基于流时间影响域的网络流量异常检测

针对如何提高网络流量异常行为检测准确率的问题,提出基于网络流时间影响域(TID)的网络流量检测模型.通过分析正常和异常情况下流量网络模型平均度的变化,构建了基于复杂网络平均度指标的网络流量异常检测算法.实验结果表明,基于网络流时间影响域的流量网络模型能合理地描述网络流量间的依赖关系,具有良好的检测性能,同时该网络模型仅需时间戳、源IP、目的IP三维网络特征即可实现,检测方法适用于绝大多数网络类型,检测效率优于其他网络流量异常检测方法,具有较高的普适性.     

基于时空融合深度学习的工业互联网异常流量检测方法

基于流量异常发现网络中的攻击行为具有普适性优势，而传统的异常流量检测方法难以适应大量复杂的工业互联网流量特征提取，针对此问题提出一种基于时空融合深度学习的工业互联网异常流量检测方法。对类别不平衡的流量数据进行预处理操作，以形成样本分布较为均衡的流量数据集;使用融合聚合残差变换网络和门控循环单元的深度学习模型从空间和时间维度上提取流量数据特征，实现时空融合的流量数据特征的综合提取;通过Softmax分类器对流量数据进行分类。实验测试结果表明，所提方法具有较高的准确率和F1值，分别可达到94.7%和95.47%。与传统的异常流量检测方法相比，所提方法提高了对工业互联网异常流量数据的检测指标，且模型的运行时间相对较短。     

利用残差分析的网络异常流量检测方法

针对网络异常流量检测中大数据小异常造成的难题,提出了一种新的基于残差分析的网络异常流量检测方法。从多个角度提取网络流量的特征属性,以准确刻画正常行为和异常行为之间的差异性。利用提取的特征属性构建属性矩阵,采用流之间的相似性构建邻接矩阵。使用属性矩阵和邻接矩阵构建网络异常检测模型,采用CUR矩阵分解方法重构属性矩阵得到主模式,对属性矩阵和重构的属性矩阵进行残差计算进而获得残差矩阵。对残差矩阵中的每一个流计算其残差,根据每个流的残差和预设阈值进行异常判定。采集了西安交通大学校园网流量数据进行实验,实验结果表明:所提方法在不需要任何先验知识的情况下能够使异常检测率达到90%以上;与其他异常检测方法相比,所提方法不仅具有较高的检测率,而且能够实现异常源定位。     

基于深度强化学习的工业网络入侵检测研究

为了有效识别工业网络环境中由多条异常数据共同组合的新型攻击,提出了一种基于深度强化学习的融合模型DQN-LSTM.该模型将流量数据的空间特征和时序特征相结合,展开异常检测.在公开的工控网络天然气工厂数据集上进行实验,DQN-LSTM模型在准确率和F1值上与SVM、CNN、LSTM、DQN等方法相比,本文模型的综合性能更好.     

变分自编码器和注意力机制的异常入侵检测方法

针对传统的机器学习算法在检测未知攻击方面表现不佳的问题,提出了一种基于变分自动编码器和注意力机制的异常入侵检测方法,通过将变分自编码器和注意力机制相结合,实现使用深度学习方法从基于流量的数据中检测异常网络流量的目标。所提方法利用独热编码和归一化技术对输入数据进行预处理;将数据输入到基于注意力机制的变分编码器中,采集训练样本中隐含特征信息,并将其融入最终潜变量中;计算原始数据与重建数据之间的重建误差,进而基于适当的阈值判断流量的异常情况。实验结果表明,与其他入侵检测方法相比,所提方法明显改善了入侵检测的精度,不仅可以检测已知和未知攻击,而且还可以提高低频次攻击的检测率。     

基于Linux LQL流量控制系统的研究与实现

在网络资源有限的情况下,为了高效的管理和分配网络带宽和限制网络中的异常流量,保证重要用户的通信畅通,通常需要实时的网络流量控制。普遍采用的方法是Linux Traffic Control(TC)命令+IPTABLES,但这种方法结构繁琐、效率低下。通过分析Linux网络流量控制原理和LQL库结构的基础上,经过对流量模型策略的重新设计、LQL库的扩充以及U32过滤器的改进,提出了一种基于LQL库的流量控制方法。该方法摒弃了传统方法中所运用的TC命令解析,netlink传输,内核空间执行的3层结构,而直接在Linux内核的框架下,采用LQL库直接对内核进行操控,并改进了相关U32过滤器以对IP段的流量控制,从而实现对系统的智能流量控制。实验表明,这种方法能够大幅度提高Linux内核和用户空间命令解析及传输的时间效率,减少设备延时,增强设备的实时性,同时保证带宽合理利用。     

