基于Hurst参数评估的网络异常检测方法的研究

真实的网络流量普遍存在统计上的自相似性,因此传统的基于泊松过程和马尔科夫模型等已不能反映实际测量的流量.针对传统检测方法存在的问题,将基于Hurst参数评估应用到DoS攻击检测中,由H参数变化来检测DoS攻击.通过分析DARPA 1998入侵检测数据表明,基于该法的Hurst参数评估能够检测到DoS攻击,此法比传统的基于特征匹配的网络流量异常检测法在检测精度上有较大提高.     

基于Hurst指数方差分析的堡垒机攻击检测方法

为了有效解决网络安全隐患问题,提出一种基于Hurst指数方差分析的堡垒机攻击检测方法。优先提取堡垒机攻击信号的Hurst指数,同时构建近似仿真Lorenz混沌含噪信号,通过Hurst指数方差分析方法中的小波系数方差对信号分解,分析噪声方差在不同层小波系数上的分布规律,确定小波系数对应层的阈值系数,完成堡垒机攻击信号去噪处理。然后通过聚类和样本相似度区间的方式将训练样本集划分为多个子集,将全部训练子集分别输入到SVDD模型中,同时训练分类器决策边界,实现堡垒机攻击检测。最终经过大量实验测试证明,所提方法可以准确检测堡垒机攻击。     

一种基于Hurst参数的SYN Flooding攻击实时检测方法

提出了一种轻量级的源端DDoS攻击检测的有效方法.基于Bloom Filter技术提取网络数据包中新的可疑源IP地址出现的次数,然后使用实时在线VTP方法进行异常检测,不仅能够实时检测出DDoS攻击的存在,而且能够避免因为网络数据流量的正常突变引起的误报.从实验结果可以看出,该方法还能够发现大流量背景下,攻击流量没有引起整个网络流量显著变化的DDoS攻击.     

基于Hurst指数方差分析的DDoS攻击检测方法

研究分布式拒绝服务(DDoS)攻击对网络自相似性的影响,提出一种通过计算Hurst指数方差检测DDoS攻击的方法,通过使用MIT的林肯实验室数据进行试验,得出DDoS攻击的判决条件。实验表明,该方法能检测DDoS攻击引起的Hurst指数方差的变化,其检测率比传统的特征匹配方法高出8%,误报率比自相似性检测方法低了3%。     

基于支持向量机和Hurst指数的集成入侵检测研究

提出了一种将SVM算法与Hurst指数相结合的入侵检测方法—集成入侵检测。DARPA上的测试结果表明,该方法不仅能够发现网络中已知的攻击,还能够确定网络中未知的攻击,提高了入侵检测的效率。     

基于小波的Hurst指数自适应估计方法

对局域网和广域网上大量突发网络流量的分析结果表明,网络流量普遍存在着自相似性和长相关性,其中Hurst指数是表征网络流量突发特性的重要参数.通过在小波域内对网络流量这种特性的分析,给出了其小波系数的本质和统计特性.针对基于小波的Hurst指数估计方法的自适应问题,结合方差分析给出了一种有效的解决方法,从而提出了自适应的参数估计方法,并且该方法在一般意义上是无偏的.分形高斯噪声和真实突发网络数据的仿真结果均表明,自适应方法比传统估计方法具有更高的估计精度,能够自适应地选择最优尺度区间,而且仅具有O(N)的计     

基于EEMD与DFA的Hurst指数估计

去趋势波动分析(DFA)是一种研究时间序列长相关幂律特性的简单而有效的方法,其中关键的去趋势步骤就是获取序列在不同时间尺度上的局部波动函数.提出采用整体平均经验模态分解(EEMD)确定局部趋势项,去趋势操作通过移除基于EEMD的局部趋势项完成,从而给出了一种基于EEMD的DFA方法,并将其用于时间序列的Hurst指数估计.采用分形高斯噪声(FGN)和真实网络流量数据的仿真结果表明,该方法具有较好的估计效果,相比于基于EMD的DFA估计法,具有更高的估计精度.     

基于Hurst指数的火电机组控制系统性能评价方法

为了提高火力发电控制系统的控制品质,针对传统性能评估方法对被控对象数学模型的依赖问题,提出了一种基于Hurst指数的控制系统性能评价方法.该方法基于火电机组控制系统的常规运行数据,首先采用Hurst指数分析数据、划分系统性能等级,针对不同的性能等级给出了不同的控制器参数优化方案;然后通过MATLAB/Simulink模...     

基于IR/S的软件定义网络流量异常检测算法

传统重标极差分析法(Rescaled Range Analysis,R/S)检测软件定义网络(SDN,Software Defined Network)流量是否存在异常时,某节点的网络流量序列存在恒定值小区间内子序列全为零值,造成标准差为零的运算错误,为了解决这个问题,文章提出了一种改进的重标极差法(Improvement Rescaled Range Analysis,IR/S)。算法利用微元法分析法,确定一组可用的参数,将参数引入计算数据流量序列Hurst指数,并将待计算的数据流量序列等分,同时规定序列长度为2的整数次幂,分别计算R/S值,通过拟合来判断是否存在异常流量情况。改进后的方法能够达到均分子序列的要求,无需计算序列的因数,使计算过程更加简化,避免了某些长度序列因数过少、素数长度导致的拟合点过少无法收敛的现象,减少了由计算结果精确度带来的误差。将算法在Mininet环境下进行虚拟SDN仿真测试,实验结果表明,文章中的方法能够较显著区分正常与异常流量,并且在探测异常时延迟较低。     

