基于层叠模型的网络流量异常检测方法*

进行网络流量异常检测,需要对正常流量行为建立准确的模型,根据异常流量与正常模型间的偏离程度作出判断。针对现有网络流量模型中自相似模型与多分形模型无法全面刻画流量特征的不足,提出了一种基于流量层叠模型分析的异常检测算法,采用层叠模型对整个时间尺度上的流量特征进行更准确的描述,并运用小波变换对流量的层叠模型进行估计,分析异常流量对模型估计的影响,提出统计累计偏离量进行异常流量检测的方法。仿真结果表明,该方法能够有效检测出基于自相似Hurst系数方法不能检测的弱异常以及未明显影响Hurst系数变化的异常流。     

基于网络流量小波分析的异常检测研究*

网络流量是局域网和广域网的重要特征之一,小波分析能将复杂的非线性网络流量时间序列分解成不同频率的子序列.基于小波分解的思想,利用网络流量的自相似特性来对网络的异常行为进行检测,给出了根据网络流量自相似特征参数的偏差来检测攻击的方法,对不同分辨率下Hurst参数的变化进行了比较分析.在DARPA上的测试结果表明,该方法不仅能够发现网络中存在的突发性流量攻击,还能够确定异常发生的位置.     

校园网网络流量自相似性的测定

根据自相似性理论,网络流量自相似性的程度可由计算Hurst参数的大小来测定。本文通过在校园网主干路上进行网络数据包的采集,然后用方差时间方法和R／S方法计算所采集流量的Hurst参数值,以检测校园网网络流量的自相似性。通过实验的分析与比较,验证了自相似性的存在,并对如何运用Hurst值的变化来进行流量异常检测做了初步的 探讨。     

基于小波分析与信息熵的DDoS攻击检测算法

DDoS(Distributed Denial of Service)攻击检测方法中,基于网络流量自相似性的检测方法作为一种异常检测方法,对网络流量变化情况比较敏感,检测率较高,然而同时也存在误报率较高的问题。对传统自相似方法以及网络中可能引起流量异常的事件进行分析,在此基础上提出一种改进的检测算法WAIE。WAIE采用小波分析的方法计算网络流量的Hurst指数并引入信息论中的信息熵对源IP地址的分散程度进行度量,根据初始阶段Hurst指数及熵值的变化自适应地设定阈值以检测攻击的发生。采用MIT林肯实验室发布的数据集以及实验室环境下采集的数据集进行实验,实验结果表明该算法能准确检测到攻击的发生。     

低通平滑滤波对网络流量自相似性质的影响

从Hurst参数的小波估计方法出发,介绍了平滑滤波后的网络基础(低频)流量和原始流量在自相似性质的上表现规律,探讨了低通平滑滤波对流量自相似性质的影响。     

自相似参数辨识与汇聚无线业务尺度特性分析

Hurst参数是衡量网络流量自相似程度和突发性的重要参数,在时域R/S统计、方差 - 时间图法和频域周期图法的基础上,提出一种最优化线性回归小波模型,实现小波域内Hurst参数的准确有效快速辨识.研究了WLAN中多个输入业务源的汇聚过程以及汇聚的多输入自相似业务源统计特性.仿真实验比较了传统的以及基于最优化线性回归小波模型的Hurst参数辨识方法,验证了理论分析中汇聚自相似业务也呈现自相似性的结论,且仿真结果表明,汇聚业务的突发性得到加强而不是削弱.研究结论对网络流量的准确建模以及网络传输中流量控制和优化网络资源配置以及提高网络性能具有重要作用.     

基于动态阈值的网络异常检测

基于Hurst指数进行异常检测的模型多采用固定阈值的方法,不能很好的适应动态变化的网络环境.针对该问题设计了一种基于动态阈值的检测方法,该方法在采用Hurst指数分析的基础上,通过EWMA和滑动窗口模型控制有效数据的个数并根据网络的变化动态调整检测阈值,提高了模型的检测能力.实验结果表明,在采用动态阈值进行DDOS异常检测时具有较高的检测率.     

