基于用户社团变化的大型网络异常群体行为检测

为准确刻画Internet上的用户群体行为,发现网络中潜在的协同攻击。首先从采集的流中提取用户的社会行为特征,构建用户交互网络(HIN)。然后,基于HIN的用户社会行为的相似性,定义用户社团,并定义5个指标对用户社团的变化进行定量描述,采用基线法设置每个指标的检测区间。期间,为了适应网络环境的动态性,引入了固定时间宽度的滑动窗口机制实现自适应网络异常群体行为检测。提出了一种通过对用户社团变化的监测实现网络异常群体行为检测的方法。通过在两个实际网络流数据集上进行试验验证了基于用户社团变化的方法可以检测大型网络的异常群体行为。     

入侵检测系统利用信息熵检测网络攻击的方法

针对传统入侵检测系统报警事件数量多、误报率高的问题,提出了一种基于信息熵的网络攻击检测方法。该方法利用雷尼熵对报警事件源IP地址、目标IP地址、源威胁度、目标威胁度以及数据报大小这5个属性香农熵的融合结果来表示网络状态,通过与正常网络状态的对比识别网络异常。真实攻击和人工合成攻击环境中的实验结果表明,该方法能在保持误报率低于1%的情况下命中率高于90%;与基于特征香农熵的攻击检测方法相比,该方法对攻击更敏感,最易检测出DoS攻击和主机入侵,其次是主机扫描和端口扫描,对蠕虫攻击的检测敏感度稍差。对比测试结果表明,该方法在提高命中率的同时,还能有效降低误报率。     

基于免疫的网络动态实时异常检测模型

网络异常检测已成为入侵检测系统发展的重要方向.现有异常检测模型对检测模式描述为一种静态方式,缺乏良好的自适应性和协同性,检测率低,难以满足高速网络环境下实时检测的需求.针对此,借鉴人体免疫系统优异的自学习自适应机制,提出了一种新的基于免疫的网络动态实时异常检测模型NAIM.该模型通过对检测模式进行动态描述,结合抗体细胞动态克隆原理,探讨种痘及疫苗分发机制,实现检测模式随真实网络环境同步演化,从而提高网络异常检测的准确性和及时性.     

基于多代理的协同分布式入侵检测系统模型

给出了一种基于多代理的协同分布式入侵检测系统模型（CDIDS），该模型依靠基于主机的代理HIDA和基于网络的代理NIDA，运用异常检测与特征检测相结合的方式进行有效的入侵检测；在分布式的网络环境下，系统通过入侵检测控制中心实现检测／响应模块的协同工作，为单个主机的攻击与大规模的网络入侵提供应对策略，并采用协议分流的方式提高NIDA模块的性能。     

基于蜜罐的网络动态取证系统研究

针对计算机静态取证技术和常用的动态取证技术中存在的问题,提出了基于虚拟蜜罐的网络动态取证系统模型。该模型将在被保护子网上对流经的网络数据进行实时监控,编写程序对检测到的入侵进行报警,并通过修改iptables的nat表,利用重定向技术将检测到的入侵数据导入到蜜罐中进行记录,实现了入侵检测技术、蜜罐技术与防火墙技术的联动,达到实时动态取证的目的。实验结果表明,该系统不仅可以保护网络和主机不受攻击,还可以长时间的获取证据,并使得证据不受污染,达到了预期效果。     

基于数据驱动的软件可靠性预测模型

当前以结果驱动为基础的预测方法存在预测收敛性差、准确性差等问题,为此提出基于数据驱动的软件可靠性预测模型.采集软件运行主机与控制服务器的数据,采用数据驱动的模型进行软件异常事件检测,构建软件演化模型;采用自适应持续性信息捕获算法进行软件可靠性建模,实现软件可靠性性约束参量的数据驱动,完成软件可靠性预测.仿真结果表明,采用该模型进行软件可靠性预测的准确性较高,预测过程的收敛性较好,从而提高了软件的寿命周期.     

面向机群并行计算的分组通信模型

提出了一个计算机机群环境下的分组通信算法，防止通信峰值阶段通信冲突对机群执行效率的影响，给出了完全图通信的形式化定义，构造了基于分组机制的完全图通信模型的实现方法，分析和实现表明，该模型有效地解决了计算机机群环境下通信峰值所造成的集群效率低下的问题，适用于机群的数据密集型并行计算。     

多机群网格中的并行计算实现方法

在由多计算机机群构成的网格环境下,为了实现数据并行型计算,给出了由多计算机机群组成的网格、逻辑计算机机群、数据并行型计算和一系列Agent的定义;利用管理智能体、协同计算智能体、通信智能体以及协同计算组之间的协同计算机制来实现数据并行型计算。根据计算节点的主态、冗态和失效状态,描述了动态资源划分机制和网格计算过程。实践表明,该模型有效地适应了多机群网格环境的异构性、动态性等特性,降低了并行计算的失效率,其上运行的并行计算的加速比呈近线性趋势。该模型适合于基于多机群网格的并行型计算。     

