基于攻击链和网络流量检测的威胁情报分析研究

以特征检测为主的传统安全产品越来越难以有效检测新型威胁,针对现有方法检测威胁攻击的不足,进行了一种基于攻击链结合网络异常流量检测的威胁情报分析方法研究,通过对获取的威胁信息进行分析,将提取出的情报以机器可读的格式实现共享,达到协同防御。该方法首先对网络中的异常流量进行检测,分析流量特征及其之间的关系,以熵值序列链的形式参比网络攻击链的模式;对每个异常时间点分类统计特征项,进行支持度计数,挖掘特征之间频繁项集模式,再结合攻击链各阶段的特点,还原攻击过程。仿真结果表明,该方法可以有效的检测网络中的异常流量,提取威胁情报指标。     

基于指数平滑技术的网络异常监测方法研究

网络流量异常指的是网络的流量行为偏离其正常行为的情形,异常流量的特点是发作突然,先兆特征未知,以在短时间内给网络或网络上的计算机带来极大的危害.因此准确、快速地检测网络流量的异常行为,并做出合理的响应是保证网络有效运行的前提之一.探索网络流量异常的一种方法--基于指数平滑技术的网络异常检测方法.基于时间序列的流量模型是网络异常监测的一种方式,指数平滑技术正是建立在时间序列模型基础之上的网络异常监测方法,对该监测技术进行了研究,分析了这一方法的特点及其存在的不足.     

软件定义网络中的异常流量检测研究进展

软件定义网络(software defined networking,简称SDN)是一种新型的网络架构.SDN将控制层从数据层分离并开放网络接口,以实现网络集中控制并提高网络的可扩展性和编程性.但是SDN也面临诸多的网络安全威胁.异常流量检测技术可以保护网络安全,防御恶意流量攻击.对SDN异常流量检测进行了全面的研究,归纳了数据平面和控制平面可能遭受到的网络攻击;介绍并分析了位于应用平面、控制平面和中间平台的异常流量检测框架;探讨了异常流量识别机制、负载均衡机制、异常流量追溯机制和异常缓解机制;最后指明SDN异常流量检测在未来工作中的研究方向.     

基于AI和大数据系统架构的高级威胁检测关键技术研究

本文基于网络高级威胁的行为分析，并提出对高级威胁检测的检测思路和关键技术，包括对网络扫描/暴力破解流量的检测、融合其他数据源的关联分析、基于AI的恶意加密流量检测等。最后，本文提出了基于AI和大数据系统架构的高级威胁检测系统实践方案，该方案以大数据生态体系的采集、存储和分析、AI服务化等能力为基础，构建了包括扫描检测、异常流量告警和异常IP行为跟踪等主要安全分析应用。     

基于SDN的DDoS攻击防御系统

软件定义网络（SDN）是一种新兴网络架构,通过将转发层和控制层分离,实现网络的集中管控。控制器作为SDN网络的核心,容易成为被攻击的目标,分布式拒绝服务（DDoS）攻击是SDN网络面临的最具威胁的攻击之一。针对这一问题,本文提出一种基于机器学习的DDoS攻击检测模型。首先基于信息熵监控交换机端口流量来判断是否存在异常流量,检测到异常后提取流量特征,使用SVM+K-Means的复合算法检测DDoS攻击,最后控制器下发丢弃流表处理攻击流量。实验结果表明,本文算法在误报率、检测率和准确率指标上均优于SVM算法和K-Means算法。     

基于统计分析建立流量动态临界线的蠕虫检测机制研究*

提出了一种基于正态分布进行异常流量检测,从而判断当前内网中是否存在蠕虫感染的方法。该方法根据历史流量的正态分布统计特性,计算出网络内数据流量的一般行为的可信区间,如果监控的流量超出该可信区间,则判断为异常流量并作出蠕虫威胁的报警。结合该方法,进一步分析了如何以双因素模型分析网络中蠕虫的数量。     

校园网流量异常检测与处理方法

随着校园网日益规模化和复杂化,校园网安全威胁越来越严重,因网络攻击等因素导致网络流量异常时有发生,流量异常检测与处理显得日益重要.本文对校园网络中流量异常进行分类,分析产生各种流量异常的原因,并提出相应的检测与处理方法;针对目前网络攻击异常处理方法存在的不足,从确保校园用户正常业务不受任何影响的前提出发,设计出一种校园...     

