基于层叠模型的网络流量异常检测方法*

进行网络流量异常检测,需要对正常流量行为建立准确的模型,根据异常流量与正常模型间的偏离程度作出判断。针对现有网络流量模型中自相似模型与多分形模型无法全面刻画流量特征的不足,提出了一种基于流量层叠模型分析的异常检测算法,采用层叠模型对整个时间尺度上的流量特征进行更准确的描述,并运用小波变换对流量的层叠模型进行估计,分析异常流量对模型估计的影响,提出统计累计偏离量进行异常流量检测的方法。仿真结果表明,该方法能够有效检测出基于自相似Hurst系数方法不能检测的弱异常以及未明显影响Hurst系数变化的异常流。     

TCP流量自相似性分析

对TCP流量自相似的原因进行了分析。用ON／OFF模型解释了TCP拥塞控制机制导致自相似现象的原因,并在NS2仿真实验的基础上比较了自相似性与丢包率、负载强度的关系。仿真结果表明丢包率大小对TCP流自相似程度有着直接影响。     

自相似流特性编码理论的设计与研究

自相似性是无线网络的典型流量特征,而目前基于自相似流特性的编码理论研究相对较少,提出在网络中有突发性自相似流量后,采用通用编码分类器实现数据包的同步,以此来满足不同大小、不同速率的数据包编码要求,通过编码理论减少网络节点的队列长度和延迟时间。通过网络仿真实验验证算法有效性。     

面向后渗透攻击行为的网络恶意流量检测研究

现有的后渗透行为研究主要针对主机端进行攻击与防御反制,缺乏对流量侧的模式分析与检测方法。随着后渗透攻击框架与攻击工具的快速发展与广泛使用,基于统计特征或原始流量输入的恶意流量检测模型难以应对复杂多变场景下的后渗透攻击行为恶意流量,存在泛化能力弱、检测精度低、误报率高等问题。通过深入分析后渗透攻击恶意流量样本与正常网络流量会话流,提出后渗透攻击恶意流量的会话流级别粒度划分方法,挖掘后渗透攻击恶意流量在时间尺度上的交互行为与语义表示。引入一种基于马尔可夫模型的时间向量特征提取方法表征流序列的行为相似度,对会话流进行全局行为建模,解决单一粒度特征学习能力不足的问题,进而构建基于多粒度特征融合的后渗透攻击恶意流量检测框架。实验结果表明,该方法在后渗透攻击行为恶意流量多分类检测任务上达到了99.98%的准确率,具有较高的分类准确性与较低的误报率。     

TCP流自相似性与网络性能关系的研究

对TCP流自相似的原因进行了分析研究，讨论了TCP／IP协议与TCP流自相似特性的关系，用ON／0FF模型从理论上解释了TCP拥塞控制机制导致自相似现象的原因．通过基于NS平台的模拟试验，比较了自相似性与丢失率、重传初值的设定及其链路延迟的不同关系，从模拟结果可以看出，TCP流的分形程度和丢失率及超时重传有着直接的关系．     

基于小波域混合高斯模型的自相似流量合成算法

自相似流量特性对网络性能具有重要影响，流量建模与合成是网络性能评价的基本环节．提出了一种基于小波域混合高斯模型的自相似流量建模与合成方法：小波变换的近似Karhunen—Loeve（K-L）变换特性可以有效去除流量过程的长程相关，而混合高斯模型准确地描述了小波系数的非高斯分布．对合成流量进行了统计分析以及排队性能仿真．实验表明该方法能够更准确地对通信流量进行建模和合成，并且具有运算量小（O（N））、流量生成快速等优点．     

一种自相似流量模型的带宽估计新算法

针对现今网络业务流量的自相似特性,选取具备显著自相似特征的分形布朗运动流(FBM)为自相似流量模型,提出一种基于统计网络演算理论的带宽估计算法。该算法利用统计网络演算建模,根据时延与带宽的关系建立出自相似业务流量模型带宽需求的统计模型。通过仿真验证和数值分析,结果表明该算法比有效带宽算法更为优越,得到的带宽估计结果更紧,可以更好地提高带宽资源利用率。     

