共查询到20条相似文献,搜索用时 156 毫秒
1.
2.
针对现有方法仅分析粗粒度的网络流量特征参数,无法在保证检测实时性的前提下识别出拒绝服务(DoS)和分布式拒绝服务(DDoS)的攻击流这一问题,提出一种骨干网络DoS&DDoS攻击检测与异常流识别方法。首先,通过粗粒度的流量行为特征参数确定流量异常行为发生的时间点;然后,在每个流量异常行为发生的时间点对细粒度的流量行为特征参数进行分析,以找出异常行为对应的目的IP地址;最后,提取出与异常行为相关的流量进行综合分析,以判断异常行为是否为DoS攻击或者DDoS攻击。仿真实验的结果表明,基于流量行为特征的DoS&DDoS攻击检测与异常流识别方法能有效检测出骨干网络中的DoS攻击和DDoS攻击,并且在保证检测实时性的同时,准确地识别出与攻击相关的网络流量 相似文献
3.
基于网络全局流量异常特征的DDoS攻击检测 总被引:2,自引:0,他引:2
由于分布式拒绝服务(DDoS)攻击的隐蔽性和分布式特征,提出了一种基于全局网络的DDoS检测方法。与传统检测方法只对单条链路或者受害者网络进行检测的方式不同,该方法对营运商网络中的OD流进行检测。该方法首先求得网络的流量矩阵,利用多条链路中攻击流的相关特性,使用K L变换将流量矩阵分解为正常和异常流量空间,分析异常空间流量的相关特征,从而检测出攻击。仿真结果表明该方法对DDoS攻击的检测更准确、更快速,有利于DDoS攻击的早期检测与防御。 相似文献
4.
在对复杂网络攻击行为进行多阶段特性分析的基础上,本文提出了一种由攻击后果逆向回溯挖掘整个攻击统计特征模式的方法及模型。该模型以网络管理系统收集的网络异常流量为数据源,通过对不同阶段的攻击特征数据进行Granger因果关系检验,可以提取出描述其关联关系的高置信度攻击模式。文中最后采用五种DDoS工具进行实验研究,结果证实了所提方法及模型的可行性。 相似文献
5.
为解决网络异常流量攻击行为预测准确性较低的问题,研究基于朴素贝叶斯的网络异常流量攻击行为预测方法。首先,提取流量特征,对流量进行分类;其次,控制异常流量的攻击,对网络异常流量的攻击行为进行处理与预测,实现对攻击行为的实时监测;最后,进行实验分析。实验结果表明,该方法对于异常流量的预测准确率较高,能够有效地适用于复杂多变的网络流量信息。 相似文献
6.
7.
为解决利用传统方法进行网络流量异常入侵检测时存在检测正确率较低的问题,提出基于数据挖掘的网络流量异常入侵检测方法。根据网络攻击行为对网络异常流量特征属性进行提取,利用数据挖掘的关联分析找出异常流量特征之间的相关性,并将网络异常流量特征进行联合计算熵值处理,实现异常网络流量入侵检测。实验结果表明,设计的网络流量异常入侵检测方法在不同入侵行为类型上的检测正确率均在96.00%以上,证明该方法可以准确地检测出网络中潜在的入侵行为,具有较好的实用性。 相似文献
8.
基于时间序列图挖掘的网络流量异常检测 总被引:1,自引:0,他引:1
网络流量异常检测要解决的核心问题之一是获得信息的全面性和流量信息描述的准确性.针对现有网络异常流量检测方法分析多时间序列的不足,提出了一种基于图挖掘的流量异常检测方法.该方法使用时间序列图准确、全面地描述用于流量异常检测的多时间序列的相互关系;通过对项集模式进行支持度计数,挖掘各种频繁项集模式,有利于对各种异常流量的有效检测;通过挖掘各项集之间的关系,引入了项集的权重系数,解决了流量异常检测的多时间序列相互关系的量化问题.仿真结果表明,该方法能有效地检测出网络流量异常,并且对DDos攻击的检测效果明显优于基于连续小波变换的检测方法. 相似文献
9.