基于小波变换与EMD的快速Hurst指数估值

网络业务具有自相似性。为了有效地对自相似数据业务流进行控制、管理与疏导,必须快速获得业务流的Hurst参数。该文通过分析自相似业务流的特性,在研究小波分解、经验模态分解和R/S估值过程的基础上,提出一种快速(数据量每减少50%,估值时间减少85.7%)、高精度的Hurst指数估值方法,可直接用于网络业务的实时监测、调度和路由仲裁。     

基于程序的异常检测研究综述

以程序正常行为描述方法为线索,将利用系统调用数据检测程序异常行为的各种技术分类为基于规范的方法、基于频率的方法、控制流分析方法、数据流分析方法。详细介绍了这些方法的基本思想、使用的各种模型以及最新研究进展,指出并分析了现有技术中存在的问题和不足,正式提出了基于程序的异常检测技术应该以各种服务器程序为研究对象的观点,介绍了一个经过初步实验验证了的、基于服务器程序运行踪迹层次结构的异常检测原型系统,该原型系统利用了服务器程序请求一应答式工作特征和一些关键系统调用的语义信息以及运行时的动态信息,通过结构模式识别技术在识别服务器程序正常行为过程中发现异常并具备分析异常、提供入侵相关详细信息的能力,而这种能力正是异常检测技术进一步研究发展的方向之一。     

基于异常的入侵检测技术研究

入侵检测是一个比较新的、迅速发展的领域,已成为网络安全体系结构中的一个重要的环节。本文介绍了入侵检测技术的基本概念和基于异常的入侵检测技术的原理,并结合现有的基于异常的入侵检测系统,重点分析了几种常用的异常检测技术,讨论了基于异常的入侵检测技术的优点和存在的问题。     

一种基于随机场模型的高光谱影像目标探测算法

利用随机场模型来描述像元的邻域相关性信息,利用这种相关性缩小待探测区域,然后将这种邻域信息引入到局域异常探测器中,提出了一种利用随机场模型引入能量函数和邻域信息的高光谱遥感影像局域异常目标探测算法.实验证明,该方法将光谱信息与空间信,包相结合,不但比传统算法的探测率更高,且可以更有效地探测出较大的异常目标,探测速度更快.     

基于危险模式的异常检测模型

阐述了危险模式的概况及运行机制,提出了一种基于危险模式的异常检测模型以及相关的算法。该模型通过分析实时系统调用序列中的危险信号,进而判断是否为入侵事件。实验结果表明,该方法具有较高的有效性和检测率。     

基于改进K均值聚类的异常检测算法

通过改进传统K-means算法的初始聚类中心随机选取过程,提出了一种基于改进K均值聚类的异常检测算法。在选择初始聚类中心时,首先计算所有数据点的紧密性,排除离群点区域,在数据紧密的地方均匀选择K个初始中心,避免了随机性选择容易导致局部最优的缺陷。通过优化选取过程,使得算法在迭代前更加接近真实的聚类类簇中心,减少了迭代次数,提高了聚类质量和异常检测率。实验表明,改进算法在聚类性能和异常检测方面都明显优于原算法。     

基于免疫遗传的软件衰退检测算法

本文吸取了免疫学的灵感，提出了一种新的方法来验证软件衰退的出现，也就是检测软件运行中的性能异常。这种方法结合了阴性选择算法和遗传算法，使用模糊逻辑产生模糊集来区分正常和异常的性能状态，使用了阴性选择算法充当过滤嚣来消除不舍法的检测子、降低搜索空间。最后使用Mackey-Glass时间序列产生的数据集和知名的UCI数据库的一组数据进行了仿真实验，来验证本方法的可行性和有效性。     

基于网络流量小波分析的异常检测研究*

网络流量是局域网和广域网的重要特征之一,小波分析能将复杂的非线性网络流量时间序列分解成不同频率的子序列.基于小波分解的思想,利用网络流量的自相似特性来对网络的异常行为进行检测,给出了根据网络流量自相似特征参数的偏差来检测攻击的方法,对不同分辨率下Hurst参数的变化进行了比较分析.在DARPA上的测试结果表明,该方法不仅能够发现网络中存在的突发性流量攻击,还能够确定异常发生的位置.     

基于多尺度特征融合的异常流量检测方法

快速、准确地检测异常是网络安全的重要保证。但是由于网络流量的非线性、非平稳性以及自相似性,异常流量检测存在误报率高、检测率低、不能满足骨干网实时性要求等问题。该方法综合了希尔伯特-黄变换(Hilbert-Huang Transform,HHT)和Dempster-Shafer证据理论(D-S evidence theory)评测框架。前者将不同的流特征分别分解为多时间尺度上的固有模态函数(Intrinsic Mode Function,IMF),滤除特征中的非线性、非平稳分量;后者将前者分解得到的多尺度特征作为证据融合并最终做出决策。通过对KDD CUP 1999的入侵检测系统(Intrusion DetectionSystem,IDS)基准数据的实验表明,该方法能有效区分突发流量(crowd flow)和拒绝服务攻击(Denail of service,DoS)攻击流,整体上在保证低误报率前提下检测率达到85.1%。目前该方法已经作为入侵检测的子模块实现,并试用于某骨干网入口处检测异常。     

基于Q-学习算法的异常检测模型

针对网络入侵的不确定性导致异常检测系统误报率较高的不足,提出一种基于Q-学习算法的异常检测模型(QLADM)。该模型把Q-学习、行为意图跟踪和入侵预测结合起来,可获得未知入侵行为的检测和响应。通过感知环境状况、选择适当行为并从环境中获得不确定奖赏值,有效地判断动态系统的入侵行为和降低误报率。给出了该模型框架和各模块的功能描述,经实验验证该模型是有效的。