基于抽样流长与完全抽样阈值的异常流自适应抽样算法

高速IP网络的流量测量与异常检测是网络测量领域研究的热点。针对目前网络流量测量算法对小流估计精度偏低,对异常流量筛选能力较差的缺陷,该文提出一种基于业务流已抽样长度与完全抽样阈值S的自适应流抽样算法(AFPT)。AFPT算法根据完全抽样阈值S筛选对异常流量敏感相关的小流,同时根据业务流已抽样长度自适应调整抽样概率。仿真和实验结果表明,AFPT算法的估计误差与理论上界相符,具有较强的异常流量筛选能力,能够有效提高异常检测算法的准确率。     

基于活跃熵的网络异常流量检测方法

提出了一种基于活跃熵的网络异常流量检测新方法,将受监控的目标网络视为一个整体系统,对进出系统的网络数据流所形成的NetFlow记录进行分析,分别统计二者的活跃度并计算它们的活跃熵。在进行活跃熵的计算时,根据流量大小选择不同的尺度来降低误报率,从而能更有效地检测网络流量中存在的异常。在实际网络环境下的模拟实验结果表明,与传统检测方案相比,基于活跃熵的网络异常流量检测方法能够更有效地检测出具有随机特征的网络异常流量。     

一种互联网宏观流量异常检测方法

网络流量异常指网络中流量不规则地显著变化。网络短暂拥塞、分布式拒绝服务攻击、大范围扫描等本地事件或者网络路由异常等全局事件都能够引起网络的异常。网络异常的检测和分析对于网络安全应急响应部门非常重要,但是宏观流量异常检测需要从大量高维的富含噪声的数据中提取和解释异常模式,因此变得很困难。文章提出一种分析网络异常的通用方法,该方法运用主成分分析手段将高维空间划分为对应正常和异常网络行为的子空间,并将流量向量影射在正常子空间中,使用基于距离的度量来检测宏观网络流量异常事件。     

基于自相似的异常流量检测模型

现行网络中存在诸多影响网络安全和服务性能的异常流量,异常流量的存在不仅影响用户的正常使用,而且会造成网络拥塞和网络瘫痪,甚至会篡改和破坏用户及服务器的数据,造成不可估量的损失。为及时发现这些流量,设计了一个基于自相似特性的异常流量检测模型。根据现行网络流量大速度快等特点,该模型设计分为简单流分类模块、自适应抽样模块、实时估计Hurst参数模块以及异常流量判断模块四部分。设计的此检测模型能够在很大程度上保证网络流量检测的准确性和高效性。     

一种基于归一化流的地铁道床异常检测方法

通过检测和定位道床上的异常情况,可以有效地确保地铁车辆的安全。基于无监督的异常检测方法由于只需要通过正常图像进行训练,不需要太多难以采集的异常图像,因此得到了广泛的应用。综上所述,文中提出一种基于归一化流的无监督地铁道床图像异常检测和定位方法。将多层特征图交叉融合,以提升模型对图像特征的学习能力。建立地铁道床数据集,利用该数据集训练并验证模型实用性。在MVTec AD数据集上的实验结果表明,文中方法性能优于其他同类算法,与DifferNet和CS-flow相比,所提方法的AUC提高了0.109 3和0.021 8。在地铁道床数据集上,所提方法达到了95.95%的检出率和0.908 3%的误报率。这些结果表明了该模型对地铁道床异常检测的有效性,以及较好的泛化能力。这为人工智能替代人工巡检地铁道床异常提供了一种新的方法。     

一种基于大小流区分计数的公平抽样算法

针对一种草图指导公平抽样(SGS)算法对小流估计误差大的问题,该文提出一种基于大小流区分计数的包公平抽样算法(DCMFS),并给出哈希冲突对SGS算法估计误差影响的定量分析结果。DCMFS采用大小流区分计数器,对小流采用逐流精确计数,对大流采用哈希计数。理论分析及实际的数据仿真结果均表明,DCMFS算法对小流能够实现逐流精确统计,对大流的估计标准差接近公平抽样估计标准差理论值上限。算法采用不等长位宽计数器结构,保证其空间复杂度较SGS和自适应非线性抽样方法(ANLS)没有增加;引入计数器置换使得算法时间复杂度略有提高,但仍能满足10 Gbps线速处理要求。     

一种基于非参数统计理论的网络流量异常检测方法

提出了一种新的基于非参数高斯核函数分布的网络流量异常检测方法．与目前核函数应用于分类、神经网络、机器学习的方法和原理均不同,针对异常发生时流量出现的扰动,使用能显著反映流量形状变化的核带宽作为特征统计量,进行网络流量分析．实验结果表明,该方法能显著降低计算复杂度和误检率,提高检测率．     

面向非平衡数据分类的概率过抽样过滤方法

利用非合作博弈理论为概率过抽样合成的少数类数据决定其最可能的类标签,将数据中的非本类合成数据进行过滤,减少概率过抽样合成数据过程中产生的重叠数据,得到更高质量的少数类数据进而改善数据倾斜状况。实验分别以CART和SVM分类器建立模型,将本文提出的面向非平衡数据分类的概率过抽样过滤方法RACOG+F与原始概率过抽样方法分别在8个KEEL非平衡数据集上进行对比。实验表明,本文提出的方法在评价指标F-measure、G-mean和AUC上获得了较好的分类性能。     

一种基于Under-sampling的BGP异常流量检测方法

针对BGP数据中两类样本在分布上的非平衡性,本文引入Under-s锄pling算法对训练数据集进行预处理,结合SVM学习过程,通过改变SVM中训练集的样本分布来消除非平衡分布带来的不良影响.实验结果表明:引入Under-sampling算法,SVM有更好的分类效果,能更有效地检测出BGP异常流量.     

