高速网络下基于负载均衡的协议分析的异常检测算法设计

研究了基于负载均衡技术的协议分析的入侵异常检测系统并建立了系统模型,提出了一种基于静态负载算法与动态负载算法的混合负载算法,该算法对网络数据包进行分流,能很好地保证同一源地址的同一类协议由同一服务器处理,并兼顾了所有服务器的负载均衡,能很好地发现并检测网络的异常行为与分布式攻击等,这样的改进优化了处理结果,提高了高速网络环境下入侵检测的准确性和有效性.     

Chi-square Distance在协议异常检测中的应用

针对Juan M提出的一种基于马尔可夫链的随机协议异常检测模型和评估方法存在的不足进行改进．改进后的模型增加了一些必要的状态，初始概率和转换概率更加精确．实验表明，将Chi—Square Distance和马尔可夫链方法相结合来检测协议异常，可克服原方法的不足，能有效检测到SYN Flooding攻击．     

基于人工免疫理论的异常检测动态模型研究

针对目前基于人工免疫理论的入侵检测系统表现出来的检测率低、误检率高的缺点.本文通过对免疫理论在入侵检测方面的研究,提出一种基于人工免疫理论的异常检测动态模型.该模型采用数据包报文协议分析策略,来应对不同协议报文对系统的攻击;增加了基因库模块,且采用多位点基因重组算法和随机动态生成检测器相结合的方式,使生成的检测器具有多样性和高效性,提高了检测效率.最后,该模型通过模拟仿真实验,并与r-连续位匹配改进算法、LISYS和DynamiCS的实验结果进行对比分析,验证了本文模型的可行性和有效性.     

基于Petri网的TCP协议异常检测模型

从面向连接的角度出发，以Petri网为工具，建立了TCP协议异常检测模型．该模型以TCP协议的状态变迁图为基础，并根据协议规范可对传输报文的标志位进行系统的分析，从而识别出标志位非法组合构成的畸形报文（FIN—RST报文）．模型中规定了各种状态下可接收的标志位集合，同时还细化了各状态下的超时异常，据此可准确地检测出各种异常，以抵御已知和未知的非法行为．利用该模型不仅可发现已知异常事件，还可对未知漏洞进行防范．通过实验发现，网络中的错误标志位报文、端口扫描以及DOS攻击产生的异常流量将占到总流量的10%以上．     

基于免疫的网络动态实时异常检测模型

网络异常检测已成为入侵检测系统发展的重要方向.现有异常检测模型对检测模式描述为一种静态方式,缺乏良好的自适应性和协同性,检测率低,难以满足高速网络环境下实时检测的需求.针对此,借鉴人体免疫系统优异的自学习自适应机制,提出了一种新的基于免疫的网络动态实时异常检测模型NAIM.该模型通过对检测模式进行动态描述,结合抗体细胞动态克隆原理,探讨种痘及疫苗分发机制,实现检测模式随真实网络环境同步演化,从而提高网络异常检测的准确性和及时性.     

基于模型共享的分布式无监督异常检测

提出一种具有通用性的分布式异常检测框架.首先,利用本地的无监督异常检测算法,建立多个本地检测模型;然后,将各个本地无监督检测模型转换成统一的共享模型;最后,采用集成学习的方法,综合考虑各模型差异性和准确性,实现全局异常检测.实验结果表明,基于模型共享的分布式异常检测不仅能有效地保护数据隐私,减少通信开销,同时能获得和集中式检测相当甚至在某些情况下更好的效果.     

基于数据挖掘的智能入侵检测系统模型及实现

入侵检测作为主动的安全防御技术,是计算机网络中继防火墙之后的第二道安全防线,是近年来网络安全领域的研究热点.研究了基于数据挖掘的网络入侵检测系统的建模及实现,建立融合简单规则、协议分析、数据挖掘分析为一体的模型,其中着重讨论了基于数据挖掘技术的网络入侵检测系统的实现方法.     

基于数据流异常挖掘的入侵检测系统设计

通过对入侵检测和数据流异常挖掘技术的研究,把数据流异常挖掘应用到入侵检测,成为目前入侵检测新的有效方法和研究热点.对基于数据流异常挖掘的入侵检测系统模型进行了设计,并对数据流异常挖掘算法进行了设计和实现,通过实验分析,取得了较好的效果.     

基于组合神经网络的启发式工控系统异常检测模型

为了提高工控系统入侵的检测率,讨论了传统工控入侵检测技术的原理,并从信息论的观点进行了对比研究.通过对工控系统特异性及其攻击手法的建模,归纳出工控攻击在协议栈、统计特性、通信行为等方面表现出的动态和静态指纹,基于一种新的异构信息的抽象方法,提出并实现了一个基于组合神经网络的启发式工控系统异常检测模型.测试结果表明该检测模型运行高效,相比一般智能方法检测结果更为准确.     

