入侵检测中的数据约简研究

为解决入侵检测中的数据约简问题,提出一种基于粗糙集的入侵检测数据约简算法,其中包括特征选择与属性值约简。特征选择部分采用互信息的方法消除冗余特征,属性值约简部分采用归纳值约简算法消除冗余属性值。实验结果表明,该方法不仅能缩短训练及检测时间,减小数据存储代价,还能提高分类精确度。     

基于EBP的宏观网络流量异常行为检测

针对以往Hurst指数估算方法在求解精度和实时性上的不足,提出将EBP引入到网络流量白相似特性分析中,对比实验表明EBP对Hurst指数的估算更精确、实时性更高。利用EBP的这一优势将其运用到宏观网络行为的在线实时分析和异常行为的检测中,对林肯实验室宏观网络行为数据的分析表明,正常行为和异常行为的Hurst分布曲线差异明显。与传统匹配方法相比,基于EBP的异常行为检测方法检测效率更高。     

基于宏观网络流相关性的DDoS攻击检测

针对现行分布式拒绝服务(DDoS)攻击检测方法存在检测效率低、适用范围小等缺陷,在分析DDoS攻击对网络流量大小和IP地址相关性影响的基础上,提出基于网络流相关性的DDoS攻击检测方法。对流量大小特性进行相关性分析,定义Hurst指数方差变化率为测度,用以区分正常流量与引起流量显著变化的异常性流量。研究IP地址相关性,定义并计算IP地址相似度作为突发业务流和DDoS攻击的区分测度。实验结果表明,对网络流中流量大小和IP地址2个属性进行相关性分析,能准确地区分出网络中存在的正常流量、突发业务流和DDoS攻击,达到提高DDoS攻击检测效率的目的。     

信任模型中搭便车节点的抑制

现有的信任机制虽然有效地遏制了P2P系统中节点的恶意攻击,但未考虑如何抑制内在的大量搭便车节点的存在,即高信任值节点向搭便车节点的转变。大量搭便车节点的存在,降低了P2P网络的健壮性及可用性,为此设计了基于时间窗口的信任模型,对距现在时刻越近的时间窗口给予的权重值越大。仿真结果表明,机制不仅能够有效抑制大量高信任值节点向搭便车节点的转变,而且与提出的其它方案相比,能够有效遏制节点近期内进行恶意攻击,并且节点的信任值会更高。     

基于分形特性的宏观网络流量异常分析

基于宏观网络流量汇聚的分形结构,从流量的全局标度指数和局部标度指数出发,对流量异常进行定性和定量分析.利用多分形奇异谱和Lipschitz正则性分布分析流量异常的分形参数,试图找出这些参数的变化轨迹与异常出现的对应关系.实验结果表明异常的发生在奇异谱和Lipschitz正则性分布中确实有明显的体现.基于此特性构建了新的多分形异常检测算法并设计了新的检测框架,对DARPA 1999年数据的实验表明,算法在低误报率的前提下,达到了较高的检测率,优于EMERALD算法.     

基于候选组合频繁模式的骨干网蠕虫检测研究

现有的网络蠕虫检测方法大多都是基于包的检测,针对骨干网IP流检测的研究较少,同时也不能很好地描述蠕虫的攻击模式。为此研究了一种在骨干网IP流数据环境下的蠕虫检测方法,通过流活跃度增长系数和目的地址增长系数定位可疑源主机,接着采用基于候选组合频繁模式的挖掘算法(CCFPM),将候选频繁端口模式在FP树路径中进行匹配来发现蠕虫及其攻击特性,实验证明该方法能快速地发现未知蠕虫及其端口扫描模式。     

Web日志中RCFA路径的挖掘方法

研究从Web日志中快速挖掘出可重复连续频繁访问路径的方法。针对现有挖掘算法存在的一些问题,将矩阵应用于挖掘过程中,给出CA矩阵的概念,并利用该矩阵来挖掘可重复连续挖掘频繁访问路径,从而无需多次扫描数据库,避免产生庞大的中间项,从一定程度上简化了挖掘过程。实验表明该算法的准确性和高效性。     

基于Hurst指数方差分析的DDoS攻击检测方法

研究分布式拒绝服务(DDoS)攻击对网络自相似性的影响,提出一种通过计算Hurst指数方差检测DDoS攻击的方法,通过使用MIT的林肯实验室数据进行试验,得出DDoS攻击的判决条件。实验表明,该方法能检测DDoS攻击引起的Hurst指数方差的变化,其检测率比传统的特征匹配方法高出8%,误报率比自相似性检测方法低了3%。     

基于重尾特性的SYN洪流检测方法

单独以SYN/TCP值判断网络是否发生SYN洪流攻击的检测效率较低,且SYN 洪流攻击不能模拟正常网络流量的重尾分布特性。该文提出将SYN/TCP的统计阈值和流量重尾特性相结合来检测SYN洪流攻击的方法,并用MIT的林肯实验室数据进行了实验。实验证明该方法简便、快捷、有效。     

基于高斯混合模型的流量矩阵估算研究

针对源-目的流量估计解的不稳定性和求解方法的复杂性,提出一种基于高斯混合模型的流量矩阵估算算法,它充分利用高斯混合模型的物理意义,使数据聚类的次数减少,并利用Expectation-Maximization算法估算出模型的参数,提高求解的稳定性。实验结果证明了该方法的有效性。