基于时间序列分析的网络流量异常检测

针对传统模型无法对网络流量异常进行准确识别和检测的问题,提出一种基于时间序列分析的网络流量异常检测模型.首先提取网络流量的原始数据,并对原始数据进行小波阈值去噪处理,消除干扰因素的影响;然后采用时间序列分析法挖掘网络流量数据之间的变化关系,建立网络流量异常检测模型;最后通过仿真实验验证检测模型的有效性和优越性.实验结果表明,时间序列分析法可以准确、及时地检测网络流量的异常行为,且结果优于目前其他网络流量异常检测模型.     

网络应用程序分类的多样化组合特征选择算法

考虑到网络用户数量的快速增长、日益复杂的网络环境以及网络应用程序多元化的现状,识别网络中的具体应用程序(诸如Google、Facebook、Skype、MSN等)是网络应用的重要研究方向,通过提取网络流量特征并利用机器学习方法识别网络应用程序是其主流方法,但由于网络流量特征多且复杂,经特征选择所获特征用于分类的性能往往...     

基于分形理论的网络流量异常检测技术

传统网络流量异常检测技术不能适应网络流量的复杂性,异常检测精度低,不能保证实时性,为此,提出一种新的基于分形理论的网络流量异常检测技术。通过FIR滤波方法对流量的时间序列进行预处理。采用Schwarz信息准则对网络流量异常检测问题进行处理,估测网络流量异常点数量与位置。采用R/S分析法求出自相似指数Hurst值,依据Hurst值对网络流量时间序列的分形特征进行分析。引入滑动窗口完成多网络流量异常点的检测,在检测异常点处对流量进行分形处理,依据自相似指数计算过程获取异常点间的流量自相似指数值,保存异常点之后的流量,为下一个流量异常点的检测提供依据。实验结果表明,所提技术实现过程简单,网络流量异常检测精度高,保证了实时性。     

基于改进特征选择法的光纤网络流量异常监测研究

采用当前方法进行光纤网络流量异常监测过程中,特征选择法无法全面描述流量异常特征监测的不足,存在监测效果较差的问题。为此,提出一种基于改进特征选择法的异常流量监测方法。首先采用分光方式对光纤网络流量进行分析,获取光纤网络流量时间序列,并描述用于流量异常监测的多时间序列之间的相互关系,然后利用改进特征选择法对网络出口流量进行特征提取。利用聚类算法选择网络流量异常最优类数和聚类中心,来对网络流量异常现象进行过滤,从而实现网络异常流量特征抽取、特征选择改进算法和网络流量异常监测的研发,从而提高光纤网络流量异常现象监测的准确度。仿真实验结果证明,通过这种方法,能有效地对网络流量异常现象进行监测,且算法简单,能够满足网络流量异常监测的应用需求,实用价值较高。     

基于改进特征选择法的光纤网络流量异常监测

采用当前方法进行光纤网络流量异常监测过程中,特征选择法无法全面描述流量异常特征监测的不足,存在监测效果较差的问题。为此,提出一种基于改进特征选择法的异常流量监测方法。首先采用分光方式对光纤网络流量进行分析,获取光纤网络流量时间序列,并描述用于流量异常监测的多时间序列之间的相互关系,然后利用改进特征选择法对网络出口流量进行特征提取。利用聚类算法选择网络流量异常最优类数和聚类中心,来对网络流量异常现象进行过滤,从而实现网络异常流量特征抽取、特征选择改进算法和网络流量异常监测的研发,从而提高光纤网络流量异常现象监测的准确度。仿真实验结果证明,通过这种方法,能有效地对网络流量异常现象进行监测,且算法简单,能够满足网络流量异常监测的应用需求,实用价值较高。     

含自适应阈值的ARMA网络流量异常检测算法

传统的网络管理方法已不能适应网络复杂性的要求,不能准确刻画网络异常行为,从而影响检测精度.针对这个问题,提出含自适应阈值的ARMA网络流量异常检测算法,利用滑动平均模型预测网络流量,利用中心极限定理确定动态的阈值区间,通过判断网络流量误差是否落在阈值区间作为检测点是否异常的准则.仿真结果表明,该模型能准确地描述网络的运行状况,具有很高的可用性.     

一种多特征融合的加密流量快速分类方法

网络流量识别是网络管理和安全服务的基础.随着互联网的不断扩展及其复杂性的增加,传统基于规则的识别方法或流行为特征的方法正在面临着巨大挑战.受自然语言处理（Nature Language Processing, NLP）启发,本文提出了一种多特征融合的加密流量快速分类方法.该方法通过融合数据包和字节序列特征来完成网络流的特征表示,采用双元字节编码将所选特征扩展为双字节序列,增加了字节的上下文语义特征;通过与数据包特征处理相适应的池化方法来最大限度保留数据包的特征信息,从而使所提模型具有更强的抗噪能力和更精确的分类能力.本文方法分别在ISCX-2016和一个包含66个热门应用程序的私有数据集（ETD66）上进行验证,并与其他模型展开比较.结果表明：本文所提方法在ISCX-2016及ETD66上的测试精度和性能都明显优于其他流量分类模型,分别取得了98.2%和98.6%的识别准确率,从而证明了所提方法的特征提取能力和强泛化能力.     

