基于CUSUM算法的LDoS攻击检测方法

低速率拒绝服务LDoS攻击具有流量发送速率低、隐蔽性强、具有突发性以及造成危害大的特点,融入正常流量中难以被传统的DoS攻击检测机制发现.针对该攻击方式突发性特点,分析路由器受到LDoS攻击时流量特征的统计异常,将路由器入口流量的均值与正常阈值相比较,提出了基于累积和CUSUM算法的检测方法.该方法基于突变假设检验,对到达流量分析变点前后流量的累积和特征,通过将分析得到的累积和与设定的门限值比较来实现LDoS攻击的检测.实验通过调整算法参数来优化检测性能,通过基于NS-2搭建的仿真实验平台表明,该方法具有较好的检测性能.     

基于攻击分类的异构检测引擎构建技术

由于攻击的复杂性,单一的检测技术难以具有全面的攻击检测能力。具有多检测引擎的入侵检测系统能够克服单一检测技术的检测局限性。但是目前的多检测引擎构建技术缺乏有关检测功能划分的理论指导。本文基于攻击的检测者观点,提出了基于检测特征的攻击分类方法,将攻击按照检测特征分为5个基础类。在此基础上,构建以攻击分类为基础的具有异构检测引擎的入侵检测系统框架。实验表明,该框架可以有效地检测各类攻击,并具有较好的变形攻击检测能力。     

基于网络连接统计的分布式拒绝服务攻击检测

分析了分布式拒绝服务(D istributed D en ial of Serv ice,DDoS)攻击原理及其攻击特征,提出了一种基于网络连接统计的DDoS攻击检测方法。该方法利用DDoS攻击的固有特性,从网络连接数据的统计分析中探寻系统正常行为的特征分布,建立DDoS攻击检测模型。通过模拟攻击实验验证了检测方法的可行性。实验结果表明:该方法能快速有效地实现对DDoS攻击的检测,并对其他网络安全检测研究具有一定的指导意义。     

SQL注入攻击检测与防御研究

简要介绍了SQL注入攻击的原理,对SQL注入攻击方式进行了分析,总结了SQL注入攻击的流程。根据SQL注入攻击的基本原理以及入侵前和入侵后的检测方法不同,提出了SQL注入攻击检测的方法,并在此基础上给出了一种基于客户端和服务器端的SQL注入攻击的防御模型,经过测试表明该模型的计算时间复杂度低,具有安全性和通用性,解决了网络中存在的SQL注入攻击问题。     

采用控制流监控的Cisco IOS指针攻击检测方法

针对当前Cisco IOS(internetwork operating system)漏洞攻击检测方法检测效率低的问题,提出了一种采用控制流监控来判定Cisco IOS指针攻击的方法。该方法通过静态分析和动态跟踪相结合的方式对Cisco IOS中不同类别的控制流分别构造合法转移地址集合(legal transfer address collection,LTAC),并在发生控制流转移时将转移地址在LTAC之外的控制流判定为攻击,同时捕获异常控制流转移的详细信息。实验结果表明:该方法可以准确地捕获针对Cisco IOS的指针攻击,支持对攻击过程的分析,与现有的Cisco IOS漏洞攻击检测方法相比,具有较高的检测效率,能够为网络安全性的提升提供帮助。     

无线传感器网络选择转发攻击检测方法研究

由于WSNs的本身所具有的一些特性使得它比较其他网络而言更加容易受到攻击。本文在分析各种路由攻击对网络危害性的基础上，进一步分析各种攻击的特征，并针对选择转发攻击提出了一种可行的检测方案。     

基于攻击分类的攻击树生成算法研究

提出一种面向检测的攻击分类方法——DetectClass方法，进行形式化的分析和证明，进而提出相应的攻击树生成算法．DetectClass分类方法的使用，可以提高检测的效率和精度；攻击树生成算法可以自动建立攻击模型，并可以重用攻击模型．经实验验证算法是有效的．     

WEB日志中基于KNN算法的注入式攻击行为检测方法研究

阐述了注入式攻击及KNN算法的相关概念并探讨了注入式攻击行为检测与文本分类技术的关系.结合KNN算法的优点及注入式攻击行为检测与文本分类的相似性,提出了Web日志中基于KNN算法的注入式攻击检测方法,给出了其计算模型,并进行了检测对此.结果表明,该方法具有良好的检测准确度.     

检测、防范DoS攻击的分布式模型及实现

针对Dos(Denial of Service)拒绝服务攻击，在分析Dos的攻击原理 现有的检测，防范手段的基础上，提出了一种检测，防范Dos的分布式模型，并提出了利用简单网络管理协议（SNMP）技术实现该模型的方案，分析了实现后的检测系统自身的安全性。研究结果表明，分布式检测防范模型能有一定程度上对付DoS攻击，能在更高的层面处理分布式攻击。利用类似的方法还可以检测其他的入侵攻击。     

云计算中基于可用带宽欧氏距离的LDoS攻击检测方法

根据云计算数据中心网络(data center networks, DCNS)架构的特点,从网络架构的角度对低速率拒绝服务(low-rate denial of service, LDoS)攻击进行建模。提出基于可用带宽欧氏距离的LDoS攻击检测方法,其本质是依据LDoS攻击导致同一路由域内所有链路可用带宽同时增大的特征,将可用带宽的平均欧氏距离作为LDoS攻击检测测度。改进了传统的探测间隔模型(probe gap model, PGM),并将其专门用于云计算环境下的可用带宽测量。在实际的网络环境中对LDoS攻击效果和LDoS检测性能进行测试,结果表明:1)DCNS内的LDoS攻击比洪水式拒绝服务(flooding denial of service, FDoS)攻击更具危害;2)所提出的检测方法能够准确检测LDoS攻击,检测率达到98%。     

基于支持向量机的网络流量异常检测

提出了一种基于支持向量机的网络流量异常检测方法.分析了支持向量机的基本原理,结合网络流量异常检测的特点,讨论了异常检测的特征选择问题;提出了网络流量对称性、TCP报文SYN和SYN/ACK对称性以及协议分布等具有鲁棒性的特征参数,描述了数据的预处理方法.测试结果表明,所选特征参数可有效地检测网络攻击导致的流量异常变化,说明基于支持向量机的检测方法具有较好的泛化能力.     

