基于分布式用户数据流的网络安全审计系统的研究

本文提出了基于分布式用户数据流的网络安全审计系统的总体框架,介绍了两种异常流量检测方法,并给出了检测异常流量的各项指标。基于异常流量的检测指标,根据中心极限定理,使用采样统计方法刻画出正常网络的基线。参照该基线和对蠕虫特征进行匹配检测出异常流量,并进行预警。     

基于聚类过采样和自动编码器的网络入侵检测方法

近年来,随着互联网技术的不断发展,入侵检测在维护网络空间安全方面发挥着越来越重要的作用。但是,由于网络入侵行为的数据稀疏性,已有的检测方法对于海量流量数据的检测效果较差,模型准确率、F-measure等指标数值较低,并且高维数据处理的成本过高。为了解决这些问题,本文提出了一种基于稀疏异常样本数据场景下的新型深度神经网络入侵检测方法,该方法能够有效地识别不平衡数据集中的异常行为。本文首先使用k均值综合少数过采样方法来处理不平衡的流量数据,解决网络流量数据类别分布不平衡问题,平衡网络流量数据分布。再采用自动编码器来处理海量高维数据并训练检测模型,来提升海量高维流量中异常行为的检测精度,并在两个真实典型的入侵检测数据集上进行了大量的实验。实验结果表明,本文所提出的方法在两个真实典型数据集上的检测准确率分别为99.06%和99.16%, F-measure分别为99.15%和98.22%。相比于常用的欠采样和过采样方法, k均值综合少数过采样技术能够有效地解决网络流量数据类别分布不平衡的问题,提升模型对低频攻击行为的检测效果。同时,与已有的网络入侵检测方法相比,本文所提出的方法在准确率、F-m...     

基于自相似特性的流量测量采样方法

针对大型网络流量测量中测量数据量巨大、不能有效地描述流量特征的问题,本文将近年来网络研究的热点自相似性运用在流量测量中。根据流量变化对自相似参数H的影响,提出了一种基于网络的自相似特性的流量测量采样方法。该方法降低了流量测量的采样频率,能够及时、准确地发现网络异常,并能使测量数据更准确地刻画流量特征。     

基于Netflow的流量异常检测技术研究

网络安全成为全球关注的问题,网络信息评估成为网络安全技术问题的重中之重.目前,网络流量异常检测已成为网络信息技术评估的重要技术之一,文章对Neftlow的技术原理进行了全面分析,对基于Netflow的流量数据采集技术进行全面分析评价,并分析了数据采样及负载均衡技术.     

基于流量模板检测网络异常流量

当前的网络异常流量检测技术侧重于采用机器学习和统计学方法,两者适用于通用网络环境。本文针对受控网络环境通信特征,提出了一种基于流量模板的网络异常流量检测方法,该方法实时抓取分析网络流量,提取网络流量头部特征和行为特征,基于网络八元组信息建立流量模板,通过匹配流量模板检测网络异常流量。实验结果表明该方法在受控网络环境下能准确检测出网络异常流量。     

互联网流采样技术综述

网络流量测量对网络管理、网络监控、网络设计和网络规划具有重要的意义.由于网络带宽以摩尔速率增长,流采样作为一种以有限资源实时获取网络运行状况的方式引起了广泛的关注.文章在分析早期流采样技术现状及不足的基础上,详细综述了大流采样算法、流公平采样算法、全流采样算法及异常检测流采样算法四种互联网流采样技术,对四种技术的性能指标给出了理论分析及证明,最后展望了互联网流采样技术可能发展的四个方向.     

