抗噪的未知应用层协议报文格式最佳分段方法

为了自动解析未知应用层协议的报文格式,提出一种未知应用层协议报文格式的最佳分段方法.这种方法不需要关于未知应用层协议的先验知识.它首先建立一种用于最佳分段的隐半马尔可夫模型(HSMM),并利用未知应用层协议在网络会话过程中传输的报文序列样本集来估计该模型的参数;再通过基于HSMM的最大似然概率分段方法,对报文中的各个字段进行最佳划分,同时获取代表各个字段语义的关键词.这种方法并不要求训练集绝对纯净.它能够基于观测序列的似然概率分布,发现混杂在训练集中的其他协议数据(噪声)并进行有效过滤.实验结果表明,该方法能够解析文本和二进制协议的报文格式,依据关键词构建的协议识别特征有很高的准确识别率,并能有效地检测出噪声.     

基于关键事件序列的应用层异常检测机制

目前网络攻击越来越多地发生在应用层,而传统的网络防护技术主要针对网络层、传榆层的防护.虽然目前有些网络防护技术可以检测出一些应用层攻击,但这些技术主要针对应用层一些已知攻击的防范,对于应用层未知攻击或新出现的攻击就显得无能为力.理论上而言,应用层异常检测能识别应用层上的所有攻击,因此应用层异常检测的研究就显得十分重要.本文在分析了应用层异常检测研究现状的基础上,提出一种基于关键事件序列的应用层异常检测机制,该机制是通过跟踪用户的应用层协议行为来发现用户的应用层异常操作,从而达到识别应用层攻击的目的.     

基于HMM的应用层DoS攻击检测方法

为了能快速有效地识别出应用层DoS攻击, 提出一种基于HMM的应用层DoS攻击检测方法。该方法以应用层协议关键词和关键词之间的时间间隔作为输入, 采用隐马尔可夫模型来快速检测应用层DoS攻击。实验结果表明, 该方法对应用层上的多种DoS攻击都具有很高的检测率和较低的误报率。     

应用层洪泛攻击的异常检测

从近年的发展趋势看, 分布式拒绝服务攻击已经从原来的低层逐渐向应用层发展, 它比传统的攻击更加有效且更具隐蔽性. 为检测利用合法应用层HTTP请求发动的洪泛攻击, 本文把应用层洪泛攻击视为一种异常的用户访问行为, 从用户浏览行为的角度实现攻击检测. 基于实际网络流的试验表明,该模型可以有效测量Web用户的访问行为正常度并实现应用层的DDoS洪泛攻击检测.     

基于隐半马尔可夫模型的SWIM应用层DDoS攻击的检测方法

针对广域信息管理（SWIM）系统受到应用层分布式拒绝服务（DDoS）攻击的问题，提出了一种基于隐半马尔可夫模型（HSMM）的SWIM应用层DDoS攻击的检测方法。首先采用改进后的前向后向算法，利用HSMM建立动态异常检测模型动态地追踪正常SWIM用户的浏览行为；然后通过学习和预测正常SWIM用户行为得出正常检测区间；最后选取访问包的大小和请求时间间隔为特征进行建模，并训练模型进行异常检测。实验结果表明，所提方法在攻击1和攻击2情况下检测率分别为99.95%和91.89%，与快速前向后向算法构建的HSMM相比，检测率提升了0.9%。测试结果表明所提方法可以有效地检测SWIM系统应用层DDoS攻击。     

无线Mesh网络基于隐半马尔可夫模型的跨层结合异常检测方法

目前无线Mesh网络异常检测的方法大多针对单一恶意攻击,还不具备检测来自不同协议层的恶意攻击的综合能力。提出一种基于多协议层跨层结合的异常检测方法,即采集多协议层结合的特征对网络运行状态进行全方位监测,并训练隐半马尔可夫模型对网络正常运行状态进行描述,通过计算多维观测序列相对于隐半马尔可夫模型的熵来评价其"正常性",从而发现源自不同协议层的恶意攻击行为。实验仿真证明,该方法能有效检测源自各协议层的多种恶意攻击,具有一定的通用性。     