基于LSTM流量预测的DDoS攻击检测方法

提出一种基于长短时记忆(LSTM)神经网络流量预测的分布式拒绝服务(DDoS)攻击检测方法.首先定义了IP数据包统计特征(IPDCF)来表征网络流特征,然后采用LSTM神经网络模型对IPDCF时间序列进行建模,且使用网格搜索和超参数最优法确定Dropout的值以缓解该模型的过拟合现象,最后建立基于IPDCF时间序列的LSTM模型来识别DDoS攻击.实验结果表明:该模型能够准确地预测正常网络流量变化趋势,识别DDoS攻击引起的异常;与同类方法相比,该方法能较早地检测DDoS攻击且漏报率和误报率更低.     

基于均值汇总模型的网络流量评估方法的研究

针对网络中出现突发流量异常现象,提出了一种基于均值汇总模型的网络流量评估方法,对采集的流量数据进行均值运算,消除异常数据,保留正常稳定数据.通过实验方法,采集网络设备流虽数据样本,对流量进行评估验证.实验结果表明:此方法可以较好的评估网络流量的实际状况.     

基于机器学习的网络流量分类算法

互联网应用的蓬勃发展产生了种类多样的网络流量。在网络技术不断进化的过程中,新型流量和流量加密技术的出现,使基于端口和基于有效载荷的传统网络流量分类算法的应用受到限制。为了实现对新型网络流量的自动分类,提出了一种基于机器学习的网络流量分类算法。通过选择特征属性和构建决策树模型,能够实现对流量级别的网络数据进行自动分类。使用网络流量分类领域的公开数据集进行训练和测试,并将测试结果与开源的机器学习平台Weka运行结果相比较,实验结果表明:所构建模型性能优良,在流量分类准确度与Weka平台相近甚至更优的前提下,大幅降低了建模时间,提高了网络数据分类的效率。     

基于信息增益的网络流量特征采集分析系统

随着Internet宽带网络应用的高速发展,其承载的业务越来越复杂,尤其是P2P应用占用了大量带宽,网络带宽扩充总是难以满足用户带宽需求不断上升的要求,如何远程监测网络流量并合理优化带宽分布成网络优化的关键技术。传统网管系统难以满足远程网络流量特征实时分析的需求,基于网络流量特征信息熵理论,建立了一种新的基于信息增益的远程网络流量特征采集系统。实验结果表明,该方法可以有效提高流量特征采集效率,实现远程流量特征的实时分析。     

基于BlueZ协议栈的蓝牙语音接入系统实现与性能分析

根据蓝牙"三合一电话"应用模型要求,通过内核配置、基础库和工具集的移植以及内核烧写等步骤,将蓝牙BlueZ协议栈移植到嵌入式ARM平台,编程实现了TCS Binary协议,研制完成了一种基于嵌入式蓝牙协议栈BlueZ的语音无线接入系统,包括嵌入式蓝牙语音网关和蓝牙语音终端.采用研制的蓝牙语音接入系统可以较好地将蜂窝网的话务量分流至PSTN中,利用话务模型对用户密集和蜂窝资源紧张的通信环境进行了仿真研究,结果表明蜂窝网呼损率显著下降,提高了PSTN的利用率,增加了由蜂窝网和PSTN组成的语音通信网的系统容量.     

基于Linux的网络流量控制机制

提出了一种基于Linux的流量控制模型,此模型内嵌于Linux内核,利用队列算法分类不同QoS需求的网络流量,可满足不同服务水平的QoS需求.经过多次实验证实,采用流量控制模型后的网络性能明显优于传统网络模型,而且对于后继的网络需求也能充分适应.     

基于深度学习的无线物理层关键技术研究综述

目前深度学习在通信系统的上层中得到了广泛应用,随着技术不断发展,深度学习正在向通信系统的底层推进。为解决传统算法计算效率低、复杂度高等问题,深度学习已经被应用到无线通信物理层关键技术中。对深度学习在无线通信物理层关键技术中的应用进行了综述性讨论,包括深度学习定义、深度学习神经网络介绍、基于深度学习的无线物理层关键技术等。分析表明,深度学习与无线通信系统之间存在结合点,在传统的通信模块或算法中加入用深度学习训练的可学习的参数是当前比较具有竞争力的一种设计方案,有必要对此进行深入研究。     

