基于相对熵的网络流量异常检测方法

网络流量的异常检测是网络安全领域一个重要分支,目标是及时准确地检测网络中发生的突发攻击事件。现有流量异常检测方法如数据挖掘、小波分析等方法或因检测效果较差,或因算法复杂,难以满足实时在线流量检测的应用需求。文中引入信息熵概念,通过对网络流量进行分维和分层实时计算网络流量相对熵,提出了一种基于相对熵的流量异常检测方法,算法时间复杂度为O(N×log2N×D)。实验分析表明,当检测率达到0.80～0.85时,误报率控制在0.03～0.05,可同时满足系统实时性和准确性要求。     

基于协同神经网络的网络流量异常检测

针对网络流量具有复杂的动力学特性,提出了一种应用自上而下的协同神经网络进行网络流量异常检测的方法.首先选择包含正常网络流量和异常攻击流量的数据集作为原型模式,然后通过协同神经网络进行序参量的动力演化,最终根据原型模式对应的序参量的演化结果来判定检测结果.实验结果证明,该方法能有效的识别出正常流量和异常攻击的种类.     

基于分形理论的网络流量异常检测技术

传统网络流量异常检测技术不能适应网络流量的复杂性,异常检测精度低,不能保证实时性,为此,提出一种新的基于分形理论的网络流量异常检测技术。通过FIR滤波方法对流量的时间序列进行预处理。采用Schwarz信息准则对网络流量异常检测问题进行处理,估测网络流量异常点数量与位置。采用R/S分析法求出自相似指数Hurst值,依据Hurst值对网络流量时间序列的分形特征进行分析。引入滑动窗口完成多网络流量异常点的检测,在检测异常点处对流量进行分形处理,依据自相似指数计算过程获取异常点间的流量自相似指数值,保存异常点之后的流量,为下一个流量异常点的检测提供依据。实验结果表明,所提技术实现过程简单,网络流量异常检测精度高,保证了实时性。     

基于突变级数的网络流量异常检测

针对网络流量发生异常时产生的突变特征,提出了一种基于突变级数的网络流量的异常检测方法.该方法首先计算网络流量的特征量,选择其中能显著性反映网络流量自相似性、非线性、非平稳性及复杂的动力学结构特性的特征量;然后将其作为突变理论的控制变量,利用蝴蝶突变模型的突变级数对网络流量异常进行检测.实验结果表明该方法具有较高的检测率和较低的误检率.     

自适应滤波实时网络流量异常检测方法

针对网络中的各种常见攻击,提出一种基于自适应滤波的网络流量异常检测方法.首先对多种流量指标进行递推最小二乘法预测,然后以预测误差所构造的统计量容许范围进行异常检测,最后对检测结果实施归一化评估.该方法具有无需任何历史训练数据、能大量减少报警次数、突出报警严重程度的特点.在DARPA入侵检测评估数据集上的实验表明,所提方法更适合检测拒绝服务攻击引起的异常,较之相同权向量下的同类方法,其异常检测率、误报率和检测速度等性能更好.     

基于支持向量机的网络流量异常检测

提出了一种基于支持向量机的网络流量异常检测方法.分析了支持向量机的基本原理,结合网络流量异常检测的特点,讨论了异常检测的特征选择问题;提出了网络流量对称性、TCP报文SYN和SYN/ACK对称性以及协议分布等具有鲁棒性的特征参数,描述了数据的预处理方法.测试结果表明,所选特征参数可有效地检测网络攻击导致的流量异常变化,说明基于支持向量机的检测方法具有较好的泛化能力.     

基于多尺度相关性的异常网络流量的检测与定位

在相关分析原理基础上,建立网络观测系统的模型,确定了网络流量的相关性特征,然后将多尺度相关分析方法引入系统检测中,提出了一种流量异常检测与定位方法。实验表明,与残差相关分析方法相比较,克服了干扰过多或者丢失信号细节成分两种不同性质的错误,该方法适合于突变信号的处理。     

基于流时间影响域的网络流量异常检测

针对如何提高网络流量异常行为检测准确率的问题,提出基于网络流时间影响域(TID)的网络流量检测模型.通过分析正常和异常情况下流量网络模型平均度的变化,构建了基于复杂网络平均度指标的网络流量异常检测算法.实验结果表明,基于网络流时间影响域的流量网络模型能合理地描述网络流量间的依赖关系,具有良好的检测性能,同时该网络模型仅需时间戳、源IP、目的IP三维网络特征即可实现,检测方法适用于绝大多数网络类型,检测效率优于其他网络流量异常检测方法,具有较高的普适性.     

基于时间特征的网络流量异常检测

为了解决传统网络管理方法不能适应网络复杂性、不能准确刻画网络异常行为的问题.采用一种基于时间特征的网络流量异常检测模型,研究分析网络流量的变化规律.利用指数平滑预测算法对未来网络流量进行预测,利用中心极限定理并结合实际经验确定动态的网络流量阈值,对当前和未来的网络流量异常进行检测.研究结果表明:当网络流量发生异常时,该模型能够进行有效的检测,能准确地描述网络的运行状况.该算法提高了网络流量检测的智能性,具有较高的实用价值.     

基于时间序列分析的网络流量异常检测

针对传统模型无法对网络流量异常进行准确识别和检测的问题,提出一种基于时间序列分析的网络流量异常检测模型.首先提取网络流量的原始数据,并对原始数据进行小波阈值去噪处理,消除干扰因素的影响;然后采用时间序列分析法挖掘网络流量数据之间的变化关系,建立网络流量异常检测模型;最后通过仿真实验验证检测模型的有效性和优越性.实验结果表明,时间序列分析法可以准确、及时地检测网络流量的异常行为,且结果优于目前其他网络流量异常检测模型.     

