贝叶斯分类算法在入侵检测中的应用研究

根据分类技术建立入侵检测模型思路,在传统贝叶斯入侵检测原型系统的基础上,构造了一个融入误用检测技术中模式识别方法的入侵检测系统,实验表明,这种方法取得了良好的效果。     

基于贝叶斯的Web系统DDoS攻击行为检测机制

提出一种基于贝叶斯的针对Web系统DDoS攻击行为检测机制,利用站长统计工具得到Web系统访问数据,引入贝叶斯定理,计算可能发生DDoS攻击的概率.实际测试表明,该机制能够有效判断是否存在针对Web系统的DDoS攻击行为,并能激活防御策略,切断无访问深度且停留时间过长的连接.     

应用数据挖掘算法检测云计算中的DDoS攻击

DDoS攻击给当前网络安全造成了极大威胁,在分析归纳DDoS攻击特征的基础上,针对在云计算中DDoS攻击的特点,设计出基于云计算的DDoS攻击入侵检测模型,将Apriori算法与K-means聚类算法相结合应用到入侵检测模型中。实验表明,在云计算中运用数据挖掘算法建立的入侵检测模型能实时自动准确地检测DDoS攻击。     

软件定义网络中基于贝叶斯ARTMAP的DDoS攻击检测模型

为解决SDN(software defined network,软件定义网络)架构下DDoS(distributed denial of service,分布式拒绝服务)攻击检测问题,提出基于贝叶斯ARTMAP的DDoS攻击检测模型. 流量统计模块主要收集捕获到的流表信息,特征提取模块提取流表中的关键信息并获取关键特征,分类检测模块通过贝叶斯ARTMAP提取分类规则,并通过粒子群算法对参数进行优化,对新的数据集进行分类检测.仿真实验证明了模型所提取的5元特征的有效性,并且该模型与3种传统的DDoS攻击检测模型相比检测成功率提高了0.96%~3.71%,误警率降低了0.67%~2.92%.     

基于BP神经网络的DDoS攻击检测研究

分布式拒绝服务攻击(DDoS)是如今常见的网络威胁之一,DDoS攻击易被发动却很难追踪与防范.在神经网络快速算法基础上,首先系统分析国内外DDoS攻击检测理论、方法与大量数据集,构建了基于数据包长度,数据包发送时间间隔以及数据包长度变化率等六项特征的攻击流量特征模型;其次通过大量尝试提出对神经网络误差调整参数进行优化的方法;最后基于加州大学洛杉矶分校数据集(UCLA CSD Packet Traces)进行了参数改进前后的攻击检测对比实验.实验表明,本文提出的方法能有效提高DDoS攻击检测率,且具有较好的泛化能力.     

基于攻击分类的攻击树生成算法研究

提出一种面向检测的攻击分类方法——DetectClass方法，进行形式化的分析和证明，进而提出相应的攻击树生成算法．DetectClass分类方法的使用，可以提高检测的效率和精度；攻击树生成算法可以自动建立攻击模型，并可以重用攻击模型．经实验验证算法是有效的．     

基于主机拥塞量化的DDoS攻击源端检测

DDoS攻击以其攻击操作简单、隐蔽性强、攻击危害大的特点成为最常用的攻击技术之一。DDoS攻击通过多个攻击跳板同时向目标主机发起攻击,耗尽目标主机的资源,使其无法向合法用户提供服务。这种攻击极大地影响了网络和业务主机系统的有效服务,对网络安全和信息可用性造成了严重的威胁。针对这种攻击已有的应对策略从攻击源追踪、提出解决方案。     

DDoS攻击的技术分析及防范策略研究

文章介绍了拒绝服务(DoS)攻击和分布式拒绝服务(DDoS)攻击的概念,分析了DDoS攻击的原理;详细讨论了DDoS攻击的防范策略,包括DDoS攻击的检测和防御等;提出了一些DDoS攻击的应急措施以减少攻击所造成的影响。     

一种针对DDoS flooding攻击的异常检测方案

随着网络用途的不断扩大和Internet互联网络带宽的增加,网络遭受攻击的形式也越来越多,越来越复杂。分布式拒绝服务攻击DDoS是互联网环境下最具有破坏力的一种攻击方式,尤其以TCP flooding和UDP flooding攻击为代表。文中通过分析DDoS flooding的攻击特点和TCP协议的连接过程,利用网络流量的自相似性等特点,设计出一种针对DDoS flooding攻击的异常检测方案。     

基于包标记的DDoS攻击源追踪方案研究

依据FMS标记思想,结合密码学的数字签名方法,设计了自适应hash签名标记方案AHSM。该方案是在包经过的路由器处,路由器按一个变化的概率对包进行hash签名。采用hash签名,签名速度快、误报率低、重构开销小,实现了IP地址的防篡改和发送者的不可否认,能有效地防止路由器假冒。采用变化的概率,可以减少受害者重构攻击路径时所需的数据包数,提高了追踪速度。     

网络流量自相似性在DDoS攻击检测中的应用

大量研究表明网络的正常流量具有自相似性,可以用自相似性参数Hurst系数来描述。DDoS攻击会破坏或者影响网络正常业务的自相似特性,用优化的R／S作为自相似性参数Hurst系数的估算算法,分析DDoS攻击数据流对正常业务数据流自相似参数Hurst系数的影响,来检测DDoS攻击。     

基于eBPF与LSTM的DDoS攻击检测系统

针对网络异常流量检测中的DDoS攻击检测,以往的基于深度学习的解决方案都是在脱离系统实体的数据集上构建模型和优化参数,提出并实现一种使用Linux内核观测技术eBPF(extended Berkeley Packet Filter)与深度学习技术结合的基于网络流量特征分析的网络异常流量检测系统。系统采用eBPF直接从Linux内核网络栈最底层高效地采集网络流量特征数据,然后使用基于长短记忆网络LSTM(Long Short Term Memory)构建的深度学习系统检测网络异常流量。在具体实现中,系统首先通过Linux内核网络栈最底层XDP(eXpress Data Path)中的eBPF程序挂载点采集网络流量特征数据。之后,使用LSTM构建神经网络模型和预测分类。将系统应用于一个仿真实验网络环境得出的实验结果表明,系统的识别精确度达到97.9%,同时,在使用该系统的情况下,网络中的TCP与UDP通信的吞吐率仅平均下降8.53%。结果表明：系统对网络通信影响较低,同时也实现了较好的检测效果,具有可用性,为网络异常流量检测提供了一种新的解决方法。     

智能互助的入侵检测系统

介绍了入侵检测系统中所采用的异常检测技术及其优缺点，同时介绍了克服此缺点的一些模型．在分析此类模型的基础上，提出了一种新的思想：建立一个检测系统的通信标准，从而使不同的系统能够互相通信，并形成一个检测系统的网络，以强化防范措施。     

基于Snort入侵检测系统的改进优化

在深入研究和分析Snort入侵检测系统的基础上,对原有系统提出了新的改进设计方案,解决了Snort系统不能及时检测未知入侵行为的问题．同时,根据Snort流出数据的特征,统计了其出现频率,将存在威胁的数据特征动态加入到Snort异常特征库中,实现了对未知入侵的拦截．改进后的系统可有效防止未知的入侵事件,降低了丢包率,提高了系统的全面检测能力．