基于联邦学习和深度残差网络的入侵检测

深度学习被广泛应用到入侵检测领域,但大多数研究的重点是通过改进算法提高入侵检测的准确率,却忽视了在实际应用中单个用户拥有的数据无法满足训练需求的问题。为了实现网络入侵检测模型在训练过程中保护用户隐私安全的同时,仍具有对网络流量数据检测异常的能力,提出一种基于联邦学习并融合深度残差网络（ResNet）和注意力机制的入侵检测模型FL-SEResNet(Federation Learning Squeeze-and-Excitation network ResNet)。在训练过程中,通过对数据压缩、解压、分发、加密和聚合等操作,可以在保护参与者数据隐私的同时,通过多方参与提供足够的训练数据。在NSL-KDD和UNSW-NB15数据集上,所提模型在多分类实验的识别准确率分别为84.22%和80.38%。在NSL-KDD上,与同属于联邦学习的CNN-FL相比,对多分类的识别准确率提升了1.82个百分点,对少数类R2L(Remote to Local)的识别准确率提升了24.94个百分点。     

基于协议分析技术的网络入侵检测系统中DDoS攻击的方法研究

随着网络技术的发展,网络环境变得越来越复杂,对网络安全来说,单纯的防火墙技术暴露出明显的不足和弱点,包括无法解决安全后门问题,不能阻止网络内部攻击等问题。在众多的网络安全威胁中,DDoS攻击以其实施容易,破坏力度大,检测困难等特点而成为网络攻击检测与防御的重中之重。近年来,针对网络流量相关性的DDoS攻击检测方法层出不穷,文章在分析DDoS攻击检测方法的基础上,利用基于协议分析技术的网络入侵检测系统对DDoS进行研究。     

基于深度神经网络和联邦学习的网络入侵检测

在高速网络环境中,对复杂多样的网络入侵进行快速准确的检测成为目前亟待解决的问题。联邦学习作为一种新兴技术,在缩短入侵检测时间与提高数据安全性上取得了很好的效果,同时深度神经网络（DNN）在处理海量数据时具有较好的并行计算能力。结合联邦学习框架并将基于自动编码器优化的DNN作为通用模型,建立一种网络入侵检测模型DFC-NID。对初始数据进行符号数据预处理与归一化处理,使用自动编码器技术对DNN实现特征降维,以得到DNN通用模型模块。利用联邦学习特性使得多个参与方使用通用模型参与训练,训练完成后将参数上传至中心服务器并不断迭代更新通用模型,通过Softmax分类器得到最终的分类预测结果。实验结果表明,DFC-NID模型在NSL-KDD与KDDCup99数据集上的准确率平均达到94.1%,与决策树、随机森林等常用入侵检测模型相比,准确率平均提升3.1%,在攻击类DoS与Probe上,DFC-NID的准确率分别达到99.8%与98.7%。此外,相较不使用联邦学习的NO-FC模型,DFC-NID减少了83.9%的训练时间。     

基于高效联邦学习算法的网络入侵检测模型

为解决在入侵检测场景中引入联邦学习技术后,由于节点间存在流量数据非独立同分布（non-iid）现象而导致模型难以聚合并得到高识别率的问题,构造了一种高效联邦学习算法（H-E-Fed）,并基于该算法构建了对应的入侵检测模型。首先,协调方设计针对流量数据的全局模型,并下发至入侵检测节点间进行模型训练;然后,协调方收集本地模型,并对节点间本地模型的协方差矩阵评估偏度,以衡量节点间模型的相关性,从而重新分配模型聚合参数,并生成新的全局模型;最后,协调方与节点多轮交互,直至全局模型收敛。实验结果表明,与基于联邦平均（FedAvg）算法和FedProx算法的模型相比,基于高效联邦学习算法的入侵检测模型在节点间产生数据non-iid现象时的通信消耗更低;且在KDDCup99数据集和CICIDS2017数据集上,与基线模型相比,准确率分别提升了10.39%、8.14%与4.40%、5.98%。     