基于Web用户浏览行为的统计异常检测

提出一种基于Web用户访问行为的异常检测方案,用于检测应用层上的分布式拒绝服务攻击,并以具有非稳态流特性的大型活动网站为例,进行应用研究.根据Web页面的超文本链接特征和网络中各级Web代理对用户请求的响应作用,用隐半马尔可夫模型来描述服务器端观测到的正常Web用户的访问行为,并用与大多数正常用户访问行为特征的偏离作为一个流的异常程度的测量.给出了模型的参数化方法,推导了模型参数估计与异常检测算法,讨论了实际网络环境下异常检测系统的实现方法.最后用实际数据验证了模型和检测算法的有效性.仿真结果表明,该模型     

基于改进隐马尔可夫模型的系统调用异常检测

针对隐马尔可夫模型计算开销过高的问题,提出了一种新的基于隐马尔可夫模型(Hidden Markov model,HMM)的异常检测方法,利用系统调用执行迹具有的局部规律性,用改进的HMM(Improved HMM,IHMM)学习算法来构建程序正常行为模型.在检测时,首先对待测系统调用数据用滑动窗口划分,并通过正常行为模型来判定异常,根据异常短序列占所有短序列的百分比来判断该进程是否行为异常.实验结果显示该方法训练耗时仅为传统方法的1%.当阈值在一个较大范围内变化时,模型的检测性能始终保持稳定.表明本文方法通过避免对大量相同短序列的重复计算,显著减少了训练时间和计算开销,在实际应用中具有良好的可操作性.     

基于半监督学习的行为建模与异常检测

提出了一种基于半监督学习的行为建模与异常检测方法.该算法包括以下几个主要步骤:(1) 通过基于动态时间归整(DTW)的谱聚类方法获取适量的正常行为样本,对正常行为的隐马尔可夫模型(HMM)进行初始化;(2) 通过迭代学习的方法在大样本下进一步训练这些隐马尔可夫模型参数;(3) 以监督的方式,利用最大后验(MAP)自适应方法估计异常行为的隐马尔可夫模型参数;(4) 建立行为的隐马尔可夫拓扑结构模型,用于异常检测.该方法的主要特点是:能够自动地选择正常行为模式的种类和样本以建立正常行为模型;能够在较少样本的情     

改进Hu矩的ATM机异常行为识别研究

提出一种基于改进Hu矩和隐马尔可夫模型相结合的ATM机异常行为识别方法。对ATM机前用户存(取)款行为的视频序列用改进Hu变换提取运动目标的行为特征,采用Baum-Welch算法对用户的正常行为进行训练,并建立隐马尔可夫模型;最后通过模型输出测试样本序列的概率来识别异常行为。采用Matlab对ATM机用户运动行为的模拟视频进行实验仿真,结果表明:该方法对ATM机前的用户行为具有较高的识别率。     

应用层的多播协议

传统的多播(multicasting)服务被实现在TCP／IP协议的网络层，但由于网络层的多播服务实现需要扩展网络层的路由与数据包收发协议，这在大多数的实际网络环境里并不是一件容易的事情。从最近几年来，研究人员开始重新审视多播服务的实现宿主层，并提出将多播服务实现在TCP／IP协议的应用层。应用层的多播在提供与网络层的多播的相近质量的服务情况下，具有更好的应用灵活性。本文介绍了应用层多播的定义和方法，及现阶段国内外已提出的应用层多播协议，并简要地讨论了应用层多播协议的性能评价问题。     

基于应用层协议分析的应用层实时主动防御系统

主动防御是当今网络安全研究领域的一个热点,现有的主动防御技术主要从网络层和传输层的角度来防御攻击.由于新出现的网络攻击主要发生在应用层,这类攻击在网络层和传输层的数据流与正常数据流没有显著区别,导致现有的主动防御技术无法有效应对这一类攻击,因此研究有效的应用层主动防御具有重要的意义.文中提出一种基于隐半马尔可夫模型的应...     