基于模拟的网络流量自相似现象分析

一、引言自从1993年文[2]发表以来,网络流量的自相似特征日益受到重视,使传统的基于泊松和马尔可夫行为的流量模型受到了质疑。但是关于自相似现象的成因以及这一现象对网络流量建模的影响一直没有确定性的答案。文[3]中提出了高可变性(High Variability)是网络流量自相似现象的可能原因。但在文[1]中,作者基于Network Simulation-Version 2(以下简称ns2)网络模拟器,模拟产生了单个TCP对话流量的自相似现象,从而提出高可变性未必是出现自相似现象的必要前提,而TCP流量控制机制本身就是一个能产生自相似现象的确定性过程、然而在文[1]中,作者只模拟出了链路上单个TCP对话流量的自相似现象,但是在现实网络观测到自相似现象都是对于链路上总的流量来说的,而不是针对单个对话流量来说的。因此,本文设计了新的网络模拟方案,以探讨网络链路总流量出现自相似现象的条件,从模拟结果可以看出同一瓶颈     

基于HTTP的WWW服务器数据流量的测量与分析

Web服务对数据传输有一定的实时性要求，对于这一特性的分析必须依赖于服务器上的有关信息，文章就是对Web服务器上数据流量进行测量、收集，进而对这些数据进行处理分析，发现了其上的数据流特征明显，并符合自相似(Self-similar)模型。     

基于自相似的异常流量自适应检测方法

根据异常流量对网络自相似的影响,通过研究在流量正常和异常情况下表征自相似程度的Hurst 参数分布特点的不同,设计一种异常流量动态自适应检测方法。该方法采用小波分析估计Hurst参数,根据网络自相似程度自适应地调整检测阈值。对MIT林肯实验室的入侵检测数据测试结果表明,该检测方法具有较好的动态自适应性、较高的检测率及较快的检测速度。     

网络随机接入ON-OFF重尾流的准入控制研究

近年来的许多研究表明,随着网络带宽的增大,业务量不断增多,网络中的数据流呈现出自卡相似性,具有很强的长相关特点,这就使得传统的基于短相关的Markov流量分析方法不再适用,该文对渐进自相似流进行了分析,在分析了系统输入固定数据量叠加的ON-OFF重尾间隔流排队模型基础之上,提出了随机接入重尾数据流的准入控制算法,并进行了仿真分析。     

基于小波的网络流量异常分析与仿真

网络流量异常检测及分析是网络及安全管理领域的重要研究内容,文章根据网络流量的信号特性和自相似性,利用小波变换局部放大能力及Hurst和李氏指数的变化与网络流量异常的对应关系,提出了一种基于小波分析的网络流量异常检测与定位方法。根据自相似指数的值在大时间尺度上来判定异常发生,并进一步在小时间尺度下基于李氏指数与信号奇异性的对应关系来分析并定位异常点。此方法通过DipSIF平台所采集的数据进行仿真验证,可有效地检测网络函：量异常并定位异常发生点,与传统方法相比,异常检测的有效率更高。     

基于时间序列分析的SYN Flooding源端检测方法

提出了一种基于时间序列分析从源端对SYN Flooding攻击进行检测的方法。该方法是为了从源端对网络流量进行检测并预测,从而判断是否发生了SYN Flooding攻击,为受害者端及时响应提供依据;利用攻击网络流量的自相似性,采用Bloom Filter提取数据流特征信息,构造网络流量时间序列,建立自回归预报模型;通过动态预测网络流量并与设定的阈值进行比较来对攻击预警,提前作出响应。仿真实验结果表明,该方法能准确地统计出网络中数据包和新源IP数据包的出现次数,具有较好的检测率和较低的误报率,能够较准确地预测出下一时间段甚至几个时间段的网络流量,能为有效防御SYN Flooding攻击提供有力的数据支撑。     

