了网络异常流量综合检测模型. 该
模型可通过不同方法和角度进行比较,以发现网络中是否存在异常流量. 通过实际实现和
测试验证了模型的有效性.     

基于熵和线性关系的两级流量异常检测方法

提出了一种基于熵和线性关系的两级流量异常检测方法,综合考虑了流量异常检测方法的准确性和实时性要求.该方法在时间域上设定两级动态阈值,采用基于熵的方法对异常时间点进行检测,对熵值变化程度明显的时间点可使用一级阈值检测出来,而对熵值变化程度处于一级阈值和二级阈值之间的时间点采用基于线性关系的方法再次进行检测,并通过定义的报警触发函数识别异常类型.仿真实验结果证明,该方法在准确性和实时性方面优于现有的方法.     

多源非平衡交通检测数据的异常识别方法

为保证交通检测数据的准确性并服务于实时的交通状态判别和预测,交通大数据采用多种检测源数据协同处理并利用机器学习的方法进行异常识别.异常检测数据的识别主要基于机器学习中AdaBoost方法实现.在算法的训练过程中,为消除单一检测源数据的离群现象,训练数据选取同一路段上多种检测源提供的数据集.在算法的决策过程中,通过代价敏感方法的优势来改进AdaBoost的决策.实验结果表明:基于非均衡特性改进的AdaBoost模型迫使分类器更加关注了待识别的异常样本,增强了AdaBoost决策过程中训练决策树规则的代表性,提高了异常类样本的分类准确率.高速公路实例检测数据集验证了改进算法与相关经典算法的检测准确度、误检率、误警率等指标,其中改进模型与原模型相比,准确率提高了5.547%,误检率减低了6.792%.多种算法的ROC曲线对比表明改进的AdaBoost方法筛选交通检测样本的可靠度更高,可有效调整由非平衡数据导致的分类误差.     

基于在线特征选择的网络流异常检测

针对传统批处理特征选择方法处理大规模骨干网数据流存在时间和空间的限制,提出基于在线特征选择(online feature selection, OFS)的网络流异常检测方法,该方法将在线思想融入线性分类模型,在特征选择过程中,首先使用在线梯度下降法更新分类器,并将其限制在L₁球内,然后用截断函数控制特征选择的数量。研究结果表明,提出的方法能充分利用网络流的时序性特点,同时减少检测时间且准确率和批处理方法相近,能满足网络流异常检测的实时性要求,为网络流分类和异常检测提供一种全新的思路。