一种基于小波分析的网络流量异常检测与定位方法

根据网络流量在大时间尺度上的自相似性,以及在小时间尺度上异常流量、Lipschitz正则性与小波变换模极大值三者之间的关系,提出基于小波分析的网络流量异常检测方法.设计了采用该方法检测网络流量异常的模型,解决了方法实现过程中小波选择、模极大值曲线衰减判断、Hurst指数与Lipschitz指数求解等一些关键问题.实验表明,提出的方法能够较好的发现网络流量异常事件并定位异常发生时刻.     

基于网络流量小波分析的异常检测研究*

网络流量是局域网和广域网的重要特征之一,小波分析能将复杂的非线性网络流量时间序列分解成不同频率的子序列.基于小波分解的思想,利用网络流量的自相似特性来对网络的异常行为进行检测,给出了根据网络流量自相似特征参数的偏差来检测攻击的方法,对不同分辨率下Hurst参数的变化进行了比较分析.在DARPA上的测试结果表明,该方法不仅能够发现网络中存在的突发性流量攻击,还能够确定异常发生的位置.     

基于小波分析与信息熵的DDoS攻击检测算法

DDoS(Distributed Denial of Service)攻击检测方法中,基于网络流量自相似性的检测方法作为一种异常检测方法,对网络流量变化情况比较敏感,检测率较高,然而同时也存在误报率较高的问题。对传统自相似方法以及网络中可能引起流量异常的事件进行分析,在此基础上提出一种改进的检测算法WAIE。WAIE采用小波分析的方法计算网络流量的Hurst指数并引入信息论中的信息熵对源IP地址的分散程度进行度量,根据初始阶段Hurst指数及熵值的变化自适应地设定阈值以检测攻击的发生。采用MIT林肯实验室发布的数据集以及实验室环境下采集的数据集进行实验,实验结果表明该算法能准确检测到攻击的发生。     

基于层叠模型的网络流量异常检测方法*

进行网络流量异常检测,需要对正常流量行为建立准确的模型,根据异常流量与正常模型间的偏离程度作出判断。针对现有网络流量模型中自相似模型与多分形模型无法全面刻画流量特征的不足,提出了一种基于流量层叠模型分析的异常检测算法,采用层叠模型对整个时间尺度上的流量特征进行更准确的描述,并运用小波变换对流量的层叠模型进行估计,分析异常流量对模型估计的影响,提出统计累计偏离量进行异常流量检测的方法。仿真结果表明,该方法能够有效检测出基于自相似Hurst系数方法不能检测的弱异常以及未明显影响Hurst系数变化的异常流。     

网络自相似指数求解及应用

网络流量的自相似参数估计方法有多种,但研究表明这些方法在准确性或计算上都有一定的局限性.采用小波变换方法对网络流量数据进行分析,对影响小波变换求解自相似系数的关键问题进行讨论,对信号边界处理以及滤波器长度对Hurst指数求解精度的影响进行分析,指出为了在同样的信号数据长度的情况下,获得更大的分解尺度,滤波器长度应该越小越好,并给出了小波方法详细的实现算法.通过仿真实验和基于自相似理论的网络流量异常检测应用实例,证明了该方法的可行性和有效性.     

基于小波消噪和盲源分离的信号奇异点检测方法

研究工业过程故障诊断中的信号奇异点检测问题．采用结合小波消噪的盲源分离算法提取有用的源信号,在分析李氏指数和小波变换的极大值与信号奇异点的关系基础上,分析了信号奇异点检测所用的小波尺度及闯值选择方法．实例分析和比较表明,该方法的主要优势在于它对随机噪声的降噪效果明显,而且能有效地检测出信号的奇异点．     

一种基于Holder指数的DDoS攻击检测方法*

基于宏观网络流量汇聚的分形结构,从流量的全局标度指数和局部标度指数出发,对网络流量的分形特性进行分析。利用这一特性对网络异常流量的分形参数进行分析,试图找出这些参数的变化与DDoS攻击的对应关系。实验结果表明,真实的网络流量在大尺度上是渐进自相似的,在小尺度上表现出多重分形的特性。于是提出了基于Holder指数的变化来检测DDoS攻击,对DARPA 2000年数据的实验表明,这种方法能够快速、准确地检测到攻击。对于间歇式DDoS攻击,此方法比传统方法有效。     

基于小波的网络流量异常协同相变检测

针对网络流量表现出的非线性和非平稳性等复杂的动力学特征,提出一种基于小波的网络流量异常协同相变检测方法。该方法从网络流量时间序列的离散小波域出发,利用序参量的非线性动力学方程描述网络流量系统的复杂行为,采用势函数来刻画网络流量系统的非平稳相变过程,进一步分析了网络流量状态与各种攻击模式之间的变化关系,并通过协同学模型对网络流量序参量进行演化,当相应序参量收敛时,即可检测到相应的攻击模式或是正常流量模式。最后,采用了DARPA 1999数据集进行了实验测试,网络流量异常的平均检测率达到了90.00%,而平均误检率只有15.03%。实验结果表明,基于小波的协同相变方法可以用于网络流量异常检测。     