一种面向特定网络服务的异常检测方法

通过对入侵检测技术以及攻击种类的分析,发现常用的网络流量模型和简单的应用模型不能很好地检测R2L(Remote to Local)和U2R(User to Root)两类攻击.为此,提出一种面向特定网络服务的异常检测方法,考虑了特定网络服务的负载知识,结合信息论相关理论和n-gram分析方法,对正常服务请求报文的类型、长度、负载分布建立模型,对检测对象计算其特征异常值,有效检测R2L和U2R两类攻击.将该方法与误用检测结合,能有效提高入侵检测的准确性.     

Anomaly Detection with Artificial Immune Network

Inspired by the immune network theory, an adaptive anomaly detection paradigm based on artificial immune network, referred as APAI, is proposed. The implementation of the paradigm includes： initially, the first is to create the initial antibody network; then, through the learning of each training antigen, the antibody network is evolved and updated by the optimal antibodies. Finally, anomaly detection process is accomplished by majority vote of the k nearest neighbor antibodies in the network. The experiments used the famous Sonar Benchmark dataset in our study, which is taken from the UCI machine learning database. The obtained detection accuracy of APAI was 97.7%, which was very promising with regard to the other classification applications in the literature for this problem. In addition to its nonlinear classification properties, APAI possesses biological immune network properties such as clonal selection, immune network, and immune memory, which can be applied to pattern recognition, classification, and etc.     

Anomaly-based model for detecting HTTP-tunnel traffic using network behavior analysis

Increasing time-spent online has amplified users＇ exposure to tile tilreat oI miormanon leakage. Although existing security systems （such as firewalls and intrusion detection systems） can satisfy most of the security requirements of network administrators, they are not suitable for detecting the activities of applying the HTTP-tunnel technique to steal users＇ private information. This paper focuses on a network behavior-based method to address the limitations of the existing protection systems. At first, it analyzes the normal network behavior pattern over HTI＇P traffic and select four features. Then, it pres- ents an anomaly-based detection model that applies a hierarchical clustering technique and a scoring mechanism. It also uses real-world data to validate that the selected features are useful. The experiments have demonstrated that the model could achieve over 93% hit-rate with only about 3% false- positive rate. It is regarded confidently that the approach is a complementary technique to the existing security systems.     

An improved BP artificial neural network algorithm for urban traffic flow intelligent prediction

The traffic flow is interrelated to traffic congestion, the big traffic flow directly results in traffic congestion of some section. In this paper, on the basis of the research of overseas traffic accident, considering the characteristic of Chinese traffic, artificial neural network was used to predict traffic accident, and an improved BP artificial neural network model according with Chinese the situation of a country was proposed. The urban traffic flow prediction was simulated under the particular situation, the simulation result shows that the improved BP artificial neural network can fit the urban traffic flow prediction very well and have high performance.     

城市交通网络的渗流力学模型

将城市交通网络中的交通流视为多孔介质网络中的渗流,利用裂隙介质中多相渗流力学理论,考虑人流和车流之间的相互作用以及道路通行能力的不同,建立了城市交通网络通行能力计算的渗流力学模型,该模型的计算可以借助渗流力学的现有知识进行,可以通过计算得到不同时刻城市交通网络的交通流分布以及城市交通网络的宏观通行能力。从而为城市交通规划理论提供了一个全新的方法。     

基于近似熵的交通流序列趋势变化检测

交通流趋势变化特征分析是交通流预测的基础.为了提取交通流序列随时间推移所呈现出来的宏观变化规律,提出了一种用于检测交通流序列趋势变化的滑动移除近似熵方法.通过对交通流序列趋势规律进行研究,首先将其细分为上升趋势、平稳波动趋势、下降趋势,然后根据不同趋势变化的时间序列复杂程度不同,建立了滑动移除近似熵方法求解其滑动移除近似熵的值,并根据得到的时间序列提取交通流序列趋势变化.最后以北京市四环路某一断面交通流序列为例,用建立的模型对交通流序列趋势变化进行检测,并与滑动t检验方法结果对比.研究结果表明本文提出的方法能够对交通流序列趋势变化进行检测,且检测结果与实际交通流序列趋势变化比较吻合,研究结论可为短时交通流预测建模提供参考依据.     

基于神经网络的程序异常监测

针对传统入侵检测系统的不足,研究了基于反向传播神经网络的程序异常检测方法,提出了一个改进的利用多层前馈网络的预测功能和异常区域判定方法检测系统异常的算法.详细讨论了算法的基本原理、数学基础、设计和实现方法.通过实验,分析算法的优缺点,验证了算法的可行性和有效性.     

An improved BP artificial neural network algorithm for urban traffic flow intelligent prediction

The traffic flow is interrelated to traffic congestion, the big traffic flow directly results in traffic congestion of some section. In this paper, on the basis of the research of overseas traffic accident, considering the characteristic of Chinese traffic, artificial neural network was used to predict traffic accident, and an improved BP artificial neural network model according with Chinese the situation of a country was proposed. The urban traffic flow prediction was simulated under the particular situat...     

校园网流量监测系统的研究与实现

为了便于网络管理、并为网络升级和故障分析提供可靠的依据,基于实时监测网络流量情况构造一个网络流量监测软件系统。该系统采用关系数据库对流量数据进行存储;并利用Jbuilder 2005设计出便捷的用户操作管理界面,实现处理保存流量数据的校园网流量监测。通过在某大学校园网上的示范应用表明,该软件不仅提供图形化的用户接口、将收集的历史数据和实时数据在其中以图形的方式直观地显示出来,还能为用户提供可视化的监控操作与管理、方便用户使用。这种方法简便易行、性能指标较好地满足网络流量实时监测的需求。