变分自编码器和注意力机制的异常入侵检测方法

针对传统的机器学习算法在检测未知攻击方面表现不佳的问题,提出了一种基于变分自动编码器和注意力机制的异常入侵检测方法,通过将变分自编码器和注意力机制相结合,实现使用深度学习方法从基于流量的数据中检测异常网络流量的目标。所提方法利用独热编码和归一化技术对输入数据进行预处理;将数据输入到基于注意力机制的变分编码器中,采集训练样本中隐含特征信息,并将其融入最终潜变量中;计算原始数据与重建数据之间的重建误差,进而基于适当的阈值判断流量的异常情况。实验结果表明,与其他入侵检测方法相比,所提方法明显改善了入侵检测的精度,不仅可以检测已知和未知攻击,而且还可以提高低频次攻击的检测率。     

基于异常检测的入侵检测技术

对目前的异常检测技术进行了全面概述, 按照采用的不同技术将异常检测分为基于统计、 基于机器学习和基于数据挖掘3种, 阐述了各种异常检测技术的特征, 并描述了目前基于异常入侵检测系统用到的各种算法及其实现方法. 通过实验结果, 比较了各种算法的检测效果.     

拟态防御下的网络流量异常检测架构

网络流量异常检测是负载均衡、入侵检测、流量工程等应用的基础，但现有检测方案在遭受网络攻击、服务器发生软错误等异常情况下缺乏足够鲁棒性.为此，引入拟态防御思想，提出一种基于拟态防御的网络流量异常检测架构.通过设计多个异构检测模块，以增强检测鲁棒性.为减少拟态化构造引入的额外开销，设计了索引数据结构、迷你执行体.基于真实流量数据的初步实验结果表明，采用的多模裁决机制减少了检测假阳性，所提架构平均准确率强于传统异常检测方案.     

一种基于多分类器协同训练的网络异常检测方法

基于机器学习的网络异常检测方法是入侵检测领域的重要研究内容.传统的机器学习方法需要大量的已标记样本对分类器进行训练,然而已标记样本通常较难获取,导致分类器训练困难;此外单分类器训练面临难以消除的分类偏向性和检测孔洞.针对上述问题,本文提出了一种基于多分类器协同训练的异常检测方法MCAD,该方法利用少量的已标记样本和大量的未标记样本对多个分类器进行协同训练,以减少分类的偏向性和检测孔洞.对比实验采用经典的网络异常检测数据集KDD CUP99对MCAD的异常检测性能进行验证。实验结果表明,MCAD有效地降低了检测器训练代价,提高了网络异常检测性能.     

入侵检测方法

对检测入侵方法中的两种方法——异常入侵检测和误用入侵检测进行了描述，介绍了这两种方法中采用的各种不同的检测技术。     

基于转移和频率特征的协议异常检测

协议异常检测是目前入侵检测领域研究的新方向.本文研究状态的转移特性和频率特性,在此基础上建立模型进行协议异常检测.模型的训练和检测使用DARPA 1999年的数据集,实验结果验证了所建立模型的准确性.     

基于分形理论的网络流量异常检测技术

传统网络流量异常检测技术不能适应网络流量的复杂性,异常检测精度低,不能保证实时性,为此,提出一种新的基于分形理论的网络流量异常检测技术。通过FIR滤波方法对流量的时间序列进行预处理。采用Schwarz信息准则对网络流量异常检测问题进行处理,估测网络流量异常点数量与位置。采用R/S分析法求出自相似指数Hurst值,依据Hurst值对网络流量时间序列的分形特征进行分析。引入滑动窗口完成多网络流量异常点的检测,在检测异常点处对流量进行分形处理,依据自相似指数计算过程获取异常点间的流量自相似指数值,保存异常点之后的流量,为下一个流量异常点的检测提供依据。实验结果表明,所提技术实现过程简单,网络流量异常检测精度高,保证了实时性。     

一种分布式入侵检测系统的设计

首先简要概述了入侵检测技术的现状、分析了现有技术的优缺点，然后提出一种基于部件的分布式入侵检测系统，它集成了误用检测和异常检测方法。文章最后设计了两种改进的分析方法。     

基于混合入侵检测技术的网络入侵检测方法

总结了异常检测和误用检测的优缺点,结合其优点,并克服其缺点,提出了基于混合入侵检测技术的网络入侵检测系统模型.对于同一行为,异常检测结果和误用检测结果不总是一样的,跟踪算法有效地解决了异常检测结果与误用检测结果不完全相同的问题;采用了数据挖掘方法建立正常行为轮廓库,并采用了全序列比较法和相关函数法实现异常检测引擎;提出的模型较基于单一入侵检测技术的模型相比,具有更好的检测效果.