基于决策树的DDoS攻击检测方法研究

采用决策树中的ID3算法,提出一种基于数据挖掘技术的DDoS攻击检测方法.该方法从被监控网络采集的数据中提取网络流量特征设计检测系统,较好地解决了网络流量分析中数值属性特征的分类问题.实验结果表明该系统能有效检测网络中发生的DDoS攻击行为.     

基于自编码器和对比学习的入侵检测研究

为有效提取复杂且冗余的网络流量数据特征并进行更好地特征表达,提出了一种基于自编码器和对比学习的入侵检测方法。通过自编码器可捕捉网络数据流量特征间的非线性相关性,实现对数据的降维处理和特征提取,同时,采用对比学习对网络流量数据进行表征学习,通过优化对比学习损失函数进行端到端学习。在两个基准数据集NSL-KDD和UNSW-NB15进行分类试验。结果表明,相对于其他深度学习的入侵检测方法,该模型有效地提高了识别准确率和精确率。     

基于大数据流的网络流量检测与分析

针对网络流量异常检测问题,该文提出1种新的网络流量检测和分析系统。采用分布式流式处理机制达到实时检测。利用大数据平台分布式存储、数据计算分析的能力,实现网络数据分布式存储,训练网络数据协议特征库。在江苏省电力公司的营销、运行与调度等业务场景中,该网络流量检测与分析系统取得了很好的实际效果,为各个业务场景的分析提供了业务支撑。     

样品分类系统SAMPLEMIS的研究与设计

本文分析了基于贝叶斯数据分类方法而实现的样品管理分类系统SAMPLEMIS，详细的介绍了冶金行业样品特征集的形成和信息提取，并用二次特征选择方法进行分类，提高了分类的准确率。     

基于CNN-GRU的入侵检测算法研究

入侵检测是网络安全的一个重要组成部分。针对常用基于长短期记忆网络的入侵检测算法的收敛速度慢的问题,考虑到网络流量数据同时存在时间和空间的特征,提出了一种基于卷积神经网络和门控循环单元的入侵检测方法。使用卷积神经网络将流量数据的空间特征提取出来,以多个相同参数的小卷积核来替代大卷积核,使得网络结构加深。将提取出的特征输入到门控循环单元中,学习流量数据的时序特征后进行分类。数据集采用KDD99,实验表明,该模型能够对网络流量进行有效的识别。     

基于eBPF与LSTM的DDoS攻击检测系统

针对网络异常流量检测中的DDoS攻击检测,以往的基于深度学习的解决方案都是在脱离系统实体的数据集上构建模型和优化参数,提出并实现一种使用Linux内核观测技术eBPF(extended Berkeley Packet Filter)与深度学习技术结合的基于网络流量特征分析的网络异常流量检测系统。系统采用eBPF直接从Linux内核网络栈最底层高效地采集网络流量特征数据,然后使用基于长短记忆网络LSTM(Long Short Term Memory)构建的深度学习系统检测网络异常流量。在具体实现中,系统首先通过Linux内核网络栈最底层XDP(eXpress Data Path)中的eBPF程序挂载点采集网络流量特征数据。之后,使用LSTM构建神经网络模型和预测分类。将系统应用于一个仿真实验网络环境得出的实验结果表明,系统的识别精确度达到97.9%,同时,在使用该系统的情况下,网络中的TCP与UDP通信的吞吐率仅平均下降8.53%。结果表明：系统对网络通信影响较低,同时也实现了较好的检测效果,具有可用性,为网络异常流量检测提供了一种新的解决方法。     

基于机器学习的网络流量分类算法分析研究

基于应用的流量分类在网络安全和管理中具有非常重要的作用.传统流量分类大部分是基于端口的预测方法和基于有效载荷的深度检测方法.由于当前网络环境中各种隐私问题以及基于动态端口和加密的应用,传统的网络流量分类策略的有效性已经逐步下降,目前主要集中在基于机器学习技术的流量分类模型进行研究.本文对各种基于机器学习算法的流量分类的比较,如贝叶斯网络(Bayes Net)、朴素贝叶斯(Naive Bayes)、基于RBF的SVM流量分类和基于遗传算法的SVM (GaSVM)流量分类等.这些算法分别使用了全特征选择和优化后的特征集合,实验结果表明基于遗传算法的SVM流量分类精度较高,并在使用主成分特征也可以达到很高的精度.     

