基于OpenFlow的SDN网络环境下DDoS攻击检测系统

为了在软件定义网络(SDN)环境中有效解决分布式拒绝服务攻击(DDoS)的问题,提出了一种主被动结合、统计流表特征的DDoS攻击检测方法.利用SDN网络架构在部署DDoS攻击检测系统方面灵活和多维度的特点,通过控制器从大量的网络设备中早期发现受害主机,并有针对性的进行攻击检测.首先通过packet_in消息被动统计作为预判,进而下发监控流表进一步细粒度统计特征,并利用XGBoost算法构造异常检测分类器进行分类攻击.最后在OpenDayLight控制器中实现了上述DDoS攻击检测系统,并在Mininet网络中进行了评估验证.结果表明,这种检测方法可以高效定位出遭受DDoS攻击的网络设备并检测出受害主机,XGBoost算法应用在此场景中可以在保证检测率的同时发挥其处理效率高的特性,适用于此系统.     

基于并行积累排序算法和主动学习的DDoS攻击检测

为了在高速网络环境下对大容量网络流量进行准确和快速的分类,以检测分布式拒绝服务(Distributed Denial of Service,DDoS)攻击,本文提出一种基于并行积累排序算法和主动学习的DDoS攻击检测算法.该技术采用并行积累排序算法对流量特征进行积累排序来选择最佳特征子集,通过专家模块以无监督的方式选择适当的实例来训练用于检测DDoS攻击流量的支持向量机(SVM)二值分类器,从而实现从数据集中选择小批量训练样本来产生高精度的网络流量分类.实验结果表明,与现有方法相比,本文算法在分类准确率和执行速度方面均优于现有方法.     

SDN环境下基于目的IP地址熵的DDoS攻击检测与易损机制研究

在软件定义网络(Software-Define Networking,SDN)环境下,分布式拒绝服务攻击(Distributed Denial of Service Attacks,DDoS)产生时,交换机中流表项大量增长,同时产生大量的PACKET＿IN消息发往控制器,导致控制器阻塞,从而影响了整个SDN网络.因此,本文提出了一种基于目的 IP地址的信息熵检测与易损评判机制相结合的模型,通过统计窗口内目的 IP地址的信息熵变化,检测SDN网络是否受到DDoS攻击,对于检测出的异常流量,进行目的 IP地址的易损评判,判断其是否易受到DDoS攻击.仿真实验表明,熵值检测模块在25%的攻击速率下检测率达到98%,误警率为2%.易损机制判断模块能在攻击发生初期迅速发现攻击并及时关闭端口,丢包率下降至3.6%,降低了攻击对SDN网络的影响.     

SDN环境下基于支持向量机的DDoS攻击检测研究

软件定义网络(Software-Defined Networks,SDN)提出了全新的架构思想,但控制器易受分布式拒绝服务(Distributed Denial of Service,DDoS)的攻击导致资源耗尽.针对上述问题,提出了一种SDN环境下基于支持向量机(Support Vector Machine,SVM)的DDoS攻击检测算法—RF-SVM(Random Forest-SVM).首先,根据DDoS攻击和分类特点结合数据包头信息选择关联的六维特征;然后,利用随机森林计算特征权重并筛选特征,得到一个最优特征子集;最后,采用SVM算法检测DDoS攻击,以达到较好的分类性能.在相同场景的实验结果表明:RF-SVM算法比SVM算法和RF算法具有更高的检测率、查全率和F1值.     

基于流连接密度的分布式拒绝服务攻击检测

分析了分布式拒绝服务(DDoS)攻击的特点,定义了能够反映DDoS攻击所引起的网络流量变化特点的流连接密度(FCD)概念,并证明了FCD时间序列的非平稳特性.据此,提出了一种基于FCD的DDoS攻击检测方法,该方法通过拟合FCD时间序列的自适应自回归模型,将FCD序列转换为多维空间的向量序列,然后使用经过样本训练的K最近邻分类器进行攻击识别.实验结果及分析显示,该检测方法能够有效检测DDoS攻击,误报率低于4 3%,并能够对流量数据进行在线处理,实现DDoS攻击的在线检测.     

