首页 | 本学科首页   官方微博 | 高级检索  
相似文献
 共查询到18条相似文献,搜索用时 46 毫秒
1.
互联网控制报文协议(Internet Control Message Protocol,ICMP)实时地反映着网络的状态,当网络故障或受到攻击时,ICMP报文在整个流量中出现的概率,以及ICMP流量中不同类型的报文比例等特征都会发生变化.本文利用ICMP流量小的特点,并结合SDN架构中控制面可对ICMP流量进行集中观察的优势,采用SVM分类的方法,提出一种轻量级的异常检测机制以改善异常检测的实时性和准确性——AD-ICMP-SDN(Anomaly Detection Method based on ICMP Traffic for SDN).实验结果证明,AD-ICMP-SDN在检测准确率和误报率等指标上展现了较好的性能.  相似文献   

2.
采样是网络异常检测中数据采集的主要方法。而网络流的持续时间、数据包的大小、异常流量出现的频率等都在不断变化,给准确的采样带来很多负面的影响。为此,提出了特征感知的自适应采样技术,在流量特征不断变化的情况下可以自动调整采样率,并将它和随机采样技术、选择采样技术进行比较,研究了这些采样技术在网络行为分析系统中保留网络特征的能力,实验结果表明此方法在保留网络特征和异常检测质量评估中,明显优于其他方法。  相似文献   

3.
在高速Internet链路的流量测量中,包抽样技术能有效减少被测数据量以节省各种可用资源。文章关注如何提高流量突发和波动周期的抽样精度,提出了一种基于多波动尺度的两层包级自适应抽样方法。该方法能够根据当前流量的突发频度和波动性动态调节每包抽样概率,调节粒度精细。通过在真实流量跟踪下与静态随机抽样方法的对比,两层自适应抽样方法显示了较强的实时捕获流量速率的波动变化和改善抽样精度的能力。  相似文献   

4.
基于抽样测量的高速网络实时异常检测模型   总被引:25,自引:0,他引:25       下载免费PDF全文
程光  龚俭  丁伟 《软件学报》2003,14(3):594-599
实时异常检测是目前网络安全的研究热点.基于大规模网络流量的统计特征,寻找能够评价网络行为的稳定测度,并建立抽样测量模型.基于中心极限理论和假设检验理论,建立网络流量异常行为实时检测模型.最后定义ICMP请求报文和应答报文之间比率的网络行为测度,并实现对CERNET网络ICMP扫描攻击的实时检测.该方法和思路对其他网络安全检测研究具有一定的指导意义.  相似文献   

5.
基于模糊相对熵的网络异常流量检测方法可以在缺乏历史流量数据的情况下,通过对网络流量特征进行假设检验,实现对网络异常行为的检测发现。通过搭建模拟实验环境,设计测试用例对基于模糊相对熵的网络异常流量检测方法进行多测度测试验证,结果表明该方法在设定合理模糊相对熵阈值的情况下检测率可达84.36%,具有良好的检测效率。  相似文献   

6.
互联网异常流量行为会造成网页内容难以管理、吞噬网络带宽和传播病毒等危害.针对该问题,提出基于Bloom Filter(BF)算法的异常流量检测方法.以点对点(P2P)流量为检测对象,分析BF算法和传统的抽样方法,研究P2P流量常见的特征行为,统计其属性组合,并基于BF算法和抽样方法对异常流量行为进行检测.实验结果证明,该方法能加快异常流量行为的检测速度,提高检测准确率.  相似文献   

7.
黄华 《计算机仿真》2012,29(5):159-162
研究物联网中节点数据异常的检测问题,提高检测的准确率。针对当物联网中的传感节点采集到的外界数据内容随机性较大,在数据存储形式、格式等特征上存在较大差异时,造成各个节点数据之间很难取得一致。传统方法检测无法准确根据差异信息建议统一待检测特征,造成检测的准确度不高的问题。为了解决这一问题,提出一种基于特征模糊聚类概率搜索的节点数据异常检测算法,通过计算节点数据与异常数据之间的特征模糊聚类概率,运用模糊概率因素判定非法节点数据。实验证明,改进方法能快速、完整地将检测节点异常数据,取得了理想的效果。  相似文献   

