共查询到20条相似文献,搜索用时 93 毫秒
1.
真实的网络流量普遍存在统计上的自相似性,因此传统的基于泊松过程和马尔科夫模型等已不能反映实际测量的流量.针对传统检测方法存在的问题,将基于Hurst参数评估应用到DoS攻击检测中,由H参数变化来检测DoS攻击.通过分析DARPA 1998入侵检测数据表明,基于该法的Hurst参数评估能够检测到DoS攻击,此法比传统的基于特征匹配的网络流量异常检测法在检测精度上有较大提高. 相似文献
2.
为了有效解决网络安全隐患问题,提出一种基于Hurst指数方差分析的堡垒机攻击检测方法。优先提取堡垒机攻击信号的Hurst指数,同时构建近似仿真Lorenz混沌含噪信号,通过Hurst指数方差分析方法中的小波系数方差对信号分解,分析噪声方差在不同层小波系数上的分布规律,确定小波系数对应层的阈值系数,完成堡垒机攻击信号去噪处理。然后通过聚类和样本相似度区间的方式将训练样本集划分为多个子集,将全部训练子集分别输入到SVDD模型中,同时训练分类器决策边界,实现堡垒机攻击检测。最终经过大量实验测试证明,所提方法可以准确检测堡垒机攻击。 相似文献
3.
4.
5.
6.
基于小波的Hurst指数自适应估计方法 总被引:4,自引:0,他引:4
对局域网和广域网上大量突发网络流量的分析结果表明,网络流量普遍存在着自相似性和长相关性,其中Hurst指数是表征网络流量突发特性的重要参数.通过在小波域内对网络流量这种特性的分析,给出了其小波系数的本质和统计特性.针对基于小波的Hurst指数估计方法的自适应问题,结合方差分析给出了一种有效的解决方法,从而提出了自适应的参数估计方法,并且该方法在一般意义上是无偏的.分形高斯噪声和真实突发网络数据的仿真结果均表明,自适应方法比传统估计方法具有更高的估计精度,能够自适应地选择最优尺度区间,而且仅具有O(N)的计 相似文献
7.
去趋势波动分析(DFA)是一种研究时间序列长相关幂律特性的简单而有效的方法,其中关键的去趋势步骤就是获取序列在不同时间尺度上的局部波动函数.提出采用整体平均经验模态分解(EEMD)确定局部趋势项,去趋势操作通过移除基于EEMD的局部趋势项完成,从而给出了一种基于EEMD的DFA方法,并将其用于时间序列的Hurst指数估计.采用分形高斯噪声(FGN)和真实网络流量数据的仿真结果表明,该方法具有较好的估计效果,相比于基于EMD的DFA估计法,具有更高的估计精度. 相似文献
8.
9.
《信息安全与技术》2020,(5):38-44
传统重标极差分析法(Rescaled Range Analysis,R/S)检测软件定义网络(SDN,Software Defined Network)流量是否存在异常时,某节点的网络流量序列存在恒定值小区间内子序列全为零值,造成标准差为零的运算错误,为了解决这个问题,文章提出了一种改进的重标极差法(Improvement Rescaled Range Analysis,IR/S)。算法利用微元法分析法,确定一组可用的参数,将参数引入计算数据流量序列Hurst指数,并将待计算的数据流量序列等分,同时规定序列长度为2的整数次幂,分别计算R/S值,通过拟合来判断是否存在异常流量情况。改进后的方法能够达到均分子序列的要求,无需计算序列的因数,使计算过程更加简化,避免了某些长度序列因数过少、素数长度导致的拟合点过少无法收敛的现象,减少了由计算结果精确度带来的误差。将算法在Mininet环境下进行虚拟SDN仿真测试,实验结果表明,文章中的方法能够较显著区分正常与异常流量,并且在探测异常时延迟较低。 相似文献
10.
11.
12.
以程序正常行为描述方法为线索,将利用系统调用数据检测程序异常行为的各种技术分类为基于规范的方法、基于频率的方法、控制流分析方法、数据流分析方法。详细介绍了这些方法的基本思想、使用的各种模型以及最新研究进展,指出并分析了现有技术中存在的问题和不足,正式提出了基于程序的异常检测技术应该以各种服务器程序为研究对象的观点,介绍了一个经过初步实验验证了的、基于服务器程序运行踪迹层次结构的异常检测原型系统,该原型系统利用了服务器程序请求一应答式工作特征和一些关键系统调用的语义信息以及运行时的动态信息,通过结构模式识别技术在识别服务器程序正常行为过程中发现异常并具备分析异常、提供入侵相关详细信息的能力,而这种能力正是异常检测技术进一步研究发展的方向之一。 相似文献
13.
基于异常的入侵检测技术研究 总被引:1,自引:0,他引:1
入侵检测是一个比较新的、迅速发展的领域,已成为网络安全体系结构中的一个重要的环节。本文介绍了入侵检测技术的基本概念和基于异常的入侵检测技术的原理,并结合现有的基于异常的入侵检测系统,重点分析了几种常用的异常检测技术,讨论了基于异常的入侵检测技术的优点和存在的问题。 相似文献
14.
15.
16.
基于改进K均值聚类的异常检测算法 总被引:1,自引:0,他引:1
通过改进传统K-means算法的初始聚类中心随机选取过程,提出了一种基于改进K均值聚类的异常检测算法。在选择初始聚类中心时,首先计算所有数据点的紧密性,排除离群点区域,在数据紧密的地方均匀选择K个初始中心,避免了随机性选择容易导致局部最优的缺陷。通过优化选取过程,使得算法在迭代前更加接近真实的聚类类簇中心,减少了迭代次数,提高了聚类质量和异常检测率。实验表明,改进算法在聚类性能和异常检测方面都明显优于原算法。 相似文献
17.
本文吸取了免疫学的灵感,提出了一种新的方法来验证软件衰退的出现,也就是检测软件运行中的性能异常。这种方法结合了阴性选择算法和遗传算法,使用模糊逻辑产生模糊集来区分正常和异常的性能状态,使用了阴性选择算法充当过滤嚣来消除不舍法的检测子、降低搜索空间。最后使用Mackey-Glass时间序列产生的数据集和知名的UCI数据库的一组数据进行了仿真实验,来验证本方法的可行性和有效性。 相似文献
18.
19.
快速、准确地检测异常是网络安全的重要保证。但是由于网络流量的非线性、非平稳性以及自相似性,异常流量检测存在误报率高、检测率低、不能满足骨干网实时性要求等问题。该方法综合了希尔伯特-黄变换(Hilbert-Huang Transform,HHT)和Dempster-Shafer证据理论(D-S evidence theory)评测框架。前者将不同的流特征分别分解为多时间尺度上的固有模态函数(Intrinsic Mode Function,IMF),滤除特征中的非线性、非平稳分量;后者将前者分解得到的多尺度特征作为证据融合并最终做出决策。通过对KDD CUP 1999的入侵检测系统(Intrusion DetectionSystem,IDS)基准数据的实验表明,该方法能有效区分突发流量(crowd flow)和拒绝服务攻击(Denail of service,DoS)攻击流,整体上在保证低误报率前提下检测率达到85.1%。目前该方法已经作为入侵检测的子模块实现,并试用于某骨干网入口处检测异常。 相似文献