在研究APT攻击的防御方案过程中,针对提取APT样本网络特征的维数过高问题,提出一种基于[k]-means++聚类的APT样本有效网络特征筛选算法。该算法的思路是首先基于聚类的思想将提取的原特征集划分成APT流量特征集与背景流量特征集,然后计算去掉某一维特征向量后聚类性能的变化程度,最后根据该结果评价该特征向量的区分度。其中,有效特征向量即为区分度超过设定阈值的特征向量。目的就是从提取的原特征集中筛选出有效特征,达成对特征的降维,从而降低后续威胁情报形成和部署检测工作的时空开销。实验结果表明,该算法具有一定可行性,针对此问题相比于其他筛选算法具有一定的优势。 相似文献
10.
11.
基于尖点突变模型的联动网络流量异常检测方法 总被引:2,自引:0,他引:2
针对现有方法没有考虑联动网络流量的非线性动力学特性,以及不能有效区分正常联动业务流量和异常攻击流量的问题,提出了一种基于尖点突变模型的联动流量异常检测方法。通过对联动网络流量非线性动力学特征参数的分析与提取,建立正常流量的尖点突变模型;利用模型的平衡曲面来描述网络流量系统的行为,构造正常网络流量行为的平衡曲面;并以网络流量行为相对于正常平衡曲面的偏离程度作为异常检测的依据。实验结果表明,所提方法具有较高的检测率和较低的误报率。 相似文献
12.
基于概要数据结构可溯源的异常检测方法 总被引:2,自引:0,他引:2
提出一种基于sketch概要数据结构的异常检测方法.该方法实时记录网络数据流信息到sketch数据结构,然后每隔一定周期进行异常检测.采用EWMA(exponentially weighted moving average)预测模型预测每一周期的预测值,计算观测值与预测值之间的差异sketch,然后基于差异sketch采用均值均方差模型建立网络流量变化参考.该方法能够检测DDoS、扫描等攻击行为,并能追溯异常的IP地址.通过模拟实验验证,该方法占用很少的计算和存储资源,能够检测骨干网络流量中的异常IP地址. 相似文献
13.
降低漏报率和误检率是网络流量异常检测的难点问题之一。本文提出了一种大规模通信网络流量异常特征分析的多时间序列数据挖掘方法,把多个网络流量特征参数构成的时间序列作为一个整体进行分析研究,进行多时间序列数据挖掘产生网络流量异常相关的有效关联规则,对整个通信网络的安全威胁进行准确地描述。Abilene网络数据验证了本文的方法。 相似文献
14.
针对传统的IDS规则更新方法基本只能提取已知攻击行为的特征,或者在原有特征的基础上寻找最佳的一般表达式,无法针对当前发生的热点网络安全事件做出及时更新,提出基于威胁情报的自动生成入侵检测规则方法.文章分类模块使用Word2Vec进行特征提取,利用AdaBoost算法训练文章分类模型获取威胁情报文本;定位IoC所在的段落... 相似文献
15.
随着网络安全技术的更新迭代,新型攻击手段日益增加,企业面临未知威胁难以识别的问题。用户与实体行为分析是识别用户和实体行为中潜在威胁事件的一种异常检测技术,广泛应用于企业内部威胁分析和外部入侵检测等任务。基于机器学习方法对用户和实体的行为进行模型建立与风险点识别,可以有效解决未知威胁难以检测的问题,增强企业网络安全防护能力。回顾用户与实体行为分析的发展历程,重点讨论用户与实体行为分析技术在统计学习、深度学习、强化学习等3个方面的应用情况,研究具有代表性的用户与实体行为分析算法并对算法性能进行对比分析。介绍4种常用的公共数据集及特征工程方法,总结两种增强行为表述准确性的特征处理方式。在此基础上,阐述归纳典型异常检测算法的优劣势,指出内部威胁分析与外部入侵检测的局限性,并对用户与实体行为分析技术未来的发展方向进行展望。 相似文献
16.