8.
基于自相似的异常流量自适应检测方法   总被引:3,自引:2,他引:1       下载免费PDF全文
根据异常流量对网络自相似的影响,通过研究在流量正常和异常情况下表征自相似程度的Hurst 参数分布特点的不同,设计一种异常流量动态自适应检测方法。该方法采用小波分析估计Hurst参数,根据网络自相似程度自适应地调整检测阈值。对MIT林肯实验室的入侵检测数据测试结果表明,该检测方法具有较好的动态自适应性、较高的检测率及较快的检测速度。  相似文献   

9.
本文提出了基于分布式用户数据流的网络安全审计系统的总体框架,介绍了两种异常流量检测方法,并给出了检测异常流量的各项指标。基于异常流量的检测指标,根据中心极限定理,使用采样统计方法刻画出正常网络的基线。参照该基线和对蠕虫特征进行匹配检测出异常流量,并进行预警。  相似文献   

10.
高速网络中,流量抽样测量技术是一种重要可扩展的解决方案,其中NetFlow在流量测量中有着广泛的应用。针对NetFlow的缺陷提出了一种基于业务流数量自适应的资源限制分组抽样算法,该算法结合 “分层抽样”的思想,把 “累积业务流数量”作为重要的参数,来自适应地调节抽样概率,该抽样方法简单、易于实现,平衡了资源的消耗量和准确性。并基于实际互联网数据进行了实验比较,结果显示:该方法具有简单性、自适应性、资源可控性的同时不会失去准确性。  相似文献   

11.
一种改进的自适应流量采样方法   总被引:1,自引:0,他引:1  
高速链路对实时网络流量监测提出挑战.由于流量采集分析设备性能的限制,采用精确、高效的采样方法进行流量监测分析已成为必然.最简单的固定概率采样能监测较大业务流,但往往忽略掉比例几乎超过80%的较小业务流.数据流算法可以实时高效采集高速链路数据,基于该算法的SGS(sketch guided sampling)采样技术可以实时准确估计流大小分布,但当采样速率增大到监测系统处理能力最大值时,该方法的准确性迅速降低.基于SGS方法,提出一种自适应实时网络流量的采样方法SRGS(sketch and resources guided sampling).该方法将监测系统处理能力作为采样概率调节的一个重要参数.实验结果显示,SRGS方法能够及时根据当前流大小和监测系统处理能力,调节数据包采样概率,准确性高于SGS方法.  相似文献   

12.
一种业务流自适应尽力采样方法   总被引:2,自引:1,他引:2  
基于业务流的网络流量监测是网络管理、运维、实现基于业务的计费、流量工程等的重要手段.精确、高效的采样技术是实现高速网络流量业务流监测分析的重要技术.基于分段采样思想提出一种尽力最优的自适应随机采样方法,实现特大业务流的精确估计,其中把监测系统本身的处理能力作为选择采样概率的参数.实验结果显示算法能够很好地调节采样概率,使得采样包速率基本等于预先设定的监测系统的处理能力.  相似文献   

13.
《Computer Networks》2007,51(13):3935-3955
With the ever increasing deployment and usage of gigabit networks, traditional network anomaly detection based Intrusion Detection Systems (IDS) have not scaled accordingly. Most, if not all IDS assume the availability of complete and clean audit data. We contend that this assumption is not valid. Factors like noise, mobility of the nodes and the large amount of network traffic make it difficult to build a traffic profile of the network that is complete and immaculate for the purpose of anomaly detection. In this paper, we attempt to address these issues by presenting an anomaly detection scheme, called SCAN (Stochastic Clustering Algorithm for Network Anomaly Detection), that has the capability to detect intrusions with high accuracy even with incomplete audit data. To address the threats posed by network-based denial-of-service attacks in high speed networks, SCAN consists of two modules: an anomaly detection module that is at the core of the design and an adaptive packet sampling scheme that intelligently samples packets to aid the anomaly detection module. The noteworthy features of SCAN include: (a) it intelligently samples the incoming network traffic to decrease the amount of audit data being sampled while retaining the intrinsic characteristics of the network traffic itself; (b) it computes the missing elements of the sampled audit data by utilizing an improved expectation–maximization (EM) algorithm-based clustering algorithm; and (c) it improves the speed of convergence of the clustering process by employing Bloom filters and data summaries.  相似文献   