网络流量异常检测及分析的研究

网络流量异常检测及分析是网络异常监视及响应应用的基础,是网络及安全管理领域的重要研究内容.本文探讨了网络流量数据类型、网络流量异常种类;从流量异常检测的范围、流量异常分析的深度、在线和离线异常检测方式等方面归纳了流量异常检测的研究内容;综述了已有的研究工作针对不同应用环境和研究内容所采用的不同的研究方法和技术手段,并分析了各种研究方法的特点、局限性和适用场合等;最后本文还对现有研究工作存在的问题及有待于进一步研究的课题进行了探讨.     

基于云模型的网络异常流量检测

网络流量的复杂性、难以预测性以及人们主观评测的差异性等不确定因素,使得网络流量的异常检测成为网络安全防护领域研究的难点问题。通过对流量安全特征的分析提取和范围限定,引入云模型理论,提出一种基于云模型的异常流量检测方法,实现异常检测定性与定量的转换。在已有流量样本的基础上生成异常态势的标尺云,针对待测流量综合利用正向与逆向云产生算法获得不同异常等级的评估云,从而完成网络流量的异常判定。仿真实验表明,该方法能够对网络流量进行有效的异常检测评估。     

东软推出适合运营商骨干网络应用的新产品异常流量分析与响应系统

最近,针对运营商骨干网络的监控检测和分析问题而推出的安全管理类产品异常流量分析与响应系统,正在得到广大运营商的认可。这套系统可以通过对骨干网络流量信息和系统信息的收集,采用多种方法进行分析、检测,实时监控、检测骨十网络中DoS／DDoS攻击、蠕虫病毒、垃圾邮件及其他网络异常事件,提取异常特征,并启动报警和响应系统进行过滤、阻断和防御。同时,而向管理员提供流量分行、流量排名、攻击来源和目标、应用层服务等各类关于骨干网络运行状况的统计分析数据,从而帮助管理员更好地监控和掌握骨干网络的使用情况。     

一种分布式拒绝服务攻击的检测方法

该文提出和实现了一种基于网络异常流量特征的检测模型。通过将多条链路或多个流的流量信号作为一个整体进行研究,构建了网络异常流量监控的系统模型。该模型包括了数据采集、分析、异常判断和警告等功能,并综合了异常信息融合及警告信息关联性分析技术。通过实验证明,该套系统模型对短时间段内的突发流量能提供有效的检测和报警服务。     

基于多维聚类挖掘的异常检测方法研究

网络异常检测是网络管理中非常重要的课题,因此已在近年来得到广泛研究.人们在该领域提出了许多先进的网络流量异常检测方法,但是自动准确地对网络流量进行分类和识别来发现网络中的异常流量仍然是一个非常具有挑战性的问题.文中提出了一种基于多维聚类挖掘的异常检测方法,通过两个阶段来实现异常检测.第一阶段先通过多维聚类挖掘算法,自动对网络中的流量进行多维聚类,第二阶段通过计算多维聚类的异常度来实现异常检测.通过文中的方法,网络中的异常流量被自动归类到不同的有意义的聚类中,通过对这些聚类进行分析可以发现网络中的异常行为.最后通过实验对算法进行了验证,结果表明该方法能够有效检测网络中的异常流量.     

一种分布式拒绝服务攻击的检测方法

该文提出和实现了一种基于网络异常流量特征的检测模型。通过将多条链路或多个流的流量信号作为一个整体进行研究．构建了网络异常流量监控的系统模型。该模型包括了数据采集、分析、异常判断和警告等功能,并综合了异常信息融合及警告信息关联性分析技术。通过实验证明,该套系统模型对短时间段内的突爱流量能提供有效的检测和报警服务。     

基于流量大数据的网络异常行为分析在“关基”领域的应用

网络空间发展给人们的生活和工作带来了很大的改变,同时也因为网络攻击不断出现,网络威胁已经成为安全领域的重大问题。随着网络攻击手段的多元化、工具的自动化/动态化/智能化,尤其对于海量网络流量场景的异常行为分析场景,传统的基于包特征的网络异常行为检测方法已经难以满足现有的网络安全需求。本文介绍一种基于流量大数据的网络异常行为分析方法,该方法是大数据分析技术在网络行为检测方面的深度运用,已经在一些关键信息基础设施（简称“关基”）网络中得到应用。该方法基于流量行为的规律特征,通过异常行为检测分析规则,对各种网络流量数据进行多维度的深度行为规律分析,实现对网络异常行为的发现、跟踪、溯源及潜在风险的预测;该方法解决了通常安全设备无法感知新型未知攻击行为和溯源困难的问题,尤其是适用各种中大型的网络环境,能够进一步保障关键信息基础设施等大型网络的安全稳定。     

