基于网络流量异常的入侵检测技术

入侵检测系统作为防火墙之后的第二道安全防线,发挥着越来越重要的作用。日益猖獗的DDoS攻击、蠕虫病毒、网络扫描等,使得网络性能严重下降,基于网络流量异常的入侵检测技术针对上述情况有着良好的检测性能。本文综述了这种入侵检测技术,并讨论了入侵检测面临的问题及发展趋势。     

一种基于进程流量行为的蠕虫检测系统

随着蠕虫传播速度的不断加快,所造成的威胁也越来越大。为快速检测蠕虫,本文描述了和蠕虫相关的三种重要的进程流量行为:类蠕虫流量中源端口总数、类蠕虫进程流量中源端口的变化频率以及进程流量中类蠕虫流量占总进程流量的总数。基于这三种行为,本文提出了一种基于进程流量行为的蠕虫检测系统,同时介绍了该系统的相关定义、框架设计和关键实现。最后,采用真实程序进行了实验,结果表明该系统可以快速准确地检测蠕虫,并具有较小的误报率。     

基于数据挖掘的网络异常流量入侵检测方法

为解决利用传统方法进行网络流量异常入侵检测时存在检测正确率较低的问题,提出基于数据挖掘的网络流量异常入侵检测方法。根据网络攻击行为对网络异常流量特征属性进行提取,利用数据挖掘的关联分析找出异常流量特征之间的相关性,并将网络异常流量特征进行联合计算熵值处理,实现异常网络流量入侵检测。实验结果表明,设计的网络流量异常入侵检测方法在不同入侵行为类型上的检测正确率均在96.00%以上,证明该方法可以准确地检测出网络中潜在的入侵行为,具有较好的实用性。     

一种基于入侵统计的异常检测方法

提出了基于入侵统计的宏观异常情况的分析方法。在分布式入侵检测系统应用中,监控中心经常汇聚着大量的来不及处理和响应的警报数据,为提高入侵分析的效率和准确性,从警报数据中提取入侵强度和入侵实体数量等特征值,利用统计分析方法检测异常。应用结果表明,为大规模入侵检测系统的宏观异常发现提供了一种有效的新方法。     

一种基于随机森林算法的MQTT异常流量检测方法

工业物联网系统所面临的网络安全威胁随着物联网技术的广泛应用日益增加,信息安全问题已成为其发展过程中的一大挑战。MQTT（Message Queuing Telemetry Transport）协议是物联网通信的主流协议,基于该协议的物联网通信安全研究是当前研究的热点话题。传统的流量识别技术如深度包检测无法有效地识别符合包格式的异常流量,而基于机器学习理论的异常流量识别技术则表现出很好的效果。对此提出一种基于随机森林算法的MQTT异常流量检测方法,实现整体高于90%的MQTT异常流量识别准确度,与其他常用分类模型相比拥有更好的识别效果。     

基于异常和特征的入侵检测系统模型

目前大多数入侵检测系统(Intrusion Detection System,IDS)没有兼备检测已知和未知入侵的能力,甚至不能检测已知入侵的微小变异,效率较低。本文提出了一种结合异常和特征检测技术的IDS。使用单一技术的IDS存在严重的缺点,为提高其效率,唯一的解决方案是两者的结合,即基于异常和特征的入侵检测。异常检测能发现未知入侵,而基于特征的检测能发现已知入侵,结合两者而成的基于异常和特征的入侵检测系统不但能检测已知和未知的入侵,而且能更新基于特征检测的数据库,因而具有很高的效率。     

基于异常的入侵检测技术研究

入侵检测是一个比较新的、迅速发展的领域,已成为网络安全体系结构中的一个重要的环节。本文介绍了入侵检测技术的基本概念和基于异常的入侵检测技术的原理,并结合现有的基于异常的入侵检测系统,重点分析了几种常用的异常检测技术,讨论了基于异常的入侵检测技术的优点和存在的问题。     

一种基于图的异常入侵检测新算法

根据主机系统异常入侵过程中Windows native API序列的瞬时高频性,提出一种基于图的异常入侵检测算法。该算法首先将每个Native API映射成为图中的一个点,并以其为起点的子序列作为该点的路径、Native API的前后调用关系为边;其次,对图中每个点记录各自的路径,在这些点的路径中找到若干个圈,圈定义为因对同一个Native API重复调用而在图中出现的回路;然后,对组成圈的所有边权值根据一定规则更新;最后利用图的边与其邻边权值差计算出异常指数,判断该序列是否异常。实验结果表明该算法在Windows平台下能实时有效地检测出异常入侵和病毒的Native API序列。     

一种基于入侵模式的蠕虫攻击预警方法

蠕虫在网络中传播速度快,产生的危害大,如能及时检测到蠕虫入侵,则可减少很多损失。针对蠕虫的入侵模式,文章提出了一种蠕虫预警方法,并设计了一个预警系统模型,以检验该方法的有效性,实验结果表明这种方法能够比较有效地检测蠕虫的早期入侵。     

