基于数据流的异常入侵检测

目前，基于机器学习的异常入侵检测算法通常建立在对整个历史数据集进行等同的学习基础之上，学习到的网络行为轮廓过于依赖历史数据，难以准确反映当前网络通信量的行为特征。同时，算法的时间和空间复杂度较高，难以对网络中持续快速到达的大规模数据报文进行存储与维护。本文提出，一种基于数据流聚类的两阶段异常入侵检测方法，首先在线生成网络数据的统计信息，并利用最能反映当前网络行为的统计信息检测入侵行为。实验结果表明，其检测性能优于基于所有历史数据进行入侵检测的结果，并克服了内存等系统资源不足的问题，增加了系统的灵活性与并行性。     

基于Spark框架的分布式入侵检测方法

为以较低的误报率和较高的检测率对攻击和恶意行为进行实时检测,基于Spark框架和位置敏感哈希算法,提出一种分布式数据流聚类方法DSCLS ,能够处理实时数据流,可根据数据流速进行横向分布式扩展。基于DSCLS分布式聚类算法,建立网络入侵检测系统,能够高速实时分析数据流,聚类相关模式,实时检测已知攻击和入侵,能够对未知的新型攻击进行检测。理论分析和实验结果表明,与主流的数据流聚类算法D‐Stream相比, DSCLS方法能够有效提高检测率并降低误报率,在时间性能和可扩展性方面更有优势。     

基于数据流的启发式文件传输识别系统设计

为了防止文件通过网络泄露,研究了网络传输文件的格式、传送形式以及通信行为特征,提出一种基于网络数据流的文件传输识别方法。通过引入文件数据流的概念,构建了具有特异性的文件特征指纹库,采用自适应深度协议分析技术,对文件传输在通信协议中表现出的内容和行为特征信息进行多层次启发式的检测。测试结果表明,该系统运行高效,检测结果准确。     

基于复杂网络数据流密度的增量子空间数据挖掘算法

为了提升在复杂网络中对大规模网络数据流进行挖掘时的准确性,提出一种基于复杂网络数据流密度的增量子空间数据挖掘算法,在算法中先对复杂网络的数据流密度进行分析,并根据不同网络的数据流密度来划分社区,进行无向环路遍历来确定数据流的所属社区.再通过增量子空间数据挖掘算法来计算社区网络与数据流的相关度以及数据流所经过的节点与时间的相关系数,从而准确确定目标数据流所处的节点.通过仿真实验结果和数据分析表明,增量子空间数据挖掘算法的数据挖掘精度在节点、社区数较多的情况下仍达到了较高的挖掘精度.     

网络数据流存储算法分析与实现

针对网络数据流存储面临的瓶颈问题,提出同时保持时序性和属主性的网络数据流分段存储算法分析与设计模型。模型在内存中采用基于弱时序性的高速缓存数据结构,提高网络数据流实时存储的效率;在磁盘中采用基于多级索引结构的数据流生成树结构,提高基于时序性和属主性的检索效率。仿真结果表明,模型能显著提高网络数据流的实时存储能力,有效降低索引数据的信息量。     

基于事件流数据世系的恶意网络行为检测方法

目前网络攻击呈现高隐蔽性、长期持续性等特点,极大限制了恶意网络行为检测对网络攻击识别、分析与防御的支撑。针对该问题,提出了一种基于事件流数据世系的恶意网络行为检测方法,采用事件流刻画系统与用户及其他系统间的网络交互行为,构建数据驱动的事件流数据世系模型,建立面向事件流数据世系相关性的异常检测算法,从交互数据流角度分析和检测恶意网络行为事件,并基于事件流数据世系追溯恶意网络行为组合,为网络攻击分析提供聚焦的关联性威胁信息。最后通过模拟中间人和跨站脚本组合式网络渗透攻击实验验证了方法的有效性。     

基于多数据流分析的木马检测方法

传统基于单数据流的木马检测方法在实际应用中具有较高的误报率,为此提出一种基于多数据流分析的木马检测方法.通过对应用程序的数据流进行聚类形成数据流簇,在数据流簇上提取相应属性特征描述木马的通信行为,并采用集成学习方法对改进的C4.5决策树分类算法进行多轮训练,生成检测规则,建立检测模型.实验表明,基于多数据流分析的木马检测方法有效降低了传统基于单数据流检测的误报率,并且对无控制端的木马通信数据流具有较好的检测能力,产生的重复报警信息也大大减少,提高了基于数据流的木马检测方法的实用性.     

