基于小波偏差值的大规模网络异常检测算法

针对大规模高速网络中传统异常检测算法检测效率、扩充性等不足,提出一种新的异常检测算法,将大规模的高速网络流量汇聚看成信号来处理,通过小波三层聚合算法将其分解成高中低三个频段,再利用小波偏差值算法对影响流量的关键频段进行运算,最终得到可突显流量异常的不同时间窗内偏差值分布.试验分析表明了该算法的有效性和可行性,且检测效率较高,可被用于构建大规模高速网络自动实时在线异常检测系统.     

基于小波偏差值的大规模网络异常检测算法

针对大规模高速网络中传统异常检测算法检测效率、扩充性等不足,提出一种新的异常检测算法,将大规模的高速网络流量汇聚看成信号来处理,通过小波三层聚合算法将其分解成高中低三个频段,再利用小波偏差值算法对影响流量的关键频段进行运算,最终得到可突显流量异常的不同时间窗内偏差值分布.试验分析表明了该算法的有效性和可行性,且检测效率较高,可被用于构建大规模高速网络自动实时在线异常检测系统.     

一种基于熵的DDoS攻击实时检测算法

提出一种轻量级的DDoS(distributed denial of service)攻击检测的有效方法.首先基于滑动窗口技术的熵算法实时检测网络数据包中目的IP地址出现的随机性,然后使用VTP(variance-time plot)方法进行异常检测.实验结果表明,该方法能够实时检测出各种DDoS攻击的存在,特别是能够发现大流量背景下攻击流量没有引起整个网络流量显著变化的DDoS攻击.     

IP流信息输出协议-IPFIX

网络行为测量是互联网流量工程的重要组成部分。理解网络行为对于网络管理、规划和发展都有重要意义。作为网络行为测量的一个分支,网络流量测量是理解网络流量组成和分布的首要条件,也是进行高速网络QOS研究的基本手段。本文研究了标准化IP流信息输出协议IPFIX,分析IPFIX的功能结构,解析IPFIX的各种消息格式及模板的使用,并总结了IPFIX的应用领域。     

多源流量特征分析方法及其在异常检测中的应用

针对不同的网络攻击会造成不同流量特征的变化,单一的网络流量特征难以全面检测网络异常的缺陷,提出了一种多源流量特征分析方法.通过选取一组网络流测度,分析其分布特征并采用雷尼信息熵方法进行多源流量特征融合以实现对网络异常行为的全面检测.基于真实网络流量的实验结果表明,提出的网络异常行为检测方法实现简单、计算量小、检测精度高,可适用于大规模网络,能有效检测已知及未知异常.     

一个分布式协作的大规模网络恶意代码检测系统

恶意代码已在网络中造成了严重的危害,对恶意代码进行有效地防治成了一项必需的研究. 研究了在大规模网络下,通过已知检测和异常发现两个模块,进行分布但自治式的检测,集中式的控制与分析模型. 异常发现模块采用可靠的技术,从网络中发现异常,并提交给分析控制中心;分析后将特征更新到已知检测模块的特征库中,实现将未知变为已知. 建立了系统模型,能够有效地发现新的疫情并及时地控制.     

基于Petri网的TCP协议异常检测模型

从面向连接的角度出发，以Petri网为工具，建立了TCP协议异常检测模型．该模型以TCP协议的状态变迁图为基础，并根据协议规范可对传输报文的标志位进行系统的分析，从而识别出标志位非法组合构成的畸形报文（FIN—RST报文）．模型中规定了各种状态下可接收的标志位集合，同时还细化了各状态下的超时异常，据此可准确地检测出各种异常，以抵御已知和未知的非法行为．利用该模型不仅可发现已知异常事件，还可对未知漏洞进行防范．通过实验发现，网络中的错误标志位报文、端口扫描以及DOS攻击产生的异常流量将占到总流量的10%以上．     

使用交叉熵检测和分类网络异常流量

针对准确识别网络攻击行为的问题,提出了一种基于交叉熵的流量异常检测和分类方法.首先使用流头部特征属性和行为特征属性对DoS攻击、端口扫描和网络扫描等3种常见攻击进行描述,并使用交叉熵来度量各属性上流量的分布变化,建立各攻击的行为特征向量,然后使用指数加权滑动平均控制图方法对多种交叉熵指标进行异常检测得到检测异常向量,最后以检测异常向量和各行为特征向量的相似度来判别攻击类型.针对路由器中Netflow流量的实验结果表明,对于强度较小的攻击,相比香农熵度量法,交叉熵度量法的攻击分类正判率和精确率平均提高了13%和15%,正确率提高了13%.     

基于CBF流抽样的网络安全

现有网络中常存在DDOS、恶意端口及IP扫描、蠕虫等异常产生大量的只包含1个数据包的流量.针对高速网络流量特点及网络异常导致的流量突然上升,提出了一种改进的基于CBF的流抽样算法.该算法对定长时间内到达的数据包进行固定数量的抽样,使抽样率能适应于流量变化,并可控制资源的消耗,尤其当泛洪攻击、DDOS攻击等导致大规模异常网络流量出现时,能有效保护路由器的处理器和内存资源以及传输流记录所需的带宽资源,同时又不失简单性和准确性.     

可增量部署、基于采样流的IP溯源方法

IP溯源能用来查找攻击流量的源头和路径,但迄今为止,还没有因特网规模的溯源方法被实际部署。该文提出了一种基于采样流的部署点自治域(AS)级日志记录类溯源方法SampleTrace。该方法利用路由器已存在的xFlow功能(sFlow、NetFlow和IPFIX)和边界网关协议(BGP)信息来实现溯源,并在因特网上建立覆盖网络以支持增量部署。该文从理论上分析了攻击流被成功溯源的概率与独立采样概率、攻击流所含攻击包数、被成功溯源的跳数3个因素的定量关系。根据Bernoulli大数定律,当使用SampleTrace对因特网中大量的攻击流进行溯源时,成功溯源的经验概率将接近于成功溯源的概率。SampleTrace较好地解决了日志记录类溯源方法的增量部署难题。