一种基于传播特征的蠕虫检测方法

随着计算机网络技术的飞速发展,网络蠕虫攻击成为目前影响网络安全的一个重要问题。实时监视网络蠕虫攻击,特别是在蠕虫传播早期检测到蠕虫,以采取相应的防御措施,减少蠕虫传播和攻击造成的损失变得尤为重要。通过分析网络蠕虫在传播过程中具有扩散性、链型以及传输数据相似等特征,提出了一种基于蠕虫传播特征的检测方法。实验结果表明:该检测方法在一定程度上降低了蠕虫检测的漏报率和错误率,对未知蠕虫具有较好的检测能力。     

基于网络流量分析的入侵检测技术的研究

本文介绍了入侵检测系统的概念、分类和常用的入侵分析技术,对常见的引起流量异常的原因进行了简单的介绍,并设计了一种使用时间序列分析的网络流量异常检测的实时入侵检测系统原型,用于监测局域网的网络流量。该流量异常检测系统能够对整个局域网或者一些核心服务器和主机的异常流量进行识别和判断。     

基于网络流量分析的入侵检测技术的研究

本文介绍了入侵检测系统的概念、分类和常用的入侵分析技术，对常见的引起流量异常的原因进行了简单的介绍，并设计了一种使用时间序列分析的网络流量异常检测的实时入侵检测系统原型，用于监测局域网的网络流量。该流量异常检测系统能够对整个局域网或者一些核心服务器和主机的异常流量进行识别和判断。     

基于长短期记忆网络的工控网络异常流量检测

针对目前工控网络异常流量检测方法存在识别准确率不高和识别效率低的问题,结合工控网络具有周期性的特点,提出一种基于长短期记忆网络(LSTM)的时序预测的异常流量检测模型.该模型以LSTM网络模型为核心,用前15分钟的正常历史流量序列预测下一时刻的流量数据,在测试集上准确率为98.12%的前提下,可以认为模型的预测值即为正常值,通过对比实际值和预测值来判断是否出现异常.在不降低识别准确率的前提下,由于提前计算出了预测值,该方法大幅度提高了检测效率.     

基于IP报文Identification标识的网络异常流量检测

由于相当一部分异常流量由于采用了特殊的生成机制而在结构上有别于遵循基本网络协议的正常流量,本文提出了一种基于IP报文Identification标识字段分布识别网络中异常流量的方法。通过CERNET网络不同时段的IP报文检测结果证明了该方法的准确性。     

基于自相似的异常流量自适应检测方法

根据异常流量对网络自相似的影响,通过研究在流量正常和异常情况下表征自相似程度的Hurst 参数分布特点的不同,设计一种异常流量动态自适应检测方法。该方法采用小波分析估计Hurst参数,根据网络自相似程度自适应地调整检测阈值。对MIT林肯实验室的入侵检测数据测试结果表明,该检测方法具有较好的动态自适应性、较高的检测率及较快的检测速度。     

基于滥用检测和异常检测的入侵检测系统

随着Internet的高速发展，网络安全问题越来越引入注目。在层出不穷的黑客技术中，内部攻击始终占据着很大的成分；与此同时，现有的防火墙技术不能满足人们对网络安全的要求，因此所谓的入侵检测系统越来越多地引起了人们的重视。文章介绍了一种异常检测方法和一种滥用检测方法，并根据所描述的方法构造了一个入侵检测系统，实验证明，该系统可以检测到已知的大部分的入侵行为。     

Detection of Abnormal Network Traffic Using Bidirectional Long Short-Term Memory

Nowadays, web systems and servers are constantly at great risk from cyberattacks. This paper proposes a novel approach to detecting abnormal network traffic using a bidirectional long short-term memory (LSTM) network in combination with the ensemble learning technique. First, the binary classification module was used to detect the current abnormal flow. Then, the abnormal flows were fed into the multilayer classification module to identify the specific type of flow. In this research, a deep learning bidirectional LSTM model, in combination with the convolutional neural network and attention technique, was deployed to identify a specific attack. To solve the real-time intrusion-detecting problem, a stacking ensemble-learning model was deployed to detect abnormal intrusion before being transferred to the attack classification module. The class-weight technique was applied to overcome the data imbalance between the attack layers. The results showed that our approach gained good performance and the F1 accuracy on the CICIDS2017 data set reached 99.97%, which is higher than the results obtained in other research.     

基于自适应阈值的网络流量异常检测算法

网络流量异常检测大多采用固定阈值进行异常判断,无法精确刻画网络异常行为,从而影响检测精度。针对上述问题提出一种自适应阈值异常检测算法,通过刷新机制叠加前一时刻的行为,得出动态的阈值作为判断当前时刻检测点是否异常的准则,通过标准差设定置信区间,以更准确地描述网络状况。仿真实验及比较结果表明该算法能有效提高异常检测精度。     

软件定义网络中的异常流量检测研究进展

软件定义网络(software defined networking,简称SDN)是一种新型的网络架构.SDN将控制层从数据层分离并开放网络接口,以实现网络集中控制并提高网络的可扩展性和编程性.但是SDN也面临诸多的网络安全威胁.异常流量检测技术可以保护网络安全,防御恶意流量攻击.对SDN异常流量检测进行了全面的研究,归纳了数据平面和控制平面可能遭受到的网络攻击;介绍并分析了位于应用平面、控制平面和中间平台的异常流量检测框架;探讨了异常流量识别机制、负载均衡机制、异常流量追溯机制和异常缓解机制;最后指明SDN异常流量检测在未来工作中的研究方向.