基于自相似特性的流量测量采样方法

针对大型网络流量测量中测量数据量巨大、不能有效地描述流量特征的问题,本文将近年来网络研究的热点自相似性运用在流量测量中。根据流量变化对自相似参数H的影响,提出了一种基于网络的自相似特性的流量测量采样方法。该方法降低了流量测量的采样频率,能够及时、准确地发现网络异常,并能使测量数据更准确地刻画流量特征。     

基于FRFT自相似参数估计的异常流量检测方法

针对传统异常流量检测方法检测精度较低, Hurst指数估计受估计序列尺度的影响, 提出了基于分数阶傅里叶变换（FRFT）估计Hurst指数的方法。在此基础上, 实现了基于Hurst指数变化的异常检测, 有效解决了方法实现过程中FRFT最佳估计的分数阶阶数选择及Hurst参数求解的关键问题。实验表明, 基于FRFT的估计不受序列非平稳性影响, 对Hurst指数估计具有较高的估计精度, 并且可以准确地检测网络异常。     

自相似流量关键参数分析

大量的研究结果表明,网络流量过程普遍存在着自相似和长相关特性,自相似和长相关特性对网络性能具有重要的影响.目前绝大部分研究都集中在Hurst系数的估计及其性能影响上,这是不全面的.本文深入研究影响网络性能的自相似流量关键参数,通过仿真分析Hurst系数和方差系数对网络性能的影响,表明Hurst系数和方差系数对网络性能均有重要的影响.分析了方差对网络性能影响的原因,研究了G与方差之间的关系及其计算方法,给出了基于IDC的复合分形更新过程参数的估计算法,分析了分形开始时间对网络性能的影响.     

基于分组无关问题模型的隐私保护算法

针对分组无关问题模型存在隐私泄露的问题,提出一种改进的分组无关问题模型,采用随机响应的方法,通过对原始数据进行伪装变换处理,实现具有隐私保护的关联规则挖掘。实验结果表明,改进后的模型在伪装变换后的数据集上挖掘出的规则与原始数据规则相比,保证了低误差,具有较好的隐私保护性。     

基于小波的网络流量异常分析与仿真

网络流量异常检测及分析是网络及安全管理领域的重要研究内容,文章根据网络流量的信号特性和自相似性,利用小波变换局部放大能力及Hurst和李氏指数的变化与网络流量异常的对应关系,提出了一种基于小波分析的网络流量异常检测与定位方法。根据自相似指数的值在大时间尺度上来判定异常发生,并进一步在小时间尺度下基于李氏指数与信号奇异性的对应关系来分析并定位异常点。此方法通过DipSIF平台所采集的数据进行仿真验证,可有效地检测网络函：量异常并定位异常发生点,与传统方法相比,异常检测的有效率更高。     

一种IPv6环境下DDoS实时检测方法

DDoS攻击是当今网络包括下一代网络IPv6中最严重的威胁之一,提出一种基于流量自相似的IPv6的实时检测方法。分别采用改进的WinPcap实现流数据的实时捕获和监测,和将Whittle ML方法首次应用于DDoS攻击检测。针对Hurst估值方法的选择和引入DDoS攻击流的网络进行对比仿真实验,结果表明:Hurst估值相对误差,Whittle ML方法比小波变换减少0.07%;检测到攻击的误差只有0.042%,准确性达99.6%;增强了DDoS攻击检测的成功率和敏感度。     

基于Hurst参数评估的网络异常检测方法的研究

真实的网络流量普遍存在统计上的自相似性,因此传统的基于泊松过程和马尔科夫模型等已不能反映实际测量的流量.针对传统检测方法存在的问题,将基于Hurst参数评估应用到DoS攻击检测中,由H参数变化来检测DoS攻击.通过分析DARPA 1998入侵检测数据表明,基于该法的Hurst参数评估能够检测到DoS攻击,此法比传统的基于特征匹配的网络流量异常检测法在检测精度上有较大提高.     

Internet网络流量的自相似性分析

网络流量的白相似参数估计方法有多种,但研究表明这些方法在准确性或计算上都有一定的局限性。该文在小波包分解的基础上,考虑信号能量在分解过程中的分布,得到基于小波包分解的Hursc参数估计方法。通过对两组合成数据的参数估计,表明该方法在继承了小波变换的计算优势的基础上,能得到更精确的估计结果。把该方法应用于计算实际互联网流量的白相似参数,并在此基础上着重分析了受到蠕虫攻击的Internet流量的自相似性的变化,得到了一些有用的结论。     

链路层分类包的网络流量自相似性研究

提出一种从链路层分类包流量的角度研究网络流量自相似性的方法。使用优化的R/S（rescaled range）法计算Hurst指数,发现分类包流量和总流量一样呈自相似性,并用ON/OFF网络流量模型解释分类包流量自相似的物理原因;并使用主成分分析法研究分类包流量对总流量自相似性的影响,得出大于512 B的分类包（大象包）是影响总流量自相似性的主要原因。实验表明该方法是快速有效的。