一种拓扑感知的应用层组播方案

提出了一种具有拓扑感知能力的拓扑簇模型TCM(topology-aware clustering model),并在此基础上提出了一种有效的应用层组播方案TCMM(TCM-based multicast).TCMM能够将一些相近的节点组织在一个拓扑簇中,从而在一定程度上实现了数据包的本地传输,并能缓解不同加入顺序对转发树的不利影响.分析和实验结果表明,TCMM能够实现有效的聚簇,能够在不同的加入顺序下构造性能大体一致的转发树,并能在不同程度上改善其他一些组播性能指标.     

LIN应用层协议开发

LIN是一种低成蕾、高效率的汽车网络协议，作为CAN总线的辅助网络被大量使用。本文在分析LIN总线通讯模式的基础上，根据CAN、LIN网络的接口特点，以长安公司SC6350车型为对象，设计了一个简单、通用、高效的可用于CAN／LIN混合网的LIN应用层协议．给出了协议实现的框架结构，并通过实例说明了协议的实现过程。     

基于节点性能的应用层多播模型

为降低多播组的维护开销、改善多播树的负载平衡,提出一种考虑节点优先级的方法,并将该方法应用于Zigzag协议。该协议采用分层分簇的思想,由簇首节点负责管理本簇而由父节点负责分发数据。因为考虑到节点的异构性,该协议使能力强的节点担当首节点与父节点以提高多播组性能。通过实验验证与理论推导得出,与Zigzag 协议相比,改进后的协议在新节点加入多播组时,开销大大减小,节点退出时开销也相应减小,而多播树的负载平衡也有所改善。     

应用层组播协议的研究

由于IP组播至今没能在Internet上大规模的应用,许多研究者提出了应用层组播的新方法来实现广域的组播服务。此方法中组播功能的实现是通过终端主机而不再依靠网络中的路由器。和IP组播不一样的是,应用层组播不需要底层架构的支持并且能够在Internet上很容易的实现。该文讨论了目前四种有代表性的应用层组播协议并且给出了这些协议的性能和应用的比较。     

应用层组播研究进展

组播技术是一种针对多点传输和多方协作应用的组通信模型,有高效的数据传输效率,是下一代Internet应用的重要支撑技术。早期的组播技术研究试图在IP层提供组播通信功能,但IP组播的实施涉及到对现有网络基础设施的调整,因此,大规模应用受到限制。近两年来,随着Peer-to-Peer(P2P)研究的兴起,基于应用层的组播技术也逐渐受到广泛关注。应用层组播协议将组成员节点自组织成覆盖网络,在主机节点实现组播功能,为数据多点并发传输提供服务。将组播功能从路由器迁移到主机上能有效解决许多与IP组播有关的问题,但同时也带来了一些新的挑战。本文分析了目前应用层组播研究的主要内容及技术特点,描述了协议设计所涉及的关键技术及面临的主要挑战,总结了现有工作及相关进展。     

一种基于DHT的应用层多播方案

由于应用层多播相对于IP多播的易于部署,得到了国内外学术界的广泛研究。该文从经典的P2P搜索协议Chord入手,构建了基于P2P覆盖网的不定叉树,支持任意源多播,将节点的加入和根的发现结合起来,并对其网络动荡(节点加入与退出)实行制约限制,使网络环境保持基本稳定,达到负载平衡,并预测了本模型发展的方向。     

一种安全的基于优先级的应用层多播模型

提出了一种使用于大规模应用层多播的模型SPBHM,采用分层和分组的概念,根据节点的性能对区域节点进行优先级划分,从而动态规划多播组的Leader节点,并对模型的安全做出了综合性的阐述,通过TKS模式负责模型的密钥管理分发,仿真结果显示,该模型以较小的控制开销,获得了较高的数据传输效率和安全特性.     

应用层远程实验室事务协议

针对远程实验室数据传输同步性、实时性的需求,根据远程实验信源的多样性特征,提出一个新的基于事务的网络通信协议DLSP。该协议以TCP／IP协议为基础,采用虚拟信道复用技术,并引入事务的概念,建立了实验主机问应用层高效通信的一种规范。实验表明,使用DLSP协议,在数据传输的实时性、同步性和传输效率方面均取得了较好的效果。