分布式异常流量监测系统的设计

提出一个基于分析Netflow数据的异常流量监测系统.通过特征模式匹配及与正常流量基线比较,来分析和判断网络的异常情况,并通过建立安全策略库,提出安全建议,实现对异常情况的处理,达到对IP网络的有效闭环管理.     

基于双向统计流量信息算法的对Dos攻击的异常检测研究

近些年来Dos（拒绝服务）攻击已成为网络上普遍的攻击之一，对应的研究也成为入侵检测领域的一个重点和难点。本文对Dos攻击的特征和现有的检函算法进行了分析，在此基础上提出一种新的检测方法，通过自动调整阈值能进一步改善误判和漏报的情况。     

Netflow在边界网流量测量中的应用研究

对于网络管理员来说,理解网络流量的特性、了解用户的网络行为是网络管理的重要内容,这可以通过流量测量来实现,在边界网实施流量测量则是一个十分理想的地点。IPFlow提供了一种较好的方式,使在流量测量中得到数据的容量和携带的流量特性信息之间达到一个较好的平衡。Netflow是Cisco公司对IPFlow的具体实现,目前Cisco和Juniper路由器均支持netflow。Flow-tools可以实时采集和分析netflow数据,它是在边界网上流量测量分析的有效工具。     

基于时间序列的预测模型应用与异常检测

为解决由于产生时间序列数据时的一些不确定因素而导致预测结果在数值上存在较大偏差的问题,通过分析基于时间序列的历史数据,提出基于迭代的异常检测方法,剔除一些可能对时间序列造成影响的历史事件．实验证明该方法可大大提高预测的精度,得到的预测数据对未来的工作和研究有着更好的借鉴作用。     

基于IP监控和非高斯统计的网络异常流量检测

为保障网络和信息系统安全,需要对网络实施有效的监控,确保能及时检测出网络异常(蠕虫爆发、DDoS攻击等)等流量,进而为后续的动态量化风险评估、主动防御提供有力支持。为此,本文提出了一种基于IP监控和非高斯统计的网络异常流量检测方法(IPM-NGSD)。该方法包括两个关键部分:常用IP地址库FIPD和非高斯统计建模。前者,通过利用Bloomfilter技术和FIPD,将网络流量快速分流为常见和非常见IP网络流量:S0和S1;后者,在不同聚合层次上,提取S0和S1的非高斯边缘分布的轮廓值Porfile0和Porfile1,并通过计算Porfile0和Porfile1之间的统计距离,来检测是否存在异常。通过理论分析和两组统计实验验证了该方法的有效性:在缺少有关目标流量先验知识的前提下,该方法能快速、准确地发现短期突发攻击流量和长期低密度攻击流量。     

时间序列异常检测

在k-近邻局部异常检测算法的基础上,结合时间序列的分割方法,提出了一种高效的时间序列异常检测算法。该算法首先把序列重要点作为数据的分割点,对时间序列数据进行高比例压缩;其次利用局部异常检测方法检测出时间序列中的异常模式。通过心电图（ECG）数据实验验证了算法的有效性和合理性。     

小波变换在流量异常检测中的应用

本文详细介绍了基于小波变换的异常检测技术的原理和检测模块的实现,通过实验结果说明这是一种检测流量异常的有效手段.而且能识别出正常的突发流量和攻击流量,从而提高了报警的准确性.而且此方法较低的时间复杂度也适合大流量下的数据处理.     

基于IP报文Identification标识的网络异常流量检测

由于相当一部分异常流量由于采用了特殊的生成机制而在结构上有别于遵循基本网络协议的正常流量,本文提出了一种基于IP报文Identification标识字段分布识别网络中异常流量的方法。通过CERNET网络不同时段的IP报文检测结果证明了该方法的准确性。     

基于距离和DF-RLS的时间序列异常检测

为能同时检测时间序列中的附加异常和革新异常,改进自回归模型,提出距离因子递推最小二乘(DF-RLS)线性预测算法。在此基础上,给出一种基于距离和DF-RLS的联合异常检测方法——DDR-OD。实验结果表明,与当前其他时间序列异常检测方法相比,DDR-OD的检测效果较优。     

多维时间序列异常检测算法综述

随着信息化技术不断提高，时序数据规模呈指数级增长，为时间序列异常检测算法发展提供了契机和挑战，也使其逐步成为数据分析领域新增的研究热点。然而，这一方面的研究仍处于初步阶段，研究工作的系统性不强。为此，通过整理和分析国内外文献，将多维时间序列异常检测的研究内容按照逻辑顺序分为“维数约简”“时间序列模式表示”和“异常模式发现”三个方面，并对其主流算法进行梳理和归纳，以全面展现当前异常检测的研究现状和特点。在此基础上，还指出了多维时间序列异常检测算法的研究难点和研究趋势，以期对相关理论和应用研究提供有益的参考。     

