基于随机森林的车载CAN总线异常检测方法

针对目前车载网络的信息安全问题, 在控制器局域网(CAN)总线异常检测方法的基础上, 提出一种基于随机森林模型的CAN总线报文异常检测方法. 首先用采集的大量正常和异常报文数据构造随机森林模型, 并进行一系列的参数调整; 然后将待检测的CAN总线报文输入到对应ID的随机森林模型中; 最后通过模型完成报文正常或异常的分类. 仿真实验结果表明, 该模型能有效检测出总线上的异常数据, 提升了汽车运行的安全性.     

利用残差分析的网络异常流量检测方法

针对网络异常流量检测中大数据小异常造成的难题,提出了一种新的基于残差分析的网络异常流量检测方法。从多个角度提取网络流量的特征属性,以准确刻画正常行为和异常行为之间的差异性。利用提取的特征属性构建属性矩阵,采用流之间的相似性构建邻接矩阵。使用属性矩阵和邻接矩阵构建网络异常检测模型,采用CUR矩阵分解方法重构属性矩阵得到主模式,对属性矩阵和重构的属性矩阵进行残差计算进而获得残差矩阵。对残差矩阵中的每一个流计算其残差,根据每个流的残差和预设阈值进行异常判定。采集了西安交通大学校园网流量数据进行实验,实验结果表明:所提方法在不需要任何先验知识的情况下能够使异常检测率达到90%以上;与其他异常检测方法相比,所提方法不仅具有较高的检测率,而且能够实现异常源定位。     

基于流时间影响域的网络流量异常检测

针对如何提高网络流量异常行为检测准确率的问题,提出基于网络流时间影响域(TID)的网络流量检测模型.通过分析正常和异常情况下流量网络模型平均度的变化,构建了基于复杂网络平均度指标的网络流量异常检测算法.实验结果表明,基于网络流时间影响域的流量网络模型能合理地描述网络流量间的依赖关系,具有良好的检测性能,同时该网络模型仅需时间戳、源IP、目的IP三维网络特征即可实现,检测方法适用于绝大多数网络类型,检测效率优于其他网络流量异常检测方法,具有较高的普适性.     

基于BF的单向网络性能抽样测量技术

针对在进行网络单向性能测量时,存在抽样效率不高和报文标识均匀性差等问题,提出了一种基于BF(Bloom Filter)的单向网络性能抽样测量框架及算法,解决了在不同测量点对上从大量背景流量条件下的抽样有效性和报文标识有效性问题.仿真性能表明,待测报文抽样效率与BF理论分析值偏差为0.5%,且报文标识冲突比例仅为3.5%左右,软件实现抽样时间开销为O.1μs量级;该抽样测量技术十分适合于从大量背景流量中快速抽样出少量待测报文,从而有效地测量出诸如单向传输时延、时延抖动及单向报文丢失率等重要网络性能参数.     

基于相对熵的网络流量异常检测方法

网络流量的异常检测是网络安全领域一个重要分支,目标是及时准确地检测网络中发生的突发攻击事件。现有流量异常检测方法如数据挖掘、小波分析等方法或因检测效果较差,或因算法复杂,难以满足实时在线流量检测的应用需求。文中引入信息熵概念,通过对网络流量进行分维和分层实时计算网络流量相对熵,提出了一种基于相对熵的流量异常检测方法,算法时间复杂度为O(N×log2N×D)。实验分析表明,当检测率达到0.80～0.85时,误报率控制在0.03～0.05,可同时满足系统实时性和准确性要求。     

基于TCBF算法的TCP流长度分布统计

为提高流测量系统的运行效率,减少其所需资源的消耗,在分析了TCP连接的释放以发送FIN报文或RST报文作为结束标志的基础上,提出一种新的报文过滤算法TCBF(time-outcounting bloom filter),用于统计TCP流长度分布.通过对有结束标志的流、没有结束标志的中长流和没有结束标志的中短流分别采用不同的统计处理方式,增加了网络测量性能,提高了测量系统的资源利用率.该算法不需要收集所有报文,而是只需要抽样少量报文即可对流长度做出统计.理论分析和仿真结果表明,TCBF算法在使用较少的存储空间的条件下,可以及时准确地对TCP流长度分布做出统计,满足实际测量需要.     