基于时间序列分析的网络流量异常检测

针对传统模型无法对网络流量异常进行准确识别和检测的问题,提出一种基于时间序列分析的网络流量异常检测模型.首先提取网络流量的原始数据,并对原始数据进行小波阈值去噪处理,消除干扰因素的影响;然后采用时间序列分析法挖掘网络流量数据之间的变化关系,建立网络流量异常检测模型;最后通过仿真实验验证检测模型的有效性和优越性.实验结果表明,时间序列分析法可以准确、及时地检测网络流量的异常行为,且结果优于目前其他网络流量异常检测模型.     

基于TCP状态有限自动机的入侵检测研究

入侵检测是一种重要的信息安全防御技术.基于TCP状态有限自动机的入侵检测是一种异常检测方法,它能发现违背TCP状态有限自动机的行为.描述了TCP协议中正常的连接状态转换关系,构造了TCP状态有限自动杌,给出了基于TCP状态有限自动机的入侵检测实现.     

基于支持向量机的网络流量异常检测

提出了一种基于支持向量机的网络流量异常检测方法.分析了支持向量机的基本原理,结合网络流量异常检测的特点,讨论了异常检测的特征选择问题;提出了网络流量对称性、TCP报文SYN和SYN/ACK对称性以及协议分布等具有鲁棒性的特征参数,描述了数据的预处理方法.测试结果表明,所选特征参数可有效地检测网络攻击导致的流量异常变化,说明基于支持向量机的检测方法具有较好的泛化能力.     

基于异常检测的入侵检测技术

对目前的异常检测技术进行了全面概述, 按照采用的不同技术将异常检测分为基于统计、 基于机器学习和基于数据挖掘3种, 阐述了各种异常检测技术的特征, 并描述了目前基于异常入侵检测系统用到的各种算法及其实现方法. 通过实验结果, 比较了各种算法的检测效果.     

Anomaly Detection System Based on Principal Component Analysis and Support Vector Machine

This article presents an anomaly detection system based on principal component analysis （PCA） and support vector machine （SVM）. The system first creates a profile defining a normal behavior by frequency-based scheme, and then compares the similarity of a current behavior with the created profile to decide whether the input instance is norreal or anomaly. In order to avoid overfitting and reduce the computational burden, normal behavior principal features are extracted by the PCA method. SVM is used to distinguish normal or anomaly for user behavior after training procedure has been completed by learning. In the experiments for performance evaluation the system achieved a correct detection rate equal to 92.2% and a false detection rate equal to 2.8%.     

一种针对DDoS flooding攻击的异常检测方案

随着网络用途的不断扩大和Internet互联网络带宽的增加,网络遭受攻击的形式也越来越多,越来越复杂。分布式拒绝服务攻击DDoS是互联网环境下最具有破坏力的一种攻击方式,尤其以TCP flooding和UDP flooding攻击为代表。文中通过分析DDoS flooding的攻击特点和TCP协议的连接过程,利用网络流量的自相似性等特点,设计出一种针对DDoS flooding攻击的异常检测方案。     

NIDS警报分析系统模型设计与分析

网络入侵检测系统(N IDS)是一种检测网络入侵行为的工具,但在实际应用中,警报量多、误警率高,已经严重制约了N IDS的发展。文章分析了其产生的原因,提出了一种基于异常检测技术的N IDS警报分析系统模型;重点讨论了数据挖掘技术在该模型中的应用。     

基于BIRCH-LKD的在站车辆中时异常检测算法

针对铁路车辆在站中转作业异常较多的情况,提出基于BIRCH-LKD的在站车辆中时异常检测算法.该算法以车辆中时序列为研究对象,不考虑异常值的具体形式,对序列分组,引入中时序列特征向量,做类球形簇转化;采用基于划分的显性异常检测方法得到中时序列特征向量的聚类特征树,查找序列显性异常,缩小异常检测范围;利用隐性异常检测算法计算剩余数据对象的K距离,根据距离差值变化规律,筛选序列隐性异常;最后,利用中时序列中位数异常判定条件,排除下界异常,实现中时序列的异常检测.实验结果表明,该算法检出率高,能够快速识别中时序列异常值,有效率达85%以上,去除异常值后的中时序列符合实际情况的趋势且更加平稳.      

一种基于多分类器协同训练的网络异常检测方法

基于机器学习的网络异常检测方法是入侵检测领域的重要研究内容.传统的机器学习方法需要大量的已标记样本对分类器进行训练,然而已标记样本通常较难获取,导致分类器训练困难;此外单分类器训练面临难以消除的分类偏向性和检测孔洞.针对上述问题,本文提出了一种基于多分类器协同训练的异常检测方法MCAD,该方法利用少量的已标记样本和大量的未标记样本对多个分类器进行协同训练,以减少分类的偏向性和检测孔洞.对比实验采用经典的网络异常检测数据集KDD CUP99对MCAD的异常检测性能进行验证。实验结果表明,MCAD有效地降低了检测器训练代价,提高了网络异常检测性能.