14.
在线自适应网络异常检测系统模型与算法   总被引:1,自引:0,他引:1  
随着因特网等计算机网络应用的增加,安全问题越来越突出,对具有主动防御特征的入侵检测系统的需求日趋紧迫.提出一个轻量级的在线自适应网络异常检测系统模型,给出了相关算法.系统能够对实时网络数据流进行在线学习和检测,在少量指导下逐渐构建网络的正常模式库和入侵模式库,并根据网络使用特点动态进行更新.在检测阶段,系统能够对异常数据进行报警,并识别未曾见过的新入侵.系统结构简单,计算的时间复杂度和空间复杂度都很低,满足在线处理网络数据的要求.在DARPAKDD99入侵检测数据集上进行测试,10%训练集数据和测试集数据以数据流方式顺序一次输入系统,在40s之内系统完成所有学习和检测任务,并达到检测率91.32%和误报率0.43%的结果.实验结果表明系统实用性强,检测效果令人满意,而且在识别新入侵上有良好的表现.  相似文献   

15.
异常检测在现代大规模分布式系统的安全管理中起着重要作用,而网络流量异常检测则是组成异常检测系统的重要工具。网络流量异常检测的目的是找到和大多数流量数据不同的流量,并将这些离群点视为异常。由于现有的基于树分离的孤立森林(iForest)检测方法存在不能检测出局部异常的缺陷,为了克服这个缺陷,提出一种基于iForest和局部离群因子(LOF)近邻集成的无监督的流量异常检测方法。首先,改进原始的iForest与LOF算法,在提升检测精度的同时控制算法时间;然后分别使用两种改进算法进行检测,并将结果进行融合以得到最终的检测结果;最后在自制数据集上对所提方法进行有效性验证。实验结果表明,所提方法能够有效地隔离出异常,获得良好的流量异常检测效果。  相似文献   

16.
It has been increasingly important for Pervasive and Ubiquitous Applications (PUA) of the network traffic, especially anomaly detection which plays a critical role in enforcing a high protection level of the network against threats. In this paper, we present a network traffic anomaly detection method based on the catastrophe theory. In order to characterize the normal behavior of the network, we construct a profile of the normal network traffic by using an equilibrium surface of the catastrophe theory. When anomalies occur, the state of the network traffic will deviate from the normal equilibrium surface. Then, taking the normal equilibrium surface as a reference, we monitor the ongoing network traffic and we use a new index called as catastrophe distance to quantify the deviation. According to the decision theory, network traffic anomalies can be identified by the catastrophe distance. We evaluate the performance of our approach using the DARPA intrusion detection data set. Experiment results show that our approach is significantly effective on the network traffic anomaly detection.  相似文献   

17.
基于模糊数据挖掘和遗传算法的网络入侵检测技术   总被引:2,自引:0,他引:2  
文章通过开发一套新的网络入侵检测系统来证实应用模糊逻辑和遗传算法的数据挖掘技术的有效性;这个系统联合了基于模糊数据挖掘技术的异常检测和基于专家系统的滥用检测,在开发异常检测的部分时,利用模糊数据挖掘技术来从正常的行为存储模式中寻找差异,遗传算法用来调整模糊隶属函数和选择一个合适的特征集合,滥用检测部分用于寻找先前行为描述模式,这种模式很可能预示着入侵,网络的通信量和系统的审计数据被用做两个元件的输入;此系统的系统结构既支持异常检测又支持滥用检测、既适用于个人工作站又可以适用于复杂网络。  相似文献   

18.
Fuzzy adaptive predictive flow control of ATM network traffic   总被引:4,自引:0,他引:4  
In order to exploit the nonlinear time-varying property of network traffic, the traffic flow from controlled sources is described by a fuzzy autoregressive moving-average model with auxiliary input (fuzzy ARMAX process), with the traffic flow from uncontrolled sources (i.e., cross traffic) being described as external disturbances. In order to overcome the difficulty of the transmission delay in the design of congestion control, the fuzzy traffic model is translated to an equivalent fuzzy predictive traffic model. A fuzzy adaptive flow control scheme is proposed to avoid congestion at high utilization while maintaining good quality of service. By use of fuzzy adaptive prediction technique, the difficulties in congestion control design due to nonlinearity, time-varying characteristics, and large propagation delay can be overcome by the proposed adaptive traffic control method. A comparative evaluation is also given to show the superiority of the proposed method.  相似文献   

设为首页 | 免责声明 | 关于勤云 | 加入收藏

Copyright©北京勤云科技发展有限公司  京ICP备09084417号