一种基于bot优先抽样的P2P botnet 在线检测技术

僵尸网络利用高效灵活的一对多控制机制,为攻击者提供了储备、管理和使用网络攻击能力的基础架构和平台,已成为当前Internet最严重且持续增长的安全威胁之一。为满足在高速网络实时检测P2P僵尸网络的需求,提出了一种基于bot优先抽样的在线检测技术。该方法利用bot优先的分级算法和基于优先级的包抽样算法,使得检测系统能够高效利用计算资源,在整体抽样率有限条件下,优先对疑似P2P僵尸通信数据包进行抽样,并使用流信息重构技术和流簇分析技术对抽样包进行统计分析来发现P2P僵尸主机。实验结果表明,所提出的在线检测技术能够有效提高对疑似P2P僵尸网络流量亚群的包抽样率,具有良好的在线检测效率和P2P僵尸检测命中率。     

车载网络安全数据可视化技术的设计与实现

为快速准确地检测出车载网络数据内部异常和网络安全威胁,制定有效的异常检测方案,通过车载终端采集车辆正常行驶阶段的真实CAN总线报文数据,从基于时间和数据特征的可视化的角度,设计消息事件时序散点图和报文内容时序变化图,表现和发掘车辆内部CAN总线网络的通信频率和通信内容等数据的变化特征;并采用统计和计算汉明距离等方法对原始报文数据进行二次加工处理,结合各种可视化方法,设计概略图等交互视图来表现网络内部变化态势。研究结果显示,此设计可有效实现车载网络安全数据的消息频率特征、消息内容特征和统计特征的可视化。     

网络流量抽样测量技术综述

随着高速网络技术的发展,使得实时在线的流测量非常困难,基于抽样的流量测量方法作为一种可扩展的技术已经成为人们经常采用的一种有效的流测量技术。本文简要介绍了抽样测量的基本理论,对当前抽样测量技术的研究现状进行了综述,并对该技术的可能发展趋势做了简要的探讨。     

应用交互式网络流模型的高速网络异常行为检测与控制

针对网络异常流量的检测与定位问题,提出了一种根据网络流统计量异常变化和不完整网络流来有效识别并定位网络异常流量的方法.该方法建立在交互式网络流模型的基础上,分析了交互式网络流模型下各种网络流的交互特征;为准确实时获取网络异常源,采用中国余数定理,设计了连接度sketch结构中的哈希函数,满足了网络用户信息逆向求解的需要,实现了高速网络中异常网络流特征参数的实时获取;为减缓网络异常行为的扩散速度,提出采用动态软隔离方法实现网络异常行为的控制.真实环境下的实验结果表明,所提方法对于多种类型的网络异常行为具有良好的检测效果,检测的准确率和速率都得到了提高,同时可以准确地定位网络异常源,为有效控制网络异常行为的扩散奠定了基础.     

基于CBF流抽样的网络安全

现有网络中常存在DDOS、恶意端口及IP扫描、蠕虫等异常产生大量的只包含1个数据包的流量.针对高速网络流量特点及网络异常导致的流量突然上升,提出了一种改进的基于CBF的流抽样算法.该算法对定长时间内到达的数据包进行固定数量的抽样,使抽样率能适应于流量变化,并可控制资源的消耗,尤其当泛洪攻击、DDOS攻击等导致大规模异常网络流量出现时,能有效保护路由器的处理器和内存资源以及传输流记录所需的带宽资源,同时又不失简单性和准确性.     

基于小波的异常检测方法研究

针对DDoS攻击引起的网络异常,提出基于小波变换的检测方法.将网络流量分解到不同的频段,根据高频段频谱能量,即小波方差的变化对网络流量异常进行检测.为提高预警的准确性,吸取了路由器的设计思想,用LRU Cache滤掉长时流发现突发流量,实验证明本尝试是有效的.     