基于改进黑洞算法优化ESN的网络流量短期预测

网络流量数据序列具有混沌特性.相空间重构后,采用一种改进黑洞算法优化回声状态网络的非线性模型对网络流量进行预测.改进黑洞算法是在现有工作的基础上提出一种新的新解生成机制,可以提高算法的收敛速度和精度;相比于遗传算法、和声搜索算法等其他优化算法,所提出的改进黑洞算法不依赖自身相关参数的准确设定;将其应用于回声状态网络4个重要参数的优化选取,使得预测模型具有较好的预测稳定性.通过Mackey-Glass混沌时间序列和网络流量公共数据集的仿真实验,结果表明所提出的方法具有较好的预测性能.     

基于LSTM流量预测的DDoS攻击检测方法

提出一种基于长短时记忆(LSTM)神经网络流量预测的分布式拒绝服务(DDoS)攻击检测方法.首先定义了IP数据包统计特征(IPDCF)来表征网络流特征,然后采用LSTM神经网络模型对IPDCF时间序列进行建模,且使用网格搜索和超参数最优法确定Dropout的值以缓解该模型的过拟合现象,最后建立基于IPDCF时间序列的LSTM模型来识别DDoS攻击.实验结果表明:该模型能够准确地预测正常网络流量变化趋势,识别DDoS攻击引起的异常;与同类方法相比,该方法能较早地检测DDoS攻击且漏报率和误报率更低.     

基于时间特征的网络流量异常检测

为了解决传统网络管理方法不能适应网络复杂性、不能准确刻画网络异常行为的问题.采用一种基于时间特征的网络流量异常检测模型,研究分析网络流量的变化规律.利用指数平滑预测算法对未来网络流量进行预测,利用中心极限定理并结合实际经验确定动态的网络流量阈值,对当前和未来的网络流量异常进行检测.研究结果表明:当网络流量发生异常时,该模型能够进行有效的检测,能准确地描述网络的运行状况.该算法提高了网络流量检测的智能性,具有较高的实用价值.     

基于决策树的网络流量分类方法

针对传统流量分类方法(基于端口和有效载荷)分类不可靠的问题,提出基于C4.5决策树算法,根据训练集中属性的信息增益比率构建分类模型,按属性对测试数据集进行预测,通过查找分类模型实现对网络流量的分类。在公开数据集和自己采集的数据集上进行实验,结果表明,采用C4.5决策树算法对网络流量分类,平均分类精度为93%,单类别分类精度均在90%以上,能有效地实现对网络流量应用类型的识别。     

基于eBPF与LSTM的DDoS攻击检测系统

针对网络异常流量检测中的DDoS攻击检测,以往的基于深度学习的解决方案都是在脱离系统实体的数据集上构建模型和优化参数,提出并实现一种使用Linux内核观测技术eBPF(extended Berkeley Packet Filter)与深度学习技术结合的基于网络流量特征分析的网络异常流量检测系统。系统采用eBPF直接从Linux内核网络栈最底层高效地采集网络流量特征数据,然后使用基于长短记忆网络LSTM(Long Short Term Memory)构建的深度学习系统检测网络异常流量。在具体实现中,系统首先通过Linux内核网络栈最底层XDP(eXpress Data Path)中的eBPF程序挂载点采集网络流量特征数据。之后,使用LSTM构建神经网络模型和预测分类。将系统应用于一个仿真实验网络环境得出的实验结果表明,系统的识别精确度达到97.9%,同时,在使用该系统的情况下,网络中的TCP与UDP通信的吞吐率仅平均下降8.53%。结果表明：系统对网络通信影响较低,同时也实现了较好的检测效果,具有可用性,为网络异常流量检测提供了一种新的解决方法。     

基于改进特征选择法的移动通信网络流量异常监测系统

由于传统系统受到网络时延和信号干扰的影响,导致系统监测效果较差,提出了基于改进特征选择法的移动通信网络流量异常监测系统.利用报警装置对异常数据进行警示,并通过显示模块显示监测结果,解析全部网络流量特征.根据特征选择流程,获取网络流量异常特征,实现对异常网络流量的实时监测.提取异常流量并展开分析,采用改进特征选择法对异常流量进行选择,由此实现移动通信网络流量异常监测系统的设计.实验结果显示,该系统最高监测准确率可达88%,保证移动通信网络能在安全稳定条件下运行.     