17.
In recent years, distributed denial of service (DDoS) attacks have become a major security threat to Internet services. How to detect and defend against DDoS attacks is currently a hot topic in both industry and academia. In this paper, we propose a novel framework to robustly and efficiently detect DDoS attacks and identify attack packets. The key idea of our framework is to exploit spatial and temporal correlation of DDoS attack traffic. In this framework, we design a perimeter-based anti-DDoS system, in which traffic is analyzed only at the edge routers of an internet service provider (ISP) network. Our framework is able to detect any source-address-spoofed DDoS attack, no matter whether it is a low-volume attack or a high-volume attack. The novelties of our framework are (1) temporal-correlation based feature extraction and (2) spatial-correlation based detection. With these techniques, our scheme can accurately detect DDoS attacks and identify attack packets without modifying existing IP forwarding mechanisms at routers. Our simulation results show that the proposed framework can detect DDoS attacks even if the volume of attack traffic on each link is extremely small. Especially, for the same false alarm probability, our scheme has a detection probability of 0.97, while the existing scheme has a detection probability of 0.17, which demonstrates the superior performance of our scheme. 相似文献
18.
【】:针对现在DoS攻击检测算法过程中检测效率较低且检测时间比较长的问题,提出了基于S-Kohonen的DoS攻击检测算法。使用此算法实现并量化网络流量数据包的分割,并有效提取累积量特征,在DoS攻击检测过程中使用累积量。对现代入侵检测数据集进行全面的分析,此算法能够实现DoS攻击的全面检测。与传统以网络流量熵值为基础的异常检测算法相比,此算法可有效提高检测的精准度,缩短检测时间。 相似文献
19.
计算机网络高速发展的同时也带来了许多的安全问题,对网络安全进行有效的网络安全态势评估对于掌握网络整体的状态并帮助管理人员全面掌握整体态势具有重要意义。然而,现有的网络安全态势评估方法存在特征要素提取困难、准确率低、时效性差的问题。针对这些问题,提出一种面向网络威胁检测的基于深度加权特征学习的网络安全态势评估方法。首先,考虑到单个稀疏自动编码器进行特征提取时无法很好的拟合不同攻击的分布,从而影响威胁检测准确率的缺点,构建一个基于并行稀疏自动编码器的特征提取器提取网络流量中的关键信息,并将其与数据原始特征进行融合。其次,为了更多的关注网络流量中的关键信息,采用注意力机制改进双向门控循环单元网络,对网络中的威胁进行检测并统计每种攻击类型的发生次数以及误报消减矩阵。然后,根据误报消减矩阵修正每种攻击类型的发生次数,并结合威胁严重因子计算得到威胁严重度。最后,根据威胁严重度和每种攻击类型的威胁影响度确定网络安全态势值以获取网络安全态势。本文选取NSL-KDD数据集进行实验验证,实验结果显示本文方法在测试集上达到了82.13%的最高准确率,召回率、F1值分别达到了83.36%、82.74%。此外,... 相似文献
20.
基于统计方法的骨干网异常流量建模与预警方法研究 总被引:1,自引:0,他引:1
近几年来,Internet上频繁发生的蠕虫爆发和大规模分布式拒绝服务事件使网络服务的安全性面临严重的威胁。本文介绍了一个基于异常流量检测的Internet骨干网流量早期预警系统ESTAB(Early-warning System of Traffic Anomaly Based)。它基于Internet骨干网异常流量发现原理,通过对端口、长度分布、TCP标志等直接变量(Direct Variable)的监测,并结合统计学中的时间序列分析方法,实时分析发现流量异常,并提出告警。文中提出了多种事件联合监测的概念,从流量监测角度有效地对付已知流量威胁(如已知蠕虫),并对未知流量威胁提供了相应的监测策略。 相似文献