基于流量信息结构的异常检测

由于人们对网络流量规律的认识还不够深入,大型高速网络流量的异常检测仍然是目前测量领域研究的一个难点问题.通过对网络流量结构和流量信息结构的研究发现,在一定范围内,正常网络流量的IP、端口等具有重尾分布和自相似特性等较为稳定的流量结构,这种结构对应的信息熵值较为稳定.异常流量和抽样流量的信息熵值以正常流量信息熵值为中心波动,构成以IP、端口和活跃IP数量为维度的空间信息结构.据此对流量进行建模,提出了基于流量信息结构的支持向量机(support vector machine,简称SVM)的二值分类算法,其核心是将流量异常检测转化为基于SVM的分类决策问题.实验结果表明,该算法具有很高的检测效率,还初步验证了该算法的抽样检测能力.因此,将该算法应用到大型高速骨干网络具有实际意义.     

基于流量行为特征的DoS&DDoS攻击检测与异常流识别

针对现有方法仅分析粗粒度的网络流量特征参数,无法在保证检测实时性的前提下识别出拒绝服务(DoS)和分布式拒绝服务(DDoS)的攻击流这一问题,提出一种骨干网络DoS&DDoS攻击检测与异常流识别方法。首先,通过粗粒度的流量行为特征参数确定流量异常行为发生的时间点;然后,在每个流量异常行为发生的时间点对细粒度的流量行为特征参数进行分析,以找出异常行为对应的目的IP地址;最后,提取出与异常行为相关的流量进行综合分析,以判断异常行为是否为DoS攻击或者DDoS攻击。仿真实验的结果表明,基于流量行为特征的DoS&DDoS攻击检测与异常流识别方法能有效检测出骨干网络中的DoS攻击和DDoS攻击,并且在保证检测实时性的同时,准确地识别出与攻击相关的网络流量     

基于词袋模型的分布式拒绝服务攻击检测

针对分布式拒绝服务（DDoS）攻击有效荷载快速变化,人工干预需要依赖经验设定预警阈值以及异常流量特征码更新不及时等问题,提出一种基于二进制流量关键点词袋（BSP-BoW）模型的DDoS攻击检测算法。该算法可以自动从当前网络的流量数据中训练得到流量关键点（SP）,针对不同拓扑网络进行自适应异常检测,减少频繁更新特征集带来的人工成本。首先,对已有的攻击流量和正常流量进行均值聚类,寻找网络流量中的SP;然后,将原有的流量转化映射到相应SP上使用直方图进行形式化表达;最后,通过欧氏距离进行DDoS攻击的分类检测。在公开数据库DARPA LLDOS1.0上的实验结果表明,所提算法的异常网络流量识别率优于现有的局部加权学习（LWL）、支持向量机（SVM）、随机树（Random Tree）、logistic回归分析（logistic）、贝叶斯（NB）等方法。所提的基于词袋聚类模型算法在拒绝服务攻击的异常流量识别中有很好的识别效果和泛化能力,适合部署在中小企业（SME）网络流量设备上。     

一种网络流量异常检测模型

网络流量异常影响网络性能,严重时造成网络中断,在基于统计的网络流量异常检测模型基础上,本文提出一种改进的方法。首先对采样数据进行预处理,去除坏值;然后采用统计学方法对网络流量稳态模型进行建模和更新,选择表现流量特征明显、属性相关性小的指标反映网络流量;最后利用同比和环比相结合的方法对网络流量进行异常判断。实验结果表明,该方法能对网络流量异常有较好的监控,并减小异常检测的误判率。     

基于朴素贝叶斯的网络异常流量攻击行为预测方法

为解决网络异常流量攻击行为预测准确性较低的问题，研究基于朴素贝叶斯的网络异常流量攻击行为预测方法。首先，提取流量特征，对流量进行分类；其次，控制异常流量的攻击，对网络异常流量的攻击行为进行处理与预测，实现对攻击行为的实时监测；最后，进行实验分析。实验结果表明，该方法对于异常流量的预测准确率较高，能够有效地适用于复杂多变的网络流量信息。     

网络流量异常检测中的维数约简研究

对包含大流量数据的高维度网络进行异常检测,必须加入维数约简处理以减轻系统在传输和存储方面的压力。介绍高速网络环境下网络流量异常检测过程以及维数约简方式,阐述流量数据常用特征和维数约简技术研究的最新进展。针对网络流量特征选择和流量特征提取2种特征降维方式,对现有算法进行归纳分类,分别描述算法原理及优缺点。此外,给出维数约简常用的数据集和评价指标,分析网络流量异常检测中维数约简技术研究面临的挑战,并对未来发展方向进行展望。     