时间序列异常点及突变点的检测算法

针对传统突变点检测算法具有大延时的问题以及实际数据中同时含有突变点、异常点的实际情况,提出一种基于小波变换有效分数向量的异常点、突变点检测算法.该方法通过引入有效分数向量作为检测统计量,有效避免了传统检测统计量随着数据增多而无限增大的缺点;提出利用小波分析统计量的办法,有效地克服了传统突变点检测算法中存在大延时的缺陷;利用李氏指数及小波变换的关系,实现了在一个检测框架内同时在线检测异常点以及突变点,使得该检测算法更符合突变点及异常点同时存在的实际情况.仿真实验和性能比较结果证明了提出的异常点、突变点检测算法具有一定的有效性和实用性.     

阶跃型奇异点的小波检测

在检测实际系统信号问题上,阶跃型奇异点是一类重要的信号奇异点,针对检测和定位在许多实际问题上都有重要的意义。根据阶跃型奇异点的特征,证明了信号的阶跃奇异点与信号小波变换的最值有关,如果适当选择小波基函数,那么信号的阶跃奇异点将对应于信号小波变换的最值点。据此提出了一个利用小波变换最值的阶跃奇异点检测方法,并给出了小波基选择条件。最后利用上述方法对大量仿真信号及实际音频信号上的阶跃奇异点进行检测,结果表明研究有方法不仅有效可靠,而且具有计算简单,定位准确的特点。     

利用Lipschitz正则性对网络几类异常的分析

网络流量本质上属于非平稳的时间序列模型,很大程度上受到人的行为的干扰,这使得异常的检测变得极其复杂.探讨了异常现象、Lipschitz正则性与小波变换模极大三者之间的关系,总结出网络中几类常见的异常现象,并对其表现形式进行分析,得出它们的Lipschitz正则性和小波变换模极大衰减规律,最后为了验证此规律,对含有异常的几段真实流量进行分析.结果表明上述规律普遍存在,可以作为异常检测的依据.     

基于分组无关问题模型的隐私保护算法

针对分组无关问题模型存在隐私泄露的问题,提出一种改进的分组无关问题模型,采用随机响应的方法,通过对原始数据进行伪装变换处理,实现具有隐私保护的关联规则挖掘。实验结果表明,改进后的模型在伪装变换后的数据集上挖掘出的规则与原始数据规则相比,保证了低误差,具有较好的隐私保护性。     

基于自相似的异常流量自适应检测方法

根据异常流量对网络自相似的影响,通过研究在流量正常和异常情况下表征自相似程度的Hurst 参数分布特点的不同,设计一种异常流量动态自适应检测方法。该方法采用小波分析估计Hurst参数,根据网络自相似程度自适应地调整检测阈值。对MIT林肯实验室的入侵检测数据测试结果表明,该检测方法具有较好的动态自适应性、较高的检测率及较快的检测速度。     

基于动态阈值的网络异常检测

基于Hurst指数进行异常检测的模型多采用固定阈值的方法,不能很好的适应动态变化的网络环境.针对该问题设计了一种基于动态阈值的检测方法,该方法在采用Hurst指数分析的基础上,通过EWMA和滑动窗口模型控制有效数据的个数并根据网络的变化动态调整检测阈值,提高了模型的检测能力.实验结果表明,在采用动态阈值进行DDOS异常检测时具有较高的检测率.     

一种基于小波求解的DDoS攻击检测模型

分析了小波求解检测DDoS攻击的方法,提出了一种基于小波求解的DDoS检测模型。通过实时监控网络的数据流量,形成实时流量序列,动态的更新分解尺度,对网络流量序列的长相关性的特征值Hurst指数实时监控,以此来检测DDoS攻击。实验证明,该模型能实时有效地检测到DDoS攻击的发生,检测率和误检率都较好,耗时较短。     

一种基于Hurst指数的异常检测软件

根据Hurst指数变化发现异常是进行入侵检测的一种新思路。基于这样的思路,实现了一个异常检测软件。该软件通过数据包捕获,对数据进行特征提取,对特征进行时间序列划分,采用R／S和小波分析两种方法进行Hurst求解,最后根据求解的Hurst值判断异常。实际使用表明,基于Hurst指数的异常检测软件具有无需学习,检测快速的优点。     

一种基于超统计理论的非平稳时间序列异常点检测方法研究

从非平稳时间序列的分布函数及其参数入手,主要研究分布函数不变分布参数变化的这一类非平稳的时间序列异常点检测方法,提出了基于超统计的异常检测方法,并将其应用于非平稳网络流量时间序列。从网络流量的非平稳和突发性特点出发,特别考虑到由于攻击流量所引起的流量特性的变化,结合超统计理论,主要研究分布参量的变化。根据超统计的理论,先应建立分布统计模型,研究分布模型不同参数变化对分布的决定性作用,从而将异常网络流量的检测研究转化成对慢变量参数序列的检测研究。该检测方法大大降低了计算的复杂度。通过大量实验表明该方法具有良好的效果。