基于复杂样本的安全态势要素分类架构

针对网络安全态势要素获取中大规模复杂攻击样本分类困难的问题,提出一种基于条件变分自编码网络的安全态势要素分类架构。该架构分为编码网络和生成网络两部分,均采用深度神经网络作为其基础框架。编码网络用于对高维数据进行降维,提取其隐含特征;生成网络用于对降维后的样本进行重构,生成新的样本。在生成网络中引入混合密度模型优化其特征提取能力,提高重构数据的准确性。采用训练数据对该架构进行训练,训练后的编码网络作为分类器,识别样本类型;生成网络生成指定类别的样本数据,以平衡复杂样本中各类攻击样本的数量,提高分类精度。仿真结果表明,与其他对比模型相比,所提分类架构具有较好的降维效果和较高的态势要素分类精度。     

一种基于主机实时流量的安全评估方法

在分析影响服务可用性网络攻击导致网络流量异常改变的基础上，提出了一种主机网络实时流量的安全状况评估方法．首先，在固定时间窗口内选择一组能够体现网络流量统计特征的统计量作为评估测度，在大样本的基础上运用信息增益方法确定不同测度对评估结果影响的重要性．其次，采用层次加权方法，并将评估结果作为归一化异常度值，对主机网络的实时流量进行评估．实验结果表明，这种方法能够对蠕虫、DIDoS、DoS攻击引发的异常流量进行合理评估，并且对引起网络流量异常改变的新攻击有良好的评估效果．     

高校网络流量测量与控制策略研究

随着我国网络规模的不断扩大,网络流量特征相关研究已成为国内外网络界研究的热点之一。随着校园网络的普及,其所提供的服务渐趋多元化与复杂化,这为高校网络的运行与管理带来诸多问题。文章立足于分析造成校园网络拥塞的原因,在阐述相关网络流量识别技术等基础上,结合高校网络实际,提出了高校网络流量控制策略,以期为高校解决网络拥塞问题提供借鉴与帮助。     

基于分形序列的流量模型

文中设计了一种调整方差随机二分法的分形序列生成方法, 调整该方法中的参数值可生成单分形或重分形的序列, 生成的单分形序列的自相似度和生成的重分形序列的勒让德谱取决于参数值. 该方法的时间复杂度为O(n), 由三种不同的Hurst检测方法证实了该方法具有较高的准确度. 通过分析网络流量的特征, 指出网络流量在一定的尺度上可能同时存在长相关和重分形的特性,本文提出的分形序列生成方法能生成具有不同程度突发的分形序列,可灵活的仿真不同的网络流量.     

基于SBN模型的Internet应用协议识别方法

针对网络流量协议标注比较困难的问题,提出一种基于贝叶斯网络的半监督学习模型,以提高Inter-net协议的识别精度.该模型首先使用少量的标注样本训练贝叶斯网络分类模型,并对未标注样本进行初始分类,然后从未标注样本中挑选分类损失最小的样本加入到训练集中并重复训练分类模型,经过多次循环训练出最终的分类器.该模型可以使用未标注样本和标注样本共同训练分类模型,非常适合于标注比较困难的Internet应用协议的识别.实验结果表明：在标注样本较少的情况下,该模型的识别精度和稳定性均优于朴素贝叶斯模型和贝叶斯网络模型,对于提高Internet协议的识别精度是有效的.     

基于ELM的网络流量分类及可视化研究

精准的网络流量分类是网路流量监测和网络流量数据分析的重要基础。机器学习方法利用统计网络流量的各种特征,不依赖于协议端口和协议内容对网络流量数据进行分析。采用超限学习机(ELM)和改进算法分层超限学习机(H-ELM)作为机器学习的算法,识别客户端与服务器。对链路层、网络层和应用层数据进行分析,实现对多层次网络流量数据的可视化,对H-ELM和ELM算法的实验结果进行对比。实验结果表明,ELM算法能有效地应用于网络流量分类,基于ELM分类模型的网络流量识别训练速度快。H-ELM通过紧凑的特征去除冗余原始输入,改进了总体学习表现。     

基于定量递归特征提取的流量监测方法

提出一种基于定量递归特征提取的流量预测算法,构建了网络端到端路由缓冲区短时网络流量的时间序列分析模型.采用虚假最近邻点算法和平均互信息算法对网络流量时间序列进行相空间重构,计算递归图平面中时频特征点占平面总点数的百分比,实现网络流量的时频熵特征提取,有效反应流量时间序列的内部结构特征和变化趋势,实现对流量的准确预测和监测.仿真结果表明,采用该算法能准确实现对网络流量相轨迹的预测判断,预测过程具有较好的抗干扰能力,预测精度较高.