基于支持向量机的网络流量异常检测

提出了一种基于支持向量机的网络流量异常检测方法.分析了支持向量机的基本原理,结合网络流量异常检测的特点,讨论了异常检测的特征选择问题;提出了网络流量对称性、TCP报文SYN和SYN/ACK对称性以及协议分布等具有鲁棒性的特征参数,描述了数据的预处理方法.测试结果表明,所选特征参数可有效地检测网络攻击导致的流量异常变化,说明基于支持向量机的检测方法具有较好的泛化能力.     

基于分形理论的网络流量异常检测技术

传统网络流量异常检测技术不能适应网络流量的复杂性,异常检测精度低,不能保证实时性,为此,提出一种新的基于分形理论的网络流量异常检测技术。通过FIR滤波方法对流量的时间序列进行预处理。采用Schwarz信息准则对网络流量异常检测问题进行处理,估测网络流量异常点数量与位置。采用R/S分析法求出自相似指数Hurst值,依据Hurst值对网络流量时间序列的分形特征进行分析。引入滑动窗口完成多网络流量异常点的检测,在检测异常点处对流量进行分形处理,依据自相似指数计算过程获取异常点间的流量自相似指数值,保存异常点之后的流量,为下一个流量异常点的检测提供依据。实验结果表明,所提技术实现过程简单,网络流量异常检测精度高,保证了实时性。     

基于流时间影响域的网络流量异常检测

针对如何提高网络流量异常行为检测准确率的问题,提出基于网络流时间影响域(TID)的网络流量检测模型.通过分析正常和异常情况下流量网络模型平均度的变化,构建了基于复杂网络平均度指标的网络流量异常检测算法.实验结果表明,基于网络流时间影响域的流量网络模型能合理地描述网络流量间的依赖关系,具有良好的检测性能,同时该网络模型仅需时间戳、源IP、目的IP三维网络特征即可实现,检测方法适用于绝大多数网络类型,检测效率优于其他网络流量异常检测方法,具有较高的普适性.     

基于相对熵的网络流量异常检测方法

网络流量的异常检测是网络安全领域一个重要分支,目标是及时准确地检测网络中发生的突发攻击事件。现有流量异常检测方法如数据挖掘、小波分析等方法或因检测效果较差,或因算法复杂,难以满足实时在线流量检测的应用需求。文中引入信息熵概念,通过对网络流量进行分维和分层实时计算网络流量相对熵,提出了一种基于相对熵的流量异常检测方法,算法时间复杂度为O(N×log2N×D)。实验分析表明,当检测率达到0.80～0.85时,误报率控制在0.03～0.05,可同时满足系统实时性和准确性要求。     

一个网络流量监测与预测系统的设计与实现

提出一种网络流量采集及存储方案, 解决了大型网络流量监测的海量数据存储难题; 将流量预测引入网络管理系统, 实现了基于ARMA模型的网络流量预测. 给出了流量数据获取方法, 采用一种“整点平均”流量速率计算方法以提高准确度; 对几种不同流量数据采集存储方案进行了测试比较; 实现并分析了基于ARMA模型的网络流量预测; 给出了一种基于Trap扩展定义的流量超越阈值告警处理方法. 在南昌市大型电信数据网络上的应用表明, 该系统在网络流量监测与预测方面可以取得很好的效果, 且具备良好的性能.     

基于小波的异常检测方法研究

针对DDoS攻击引起的网络异常,提出基于小波变换的检测方法.将网络流量分解到不同的频段,根据高频段频谱能量,即小波方差的变化对网络流量异常进行检测.为提高预警的准确性,吸取了路由器的设计思想,用LRU Cache滤掉长时流发现突发流量,实验证明本尝试是有效的.     

基于自注意力机制的网络流量异常检测方法

网络中异常流量的有效检测对网络安全至关重要.以机器学习方法为主的异常流量检测技术,对流量数据采用特征选择方法进行降维并提取最优特征,但容易忽略数据特征之间的关联性,存在异常流量的检测率低、误报率高等问题.为了提高异常流量检测性能,论文在提取流量数据特征的过程中引入自注意力机制进行相关性学习,并结合深度卷积神经网络提出一种有效的网络流量异常检测模型.实验结果表明：通过引入自注意力机制,论文所提出的检测方法能够提取更准确的流量特征,并使得异常流量检测率高、误报率低.     

应用时间序列分析进行网络负载预测

分析了校园网出口流量的非线形、周期性的特点,给出基于时间序列分析进行网络负载预测的方案.本方案通过数学模型将时间序列分解为线形增长趋势因素、周期性因素、随机噪声等子成分,使用分解模型分析某校园网出口的历史数据,对其后半年的网络流量进行预测,并与实际流量进行比较,得到相关的测试比较结果.该方案与传统的基于启发式公式的方法相比具有适应性好、科学性等方面优势.因此,该方案可以作为网络流量预测方案,为网络资源规划和异常流量分析提供依据.     