一种基于网络行为的入侵检测方法

目前,入侵检测系统Snort还没有好的方法来检测和分析网络行为。文章通过对网络入侵检测流程的分析,基于网络的入侵攻击行为特征,构建出一种攻击树,按照攻击树的方法对数据流进行行为匹配,检测出入侵攻击行为。实验证明,这一基于网络行为匹配的入侵检测方法,大大提高了Snort的入侵检测能力。     

基于机器学习的复杂网络数据流均衡调度算法研究

为解决传统网络数据流调度算法的均衡性、冗余和噪音数据造成的存储消耗和学习算法运行效率低下的问题,提出了基于机器学习的复杂网络数据均衡调度算法研究。基于机器学习的数据流特征选取,确定PSH数量标志位,进行数据包大小变换,实现复杂网络的数据流均衡算法。实验数据表明,与传统数据流调度相比,基于机器学习的复杂网络数据流调度均衡性提高,学习算法运行效率提升。     

一种混合式僵尸主机检测算法的设计与实现

为了进一步提高检测的精确性,在研究僵尸主机的行为特点以及僵尸网络命令与控制信道的特性后,提出了一种基于终端系统行为和网络行为的混合式僵尸主机检测算法,并对现有的僵尸网络行为稳定性衡量方法进行了改进.在此基础上,设计实现了一个僵尸主机检测原型系统--BotScout.评估结果表明了算法的有效性.     

基于数据流管理平台的网络安全事件监控系统

复杂而繁多的网络攻击要求监控系统能够在高速网络流量下实时检测发现各种安全事件．数据流管理系统是一种对高速、大流量数据的查询请求进行实时响应的流数据库模型．本文提出了一种将数据流技术应用到网络安全事件监控中的框架模型．在这个模型中，数据流管理平台有效地支持了对高速网络数据流的实时查询与分析，从而保证基于其上的网络安全事件监控系统能够达到较高的处理性能．利用CQL作为接口语言，精确描述安全事件规则与各种监拉查询，具有很强的灵活性与完整性．另外，系统能够整合入侵检测、蠕虫发现、网络交通流量管理等多种监控功能，具有良好的可扩展性，     

在线自适应网络异常检测系统模型与算法

随着因特网等计算机网络应用的增加,安全问题越来越突出,对具有主动防御特征的入侵检测系统的需求日趋紧迫.提出一个轻量级的在线自适应网络异常检测系统模型,给出了相关算法.系统能够对实时网络数据流进行在线学习和检测,在少量指导下逐渐构建网络的正常模式库和入侵模式库,并根据网络使用特点动态进行更新.在检测阶段,系统能够对异常数据进行报警,并识别未曾见过的新入侵.系统结构简单,计算的时间复杂度和空间复杂度都很低,满足在线处理网络数据的要求.在DARPAKDD99入侵检测数据集上进行测试,10%训练集数据和测试集数据以数据流方式顺序一次输入系统,在40s之内系统完成所有学习和检测任务,并达到检测率91.32%和误报率0.43%的结果.实验结果表明系统实用性强,检测效果令人满意,而且在识别新入侵上有良好的表现.     