基于DSCNN-BiLSTM的入侵检测方法

针对传统的入侵检测方法无法有效提取网络流量数据特征的问题,提出了一种基于DSCNN-BiLSTM的入侵检测方法,该方法引入了深度可分离卷积代替标准卷积从而减少了模型参数,降低了计算量,并应用双向长短期记忆网络(BiLSTM)提取长距离依赖信息的特征,充分考虑了前后特征之间的影响.首先,通过主成分分析法(PCA)对网络流量数据进行特征降维,并创新性地将一维网络流量数据转化为三维图像数据;然后,分别运用深度可分离卷积神经网络(DSCNN)和双向长短期记忆网络(BiLSTM)提取网络流量数据的空间特征和时间特征;最后,利用KDDCUP99数据集进行训练、验证和测试.实验结果表明,与其他传统的入侵检测方法相比,该方法具有更高的准确率和更低的漏报率.     

HTTP网络应用特征串的自动提取

网络应用特征串的提取是网络流量分类中深度包检测(DPI)系统至关重要的一环.文中提出一种自动提取不同的HTrP网络应用(如网络视频、网络游戏、SNS等)的特征串的方法.该方法先对HTrP网络应用的全报文数据进行组流分析,然后通过一个基于Hash表的算法提取出频繁出现的字符串,最后通过建立HTTP应用共性特征库,对频繁串...     

基于改进朴素贝叶斯法的手机垃圾短信过滤算法研究

在手机短信的使用中,垃圾短信的数量、特征及内容均在不断地变化.传统的基于固定模式的检测方法,比如:黑白名单和基于内容检测的方法都会出现因信息更新不及时而导致的性能降低的情况.因此提出一种基于改进的朴素贝叶斯的方法以提高垃圾短信分类的性能.首先利用频繁出现的单词创建数据特征,然后找出垃圾短信和非垃圾短信的差异特征词来构建分类关键词,最后应用改进的朴素贝叶斯算法进行分类.实验结果表明,新算法可以有效地提高分类精度.     

基于时空融合深度学习的工业互联网异常流量检测方法

基于流量异常发现网络中的攻击行为具有普适性优势，而传统的异常流量检测方法难以适应大量复杂的工业互联网流量特征提取，针对此问题提出一种基于时空融合深度学习的工业互联网异常流量检测方法。对类别不平衡的流量数据进行预处理操作，以形成样本分布较为均衡的流量数据集;使用融合聚合残差变换网络和门控循环单元的深度学习模型从空间和时间维度上提取流量数据特征，实现时空融合的流量数据特征的综合提取;通过Softmax分类器对流量数据进行分类。实验测试结果表明，所提方法具有较高的准确率和F1值，分别可达到94.7%和95.47%。与传统的异常流量检测方法相比，所提方法提高了对工业互联网异常流量数据的检测指标，且模型的运行时间相对较短。     

融合DRAE与SVM的网页防篡改检测

针对传统的网络安全研究如入侵检测、流量分析以及主动防御等方法需要较强的网络安全相关知识以及大量的网络训练数据,以及较高的研究门槛的问题,该研究提出一种基于Deep Residual Auto-Encoder（DRAE）与支持向量机（SVM）相结合的网页防篡改检测模型,该模型用DRAE提取网页图像特征,并输入SVM分类器判别网页是否被篡改。经过在东北农业大学范围内实验验证,结果表明,使用该模型进行网页检测的准确率高达95%,高于现有检测方法。     

基于灰度图像转化的时间型隐蔽信道检测方法

时间型网络隐蔽信道是一种隐蔽性极高的信息泄露方式.其作为APT攻击的主要通信手段,对网络安全产生了极大威胁.目前针对隐蔽信道的检测方法通用性不足、误检率高,且人工提取流量特征耗时耗力.本文提出了一种基于灰度图像转化的检测方法.该方法将报文到达时间间隔归一化,转换成像素值,再将其转为灰度图像,由此把一维序列分类问题转成二维图像分类问题.本文使用卷积神经网络自动获取图像特征,并利用卷积块注意力模块,从空间与通道两个维度进行特征自适应优化.本文用合法流量和隐蔽信道流量组成的数据集训练网络,所得到的二分类模型用于判别被检测流量是否为时间型隐蔽信道流量.最后将提出的方法与现有的4种检测方法做对比.实验结果表明,本文方法具有更高的精确率和召回率,所得模型的通用性更好且误检率更低.     