基于OpenFlow的SDN网络环境下DDoS攻击检测系统

为了在软件定义网络(SDN)环境中有效解决分布式拒绝服务攻击(DDoS)的问题,提出了一种主被动结合、统计流表特征的DDoS攻击检测方法.利用SDN网络架构在部署DDoS攻击检测系统方面灵活和多维度的特点,通过控制器从大量的网络设备中早期发现受害主机,并有针对性的进行攻击检测.首先通过packet_in消息被动统计作为预判,进而下发监控流表进一步细粒度统计特征,并利用XGBoost算法构造异常检测分类器进行分类攻击.最后在OpenDayLight控制器中实现了上述DDoS攻击检测系统,并在Mininet网络中进行了评估验证.结果表明,这种检测方法可以高效定位出遭受DDoS攻击的网络设备并检测出受害主机,XGBoost算法应用在此场景中可以在保证检测率的同时发挥其处理效率高的特性,适用于此系统.     

面向蓄意攻击的网络异常检测方法

针对复杂网络受蓄意攻击频繁，而现有的检测方法大多忽略全局拓扑突变特征的问题.从网络全局拓扑的异常演化特征出发，提出网络路径相对变化系数(network path change coefficient，NPCC)r，量化节点间传输路径的变化.由斐波那契数列衍生出斐波那契演化域，用于区分正常和异常演化.将r作为核心度量参量，构建斐波那契演化域，形成网络异常检测方法，实现对异常的判定.结果表明，该检测方法的平均准确率为90%以上，高于最大公共子图(maximum common subgraph，MCS)及图编辑距离(graph edit distance，GED)的准确率，证明了所提检测方法的有效性.     

基于时空融合深度学习的工业互联网异常流量检测方法

基于流量异常发现网络中的攻击行为具有普适性优势，而传统的异常流量检测方法难以适应大量复杂的工业互联网流量特征提取，针对此问题提出一种基于时空融合深度学习的工业互联网异常流量检测方法。对类别不平衡的流量数据进行预处理操作，以形成样本分布较为均衡的流量数据集;使用融合聚合残差变换网络和门控循环单元的深度学习模型从空间和时间维度上提取流量数据特征，实现时空融合的流量数据特征的综合提取;通过Softmax分类器对流量数据进行分类。实验测试结果表明，所提方法具有较高的准确率和F1值，分别可达到94.7%和95.47%。与传统的异常流量检测方法相比，所提方法提高了对工业互联网异常流量数据的检测指标，且模型的运行时间相对较短。     

机器学习缓解的广域阻尼控制系统异常检测

为了建立攻击弹性,以抵抗对测量信号和控制信号段的隐蔽网络攻击,提出了一种基于机器学习缓解策略的广域阻尼控制系统异常检测方法。首先提出基于信号熵的特征提取,从而提高机器学习模型的训练检测精度和鲁棒性。然后提出一种基于电力系统运行条件和网络攻击事件的组合数据集生成方法,以便用于任何大规模电网模型。引入的缓解模块能够调谐系统信号,并同时在测量和控制信号上进行攻击检测。在2区域4机电力系统的测试环境下对本文方法的性能进行了评估,结果表明本文方法能够实现高精度的异常检测。     

基于攻击图的APT脆弱节点评估方法

高级可持续性威胁(advanced persistent threat,APT)具有行为隐蔽性强、攻击周期持久的特点,增加了攻击检测的难度.据此,引入攻击图理论评估网络系统在APT攻击下的脆弱节点,提出了一种基于攻击图的APT脆弱节点评估方法,有效地提高了发现攻击的概率.对APT攻击行为的异常特征进行提取和定义,对目标网络系统建立风险属性攻击图(risk attribute attack graph,RAAG)模型;基于APT攻击行为特征的脆弱性对系统节点的行为脆弱性进行评估,并以通用漏洞评分系统(common vulnerability scoring system,CVSS)标准做为参照评估系统节点的通联脆弱性;基于上述2个方面的评估,计算系统中各节点的整体脆弱性,并发现目标网络系统在面向APT攻击时的脆弱节点.实验结果表明,所提方法能够对APT攻击行为特征进行合理量化,对系统节点的脆弱性进行有效评估,在APT攻击检测率上有较好表现.     