基于网络连接统计的分布式拒绝服务攻击检测

分析了分布式拒绝服务(D istributed D en ial of Serv ice,DDoS)攻击原理及其攻击特征,提出了一种基于网络连接统计的DDoS攻击检测方法。该方法利用DDoS攻击的固有特性,从网络连接数据的统计分析中探寻系统正常行为的特征分布,建立DDoS攻击检测模型。通过模拟攻击实验验证了检测方法的可行性。实验结果表明:该方法能快速有效地实现对DDoS攻击的检测,并对其他网络安全检测研究具有一定的指导意义。     

基于组合相关度的随机森林DDoS攻击检测方法

提出了一种基于组合相关度的随机森林(random forest,RF) DDoS攻击检测方法.根据攻击流的非对称性和半交互性定义网络流组合相关度(combination correlation degree,CCD),该相关度以地址相关统计(address correla-tion statistics,ACS)特征以及单向流半交互度(unidirectional flow semi interaction,UFSI)二元组来描述网络流的特点.然后提出基于CCD特征序列的遗传算法对RF中决策树的最大数量和最大深度两个关键参数进行优化,对参数优化的RF模型进行训练以生成分类模型来检测攻击.实验结果表明,与同类方法相比,该方法具有较高的准确率、较低的误报率和漏报率及较好的鲁棒性,适用于大数据下检测DDoS攻击.     

SDN环境下基于支持向量机的DDoS攻击检测研究

软件定义网络（Software-Defined Networks,SDN）提出了全新的架构思想,但控制器易受分布式拒绝服务（Distributed Denial of Service,DDoS）的攻击导致资源耗尽. 针对上述问题,提出了一种SDN环境下基于支持向量机(Support Vector Machine,SVM)的DDoS攻击检测算法—RF-SVM(Random Forest-SVM). 首先,根据DDoS攻击和分类特点结合数据包头信息选择关联的六维特征;然后,利用随机森林计算特征权重并筛选特征,得到一个最优特征子集;最后,采用SVM算法检测DDoS攻击,以达到较好的分类性能. 在相同场景的实验结果表明:RF-SVM算法比SVM算法和RF算法具有更高的检测率、查全率和F₁值.     

基于组合分类器的DDoS攻击流量分布式检测模型

针对传统攻击流量的集中式检测模型中可扩展性差,检测效率低以及误报率高等问题,设计了针对DDoS攻击流量的随机森林分布式检测模型,该模型包括数据采集模块、数据预处理模块、分布式分类检测模块和报警响应模块.将该模型与基于Adaboost算法的分布式检测方法进行比较,并通过实验研究验证了模型的有效性.结果表明:基于随机森林的组合分类器分布式检测模型具有更高的检测率、正确率、精确率以及更低的误报率,并且该模型部署灵活,适用于工程实践.     

基于BP神经网络的DDoS攻击检测研究

分布式拒绝服务攻击(DDoS)是如今常见的网络威胁之一,DDoS攻击易被发动却很难追踪与防范.在神经网络快速算法基础上,首先系统分析国内外DDoS攻击检测理论、方法与大量数据集,构建了基于数据包长度,数据包发送时间间隔以及数据包长度变化率等六项特征的攻击流量特征模型;其次通过大量尝试提出对神经网络误差调整参数进行优化的方法;最后基于加州大学洛杉矶分校数据集(UCLA CSD Packet Traces)进行了参数改进前后的攻击检测对比实验.实验表明,本文提出的方法能有效提高DDoS攻击检测率,且具有较好的泛化能力.     

基于贝叶斯的Web系统DDoS攻击行为检测机制

提出一种基于贝叶斯的针对Web系统DDoS攻击行为检测机制,利用站长统计工具得到Web系统访问数据,引入贝叶斯定理,计算可能发生DDoS攻击的概率.实际测试表明,该机制能够有效判断是否存在针对Web系统的DDoS攻击行为,并能激活防御策略,切断无访问深度且停留时间过长的连接.     