基于信息熵的网络流量信息结构特征研究

随着人们对网络流量特征研究的深入,网络异常检测技术得以不断发展,因此流量特征分析是网络异常检测的基础性重要工作。文章研究基于熵的流量信息结构特征,不同于已有的网络流量初级统计特征研究,它以提取的流量属性在单位时间内分布特征为研究对象。基于 DARPA 99数据集的实验表明,该方法相对于基于流量初级统计特征方流量异常表示方法具有更强的敏感性。     

基于集成SVM和Bagging的未知恶意流量检测

未知恶意网络流量检测是异常检测领域亟待解决的核心问题之一.从高速网络数据流中获取的流量数据往往具有不平衡性和多变性.虽然在恶意网络流量异常检测特征处理和检测方法方面已存在诸多研究,但这些方法在同时解决数据不平衡性和多变性以及模型检测性能方面仍存在不足.因此,本文针对未知恶意网络流量检测目前存在的困难,提出了一种基于集成SVM和Bagging的未知恶意流量检测模型.首先,针对网络流量数据的不平衡性,提出一种基于Multi-SMOTE过采样的流量处理方法,以提高流量处理后的特征质量;第二,针对网络流量数据分布的多样性,提出一种基于半监督谱聚类的未知流量筛选方法,以实现从具有多样分布的混合流量中筛选出未知流量;最后,基于Bagging思想,训练了集成SVM未知恶意流量检测器.实验结果表明,本文所提出的基于集成SVM与Bagging的未知流量攻击类型检测模型在综合评价(F1分值)上优于目前同类未知恶意流量检测方法,同时在不同数据集上具有较好的泛化能力.     

基于模糊控制的自适应流量抽样方法

针对系统抽样中恒定报文采样概率方法异常检测的漏检率高和随机报文采样概率偏向于采集长流的缺陷,提出了一种模糊自适应流量抽样方法。该方法利用网络流量的相关性设定采样率,并实时自适应预测采样粒度,自动在允许误差范围内进行尽可能精确地测量,更好地捕捉到网络流量特征和网络行为特征。实验证明,所提方法不但能减少抽样数据对于异常检测的影响,而且可以高效地反映原始数据的异常情况。自适应模糊控制系统结构简单,易于实现,其控制策略达到了较高的工艺水平的要求,具有良好的预测性,并能提高流量检测的精确度,具有一定的推广价值。     

基于ME-PGNMF的异常流量检测方法

由于部分网络异常对流量变化影响不明显,流量分析难以发现此类异常。传统基于主成分分析的网络异常流量检测方法追求全局最优解,对局部特征提取不充分,导致对连续异常不敏感,降低了异常流量的检测精度,且物理意义不明确。针对上述问题,在多维信息熵的基础上,提出梯度投影非负矩阵分解异常流量检测方法。将流量数据处理为多维特征熵矩阵,用梯度投影非负矩阵分解方法重构多维熵矩阵,分离出正常和异常子空间,采用多元统计过程控制方法中的Q图检测异常。实验结果表明,与以流量分析为基础的主成分分析方法、传统非负矩阵分解方法相比,该方法能更快、更准确地检测出连续异常,对流量变化不敏感的低速分布式拒绝服务攻击检测效果明显提高,对蠕虫攻击更加敏感。     

包抽样对异常检测的影响及其消除方法研究

针对当前流统计抽样在异常检测中存在的问题,分析包抽样和时域聚合导致流记录时间序列失真的原因,利用网络异常的尺度聚集特性,提出一种基于不重叠窗口聚合的多尺度分解方法,以消除由包抽样和时域聚合带来的信号噪声。仿真结果表明,该方法能降低抽样率对流尺度上信噪比的影响,提高异常检测的性能。     

一种业务流自适应尽力采样方法

基于业务流的网络流量监测是网络管理、运维、实现基于业务的计费、流量工程等的重要手段．精确、高效的采样技术是实现高速网络流量业务流监测分析的重要技术．基于分段采样思想提出一种尽力最优的自适应随机采样方法，实现特大业务流的精确估计，其中把监测系统本身的处理能力作为选择采样概率的参数．实验结果显示算法能够很好地调节采样概率，使得采样包速率基本等于预先设定的监测系统的处理能力．     