基于联邦学习的入侵检测机制研究

大数据时代的到来使得数据成为社会发展的重要战略资源。然而随着网络环境日趋复杂化,隐私泄露和恶意攻击事件层出不穷。联邦学习作为一种新型数据共享模型,能够在保护数据隐私的前提下进行数据共享,有效解决了传统入侵检测模型的弊端。文章首先介绍了联邦学习及入侵检测模型的构成及特点,提出了基于联邦学习的入侵检测机制,并深入分析了该检测机制在检测准确率及效率上有效提升的可行性。通过对模型进行需求分析和设计,并以函数编程进行模拟仿真实验,实现原型系统开发。实验表明联邦学习机制能够在保证参与客户端数据隐私安全的前提下实现多方攻击行为日志的共享。多组控制变量的对照实验表明,基于联邦学习的入侵检测机制在检测准确率及效率上得到明显改善。     

基于安全高效联邦学习的智能电网入侵检测模型

智能电网的快速发展使得电力传输更加高效,而电网系统和信息通信技术的高度集成也使电力系统面临更多的网络威胁。入侵检测作为一种检测网络攻击的有效方法受到了广泛关注,现有的检测方案大多基于强有力的假设：单个机构高质量的攻击示例足够多并且愿意分享他们的数据。然而,实际生活中单个机构所产生的数据不仅数量很少而且具有各自特点,这些机构通常并不愿意分享他们的数据,而使用单一机构的数据并不足以训练出一个高准确率的通用检测模型。鉴于此,文章提出一种安全高效的智能电网入侵检测方法。具体来说,首先引入联邦学习框架协同训练一个通用的入侵检测模型,以保护本地数据的安全并间接扩充数据量;然后设计了一个安全的通信协议,来保护训练过程中模型参数的安全性,防止攻击者窃听对其进行推理攻击;最后通过选择良好客户端进行全局聚合,在保证模型快速收敛的同时减少参与者的数量以降低通信带宽。实验结果表明,在保证模型收敛的情况下,文章所提模型提高了入侵检测的准确率,保护了数据隐私,同时降低了通信成本。     

DDoS 攻击检测和控制方法

分布式拒绝服务(distributed denial of service,简称DDoS)攻击是当今互联网的重要威胁之一.基于攻击包所处网络层次,将DDoS攻击分为网络层DDoS攻击和应用层DDoS攻击,介绍了两类攻击的各种检测和控制方法,比较了处于不同部署位置控制方法的优劣.最后分析了现有检测和控制方法应对DDoS攻击的不足,并提出了DDoS过滤系统的未来发展趋势和相关技术难点.     

IPv6网络中基于MF-DL的DDoS攻击快速防御机制

当前,分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是互联网面临的十分严峻的安全威胁之一.IPv6网络考虑了IPv4网络中的诸多安全问题,但它对DDoS攻击仍未能起到很好的防护作用.针对IPv6网络中DDoS攻击的防御问题,本文设计了一种基于MF-DL(Membership ...     

高速网络下的DDoS检测

分布式拒绝服务（DDos）攻击是长期困扰网络安全领域的问题之一。特别是高速网络下,检测系统需要处理大量的数据,其检测策略和系统处理能力直接影响到DDoS检测的准确率和响应速度。该文提出了在高速网络下的DDoS检测系统DDES（DDoS Detection System）。DDES在协议分析的基础上,对处于危险状态的连接进行统计分析;它采用分布式的结构,多个探测子节点协同分析处理以提高处理性能;同时配合网络边缘设备对攻击源实施阻断。     