基于分形理论的网络流量异常检测技术

传统网络流量异常检测技术不能适应网络流量的复杂性,异常检测精度低,不能保证实时性,为此,提出一种新的基于分形理论的网络流量异常检测技术。通过FIR滤波方法对流量的时间序列进行预处理。采用Schwarz信息准则对网络流量异常检测问题进行处理,估测网络流量异常点数量与位置。采用R/S分析法求出自相似指数Hurst值,依据Hurst值对网络流量时间序列的分形特征进行分析。引入滑动窗口完成多网络流量异常点的检测,在检测异常点处对流量进行分形处理,依据自相似指数计算过程获取异常点间的流量自相似指数值,保存异常点之后的流量,为下一个流量异常点的检测提供依据。实验结果表明,所提技术实现过程简单,网络流量异常检测精度高,保证了实时性。     

基于改进特征选择法的光纤网络流量异常监测研究

采用当前方法进行光纤网络流量异常监测过程中,特征选择法无法全面描述流量异常特征监测的不足,存在监测效果较差的问题。为此,提出一种基于改进特征选择法的异常流量监测方法。首先采用分光方式对光纤网络流量进行分析,获取光纤网络流量时间序列,并描述用于流量异常监测的多时间序列之间的相互关系,然后利用改进特征选择法对网络出口流量进行特征提取。利用聚类算法选择网络流量异常最优类数和聚类中心,来对网络流量异常现象进行过滤,从而实现网络异常流量特征抽取、特征选择改进算法和网络流量异常监测的研发,从而提高光纤网络流量异常现象监测的准确度。仿真实验结果证明,通过这种方法,能有效地对网络流量异常现象进行监测,且算法简单,能够满足网络流量异常监测的应用需求,实用价值较高。     

基于掩码匹配的报文双抽样方法

基于掩码匹配的报文抽样算法是一种实用性较强的分布式流量抽样算法,但是该算法在测量报文到达时间间隔的分布这一重要网络流量特征时性能较差。首先根据误差理论分析了产生这一问题的原因,为了降低测量的系统误差,在原算法中引入了双抽样的改进方案。考虑到改进后的算法会给测量系统带来额外的负担,提出了增加了抽样掩码位数的解决办法,并且论证了其可行性。最后基于实际的网络流量数据进行了实验验证,结果表明：改进后的算法测得的报文到达时间间隔的分布符合真实的分布情况,并且对其它网络性能指标的测量精度影响较小。     

A Method for Detecting Intrusion on Networks in Real-time Based on IP Weight

A new rule to detect intrusion based on IP weight, which is also well implemented in the rule base of author's NMS, is presented. Compared with traditional ones, intrusion detecting based on IP weight enhanced analysis to packet content. The method also provides a real-time efficient way to analyze traffic on high-speed network and can help to increase valid usage rates of network resources. Practical implementation as a rule in the rule base of our NMS has verified that the rule can detect not only attacks on network, but also other unusual behaviors.     

基于出租车轨迹数据的交通异常识别算法研究

为了实现基于出租车轨迹数据的交通异常识别,本文首先以城市栅格地图模型为框架,提出了一种针对城市路网的多光谱分隔算法,并根据城市路网分别从区域增长与区域融合两种角度实现了多光谱地图的分割。其次在分割的城市路网基础上,设计了交通异常的识别算法。算法依据单元区域内道路网络拓扑结构构建交通异常图,然后根据出租车路径选择模式的历史规律计算每个单元区域内不同路径上的出租车轨迹流量的变化,最后根据三倍均方差指标识别单元区域内的交通异常。文章最后以哈尔滨为例进行了算例分析,算例结果表明,本文提出的异常识别算法取得了良好的效果,验证了算法的有效性及准确性。     

基于IXA架构的流量测量系统设计

网络流量测量技术是网络监测和管理研究的重要前提和保证. 在分析网络处理器、网络流量采集等技术的基础上,介绍流量测量系统在Intel IXA架构上的一种设计和实现. 系统的数据采样机制和数据编码格式遵守sFlow系统标准. 最后对IXP2400上实现该系统时微引擎等资源的分配作了分析,通过并行架构优化了包处理性能.     

基于最大Lyapunov指数的网络业务流量预测

在高速网络资源分配与拥塞控制研究中,网络业务流量的预报是一个具有重要意义的课题.基于准确的业务预报,网络管理和控制方案更易于适应业务流量的动态变化,从而达到优化网络性能的目的.而高速网络中大量存在着以自相似性为特征的多种业务流量.已有研究表明,这种自相似特性与混沌现象的吸引子有着紧密的联系.笔者利用混沌时间序列的重构相空间方法,对高速网络中自相似信源的速率做出了预测,并给出了最大可预报时间.该方法的预测模式简单,仿真结果表明,预测的精度也比较高.