基于时间序列数据的无线传感器网络的异常检测方法

伴随着无线传感器网络的发展和广泛应用,针对传感器网络在恶劣环境下传感器之间采样值差异大以及随着无线传感器网络故障节点增多导致事件检测不准确的问题,提出一种基于传感器网络时间序列数据的检测方法.利用传感器采集的K个正常数据的中位数建立枢轴量,构造置信区间,提出一种计算数据区间差异度的方法以判断发生异常的来源.实验结果表明,本文方法对传感器网络的异常数据检测率保持在98%以上,误报率保持在0.5%以下,具有一定的实用性.     

基于击键压力和时间匹配的异常检测方法

为了有效利用用户的生物特征进行入侵者身份识别,提出了一种基于用户击键特征进行异常检测的新方法.该方法根据人们在击键时所产生的按键压力和时间间隔的惟一性,利用正态分布的特性控制模式库生成方式,构造出能够描述每个用户独有特征的击键特征向量库,然后利用模式匹配算法对新登陆用户进行检测.相关实验验证了该方法具有较高的用户识别能力.     

基于流量行为特征的DoS&DDoS攻击检测与异常流识别

针对现有方法仅分析粗粒度的网络流量特征参数,无法在保证检测实时性的前提下识别出拒绝服务(DoS)和分布式拒绝服务(DDoS)的攻击流这一问题,提出一种骨干网络DoS&DDoS攻击检测与异常流识别方法。首先,通过粗粒度的流量行为特征参数确定流量异常行为发生的时间点;然后,在每个流量异常行为发生的时间点对细粒度的流量行为特征参数进行分析,以找出异常行为对应的目的IP地址;最后,提取出与异常行为相关的流量进行综合分析,以判断异常行为是否为DoS攻击或者DDoS攻击。仿真实验的结果表明,基于流量行为特征的DoS&DDoS攻击检测与异常流识别方法能有效检测出骨干网络中的DoS攻击和DDoS攻击,并且在保证检测实时性的同时,准确地识别出与攻击相关的网络流量     

一种不确定连续时间序列的Top-K异常检测算法

针对噪声数据对时间序列异常检测准确性的影响问题, 提出了一种不确定连续时间序列Top-K异常检测算法。在典型时间序列异常检测方法的基础上对时间序列的异常值进行区间处理, 构造满足均匀分布的密度函数, 结合不确定Top-K技术, 实现含噪连续时间序列在分布未知情况下的Top-K异常排序。实验部分采用模拟数据和真实数据进行算法测试, 算法较传统方法在异常检测的准确率方面有明显提高, 虽然在计算时间上有所增加, 但提出了相应的优化策略, 使计算时间在k值大于5时有明显改善, 验证了算法的有效性。     

基于进程行为的异常检测研究综述

基于进程行为的异常检测技术具有较好的检测效果 ,有望成为异常检测实用化的突破口。从看待正常的角度以及建模方法两方面对该领域研究进展进行总结 ,对主要方法的误差特性和检测复杂性进行分析 ,对后续研究工作具有参考意义。     

Anomaly detection in complex system based on epsilon machine

Epsilon machine is a computational mechanics theory and its most effective reconstruction algorithm is causal state splitting reconstruction (CSSR). As CSSR can only be applied to symbol series, symbolising real series to symbol series is necessary in practice. Epsilon machine discovers the hidden pattern of a system. In reconstructed results, the hidden pattern is expressed as the set of causal states. Based on the variation of causal states, a novel anomaly detection algorithm, structure vector model, is presented. The vector is composed of the causal states, and the anomaly measure is defined with the distance of different vectors. An example of the crankshaft fatigue demonstrates the effectiveness of the model. The mechanism of the model is discussed in detail from three aspects, computational mechanics, symbolic dynamics and complex networks. The new idea defining anomaly measure based on the variation of hidden patterns can be interpreted reasonably with the hierarchical structure of complex networks. The jump in anomaly curves is a nature candidate for the threshold, which confirms the positive meaning of the model. Finally, the parameter choice and time complexity are briefly analysed.     

基于多维二进制搜索树的异常检测技术

将多维二进制搜索树（kd树）应用于异常检测,用kd树对网络数据进行组织、建立用户轮廓并以此为基础实现了一个异常检测系统,通过实验给出了系统对不同种类攻击的检测效果。实验结果表明,kd树在异常检测中具有很高的适用性。