基于隐马尔可夫模型的电力信息系统动态威胁定量分析

针对典型电力信息系统的网络威胁定量评估问题，提出了基于网络入侵检测系统（network intrusion detection syetem，NIDS）报警信息和隐马尔可夫模型的网络威胁动态分析方法HMM-NIDS。该方法充分利用NIDS报警信息，从优先级、严重度、资产值和可信度4个方面分析NIDS报警信息，给出了报警威胁定量描述和分类方法，优化了隐马尔可夫模型中的观测矩阵；基于贝叶斯网络分析攻击成功的可信度，避免NIDS误警信息干扰；基于改进的隐马尔可夫模型，融合得到系统的动态风险量化值。基于Darpa2000实验场景模拟DDoS攻击，通过对比实验，验证了所提方法的有效性和优越性。     

基于Web访问路径的应用层DDoS 攻击防御检测模型

为了提高防御应用层分布式拒绝服务攻击的有效性、时效性和准确性,对应用层DDoS攻击的演化、模式,以及攻击者的攻击路径和攻击行为进行深入研究。提出一种基于Web访问路径的防御检测模型,根据访问路径轨迹、攻击行为特点和网站链接规则,建立请求路径、请求分布、路径循环、行为时隙和路径长度5种异常检测模型。通过计算合法用户访问网站时的正常值以及具有攻击行为用户的实时异常值偏离程度,可判定是否遭到应用层DDoS攻击。防御模块依据用户非法值大小选取最佳防御策略,抵御应用层DDoS攻击,实现网站数据安全与计算机安全。实验采用真实日志数据进行训练,向实验网站发动5种不同类型的应用层DDoS攻击。结果表明,防御检测模型能在短时间内准确辨别具有攻击行为的用户,并联合防御模块抵抗针对Web服务器的DDoS攻击,能够实现实时检测、实时防御,有效降低误报率。所提出的检测模型可以对路径长度进行监控,提升了异常判定的准确性和可靠性,有效提高了Web网站防御DDoS攻击的能力。     

SDN中基于条件熵和决策树的DDoS攻击检测方法

软件定义网络（software defined network,SDN）作为一种新型网络架构,其转控分离及集中控制的架构思想为网络带来了显著的灵活性,同时为感知全局网络状态提供了便利。分布式拒绝服务攻击（distributed denial of service,DDoS）是一种典型的网络攻击方式。针对SDN网络中进行DDoS攻击检测的问题,提出了一种基于条件熵和决策树的DDoS攻击检测方法,利用条件熵判断当前网络状态,通过分析SDN中DDoS攻击特点,提取用于流量检测的6项重要特征,使用C4.5决策树算法进行网络流量分类,实现对SDN中的DDoS攻击的检测。实验表明,相比于其它研究方法,文中提出的方法不仅具有较高检测精确率和召回率,而且明显缩短了检测时间。     

基于ME-ANet模型的糖尿病视网膜病变分级

糖尿病视网膜病变(Diabetic Retinopathy，DR)是一种致盲率很高的眼科疾病。不同病变等级的视网膜图像之间差异小且病灶点分布无规律。针对现有深度模型对DR中的相似病灶点识别率低，严重影响模型分类精度的问题，本研究以深度学习为基础，构建新的模型架构进行训练，提出一种集成MobileNetV2和EfficientNetB0深度模型的注意力网络：ME-ANet。模型集成分为头部和主干两部分，将深度模型的浅层部分融合构成网络的头部，训练时采用迁移学习的策略对网络模型参数进行初始化，减少训练中的过拟合问题。主干部分利用上述两种模型的核心结构，设计3个阶段集成模块进行特征提取。同时设计全局注意力机制(Global Attention Mechanism，GAM)并分别嵌入到3个阶段的集成模块中。模型的改进加速了网络的收敛速度，该网络模型实现了对图像浅层信息的特征融合提取，减少了微病灶特征信息在训练过程中的卷积丢失问题，模型的分类精度进一步得到改善。通过模型集成构建特征提取主干网络，提高了模型对低级特征信息的学习，注意力机制抑制非病变特征信息，强化典型病灶特征学习，从而实现细粒度分类，进一步提升了模型的分类性能。     