基于NetFPGA的网络流量采集器

针对大多数基于软件的流量采集器不能实时处理高速环境下网络流量的问题,设计并实现一种基于NetFPGA的流量采集器,以达到在线流量的采集和分类。本设计采用模块化的架构,利用循环冗余检验算法来标识一个流,同时生成存储器的地址,在采集流量之前运用灵活的过滤规则对网络流量进行过滤,以减少待分类的网络流,使得采集器可以根据不同的需要采集流量。将采集器应用于千兆交换机网络环境进行在线数据采集实验,结果显示,该网络流量采集器能以线速工作在吉比特网络中。     

基于Floodlight控制器的网络安全实验设计

软件定义网络作为一种新型的网络架构,为网络的研究提供了新思路。在软件定义网络的架构下,需要重新设计信息安全实验。对网络信息安全实验进行研究,利用Mininet轻量级软件,结合Floodlight控制器以及sflow流量监测的工具,设计了基于软件定义网络的DoS防御实验。展示了拓扑的创建、主机间联通测试、相关网络配置和网络流量监测的整个流程。     

基于时间序列分析的网络流量异常检测

针对传统模型无法对网络流量异常进行准确识别和检测的问题,提出一种基于时间序列分析的网络流量异常检测模型.首先提取网络流量的原始数据,并对原始数据进行小波阈值去噪处理,消除干扰因素的影响;然后采用时间序列分析法挖掘网络流量数据之间的变化关系,建立网络流量异常检测模型;最后通过仿真实验验证检测模型的有效性和优越性.实验结果表明,时间序列分析法可以准确、及时地检测网络流量的异常行为,且结果优于目前其他网络流量异常检测模型.     

Efficient Feature Extraction Using Apache Spark for Network Behavior Anomaly Detection

Extracting and analyzing network traffic feature is fundamental in the design and implementation of network behavior anomaly detection methods. The traditional network traffic feature method focuses on the statistical features of traffic volume. However, this approach is not sufficient to reflect the communication pattern features. A different approach is required to detect anomalous behaviors that do not exhibit traffic volume changes,such as low-intensity anomalous behaviors caused by Denial of Service/Distributed Denial of Service(Do S/DDo S)attacks, Internet worms and scanning, and Bot Nets. We propose an efficient traffic feature extraction architecture based on our proposed approach, which combines the benefit of traffic volume features and network communication pattern features. This method can detect low-intensity anomalous network behaviors and conventional traffic volume anomalies. We implemented our approach on Spark Streaming and validated our feature set using labelled real-world dataset collected from the Sichuan University campus network. Our results demonstrate that the traffic feature extraction approach is efficient in detecting both traffic variations and communication structure changes.Based on our evaluation of the MIT-DRAPA dataset, the same detection approach utilizes traffic volume features with detection precision of 82.3% and communication pattern features with detection precision of 89.9%. Our proposed feature set improves precision by 94%.     

自适应参数的网络异常流量检测方法

分布式拒绝服务(DDoS)攻击对互联网的稳定性和安全性构成了严重的威胁.对网络流量进行异常检测,发现异常后再对数据包进行分析,实施相应措施,有利于降低系统开销.该文给出了网络流量均值和阈值能够根据网络环境变化的自适应调整算法.分析了参数的设置对误报警、动态调整报警阈值等的影响.实验结果表明设计的系统是有效和正确的,可以在提高异常流量检测准确性的同时降低运行开销,可以直接应用于检测SYN洪水攻击等.     

基于突变级数的网络流量异常检测

针对网络流量发生异常时产生的突变特征,提出了一种基于突变级数的网络流量的异常检测方法.该方法首先计算网络流量的特征量,选择其中能显著性反映网络流量自相似性、非线性、非平稳性及复杂的动力学结构特性的特征量;然后将其作为突变理论的控制变量,利用蝴蝶突变模型的突变级数对网络流量异常进行检测.实验结果表明该方法具有较高的检测率和较低的误检率.     

自适应滤波实时网络流量异常检测方法

针对网络中的各种常见攻击,提出一种基于自适应滤波的网络流量异常检测方法.首先对多种流量指标进行递推最小二乘法预测,然后以预测误差所构造的统计量容许范围进行异常检测,最后对检测结果实施归一化评估.该方法具有无需任何历史训练数据、能大量减少报警次数、突出报警严重程度的特点.在DARPA入侵检测评估数据集上的实验表明,所提方法更适合检测拒绝服务攻击引起的异常,较之相同权向量下的同类方法,其异常检测率、误报率和检测速度等性能更好.     

面向边缘计算的物联网网络流量测量方法

在物联网中,边缘计算能够提供物联网计算的实时性,减少网络中数据的传输量.为了适应物联网技术的发展,研究了采用软件定义网络(SDN,software defined networking)架构的物联网网络,并利用SDN提供的方法对网络中的流量进行测量.细粒度流量测量可以更准确地描述网络中的流量,但同时也需要消耗大量的测量开销.为了减少测量过程中产生的开销并获得近似的细粒度测量,提出了一种面向边缘计算的物联网网络流量测量方案.新测量架构采用粗粒度测量和插值优化等方法进行测量.首先,在文中采用随机抽样方法通过OpenFlow协议快速获得粗粒度的网络流量测量.接着,对粗粒度的网络流量进行插值恢复,并利用多约束的优化方法对插值结果进行优化,直到找到满足条件约束的最优细粒度流量测量结果.最后,文中通过实验验证了所提出的测量方法的可行性和有效性.