共查询到20条相似文献,搜索用时 625 毫秒
1.
为了自动解析未知应用层协议的报文格式,提出一种未知应用层协议报文格式的最佳分段方法.这种方法不需要关于未知应用层协议的先验知识.它首先建立一种用于最佳分段的隐半马尔可夫模型(HSMM),并利用未知应用层协议在网络会话过程中传输的报文序列样本集来估计该模型的参数;再通过基于HSMM的最大似然概率分段方法,对报文中的各个字段进行最佳划分,同时获取代表各个字段语义的关键词.这种方法并不要求训练集绝对纯净.它能够基于观测序列的似然概率分布,发现混杂在训练集中的其他协议数据(噪声)并进行有效过滤.实验结果表明,该方法能够解析文本和二进制协议的报文格式,依据关键词构建的协议识别特征有很高的准确识别率,并能有效地检测出噪声. 相似文献
2.
目前网络攻击越来越多地发生在应用层,而传统的网络防护技术主要针对网络层、传榆层的防护.虽然目前有些网络防护技术可以检测出一些应用层攻击,但这些技术主要针对应用层一些已知攻击的防范,对于应用层未知攻击或新出现的攻击就显得无能为力.理论上而言,应用层异常检测能识别应用层上的所有攻击,因此应用层异常检测的研究就显得十分重要.本文在分析了应用层异常检测研究现状的基础上,提出一种基于关键事件序列的应用层异常检测机制,该机制是通过跟踪用户的应用层协议行为来发现用户的应用层异常操作,从而达到识别应用层攻击的目的. 相似文献
3.
4.
应用层洪泛攻击的异常检测 总被引:1,自引:0,他引:1
从近年的发展趋势看, 分布式拒绝服务攻击已经从原来的低层逐渐向应用层发展, 它比传统的攻击更加有效且更具隐蔽性. 为检测利用合法应用层HTTP请求发动的洪泛攻击, 本文把应用层洪泛攻击视为一种异常的用户访问行为, 从用户浏览行为的角度实现攻击检测. 基于实际网络流的试验表明,该模型可以有效测量Web用户的访问行为正常度并实现应用层的DDoS洪泛攻击检测. 相似文献
5.
针对广域信息管理(SWIM)系统受到应用层分布式拒绝服务(DDoS)攻击的问题,提出了一种基于隐半马尔可夫模型(HSMM)的SWIM应用层DDoS攻击的检测方法。首先采用改进后的前向后向算法,利用HSMM建立动态异常检测模型动态地追踪正常SWIM用户的浏览行为;然后通过学习和预测正常SWIM用户行为得出正常检测区间;最后选取访问包的大小和请求时间间隔为特征进行建模,并训练模型进行异常检测。实验结果表明,所提方法在攻击1和攻击2情况下检测率分别为99.95%和91.89%,与快速前向后向算法构建的HSMM相比,检测率提升了0.9%。测试结果表明所提方法可以有效地检测SWIM系统应用层DDoS攻击。 相似文献
6.
7.
基于Web用户浏览行为的统计异常检测 总被引:16,自引:1,他引:16
提出一种基于Web用户访问行为的异常检测方案,用于检测应用层上的分布式拒绝服务攻击,并以具有非稳态流特性的大型活动网站为例,进行应用研究.根据Web页面的超文本链接特征和网络中各级Web代理对用户请求的响应作用,用隐半马尔可夫模型来描述服务器端观测到的正常Web用户的访问行为,并用与大多数正常用户访问行为特征的偏离作为一个流的异常程度的测量.给出了模型的参数化方法,推导了模型参数估计与异常检测算法,讨论了实际网络环境下异常检测系统的实现方法.最后用实际数据验证了模型和检测算法的有效性.仿真结果表明,该模型 相似文献
8.