一种基于流量聚类性和切分性的改进异常检测模型

针对链路层异常检测中,由固定反馈时间点而导致的计算量积压以及大量无意义的采样流量数据等现象,提出了一种基于流量特征值的改进异常检测模型,重点探讨如何通过反馈计算机制实现周期内计算任务的合理优化和缩减采样数据。一方面,在对流持续时间的聚类性进行了深入分析并给出其可能聚类的最优簇基础上,将统一的反馈时间分散到各个聚类时间点;另一方面,基于流时序的可切分性对流量数据进行周期划分,并设计拟合函数对周期内流量特征进行量化表达。在此基础上,设计了改进反馈机制和异常检测算法流程。仿真实验表明,所提出的模型和算法不仅通过优化反馈计算时间提高了检测精度,而且通过降低采样数据冗余提高了检测效率。     

流量异常检测中的直觉模糊推理方法

针对网络流量特征属性不确定性和模糊性的特点,将直觉模糊推理理论引入异常检测领域,该文提出一种基于包含度的直觉模糊推理异常检测方法。首先设计异常检测中特征属性的隶属度与非隶属度函数,其次,给出基于包含度的强相似度计算方法并生成推理规则库,再次给出多维多重式直觉模糊推理规则,最后建立异常检测中的直觉模糊推理方法。通过对异常检测标准数据集KDD99的实验,验证该方法的有效性,与常见经典异常检测方法对比,该方法具有更良好的检测效果。     

基于网络流量统计分析的入侵检测研究

文章阐述了入侵检测系统的概念、组成、模型.然后详细综述了基于网络流量统计分析的入侵检测技术,以及研究的重点.最后分析了基于网络流量统计分析的入侵检测面临的问题和挑战,及可能的解决方案.     

基于精细流量的网络异常行为检测研究

随着Internet的快速发展和网络应用范围的不断扩大,网络日益遭受到了黑客更多的恶意攻击,计算机网络的安全问题已成为一个国际化的问题。面对诸多的挑战与威胁,入侵的检测与防范技术必然成为当前安全审计中的核心技术之一。文章首先介绍了异常检测的发展概况和相关技术,对常用的检测算法进行了分析和评价,为基于网络精细协议流量分析的网络异常实时检测方法的研究提供理论基础。     

基于时间分段的贝叶斯网络异常检测方法

论文提出一种将时间分段函数与贝叶斯统计模型相结合的方法来进行网络异常检测,该方法通过使用加入时间函数的贝叶斯统计模型来发现和判定网络中的异常,利用贝叶斯理论在解决不确定问题方面的优点与网络环境中流量随时间变化的函数相结合,来发现大量事件之间的联系,对系统行为进行分类,建立起异常入侵检测模型,通过这个模型能够分析判断网络异常行为的发生。通过将该方法加入到西安交大捷普的入侵检测系统中可以发现,该方法能有效提高检测网络异常的检测率。     

分布式隐蔽流量异常的多尺度空间检测

分布式异常流量（如DDoS等）分布式地存在于网络多条链路中,且单条链路的流量异常特征不明显,检测具有很大的难度。丈中提出一种分布式隐蔽异常流量的多尺度空间检测方法,可在网络中的骨干结点上进行早期检测,该方法对骨干网络结点上直接可得的多条链路流量分别进行多尺度小波包分析,找到不同时段下的异常频段,获取该时段下的多个异常重构信号,再从空间上通过核密度估计评估这些信号构成的高维空间点在该时段下的异常程度,作为检测依据。美国教育骨干网实际流量数据和合成的分布式异常流量检测结果表明：文中方法能取得比现有方法更好的检测结果。     

基于K—means聚类的网络流量异常检测

针对网络异常检测领域存在的漏报率和误报率较高的问题,提出一种基于K—means聚类的网络流量异常检测方法。选择了多个不同维度上的特征;计算各维特征在滑动窗口中的局部均值偏差,以保证在实时动态变化的网络中的检测准确度;利用由K—means聚类算法产生的检测模型对各维特征进行综合评判,有效地降低了漏报率和误报率。在网络流量数据集上对所提方法进行了验证并和已有方法进行了对比,所提方法在精度和效率方面取得了较好的实验效果。     

基于AR模型的网络异常检测

在网络流量管理中流量异常的一般检测方法是阈值监控，文章提出一种新的异常检测方法，选取适当的SNMP管理信息库变量，建立对相关变量的局部AR（自回归）模型，检测并分析一种服务器故障引起的流量异常，获得该故障的特征向量模型；该检测方法比阈值方法有更强的检测功能，并与传统GLR测试方法进行对比。     

基于随机分形与马尔可夫模型的网络流量异常检测方法

随着网络带宽的增加,加密技术的应用和IPv6设备的普及,基于网络数据包和网络协议分析的入侵检测技术不可避免的存在漏检率高且系统资源消耗大的问题.文章分析网络流量所具有随机性、自相似性和平稳性的特征,运用自相似性的随机分形和简化的马尔可夫模型的原理,提出了一种新的基于网络流量的异常检测方法.实验证明该方法能从宏观和微观上发现网络流量的异常情况,有效地提高异常检测率,并降低系统资源消耗.