基于流量模板检测网络异常流量

当前的网络异常流量检测技术侧重于采用机器学习和统计学方法,两者适用于通用网络环境。本文针对受控网络环境通信特征,提出了一种基于流量模板的网络异常流量检测方法,该方法实时抓取分析网络流量,提取网络流量头部特征和行为特征,基于网络八元组信息建立流量模板,通过匹配流量模板检测网络异常流量。实验结果表明该方法在受控网络环境下能准确检测出网络异常流量。     

基于小波技术的网络异常流量检测与实现

随着互联网的迅速发展和各种互联网应用的普及，对网络资源的需求和使用也迅速增加，网络中也包含大量的蠕虫、端口扫描、DDoS、网络滥用等异常流量，因此有效、快速检测这些异常流量的手段是必须的。本文通过采集路由端口上的NetFlow流，建立了一个利用小波方法分析网络异常流量的框架，通过此方法可以较为理想地检测出网络中的异常流量，在实际应用中取得了较为理想的效果。最后用小波方差分析了不同的小波函数在检测网络异常流量时的效能。     

基于核密度估计的轻量级物联网异常流量检测方法

为了有效应对僵尸网络对家庭和个人物联网的安全威胁,尤其针对家用环境中用于异常检测的资源不足的客观问题,提出了一种基于核密度估计的轻量级物联网异常流量检测(Kernel Density Estimation-based Lightweight IoT Anomaly Traffic Detection,KDE-LIATD)方法.首先,KDE-LIATD方法使用高斯核密度估计方法估计了训练集中正常样本每一维特征的特征值概率密度函数以及对应的概率密度;然后,提出了基于核密度估计的特征选择算法(Kernel Density Estimation-based Feature Selection Algorithm,KDE-FS),获得了对异常检测贡献突出的特征,从而在提升异常检测准确率的同时降低了特征维度;最后,通过三次样条插值方法计算测试样本的异常评估值并进行异常检测,这一策略极大地减少了使用核密度估计方法计算测试样本异常评估值时所需要的计算开销与存储开销.仿真实验结果表明,提出的KDE-LIATD方法在面向异构的物联网设备的异常流量检测方面具有比较强的鲁棒性和兼容性,能够有效地对家庭和个人物联网僵尸网络的异常流量进行检测.     

基于ME-PGNMF的异常流量检测方法

由于部分网络异常对流量变化影响不明显,流量分析难以发现此类异常。传统基于主成分分析的网络异常流量检测方法追求全局最优解,对局部特征提取不充分,导致对连续异常不敏感,降低了异常流量的检测精度,且物理意义不明确。针对上述问题,在多维信息熵的基础上,提出梯度投影非负矩阵分解异常流量检测方法。将流量数据处理为多维特征熵矩阵,用梯度投影非负矩阵分解方法重构多维熵矩阵,分离出正常和异常子空间,采用多元统计过程控制方法中的Q图检测异常。实验结果表明,与以流量分析为基础的主成分分析方法、传统非负矩阵分解方法相比,该方法能更快、更准确地检测出连续异常,对流量变化不敏感的低速分布式拒绝服务攻击检测效果明显提高,对蠕虫攻击更加敏感。     

中心式结构僵尸网络的检测方法研究

从近年发展趋势看,僵尸网络的结构正呈现多样化发展的趋势,中心式结构僵尸网络因控制高效、规模较大成为网络安全最大的威胁之一.中心式结构僵尸网络采用一对多的命令与控制信道,而且僵尸主机按照预定的程序对接收到的命令做出响应,因此,属于同一僵尸网络的受控主机的行为往往具有很大的相似性与同步性.针对中心式结构僵尸网络命令控制流量的特点,本文提出一种基于网络群体行为特点分析的检测方法并用于僵尸网络的早期检测与预警.实际网络流的实验表明,本方法能够有效检测当前流行的中心式结构僵尸网络.     

基于网络全局流量异常特征的DDoS攻击检测

由于分布式拒绝服务（DDoS）攻击的隐蔽性和分布式特征，提出了一种基于全局网络的DDoS检测方法。与传统检测方法只对单条链路或者受害者网络进行检测的方式不同，该方法对营运商网络中的OD流进行检测。该方法首先求得网络的流量矩阵，利用多条链路中攻击流的相关特性，使用K L变换将流量矩阵分解为正常和异常流量空间，分析异常空间流量的相关特征，从而检测出攻击。仿真结果表明该方法对DDoS攻击的检测更准确、更快速，有利于DDoS攻击的早期检测与防御。