OpenTAD：一种基于 SDN 的在线流量异常检测方法

基于软件定义网络（Software Defined Networking, SDN）的集中管控平面,提出了一种在线流量异常检测方法（Online Traffic Anomaly Detection method, OpenTAD）。首先在控制器上在线获取OpenFlow 交换机的流表信息,并构造整个网络的流量矩阵和样本熵矩阵进行组合,然后采用主成分分析方法（PCA）检测异常流量。实验结果表明,相比于传统网络中利用PCA分别单独处理离线的流量矩阵或样本熵矩阵的方法,OpenTAD 实现和处理方式简单有效,异常流量能够得到快速隔离,是基于 SDN的一种轻量级在线流量异常检测方法。     

ODA-IPNMF: 一种在线全网络流量异常检测方法

为实时、高效地检测网络流量异常,提出一种基于增量投影非负矩阵分解(IPNMF)的全网络流量异常检测方法(ODA-IPNMF).提出一种增量投影非负矩阵算法,该算法不仅具有与PCA相同的表达形式,还能以增量的方式构建正常子空间和异常子空间,进而利用Shewhart控制图实现全网络流量异常的在线检测.理论分析表明,该方法计算开销远小于NMF-NAD,具有更高的实用价值;模拟网络数据以及实测网络数据实验表明,基于NMF异常检测方法(NMF-NAD和ODAIPNMF)的检测性能优于PCA方法;本文所提ODA-IPNMF与NMF-NAD网络异常检测效果相当,且可在线检测网络异常.     

基于熵和线性关系的两级流量异常检测方法

提出了一种基于熵和线性关系的两级流量异常检测方法,综合考虑了流量异常检测方法的准确性和实时性要求.该方法在时间域上设定两级动态阈值,采用基于熵的方法对异常时间点进行检测,对熵值变化程度明显的时间点可使用一级阈值检测出来,而对熵值变化程度处于一级阈值和二级阈值之间的时间点采用基于线性关系的方法再次进行检测,并通过定义的报警触发函数识别异常类型.仿真实验结果证明,该方法在准确性和实时性方面优于现有的方法.     

基于流量结构稳定性的服务器网络行为描述:建模与系统

针对现有基于异常特征库匹配的流量检测方法难以适应日趋复杂的网络环境需要的问题,对服务器网络流量进行了大量观测和研究,综合正常流量在某些属性上的固有稳定性及特定服务在流量层面表现出的稳定性,提取相应的流量特征,同时提出了流量结构稳定性的概念,并基于此对服务器的正常网络行为轮廓进行刻画,依据当前流量结构偏离正常轮廓的程度对服务器网络异常行为进行检测。针对流量结构差异性的定量刻画问题,提出了一种基于Spie Chart的可视化度量方法,并基于一台邮件服务器流量实现了系统,通过实验验证了系统对常见网络攻击及未知网络异常的检测效果。     

TCP/IP骨干通信网流量规律性及异常检测方法

针对TCP/IP骨干网，提出一种新的基于业务流量周期规律特性的建模与异常检测方法. 该方法通过挖掘骨干网主要业务流量的规律性，结合时间序列分析方法，有效地预测流量的变化趋势，避免了对复杂的流量非线性趋势进行建模分析.     

基于迁移学习的跨域异常流量检测

基于已知数据的机器学习模型在实际异常流量检测任务中不完全可靠,为此,将不同分布的流量分别作为源域和目标域,建立跨域网络异常流量检测框架,提出了基于联合分布适配的迁移学习方法.通过寻找最优变换矩阵、适配源域与目标域之间的条件概率和边缘概率,实现源域与目标域间的特征迁移,从而解决由于源域与目标域分布差异大所引起的检测准确率下降等问题.实验结果表明,所提方法可以显著提升跨域流量的检测准确率.     

基于DBSCAN＿GAN＿XGBoost的网络入侵检测方法

由于网络异常流量检测中异常流量数据占比不平衡,导致模型不能对稀有攻击类别流量进行充分学习,从而影响模型训练和检测精度。针对这一问题,提出一种基于DBSCAN＿GAN＿XGBoost的网络入侵检测模型,该模型在对稀有攻击类样本进行扩充时,着重扩充更容易让机器学习产生混淆的噪声样本。首先,利用DBSCAN算法对提取出的稀有攻击类别数据进行聚类处理,生成一个或多个子簇,并提取出簇内样本和游离在簇外的噪声样本;然后,使用生成对抗网络模型对提取出的簇内样本和噪声样本分别进行样本扩充,改变数据集中原有的样本比例;最后,使用重新构建后的数据集对以决策树作为基分类器的XGBoost算法进行训练,并完成网络异常流量数据的检测。采用UNSW-NB15数据集进行对比实验,实验结果表明：DBSCAN＿GAN＿XGBoost模型的准确率和精确率分别为98.76%和96.5%,比样本扩充前分别提高了15.63百分点和19.60百分点,有效地提高了稀有攻击类别的检测精度。     

基于在线特征选择的网络流异常检测

针对传统批处理特征选择方法处理大规模骨干网数据流存在时间和空间的限制,提出基于在线特征选择(online feature selection, OFS)的网络流异常检测方法,该方法将在线思想融入线性分类模型,在特征选择过程中,首先使用在线梯度下降法更新分类器,并将其限制在L₁球内,然后用截断函数控制特征选择的数量。研究结果表明,提出的方法能充分利用网络流的时序性特点,同时减少检测时间且准确率和批处理方法相近,能满足网络流异常检测的实时性要求,为网络流分类和异常检测提供一种全新的思路。     

企业IT网络异常流量综合检测模型

结合企业内部信息技术网络特点,提出了用时间窗比较进行网络异常流量检测的新算
法. 将新算法同已有的静态、动态检测算法相结合,提出了网络异常流量综合检测模型. 该
模型可通过不同方法和角度进行比较,以发现网络中是否存在异常流量. 通过实际实现和
测试验证了模型的有效性.     