基于改进隐马尔可夫模型的系统调用异常检测 总被引:1,自引:0,他引:1
针对隐马尔可夫模型计算开销过高的问题,提出了一种新的基于隐马尔可夫模型(Hidden Markov model,HMM)的异常检测方法,利用系统调用执行迹具有的局部规律性,用改进的HMM(Improved HMM,IHMM)学习算法来构建程序正常行为模型.在检测时,首先对待测系统调用数据用滑动窗口划分,并通过正常行为模型来判定异常,根据异常短序列占所有短序列的百分比来判断该进程是否行为异常.实验结果显示该方法训练耗时仅为传统方法的1%.当阈值在一个较大范围内变化时,模型的检测性能始终保持稳定.表明本文方法通过避免对大量相同短序列的重复计算,显著减少了训练时间和计算开销,在实际应用中具有良好的可操作性. 相似文献
9.
基于半监督学习的行为建模与异常检测 总被引:2,自引:0,他引:2
提出了一种基于半监督学习的行为建模与异常检测方法.该算法包括以下几个主要步骤:(1) 通过基于动态时间归整(DTW)的谱聚类方法获取适量的正常行为样本,对正常行为的隐马尔可夫模型(HMM)进行初始化;(2) 通过迭代学习的方法在大样本下进一步训练这些隐马尔可夫模型参数;(3) 以监督的方式,利用最大后验(MAP)自适应方法估计异常行为的隐马尔可夫模型参数;(4) 建立行为的隐马尔可夫拓扑结构模型,用于异常检测.该方法的主要特点是:能够自动地选择正常行为模式的种类和样本以建立正常行为模型;能够在较少样本的情 相似文献
10.
提出一种基于改进Hu矩和隐马尔可夫模型相结合的ATM机异常行为识别方法。对ATM机前用户存(取)款行为的视频序列用改进Hu变换提取运动目标的行为特征,采用Baum-Welch算法对用户的正常行为进行训练,并建立隐马尔可夫模型;最后通过模型输出测试样本序列的概率来识别异常行为。采用Matlab对ATM机用户运动行为的模拟视频进行实验仿真,结果表明:该方法对ATM机前的用户行为具有较高的识别率。 相似文献
11.
12.
基于应用层协议分析的应用层实时主动防御系统 总被引:4,自引:0,他引:4
主动防御是当今网络安全研究领域的一个热点,现有的主动防御技术主要从网络层和传输层的角度来防御攻击.由于新出现的网络攻击主要发生在应用层,这类攻击在网络层和传输层的数据流与正常数据流没有显著区别,导致现有的主动防御技术无法有效应对这一类攻击,因此研究有效的应用层主动防御具有重要的意义.文中提出一种基于隐半马尔可夫模型的应... 相似文献
13.
14.
15.
16.
应用层组播协议的研究 总被引:14,自引:0,他引:14
由于IP组播至今没能在Internet上大规模的应用,许多研究者提出了应用层组播的新方法来实现广域的组播服务。此方法中组播功能的实现是通过终端主机而不再依靠网络中的路由器。和IP组播不一样的是,应用层组播不需要底层架构的支持并且能够在Internet上很容易的实现。该文讨论了目前四种有代表性的应用层组播协议并且给出了这些协议的性能和应用的比较。 相似文献
17.
应用层组播研究进展 总被引:7,自引:0,他引:7
组播技术是一种针对多点传输和多方协作应用的组通信模型,有高效的数据传输效率,是下一代Internet应用的重要支撑技术。早期的组播技术研究试图在IP层提供组播通信功能,但IP组播的实施涉及到对现有网络基础设施的调整,因此,大规模应用受到限制。近两年来,随着Peer-to-Peer(P2P)研究的兴起,基于应用层的组播技术也逐渐受到广泛关注。应用层组播协议将组成员节点自组织成覆盖网络,在主机节点实现组播功能,为数据多点并发传输提供服务。将组播功能从路由器迁移到主机上能有效解决许多与IP组播有关的问题,但同时也带来了一些新的挑战。本文分析了目前应用层组播研究的主要内容及技术特点,描述了协议设计所涉及的关键技术及面临的主要挑战,总结了现有工作及相关进展。 相似文献
18.
由于应用层多播相对于IP多播的易于部署,得到了国内外学术界的广泛研究。该文从经典的P2P搜索协议Chord入手,构建了基于P2P覆盖网的不定叉树,支持任意源多播,将节点的加入和根的发现结合起来,并对其网络动荡(节点加入与退出)实行制约限制,使网络环境保持基本稳定,达到负载平衡,并预测了本模型发展的方向。 相似文献
19.