基于机器学习的网络流量异常检测

为了提高网络流量异常的检出率,研究基于机器学习的网络流量异常检测方法。先通过K-means聚类算法分别得到网络流量异常数据簇,再将其输入双向长短期记忆网络和注意力机制模型,实现网络流量异常检测。实验结果表明,所提方法实用性良好,可提升网络流量异常检测的性能。     

基于机器学习的物联网异常流量检测策略研究

现在的网络带宽不断增长,而且各种类型的网络业务应用日趋广泛,面临每天产生大量的网络流量,就须实施必要的检测。在物联网流量中,除了正常流量之外,还有异常流量,对于其中的异常流量进行检测是非常必要的。应用建模方法进行检测,还可以基于模型量化分析,寻求其中的规律,起到预测的作用,本论文着重于研究机器学习的物联网异常流量检测策略。     

基于流量信息结构的异常检测

由于人们对网络流量规律的认识还不够深入,大型高速网络流量的异常检测仍然是目前测量领域研究的一个难点问题.通过对网络流量结构和流量信息结构的研究发现,在一定范围内,正常网络流量的IP、端口等具有重尾分布和自相似特性等较为稳定的流量结构,这种结构对应的信息熵值较为稳定.异常流量和抽样流量的信息熵值以正常流量信息熵值为中心波动,构成以IP、端口和活跃IP数量为维度的空间信息结构.据此对流量进行建模,提出了基于流量信息结构的支持向量机(support vector machine,简称SVM)的二值分类算法,其核心是将流量异常检测转化为基于SVM的分类决策问题.实验结果表明,该算法具有很高的检测效率,还初步验证了该算法的抽样检测能力.因此,将该算法应用到大型高速骨干网络具有实际意义.     

基于历史与当前短时特征的异常流量检测

将移动运营商核心网络中的故障点定位到设备和端口需要分析大量数据样本,耗时较长。针对该问题,提出一种以历史数据为参照的异常流量检测方法。构建历史流量数据库,在此基础上利用短时的面积特征与梯度特征刻画网络的流量行为,及时发现异常流量,并设计分级多粒度方法定位造成异常流量的故障点。实验结果表明,与自适应阈值法、K-means聚类法和多维熵法相比,该方法能取得较好的在线异常流量检测效果,准确定位出现故障及异常流量的设备及端口。     

基于熵的网络异常流量检测研究综述

网络流量异常检测及分析作为一种重要的网络监管控制手段,是网络及安全管理领域的重要研究内容.本文探讨了网络异常流量的种类,简述了基于传统的异常检测方法在网络异常流量检测中的应用以及存在的问题.针对基于信息熵、相对熵、活跃熵等熵值理论在网络异常流量检测中的研究,阐述了基于熵值理论的异常检测在国内外的研究进展情况.总结了当前基于熵值理论的异常检测研究工作中存在的问题及改进方向.     

基于自相似的异常流量自适应检测方法

根据异常流量对网络自相似的影响,通过研究在流量正常和异常情况下表征自相似程度的Hurst 参数分布特点的不同,设计一种异常流量动态自适应检测方法。该方法采用小波分析估计Hurst参数,根据网络自相似程度自适应地调整检测阈值。对MIT林肯实验室的入侵检测数据测试结果表明,该检测方法具有较好的动态自适应性、较高的检测率及较快的检测速度。     

基于机器学习的SDN异常流量检测架构

针对SDN网络中控制器容易受到DDoS攻击导致CPU资源耗尽的问题,提出一种基于机器学习的SDN异常流量检测架构。根据DDoS攻击在通信、频率等方面的特性从流表中提取相关联的七维特征,使用互信息法筛选出四维最优特征子集,结合集成投票算法检测异常流量,利用SDN转控分离的独特性质提出多目标流路由方案,为正常流量分配高带宽、低延迟的优化路径。实验结果表明,提出架构能及时准确检测到DDoS攻击,集成投票算法在时间开销和CPU平均利用率方面有较好改善。     

基于Netflow的异常流量分离以及归类

针对以往的各种异常流量检测算法只能在宏观上进行流量异常监测,不能进一步实时地将异常流量分离处理,提出了在Netflow流数据环境下对单体IP历史数据的研究的方法,通过对单体IP统计、预测,能快速的检测出导致网络异常流量的主机,并根据其流的类型判断,分类以发现其发生异常的原因并提供ACL策略,从而将网络流量控制在稳定的空间和时间之内,实验结果表明了此方法的可行性和有效性.     

浅析网络异常流量分析检测研究与实现

伴随着互联网技术与网络业务的快速发展,网络规模逐渐扩大,网络运用开始逐步朝多元化、多样化以及复杂化的方向发展.现今,网络流量监测已经逐渐发展为计算机网络运用当中一个必不可少的内容与环节.文章将对网络异常流量加以说明,并对网络异常流量检测技术研究与实现进行分析与研究.     