基于改进YOLOv4输电线关键部件实时检测方法

针对输电线路维护过程中的典型缺陷识别问题,为提高无人机(unmanned aerial vehicle, UAV)自主巡检的智能化程度,提出基于改进YOLOv4的无人机输电线关键部件实时检测模型。根据无人机视角下输电线典型目标的特点,结合MobileNet重新设计了一种轻量的特征提取网络来获取更高的特征提取效率,利用空洞模块增强感受野减少小目标的信息损失;在特征融合模块中添加自适应路径融合网络来融合更多的位置信息和语义信息,提高了多尺度目标的检测精度,减少了目标的误报率。采用构建的无人机输电线关键部件数据集来评估提出的模型。结果表明:基于YOLOv4改进的网络能够在无人机机载端实现实时多尺度目标检测,模型的平均准确率可达到92.76%,检测速度可达到32帧/秒,能够满足无人机嵌入式平台上实时检测的需求。     

基于灰度图像转化的时间型隐蔽信道检测方法

时间型网络隐蔽信道是一种隐蔽性极高的信息泄露方式.其作为APT攻击的主要通信手段,对网络安全产生了极大威胁.目前针对隐蔽信道的检测方法通用性不足、误检率高,且人工提取流量特征耗时耗力.本文提出了一种基于灰度图像转化的检测方法.该方法将报文到达时间间隔归一化,转换成像素值,再将其转为灰度图像,由此把一维序列分类问题转成二维图像分类问题.本文使用卷积神经网络自动获取图像特征,并利用卷积块注意力模块,从空间与通道两个维度进行特征自适应优化.本文用合法流量和隐蔽信道流量组成的数据集训练网络,所得到的二分类模型用于判别被检测流量是否为时间型隐蔽信道流量.最后将提出的方法与现有的4种检测方法做对比.实验结果表明,本文方法具有更高的精确率和召回率,所得模型的通用性更好且误检率更低.     

基于注意力机制和特征融合的网络威胁情报技战术分类研究

在威胁情报包含的信息中,与网络攻击相关的战术、技术、程序（TTPs）是最能刻画组织行为的关键信息。但是,TTPs信息抽象层次高,并且通常存在于语法结构不规则的网络威胁情报文本中。这导致传统的人工分析方法以及基于特征工程的机器学习方法难以快速有效地从中分类出TTPs。使用单一的深度学习特征提取器则因无法提取文本语意中完整的邻域特征和序列特征,导致技战术分类精度低。 针对上述问题,本文提出一种基于注意力机制和特征融合的深度学习模型：ACRCNN,用于网络威胁情报中的战术与技术的分类。该模型通过卷积与循环神经网络同时提取网络威胁情报文本中的邻域与序列信息,再由卷积层与池化层进行深层次的特征抽取与降维,完成特征融合。然后,通过注意力层完成特征加权,最终经由全连接层完成战术与技术的分类。实验结果表明,ACRCNN在战术、技术分类任务中表现优异,在F1指标上达到了91.91%、83.86%,对比现有模型,分别提高了2.46%和4.94%。     

基于软件定义网络的DDoS攻击检测方案

分布式拒绝服务(distributed denial-of-service,DDoS)攻击是网络中的常见威胁,攻击者通过向受害服务器发送大量无用请求使正常用户无法访问服务器,DDoS逐渐成为软件定义网络(software-defined networking,SDN)的重大安全隐患。针对SDN中DDoS攻击检测问题,提出了一种粗粒度与细粒度相结合的检测方案,使用队列论及条件熵作为到达流的粗粒度检测模块,使用机器学习作为细粒度检测模块,从合法包中准确检测出恶意流量。实验表明,在使用Mininet模拟SDN网络的环境中,方案可准确检测出DDoS攻击。