基于多核学习的自适应DDoS攻击检测方法

分布式拒绝服务DDoS攻击是互联网安全的主要威胁之一。当前大多数检测方法采用单一特征,在大数据环境下不能有效地检测DDoS早期攻击。提出了一种基于多核学习的特征自适应DDoS攻击检测方法FADADM,根据DDoS攻击流量的突发性、地址的分布性以及通信双方的交互性定义了5个特征。基于集成学习框架,分别提出采用增大同类方差与异类均值差的比值IS/M和减少同类方差与异类均值差的比值RS/M的方式自适应地调整各特征值的权重,基于简单多核学习SimpleMKL模型训练出IS/M-SimpleMKL和RS/M-SimpleMKL 2种具有不同特性的多核学习模型,以识别DDoS早期攻击。实验结果表明,本文方法能够快速、准确地检测DDoS早期攻击。     

DDoS攻击检测综述

结合DDoS攻击检测方法的最新研究情况,对DDoS攻击检测技术进行系统分析和研究,对不同检测方法进行比较,讨论了当前该领域存在的问题及今后研究的方向。     

基于GAIG特征选择算法的轻量化DDoS攻击检测方法

为了提高基于分类的DDoS攻击检测方法的实时性,通过结合轻量级入侵检测提出了以遗传算法为搜索策略、信息增益为子集评估标准的filter型特征选择算法GAIG（Feature Selection based on Genetic Algorithm and Information Gain）,提取具有高区分度的相对最小特征子集。在此基础上对比了Na?ve Bayes、C4.5、SVM、RBF Network、Random Forest和Random Tree这六种常用分类器的性能,并选取Random Tree构建了一种轻量化的DDoS攻击检测系统。实验结果表明,GAIG算法使分类器在尽可能不降低分类精度的同时,提高分类速度,从而提高分类检测的实时性;该轻量化攻击检测系统比一般的分类模型具有更好的检测未知攻击的能力。     

一种基于Holder指数的DDoS攻击检测方法*

基于宏观网络流量汇聚的分形结构,从流量的全局标度指数和局部标度指数出发,对网络流量的分形特性进行分析。利用这一特性对网络异常流量的分形参数进行分析,试图找出这些参数的变化与DDoS攻击的对应关系。实验结果表明,真实的网络流量在大尺度上是渐进自相似的,在小尺度上表现出多重分形的特性。于是提出了基于Holder指数的变化来检测DDoS攻击,对DARPA 2000年数据的实验表明,这种方法能够快速、准确地检测到攻击。对于间歇式DDoS攻击,此方法比传统方法有效。     

基于自编码神经网络的半监督联邦学习模型

联邦学习是一种新型的分布式机器学习方法,可以使得各客户端在不分享隐私数据的前提下共同建立共享模型。然而现有的联邦学习框架仅适用于监督学习,即默认所有客户端数据均带有标签。由于现实中标记数据难以获取,联邦学习模型训练的前提假设通常很难成立。为解决此问题,对原有联邦学习进行扩展,提出了一种基于自编码神经网络的半监督联邦学习模型ANN-SSFL,该模型允许无标记的客户端参与联邦学习。无标记数据利用自编码神经网络学习得到可被分类的潜在特征,从而在联邦学习中提供无标记数据的特征信息来作出自身贡献。在MNIST数据集上进行实验,实验结果表明,提出的ANN-SSFL模型实际可行,在监督客户端数量不变的情况下,增加无监督客户端可以提高原有联邦学习精度。     

基于大偏差统计模型的Http-Flood DDoS 检测机制及性能分析

针对Http洪泛Web DDoS(distributed denial of service)攻击,提出了一种检测机制.该机制首先采用型方法量化处理用户访问的网页序列,以得到用户访问不同网页的实际点击概率分布;然后,利用大偏差统计模型分析了用户访问行为的实际点击概率分布与网站先验概率分布的偏差;最后,依据大偏差概率检测恶意DDoS攻击.对该机制的性能进行仿真,结果表明,正常用户的大偏差概率大于恶意攻击者,并且大部分正常用户的大偏差概率大于10-36,而大部分恶意攻击者的大偏差概率则小于10-40由此,该机制能够有效地检测Http洪泛Web DDoS攻击,当检测门限设置为10-60时,其有效检测率可达97.5％,而误检率仅为0.6％.另外,将该机制与基于网页转移概率的检测方法进行性能比较,结果表明,该检测机制的检测率优于基于网页专业概率的检测机制,并且在误检率小于5％的情况下,该机制的检测率比现有检测机制提高0.6％.     