基于模糊相对熵的网络异常流量检测方法研究

基于模糊相对熵的网络异常流量检测方法可以在缺乏历史流量数据的情况下,通过对网络流量特征进行假设检验,实现对网络异常行为的检测发现。通过搭建模拟实验环境,设计测试用例对基于模糊相对熵的网络异常流量检测方法进行多测度测试验证,结果表明该方法在设定合理模糊相对熵阈值的情况下检测率可达84.36%,具有良好的检测效率。     

基于NetFlow的异常流量智能检测引擎设计

针对网络攻击的特点，利用动态网络行为的学习和实时偏差值检测技术，设计了基于NetFlow流量分析发现网络异常流量的智能检测引擎。     

软件定义网络中的异常流量检测研究进展

软件定义网络(software defined networking,简称SDN)是一种新型的网络架构.SDN将控制层从数据层分离并开放网络接口,以实现网络集中控制并提高网络的可扩展性和编程性.但是SDN也面临诸多的网络安全威胁.异常流量检测技术可以保护网络安全,防御恶意流量攻击.对SDN异常流量检测进行了全面的研究,归纳了数据平面和控制平面可能遭受到的网络攻击;介绍并分析了位于应用平面、控制平面和中间平台的异常流量检测框架;探讨了异常流量识别机制、负载均衡机制、异常流量追溯机制和异常缓解机制;最后指明SDN异常流量检测在未来工作中的研究方向.     

基于流量模板检测网络异常流量

当前的网络异常流量检测技术侧重于采用机器学习和统计学方法,两者适用于通用网络环境。本文针对受控网络环境通信特征,提出了一种基于流量模板的网络异常流量检测方法,该方法实时抓取分析网络流量,提取网络流量头部特征和行为特征,基于网络八元组信息建立流量模板,通过匹配流量模板检测网络异常流量。实验结果表明该方法在受控网络环境下能准确检测出网络异常流量。     

基于IP报文Identification标识的网络异常流量检测

由于相当一部分异常流量由于采用了特殊的生成机制而在结构上有别于遵循基本网络协议的正常流量,本文提出了一种基于IP报文Identification标识字段分布识别网络中异常流量的方法。通过CERNET网络不同时段的IP报文检测结果证明了该方法的准确性。     

一种新的网络异常流量检测模型

网络的异常流量检测是通过比较系统或用户的实际行为模式与正常行为模式之间的区别来检测入侵,目前的异常流量检测系统没有均衡考虑检测实时性与检测可信度之间的矛盾,本文提出了一种可调Chi-Squarer的网络异常流量检测模型,根据测度的可信度不同,设置不同的可信系数,通过调整可信系数,使总的异常值可以反映测度的可信度,从而提高了检测效率。     

基于Hadoop的云端异常流量检测与分析平台

Hadoop系统作为一种开源的分布式云计算平台已获得广泛应用,但其云端易受到各种威胁和攻击,基于此,开发了一种基于Hadoop的云端异常流量检查与分析平台。首先,使用Mapper周期性地从所有存储流量信息的文件中提取流量的部分信息;然后,通过Reducer将异常流量提取并保存。通过对流量数据的存储、检测与分析可成功地检测出有威胁的攻击,从而保障云端的安全。由于本平台基于开源的Hadoop实现,因此成本较低;同时,基于Java语言实现,可成功移植于各种主流操作系统,具有广泛适用性。基于局域网进行监控试验,结果表明本平台可成功地检测出异常流量,并输出友好的用户界面。     

基于数据挖掘的网络异常流量入侵检测方法

为解决利用传统方法进行网络流量异常入侵检测时存在检测正确率较低的问题,提出基于数据挖掘的网络流量异常入侵检测方法。根据网络攻击行为对网络异常流量特征属性进行提取,利用数据挖掘的关联分析找出异常流量特征之间的相关性,并将网络异常流量特征进行联合计算熵值处理,实现异常网络流量入侵检测。实验结果表明,设计的网络流量异常入侵检测方法在不同入侵行为类型上的检测正确率均在96.00%以上,证明该方法可以准确地检测出网络中潜在的入侵行为,具有较好的实用性。     

基于长短期记忆网络的工控网络异常流量检测

针对目前工控网络异常流量检测方法存在识别准确率不高和识别效率低的问题,结合工控网络具有周期性的特点,提出一种基于长短期记忆网络(LSTM)的时序预测的异常流量检测模型.该模型以LSTM网络模型为核心,用前15分钟的正常历史流量序列预测下一时刻的流量数据,在测试集上准确率为98.12%的前提下,可以认为模型的预测值即为正常值,通过对比实际值和预测值来判断是否出现异常.在不降低识别准确率的前提下,由于提前计算出了预测值,该方法大幅度提高了检测效率.     

基于大数据的网络信息数据流量异常检测方法

网络结构日益复杂,网络故障出现的频率也逐渐增多,对网络管理带来了挑战。在网络管理中,最重要的任务是通过对网络信息数据流量异常情况进行检测,提前进行处置,将故障率降低到最低。对此,笔者提出基于大数据的网络信息数据流量异常检测方法。通过对比实验证明,该方法具有更高的准确率,且检测性能良好,能够满足目前大数据环境下对网络信息数据流量异常的检测要求。     

基于机器学习的用户行为异常检测模型

针对LaneT等人提出的用户行为异常检测模型的不足,提出了一种新的IDS异常检测模型。该模型改进了用户行为模式和行为轮廓的表示方式,采用了新的相似度赋值方法,在对相似度流进行平滑时引入了“可变窗长度”的概念,并联合采用多个判决门限对用户行为进行判决。基于Unix用户shell命令数据的实验表明,该文提出的检测模型具有更高的检测性能。