基于模糊相对熵的网络异常流量检测方法研究

基于模糊相对熵的网络异常流量检测方法可以在缺乏历史流量数据的情况下,通过对网络流量特征进行假设检验,实现对网络异常行为的检测发现。通过搭建模拟实验环境,设计测试用例对基于模糊相对熵的网络异常流量检测方法进行多测度测试验证,结果表明该方法在设定合理模糊相对熵阈值的情况下检测率可达84.36%,具有良好的检测效率。     

基于尖点突变模型的联动网络流量异常检测方法

针对现有方法没有考虑联动网络流量的非线性动力学特性,以及不能有效区分正常联动业务流量和异常攻击流量的问题,提出了一种基于尖点突变模型的联动流量异常检测方法。通过对联动网络流量非线性动力学特征参数的分析与提取,建立正常流量的尖点突变模型;利用模型的平衡曲面来描述网络流量系统的行为,构造正常网络流量行为的平衡曲面;并以网络流量行为相对于正常平衡曲面的偏离程度作为异常检测的依据。实验结果表明,所提方法具有较高的检测率和较低的误报率。     

基于数据挖掘的网络异常流量入侵检测方法

为解决利用传统方法进行网络流量异常入侵检测时存在检测正确率较低的问题,提出基于数据挖掘的网络流量异常入侵检测方法。根据网络攻击行为对网络异常流量特征属性进行提取,利用数据挖掘的关联分析找出异常流量特征之间的相关性,并将网络异常流量特征进行联合计算熵值处理,实现异常网络流量入侵检测。实验结果表明,设计的网络流量异常入侵检测方法在不同入侵行为类型上的检测正确率均在96.00%以上,证明该方法可以准确地检测出网络中潜在的入侵行为,具有较好的实用性。     

基于流量模板检测网络异常流量

当前的网络异常流量检测技术侧重于采用机器学习和统计学方法,两者适用于通用网络环境。本文针对受控网络环境通信特征,提出了一种基于流量模板的网络异常流量检测方法,该方法实时抓取分析网络流量,提取网络流量头部特征和行为特征,基于网络八元组信息建立流量模板,通过匹配流量模板检测网络异常流量。实验结果表明该方法在受控网络环境下能准确检测出网络异常流量。     

一种业务流自适应尽力采样方法

基于业务流的网络流量监测是网络管理、运维、实现基于业务的计费、流量工程等的重要手段．精确、高效的采样技术是实现高速网络流量业务流监测分析的重要技术．基于分段采样思想提出一种尽力最优的自适应随机采样方法，实现特大业务流的精确估计，其中把监测系统本身的处理能力作为选择采样概率的参数．实验结果显示算法能够很好地调节采样概率，使得采样包速率基本等于预先设定的监测系统的处理能力．     

基于模糊控制的自适应流量抽样方法

针对系统抽样中恒定报文采样概率方法异常检测的漏检率高和随机报文采样概率偏向于采集长流的缺陷,提出了一种模糊自适应流量抽样方法。该方法利用网络流量的相关性设定采样率,并实时自适应预测采样粒度,自动在允许误差范围内进行尽可能精确地测量,更好地捕捉到网络流量特征和网络行为特征。实验证明,所提方法不但能减少抽样数据对于异常检测的影响,而且可以高效地反映原始数据的异常情况。自适应模糊控制系统结构简单,易于实现,其控制策略达到了较高的工艺水平的要求,具有良好的预测性,并能提高流量检测的精确度,具有一定的推广价值。     

基于一维卷积神经网络的HTTP慢速DoS攻击检测方法

为解决HTTP慢速拒绝服务（SHDoS）攻击流量检测在攻击频率变化时出现的准确率降低的问题,提出一种基于一维卷积神经网络（CNN）的SHDoS攻击流量检测方法。首先,该方法在多种攻击频率下对三种类型的SHDoS攻击流量进行报文采样和数据流提取;之后,设计了一种数据流转换算法,将采集的攻击数据流转换为一维序列并进行去重;最后,使用一维CNN构建分类模型,该模型通过卷积核来提取序列片段,并从片段中学习攻击样本的局部模式,从而使模型对多种攻击频率的数据流都具备检测能力。实验结果显示,与基于循环神经网络（RNN）、长短期记忆（LSTM）网络及双向长短期记忆（Bi-LSTM）网络构建的分类模型相比,该模型对未知攻击频率的样本同样具有较好的检测能力,在验证集上的检测准确率和精确率分别达到了96.76%和94.13%。结果表明所提方法能够满足对不同攻击频率的SHDoS流量进行检测的需求。     