基于数据挖掘的网络状态异常检测

针对目前网络状态异常行为检测正确率低的问题,提出一种基于数据挖掘的网络状态异常检测模型.首先提取网络状态信号,通过小波变换对信号进行预处理,并提取网络状态异常检测的特征;然后通过回声状态网络对网络状态异常检测进行建模,并通过遗传算法对回声状态网络的参数进行优化;最后采用网络状态异常数据集对模型的有效性进行测试.测试结果表明,数据挖掘技术可以准确检测各种网络状态异常行为.     

Ad Hoc网络的一种入侵检测模型

对Ad Hoc网络的路由安全性问题进行了研究,提出了一种分布式网络协作入侵检测模型,该模型建立在路由协议之上,针对不同的路由协议,分析其安全漏洞,总结攻击行为的判定规则,进行本地入侵检测;在此基础上,以多点协作的联合检测机制提高检测的正确率;并从节省网络资源的角度对入侵检测模型进行优化配置.以AODV路由协议为例介绍了该模型的工作机制,利用仿真软件NS2搭建网络仿真平台进行仿真实验,结果表明,该检测模型能更好地保障网络安全.     

基于 eBPF 与 LSTM 的 DDoS 攻击检测系统

针对网络异常流量检测中的 DDoS 攻击检测,以往的基于深度学习的解决方案都是在脱离系统实体的数据集上构建模型和优化参数,提出并实现一种使用 Linux 内核观测技术 eBPF(extended Berkeley Packet Filter)与深度学习技术结合的基于网络流量特征分析的网络异常流量检测系统。 系统采用 eBPF 直接从 Linux 内核网络栈最底层高效地采集网络流量特征数据,然后使用基于长短记忆网络 LSTM(Long Short Term Memory)构建的深度学习系统检测网络异常流量。 在具体实现中,系统首先通过 Linux 内核网络栈最底层 XDP(eXpress Data Path)中的 eBPF程序挂载点采集网络流量特征数据。 之后,使用 LSTM 构建神经网络模型和预测分类。 将系统应用于一个仿真实验网络环境得出的实验结果表明,系统的识别精确度达到 97. 9%,同时,在使用该系统的情况下,网络中的 TCP 与 UDP 通信的吞吐率仅平均下降 8. 53%。 结果表明:系统对网络通信影响较低,同时也实现了较好的检测效果,具有可用性,为网络异常流量检测提供了一种新的解决方法。     

基于压缩感知算法的传感器网络异常事件检测

为改善传感器网络异常事件检测效果,提出一种基于压缩感知算法的传感器网络异常事件检测模型.首先采集传感器网络状态信息,并采用压缩感知算法对信息进行采样和重构,在减少传感器网络异常事件检测信息的同时,删除一些无效信息;然后从重构后的传感器网络异常事件检测信息中提取特征,组成传感器网络异常事件检测的特征向量;最后采用极限学习机建立传感器网络异常事件检测模型,并进行传感器网络异常事件检测仿真实验,分析模型的性能.实验结果表明,压缩感知算法可加快传感器网络异常事件检测速度,且传感器网络异常事件检测率高于95%,明显高于其他传感器网络异常事件检测模型.     

基于多维攻防博弈机制的LTE-5G网络防御算法研究

针对当前LTE-5G网络防御算法需要预设先决条件,且在多维攻击环境下难以实现防御行为自收敛等难题,提出了一种基于多维攻防博弈机制的LTE-5G网络防御算法。首先,对攻击行为进行大数据建模,综合考虑攻击行为数学分布特性,即DDos攻击特性,并精确匹配DDos攻击带宽,实现对攻击危害行为的确定性分析,提高网络主动防御性能,达到对攻击行为预分析的目的;随后,考虑到传统算法的网络收敛概率评估较差的问题,采取Q分析方式进行随机博弈,构建了Q博弈-单向数据攻击模型,成功获取单向数据攻击集合,并进行了攻击行为持续期间的纳什均衡,改善算法的网络防御效果。仿真实验证明:与当前LTE-5G网络中广泛使用的次高频载波指纹网络过滤防御算法(Secondary High Frequency Carrier Fingerprint Network Filtering Defense Algorithm,SHFCF-FD算法)、带宽峰值匹配过滤防御算法(Bandwidth Peak Matching Filtering Defense Algorithm,BPMFD算法)相比,所提算法具有更大的抗攻击带宽强与网络传输带宽,以及更低的裁决错误率低与信道误码率,具有很强的实际部署价值。     

基于IP欺骗攻击的状态分析法研究

提出了一种能够在网络中检测并防范IP欺骗攻击的方法．通过获取网络结点的工作状态，分析网络中出现的异常活动，给出了因攻击而引起的网络状态的迁移过程．通过预测分析，及时检测出已经存在的IP欺骗攻击；通过回溯分析，试图找到发起攻击的攻击者．将状态分析法运用于入侵检测，可增强网络抵御IP欺骗攻击的能力．