基于改进视网膜抽样模型的人脸检测混合方法

提出了一个在复杂背景下检测灰度人脸图像的混合方法，它用基于多分辩率的二值马赛克图像和投影分析方法来检测双眼，以加快从背景中分离人脸的速度；用改进的视网膜抽样模型抽取最能代表人脸特性的低维数据；降维后的输入图像用学习矢量量化网络训练特征。实验表明，本方法有近90%的检测成功率，速度较快，对部分遮挡的人脸定位也适用。     

离散曲面的近似Poisson盘采样

Poisson盘采样作为计算机图形学的一个重要课题,在重网格化、过程纹理、物体分布、光照计算等方面都有重要应用.虽然最近几年对于2维平面Poisson盘采样的研究比较密集,但是直接对于2维流形表面上的Poisson盘采样的研究却比较少.在本文中,我们提出了一种可以直接在Mesh表面生成近似Poisson盘分布的方法.此方法实现简单,同时可以通过简单修改适用于保特征的采样和自适应采样.文中引入了张量投票的方法来实现特征识别和自适应采样半径的计算,并给出了采样后的重网格化结果,作为此算法的一个后期应用.通过大量实例表明,本文方法快速、鲁棒、适用广泛.     

一种基于分组抽样的TRW改进算法

端口扫描是最常见的网络异常流量,TRW是端口扫描检测中最有代表性的算法之一。在高速网络环境下,网络测量通常采用分组抽样技术。已有的研究表明,分组抽样对原始流的流大小分布有细化和扭曲的作用,使得TRW检测算法随着抽样率的增加,成功检测率和误检率呈现出先增加后减少的趋势。本文提出了一种TRW的改进算法,原理是利用抽样后样本流中包含的TCP协议信息改善分组抽样下的流大小分布估计,从而提高TRW检测算法的有效性。实验证明,新算法与原算法相比,在成功检测率差不多的情况下,误检率明显降低了。     

基于抽样测量的高速网络实时异常检测模型

实时异常检测是目前网络安全的研究热点.基于大规模网络流量的统计特征,寻找能够评价网络行为的稳定测度,并建立抽样测量模型.基于中心极限理论和假设检验理论,建立网络流量异常行为实时检测模型.最后定义ICMP请求报文和应答报文之间比率的网络行为测度,并实现对CERNET网络ICMP扫描攻击的实时检测.该方法和思路对其他网络安全检测研究具有一定的指导意义.     

流量测量的关键技术分析与研究*

流量测量在流量计费、网络资源优化和异常检测等方面有广泛的应用。针对传统的流量测量模型缺乏可扩展性的缺点,提出了一种适用于高速网络的可扩展的流量测量模型。该模型采用报文分批处理的思想引入了两级缓冲区结构,使得缓存报文和流量统计两个过程同时进行。基于此模型,抽象了流量测量的两大关键技术,即流量抽样测量技术和概要数据结构。运用此模型进行高速网络的流量测量,不仅会降低资源的需求、提高分析的速度,而且还不会失去准确性。     

基于深度学习的工业物联网智能入侵检测

如何有效识别工业物联网入侵攻击行为是一个新挑战.针对工业物联网中入侵检测特征提取不高、检测效率低、适应能力差等问题,提出一种基于深度学习的工业物联网智能入侵检测方法.首先,在数据处理上改进采样算法用于调节少数类别样本数量,提高检测精度;其次,构建堆叠降噪卷积自编码网络提取关键特征,结合卷积神经网络和降噪自编码器,加强特征识别能力;为了避免信息丢失和信息模糊,改进池化操作以增加其自适应处理能力,并在模型训练过程中采用Adam算法获取最优参数;最后,采用NSL-KDD数据集测试提出方法的性能.实验结果表明,该方法相比现有的RNN、DBN和IDABCNN的准确率分别提高了3.66%、4.93%和4.6%;与未经采样算法的SDCAENN试验对比,U2R和R2L的检测精度分别提高17.57%和3.28%.