一种改进的自适应流量采样方法

高速链路对实时网络流量监测提出挑战.由于流量采集分析设备性能的限制,采用精确、高效的采样方法进行流量监测分析已成为必然.最简单的固定概率采样能监测较大业务流,但往往忽略掉比例几乎超过80%的较小业务流.数据流算法可以实时高效采集高速链路数据,基于该算法的SGS(sketch guided sampling)采样技术可以实时准确估计流大小分布,但当采样速率增大到监测系统处理能力最大值时,该方法的准确性迅速降低.基于SGS方法,提出一种自适应实时网络流量的采样方法SRGS(sketch and resources guided sampling).该方法将监测系统处理能力作为采样概率调节的一个重要参数.实验结果显示,SRGS方法能够及时根据当前流大小和监测系统处理能力,调节数据包采样概率,准确性高于SGS方法.     

基于FARIMA模型的流量抽样测量方法

目前的流量抽样测量方法主要基于传统的数学理论,并没有考虑到实际网络流量的特征,基于此,提出基于FARIMA流量预测的抽样方法,根据流量预测值动态调整抽样率,既减轻了CPU的负载,又节省了存储空间。通过对比实际使用中的流量抽样测量方法取得的数据报文样本均值和Hurst参数,表明该方法能够正确体现原始数据的流量行为统计特征。     

高速网络流量测量方法

高速网络流量测量是目前实施实时准确地监测、管理和控制网络的基础.基于网络流量测量的应用,将网络流量测量分为抽样方法和数据流方法.从不同的层次,将抽样方法分为分组抽样和流抽样,分别介绍了两类抽样方法;从测度角度介绍了数据流方法.详细介绍了高速网络流量测量的常用数据结构,以及抽样、数据流方法在高速网络流量测量中的应用,比较了各种方法的优劣.概述了高速网络流量测量技术的研究进展.最后,就现有的网络流量测量方法的不足,对网络流量测量的发展趋势和进一步的研究方向进行了讨论.     

基于DAE和GRU组合的流量异常检测方法

流量异常检测能够有效识别网络流量数据中的攻击行为,是一种重要的网络安全防护手段。近年来,深度学习在流量异常检测领域得到了广泛应用,现有的深度学习模型进行流量异常检测存在两个问题:一是数据受噪声影响导致检测鲁棒性差、准确率低;二是数据特征维度高以及模型参数多导致训练和检测速度慢。为了在降低流量数据噪声影响的基础上提高检测速度和准确性,本文提出了一种基于去噪自编码器(Denoising Auto Encoder,DAE)和门控循环单元(Gated Recurrent Unit,GRU)组合的流量异常检测方法。首先设计了基于DAE的流量特征提取算法,采用小批量梯度下降算法对DAE进行训练,通过最小化含噪声数据的重构向量与原始输入向量间的差异,有效提取具有较强鲁棒性的流量特征,降低特征维度。然后设计了基于GRU的异常检测算法,利用提取的低维流量特征数据训练GRU,从而构建异常流量分类器,实现对攻击流量的准确检测。最后在NSL-KDD、UNSW-NB15、CICIDS2017数据集上的实验结果表明:与其他的机器学习、深度学习方法相比,本文所提方法的检测准确率最大提升了18.71%。同时,本文方法可以实现较高的精确率、召回率和检测效率,同时具有较低的误报率。在面对数据受到噪声破坏时,具有较强的检测鲁棒性。     

基于自相似特性的流量测量采样方法

针对大型网络流量测量中测量数据量巨大、不能有效地描述流量特征的问题,本文将近年来网络研究的热点自相似性运用在流量测量中。根据流量变化对自相似参数H的影响,提出了一种基于网络的自相似特性的流量测量采样方法。该方法降低了流量测量的采样频率,能够及时、准确地发现网络异常,并能使测量数据更准确地刻画流量特征。     

一种基于聚类的异常流量检测算法

通过分析常见异常流量的内在特征,在Chameleon算法的基础上,设计了一种基于聚类的异常流量检测算法。通过对DARPA1998数据集的实验结果表明,该算法能够在没有先验知识的前提下,对影响正常网络性能的异常流量有较高的检测准确率。