企业IT网络异常流量综合检测模型与算法(会议)

结合企业内部IT网络特点,提出了用时间窗比较进行网络异常流量检测的新算法;将所提出的新算法同已有的静态、动态检测算法相结合,提出了网络异常流量综合检测模型。模型通过不同方法和不同角度比较来发现网络中是否存在异常流量,最后通过实际实现和测试验证模型的有效性。     

基于累积量的DoS攻击检测算法

针对现有DoS攻击检测算法中检测率较低,检测时间较长的问题,提出一种基于高阶统计量的DoS攻击检测算法.算法分割并量化网络流量数据包,提取累积量特征,将累积量应用到DoS攻击检测中.通过分析1998DARPA入侵检测数据集,该算法能够有效检测DoS攻击.相对于传统基于网络流量熵值的异常检测法,该算法在检测精度上有较大提高,在1 s的时间窗口内,检测率提高了8%.     

基于特征符号表示的网络异常流量检测算法

为了准确检测网络中的流量异常情况,确保网络正常运行,提出基于特征符号表示的网络异常流量检测算法（NAAD-FD）. NAAD-FD算法利用趋势转折点将网络流量数据按照基于趋势特征的符号表示方法进行转化,按照表示结果将原始数据转化为包含7项特征值的子序列,将7项特征值运用到提出的距离计算方法中;结合基于密度的算法,按照时间序列的网络异常流量定义执行异常检测. 通过对算法参数、仿真数据和真实网络流量数据的实验与分析可知,该算法具有较强的鲁棒性,验证了该算法的有效性和稳定性. 该算法通过降维简化表示,显著降低了算法的时间复杂度,有效加速异常检测过程约40%.     

全局的多流量相关异常检测算法

针对现有单链路流量异常检测和全局流量异常检测方法存在的不足,该文提出一种全局的多流量相关异常检测算法。该算法利用同一异常在不同链路或OD流所产生的多个异常流量信号在频率、幅值变化特征等方面具有相似性这一特点,将这种相似性作为检测的依据来检测异常。通过每个OD流或链路的前期流量数据进行下一时刻的流量预测,将实际流量数据减去预测流量值得到异常流量值;通过多个OD流或链路之间的全局相关分析进行流量异常检测。仿真结果表明该文提出的方法能够有效地检测其他单链路和全局异常检测方法无法检测的异常。     

一种面向智慧交通的车联网网络流量估计方法

随着5G网络的快速部署,车联网、物联网、边缘计算等迅速发展,车联网络流量测量面对诸多挑战.研究了面向智慧城市的车联网流量估计问题,提出了一种基于软件定义网络的车联网流量估计方法.基于软件定义网络架构获得粗粒度的车联网络流量测量值,构建了基于自回归移动平均模型的细粒度测量模型,并提出一种启发式算法来获得精确的流量估计结果...     

皮纳卫星遥测数据异常检测聚类分析方法

为满足皮纳卫星高维遥测数据的实时、自动化、抗概念漂移等处理要求,提出一种基于聚类的遥测数据异常检测方法,包括子空间搜索和两阶段遥测数据聚类处理两部分.子空间搜索,通过熵值实现所有遥测数据低维子空间划分,降低计算复杂度,避免"维度灾难"的发生;两阶段遥测数据聚类处理,在线阶段通过网格索引实时发现单点异常,离线阶段通过聚类挖掘数据的集体异常及其特征,满足快速异常检测和复杂异常检测两种需求,并通过正常状态数据的迭代更新和算法的自适应修改,抵抗概念漂移.ZDPS-1A卫星历史遥测数据的分析结果表明,皮纳卫星遥测数据异常检测聚类方法在线阶段能实时处理10 kHz的流量数据,发现95%的单点异常,满足皮纳卫星实时遥测数据异常检测的一般需求;算法自适应了卫星快速转动导致的数据漂移,维持了稳定的单簇形态;同时相比原边界检查系统早一个月检测出姿态确定与控制系统中程序跑飞引起的太阳敏感器数据紊乱故障.所提出的算法针对性解决了高维、存在概念漂移的遥测数据异常检测问题,能实时检测单点异常,具有集体异常挖掘能力,适用于皮纳卫星星座组网的地面监控系统.     

基于免疫危险感知的水下接驳盒故障检测方法

针对现有水下接驳盒故障检测中存在仅通过特定的观测指标来判断系统故障,且观测指标的选取以及故障阈值的设定主要依赖人工经验的问题,本文借鉴机体免疫防御机制,提出了一种基于危险感知的水下接驳盒故障检测方法。借鉴机体免疫中的危险理论,在原DCA算法（dendritic cell algorithm）的基础之上,保留DCA算法的信号转换机制,对它的输入信号定义和异常评价方法进行改进以适合水下接驳盒工作环境,实现故障的在线检测。首先,依据变化是系统危险发生的征兆和外在表现的思想,提出了一种基于系统特征变化的危险信号提取方法,以提高DCA输入信号分类的自适应性。其次,针对原DCA算法只对数据项进行异常评价,无法检测系统级故障,提出采用成熟DC的浓度作为系统故障的评价指标。最后,采用水下接驳盒的真实数据进行模拟实验,并与PCA主元分析方法进行性能对比。实验结果显示本文方法不仅能有效检测出渐变故障,且比PCA方法具有更高的准确率,并能更早的发现故障。因此,本文提出的方法在水下接驳盒的故障检测中具有可行性。