A fast self-similarity matrix-based method for shrew DDoS attack detection

ABSTRACT

Shrew DDoS attack mainly targets the TCP’s retransmission timeout (RTO) mechanism that handles severe cases of congestion and packet losses. This attack is very hard to detect due to its stealthy nature and low-rate in volume which if remained undetected can affect the legitimate TCP flows. In this paper, we propose a fast shrew DDoS attack detection method based on self-similarity matrix (SSM) that measures the self-similarity of network traffic across multiple time scales over a subset of relevant features. The method can detect any presence of shrew attack in-line with the incoming traffic samples and thus identify the attack flows. We experimented our method over real-life low-rate datasets for multiple scenarios and the results demonstrate its efficiency both in terms of detection accuracy and speed.     

网络业务流自相似传播特性研究

对网络业务流自相似特性进行分析研究,证明了业务流自相似在不同会聚业务流之间以及不同网络节点之间均具有传播特性,新增业务流的注入不会“破坏”原有自相似背景流的自相似特性。这些研究结果能较好地解释目前网络业务流自相似现象的普遍存在,并对有效利用网络共享资源、路由选择、负载均衡以及排队性能分析等方面具有一定的参考价值。     

网络业务流的自相似特性研究

网络业务流的自相似特征显著影响网络的流量控制与排队分析,已经引起人们的极大重视.本文分析了产生自相似性的原因,以及它对网络技术的影响,介绍了自相似业务流的研究进展,指出了存在的问题,同时展望了未来的研究方向.     

基于小波技术的网络流量分析和预测

互联网流量数据属于非平稳的时间序列,具有很强的突发性和自相似性等分形特征.小波分析能够保持对象的尺度不变性,很适合分析和处理自相似过程.分析了常见流量模型的优缺点,利用小波技术将网络流量分解、重构,并结合传统FARIMA模型分析和预测网络流量,实验结果表明该方法可以有效地对网络流量进行建模和预测.     

校园网络流量自相似性分析与研究

对于校园网等小规模的局域网,通过计算网络流量自相似值的方法无法有效检测网络异常流量。针对该问题,在分析校园网络流量特点的基础上,将网络流量分解成趋势项和随机成分等其他项,使用经验模式分解消除网络流量中的趋势项,使得网络流量序列的自相似值能直接反映随机成分状态。实验结果表明,该方法能提高异常流量检测的准确性。     

Traffic measurement and analysis in an ATM-based internet backbone

This paper reports our measurements and analysis of traffic characteristics in an Internet backbone ATM network. In order to utilize network resource efficiently while satisfying the quality of service requirement, it is important to understand the traffic characteristics. We therefore monitored the traffic from the flow or application level to the cell level on a link between NTT's Open Computer Network (OCN) and the Science Information Network (SINET), which are two of the largest Internet backbone ATM-based networks in Japan. Using the monitored traffic, we also evaluated the performance of the aggregate traffic by real-time simulation. Results show that the performance (cell loss ratio) greatly depended not only on link utilization but also on the number of flows, flow size, and traffic composition in terms of applications. We also found that the degree of self-similarity in the Internet backbone was not large. In addition, we clarified that more statistical multiplexing gain could be obtained in the Internet backbone when more flows were multiplexed onto a link.     

基于流身份识别的P2P流量检测

网络地址翻译器转发的混合流与P2P数据流呈现相似的流量外部特征。实际测试结果显示,如果数据捕获点位于网络地址翻译器之后,当前P2P流量特征识别方法（TLI）因为没有对网络地址翻译器(NAT)转发混合流进行区分而将导致虚警和漏报情况。为了解决此类问题,提出了基于流身份识别的P2P流量检测方法,首先通过分析IP标识时间序列完成对NAT转发混合流中源自不同设备数据流的身份识别,在此基础上采用流量特征检测P2P流量。以当前主要的P2P应用为例进行测试,结果说明,利用该方法可以有效识别NAT混合流中的P2P流量,较大幅度降低虚警率和漏报率。