基于自适应免疫分类器的入侵检测

由于采用传统的分类器进行检测时,存在检测率低而误报率高的问题.提出了一种基于免疫聚类的自适应分类器方法,采用多信息粒度的思想有效地克服了聚类算法与分类算法间的不一致性.通过在真实网络数据集上对多种入侵行为的检测结果表明:该分类器的检测率高、漏报率和误报率低,较RBF分类器和BP分类器具有更好的分类性能和推广性能.     

基于级联AdaBoost的Snort异常检测预处理插件研究

在开源网络入侵检测系统Snort的预处理阶段加入了一种新的预处理插件,插件中使用改进的AdaBoost算法进行异常网络流量的特征提取和构造每一级AdaBoost分类器,然后用级联的结构将多个AdaBoost分类器做线性组合共同完成入侵检测,组合系数通过自适应学习得到。实验表明,该插件可以有效地检测Snort规则集中无可匹配特征的异常网络流量,降低Snort系统对于异常流量检测的漏报率和误报率,满足高速网络环境对入侵检测实时性的要求。     

由粗到精分层技术下的复杂网络入侵检测方法研究

摘要：复杂网络具有开放性、互联性和共享性,易受到大规模的入侵,采用传统“一对一”方式构建网络入侵检测器,检测费时,实时性检测差。为了提高复杂网络入侵检测性能,提出一种引入由粗到精分层概念的多层网络入侵检测模型,在传统的LSSVM分类器基础上,对分类过程进一步细分,建立一种由粗到精策略,构造多层的网络入侵分类器,在精细分类层,将引入拥挤度和隔离度因子的粒子群优化分类器,以提高入侵分类器性能。最后采用KDD 99数据集进行仿真测试。结果表明,相对于其它检测模型,该模型不仅加快了入侵检测速度,满足入侵检测实时性,同时提高了网络入侵检测率,为网络安全提供了有效保证。     

基于集成卷积神经网络的交通标志识别

以交通标志识别为研究目的,提出一种基于集成卷积神经网络的交通标志识别算法,通过对多个不同结构的卷积神经网络进行集成以提高算法识别率。为了缩短网络训练和测试时间以及提高网络识别率,对单个卷积神经网络的结构进行了优化。使用ReLU(rectified linear unit)激活函数来代替传统的激活函数,使用批量归一化(batch normalization,BN) 方法对卷积层输出数据进行归一化处理,将卷积神经网络的分类器用支持向量机(support vector machine,SVM)代替。使用德国交通标志识别数据库(german traffic sign recognition benchmark,GTSRB)进行训练和测试,实验结果表明,提出的算法识别率为98.29%,单幅交通标志图像测试时间为1.32 ms,对交通标志具有良好的识别性能。     

基于时间序列分析的网络流量异常检测

针对传统模型无法对网络流量异常进行准确识别和检测的问题,提出一种基于时间序列分析的网络流量异常检测模型.首先提取网络流量的原始数据,并对原始数据进行小波阈值去噪处理,消除干扰因素的影响;然后采用时间序列分析法挖掘网络流量数据之间的变化关系,建立网络流量异常检测模型;最后通过仿真实验验证检测模型的有效性和优越性.实验结果表明,时间序列分析法可以准确、及时地检测网络流量的异常行为,且结果优于目前其他网络流量异常检测模型.     

半监督技术和主动学习相结合的网络入侵检测方法

针对当前网络入侵具有多样性和易变性, 单一方法很难获得理想网络入侵检测结果的问题, 为提高网络入侵检测正确率, 有效拦截各种网络入侵, 提出一种将半监督技术与主动学习相结合的网络入侵检测方法. 首先, 采集网络入侵数据, 提取网络入侵特征, 并采用半监督技术根据特征对网络入侵数据进行聚类处理; 其次, 采用主动学习算法对聚类后的数据进行训练, 构建网络入侵检测的分类器, 并引入蚁群算法对构建网络入侵检测的分类器进行优化; 最后, 采用标准数据集对网络入侵检测方法进行仿真测试. 测试结果表明, 该方法解决了当前入侵检测方法存在的缺陷, 提升了网络入侵检测正确率, 漏检率和误检率明显少于经典网络入侵检测方法, 同时缩短了网络入侵检测时间, 改善了网络入侵检测效率, 能更好地保证网络通信和数据传输安全.