基于大偏差统计模型的Http-Flood DDoS检测机制及性能分析?

针对Http洪泛Web DDoS(distributed denial of service)攻击,提出了一种检测机制.该机制首先采用型方法量化处理用户访问的网页序列,以得到用户访问不同网页的实际点击概率分布;然后,利用大偏差统计模型分析了用户访问行为的实际点击概率分布与网站先验概率分布的偏差;最后,依据大偏差概率检测恶意DDoS攻击.对该机制的性能进行仿真,结果表明,正常用户的大偏差概率大于恶意攻击者,并且大部分正常用户的大偏差概率大于10?36,而大部分恶意攻击者的大偏差概率则小于10?40.由此,该机制能够有效地检测Http洪泛Web DDoS攻击,当检测门限设置为10?60时,其有效检测率可达97.5%,而误检率仅为0.6%.另外,将该机制与基于网页转移概率的检测方法进行性能比较,结果表明,该检测机制的检测率优于基于网页专业概率的检测机制,并且在误检率小于5%的情况下,该机制的检测率比现有检测机制提高0.6%.     

基于人工免疫的分布式入侵检测模型

针对现有分布式入侵检测系统交互流量大、单点失效及检测效率偏低的问题,基于人工免疫理论建立了一种新的分布式入侵检测模型,并提出了一种中心检测器配置及使用方法,并将异常检测与误用检测相结合。基于OMNeT+〖KG-*3〗+网络仿真平台设计了仿真模型,进行了仿真实验。仿真实验结果表明,改进模型交互流量明显减小,检测效率明显提高并有效解决了单点失效问题。仿真结果证明了改进模型的正确性与有效性。     

蚁群优化在P2P网络防范DDoS攻击中的应用研究*

分析了非结构化P2P网络DDoS攻击的原理,借鉴蚁群算法的思想,为每个节点建立了一个资源相似度信息素表,利用这个信息素表,构建了一种防御DDoS攻击的联盟模型——AntDA (ant colony based defense-association),并讨论了应用AntDA模型进行防御的整个过程。在查询周期模型平台上实现了该模型,通过实验分析,验证了AntDA模型的有效性。     

基于改进的滑动平均滤波器的DDoS攻击检测

本文通过对网络流量统计的分析,提出了一种基于滑动平均滤波器的DDoS攻击检测方法。该方法不同于以往单一根据网络流量的突变或根据攻击对流量分布的影响来分析DDOS攻击的方法,而是通过运用滑动平均滤波技术将两者综合考虑。该方法即适合引起网络流量突变的攻击,又适合发现大流量背景下攻击流量并没有引起整个网络流量显著变化的攻击。因此适合于各种规模的网络流量的异常检测。另外,详细给出了对检测成功率和误报率起着至关重要作用的阀值范围。     

SDN环境下基于改进D-S理论的DDoS攻击检测

软件定义网络(software-defined networking, SDN)实现了控制层和转发层设备的分离, 但控制转发的解耦使得SDN网络中不同层次设备面临新型的DDoS攻击风险. 为了解决上述问题, 本文提出了一种SDN环境下基于改进D-S理论的DDoS攻击检测方法, 用于检测以SDN控制器和交换机为目标的DDoS攻击. 在改进的算法中, 本文使用离散因子和纯度因子衡量D-S证据源之间的冲突. 同时, 结合纯度因子和离散因子调整D-S证据理论的证据源, 调整后的证据源将通过Dempster规则融合得到DDoS攻击检测结果. 实验结果表明本文提出的方法具有较高的精度.