基于分形理论的网络流量异常检测技术

传统网络流量异常检测技术不能适应网络流量的复杂性,异常检测精度低,不能保证实时性,为此,提出一种新的基于分形理论的网络流量异常检测技术。通过FIR滤波方法对流量的时间序列进行预处理。采用Schwarz信息准则对网络流量异常检测问题进行处理,估测网络流量异常点数量与位置。采用R/S分析法求出自相似指数Hurst值,依据Hurst值对网络流量时间序列的分形特征进行分析。引入滑动窗口完成多网络流量异常点的检测,在检测异常点处对流量进行分形处理,依据自相似指数计算过程获取异常点间的流量自相似指数值,保存异常点之后的流量,为下一个流量异常点的检测提供依据。实验结果表明,所提技术实现过程简单,网络流量异常检测精度高,保证了实时性。     

一种基于少样本且不均衡的网络攻击流量检测系统

为解决网络攻击流量检测中使用的有监督学习方法严重依赖标签数据规模的问题,针对一种少样本且不均衡的攻击流量检测场景,即训练数据仅包含少量蜜罐捕获的攻击流量且无正常流量,设计了一个攻击流量检测系统,并构建了基于孪生网络和深度学习卷积神经网络(CNN)的网络攻击流量检测模型(CNN-Siamese),以实现少样本且不均衡的攻击流量检测目的;随后为了解决CNN-Simaese在训练样本对构造采样时造成的预测不稳定的问题,结合迁移学习的思路,构建了基于预训练的检测模型(AE-CNN-Siamese);此外,对孪生网络中常用的对比损失函数进行了改进. 实验结果表明:CNN-Siamese可以准确地检测攻击流量,与CNN、CNN-SVM相比,在漏报率无明显差距情况下,可将误报率从30%降低至2%;AE-CNN-Siamese的预测结果比CNN-Siamese更稳定;改进后的损失函数提高了模型的收敛速度,加速了模型训练.     

基于异常流量可视化的通信网络入侵攻击路径智能跟踪技术

为了解决通信网络的安全问题,防止通信网络被入侵,通过异常流量可视化方法研究了一种有效的通信网络入侵攻击路径跟踪技术。把流量采集点网卡设置成多样模式,对通信网络中的镜像流量进行采集。针对交换机上内外网间的端口流量,通过流量处理中心将不同网段采集点流量数据集合在一起统一处理,产生流量态势。针对采集及经处理后的流量,通过Set Timer()定时器函数发送消息,对消息进行处理,重绘窗口,实现流量可视化显示。将流量不对称性、SYN/ACK不对称性和方差过大作为异常流量特征参数,对异常流量进行检测。对流量异常入口进行限速处理,逐级向上进行限速,使得路径中已进行限速路由器下的全部路由器均限速,被标记的流量不会由于拥塞被删除。在减缓入侵的状态下通过异常流量,按照标记对攻击路径进行跟踪。结果表明,通过选择异常流量特征可有效检测异常流量;所提技术路径跟踪收敛速度与误报率比其他技术更低。可见,所提技术跟踪准确性好,整体性能优。     

IPv6技术及基于Linux平台IPv6协议栈的实现

简单介绍了IPv6的基本原理和特征,重点探讨了IPv6技术在Linux环境中的应用：对支持IPv6协议的Linux内核重新编译;并在此基础上设计了一套系统配置脚本;同时完成部分适合IPv6技术网络服务的配置。从而确保了在Linux操作系统中实现IPv6协议栈。     

基于混合生成网络的软件系统异常状态评估

针对现有软件系统异常状态评估方法过度依赖数据标注、对时序数据的时间依赖性关注较低和系统异常状态难以量化等问题,提出一种基于混合生成网络的软件系统异常状态评估方法.首先,通过对长短期记忆网络（long short-term memory network, LSTM）与变分自动编码器（variational auto-encoder, VAE）的融合,设计一种LSTM-VAE混合生成网络,并以该网络为基础构建基于LSTM-VAE混合生成网络的系统异常状态检测模型,由LSTM对系统数据的时序特征进行提取并由VAE对系统数据的分布进行建模.然后,由LSTM-VAE异常状态检测模型处理系统关键特征参数,获取系统关键特征参数的异常度量值.最后,利用耦合度方法对传统的线性加权和方法进行优化,通过加权耦合度优化方法计算得到软件系统异常状态的量化值,从而实现对软件系统的异常状态评估.实验结果表明,本文模型对软件系统的异常时序数据具有较好的检测能力,其对系统异常状态的评估结果更为合理、有效.