混合属性数据流的两阶段入侵检测算法

以KDDCUP99-10%网络入侵数据集作为数据流,提出一种混合属性数据流的两阶段入侵检测算法。通过增量聚类提取数据流的代表信息,根据提出的加权模糊簇特征对增量聚类结果做模糊聚类,簇数可动态改变。理论分析和实验结果表明,该算法可以有效检测数据流入侵。     

基于CURE算法的网络用户行为分析

从安全的角度分析网络用户行为,建立了一个基于Netflow统计的用户行为向量数据模型,提出了一个网络用户行为的分析框架,建立了一个分析流程。针对存储网络用户行为的大型数据库选用了一个合适的聚类算法即CURE算法,并对CURE算法进行了基于实际应用的改进。实验结果表明,改进后的CURE算法不仅能很好地聚类,而且能区分出正常行为和异常行为,通过危害行为评价体系分析,聚类得到的异常行为是危害行为的检测率非常高。对于实时网络上的增量数据,文中也给出了增量挖掘的算法,符合网络实时分析的需要。     

SaaS云环境下基于容器指纹匿名的网络欺骗方法

随着云计算技术在各重点行业领域的普及推广和企业级SaaS业务规模不断扩大,云环境的安全问题也日益突出.针对目标云资源的定位是网络攻击的前置步骤,网络欺骗技术能够有效扰乱攻击者网络嗅探获得的信息,隐藏重要网络资产的指纹信息(服务端口、操作系统类型等).然而由于虚假指纹和真实设备之间往往存在对应关系,高级攻击者可以通过多维...     

基于分形技术的数据流突变检测算法

数据流上的突变检测技术由于其在风险分析、网络监测、趋势分析等领域广阔的应用前景而受到学术界和工业界越来越多的关注.为了在数据流上检测多个滑动窗口上的单调聚集函数值和非单调聚集函数值的突变,提出了基于分形技术的构建单调搜索空间的突变检测算法.首先给出了数据流上的分段分形模型,进而基于该模型设计了突变检测算法.该算法能够将突变检测处理时间复杂度从O(m)降为O(logm)(m为需要被检测的滑动窗口数目).提出的两种新颖的分段分形模型能够准确     

基于流立方体的数据流频繁模式挖掘算法

针对关系型数据流,提出一种基于流立方体框架的频繁模式挖掘算法。通过数据流的不断到达动态地创建流立方体来保存近期数据流信息,当用户提出查询请求时在以创建的流立方体基础上进行频繁模式的挖掘计算,返回相应的查询结果,可以快速地挖掘数据流各维之间存在的所有频繁模式。通过分析和实验表明该算法有较好的性能。     

基于行为序列分析的学习资源推荐算法研究

利用数据挖掘技术分析网络学习行为数据可以挖掘出其隐含的行为规律特征,为学习者提供个性化的学习资源服务。针对现有的数据挖掘算法在对网络学习行为数据进行分析时普遍存在模型适用性不高的问题,提出了一种基于行为序列分析的学习资源推荐算法。首先,提出行为序列及其相关概念的定义,并提出行为序列相似度计算方法;然后提出基于行为序列相似度的协同过滤推荐算法,计算学习者相似度并为待推荐学习者生成学习资源推荐列表;接着给出基于学习风格的推荐方法,将学习者学习风格特征融入推荐过程;最后,给出基于行为序列分析的学习资源推荐算法的模型。提出的算法没有对行为序列的模式进行限制,具有较高的适用性,对深入研究网络学习行为序列数据为学习者提供个性化学习服务具有一定的借鉴作用。     

基于流网络的流式计算动态任务调度策略

针对大数据流式计算平台中输入数据流速急剧上升所导致的计算延迟升高问题,提出了基于流网络模型的动态调度策略,并将其应用于Flink数据流计算平台。首先,通过定义有向无环图（DAG）中每条边的容量和流量将其转化为流网络模型,并通过容量检测算法确定每条边的容量值;然后,通过最大流算法计算对应的增进网络和优化路径,从而在输入速率上升阶段提升集群的吞吐量,并通过评估时空代价论证了算法的可行性;最后,讨论了重要参数对算法执行效果的影响,并通过实验得出了在不同类型的作业中推荐的参数取值。经实验验证得出：所提算法与Flink平台现有的任务调度策略相比,在输入速率上升阶段对不同作业类型中集群吞吐量的优化比均高于16.12%。实验结果表明动态调度策略在满足任务延迟约束的前提下有效提高了集群的吞吐量。