基于特征符号表示的网络异常流量检测算法

为了准确检测网络中的流量异常情况,确保网络正常运行,提出基于特征符号表示的网络异常流量检测算法（NAAD-FD）. NAAD-FD算法利用趋势转折点将网络流量数据按照基于趋势特征的符号表示方法进行转化,按照表示结果将原始数据转化为包含7项特征值的子序列,将7项特征值运用到提出的距离计算方法中;结合基于密度的算法,按照时间序列的网络异常流量定义执行异常检测. 通过对算法参数、仿真数据和真实网络流量数据的实验与分析可知,该算法具有较强的鲁棒性,验证了该算法的有效性和稳定性. 该算法通过降维简化表示,显著降低了算法的时间复杂度,有效加速异常检测过程约40%.     

多层次数据中心网络流量异常检测算法

针对多层次数据中心网络容易发生流量拥塞的问题进行流量异常特征检测,以提高网络的稳定性.提出了一种基于高阶累积量后置搜索的多层次数据中心网络流量异常特征检测算法,构建多层次数据中心网络的流量传输结构模型,进行流量时频采样和时间序列分析.结合FIR滤波器进行流量抗干扰滤波预处理,利用高阶累积量的后置聚焦性,对输出的滤波数据进行高阶累积量特征提取改进和后置聚焦搜索,实现了流量序列中异常特征的准确检测和提取.仿真结果表明,采用该算法进行多层次数据中心网络流量异常检测的准确度较高,抗干扰能力较强,保障了网络的稳定和安全.     

基于流量结构稳定性的服务器网络行为描述:建模与系统

针对现有基于异常特征库匹配的流量检测方法难以适应日趋复杂的网络环境需要的问题,对服务器网络流量进行了大量观测和研究,综合正常流量在某些属性上的固有稳定性及特定服务在流量层面表现出的稳定性,提取相应的流量特征,同时提出了流量结构稳定性的概念,并基于此对服务器的正常网络行为轮廓进行刻画,依据当前流量结构偏离正常轮廓的程度对服务器网络异常行为进行检测。针对流量结构差异性的定量刻画问题,提出了一种基于Spie Chart的可视化度量方法,并基于一台邮件服务器流量实现了系统,通过实验验证了系统对常见网络攻击及未知网络异常的检测效果。     

一种趋势划分的灰色马尔可夫网络流量预测方法

网络流量预测对网络规划、流量管理等方面起着重要作用.针对网络流量数据波动性比较大,在一定范围内呈现某种趋势等特点,将灰色GM(1,1)模型预测和马尔可夫链预测相结合,提出一种趋势划分的灰色马尔可夫网络流量预测方法.该方法以网络流量时间序列建立灰色预测模型,得到流量的拟合值和趋势值序列,通过划分的趋势值序列状态区间构造马尔可夫模型并加以预测.在校园网实际流量预测的实验结果表明,该方法具有良好的预测性能.     

基于时间序列分析的DNS服务器的DDoS攻击检测

分析了针对DNS服务器DDoS攻击的特征,提出了一种基于攻击流特征(AFC)时间序列的DDoS攻击检测方法.通过自适应自回归模型的参数拟合,将AFC时间序列变换为多维空间内的自适应自回归AAR模型参数向量序列,然后使用支持向量机进行分类.实验结果表明,该方法能有效检测针对DNS服务器的DDoS攻击.     

采用Netflow数据的典型异常流量检测方法

基于Netflow数据提出了根据流量特征进行异常检测的方法;分析了造成异常流量的DDoS和端口扫描的流量特征两种网络攻击行为;并根据其特征进行用户可控的实时异常流量检测,给出告警,报告异常的时空坐标.用户可以调整自己的参数设置,在计算时间和空间上平衡自己的参数,得到满意的结果.采用Web形式和CS架构模式进行异常监控的实时显示,用尸可以实时地在任何连接到服务器的主机设置参数和查看检测结果.     

基于时间序列分析的工业控制以太网流量异常检测

为提高工业网络中异常流量的检测精度,提出了基于结构时间序列分析的流量异常检测方案,将工业以太网流量分解成不同组分,并辅以状态空间模型,将复杂的网络流量进行分层建模,从而有效提高了工业网络异常流量检测精度,降低了误报率.与传统的X-12结构时间序列分析法相比,其平均精度上升38%,所以本文方法对于异常检测系统的效率改善明显.     

基于时空特征融合的网络流量预测模型

随着网络规模的日益增大,实时准确的网络流量预测对流量调度、路由设计等工作至关重要。由于网络流量数据的非线性和不确定性,一些传统方法无法取得较好的预测精度。针对网络流量复杂的时空特征,本文提出一种基于时空特征融合的神经网络(ST-Fusion)进行流量预测。该模型采用编码器-解码器结构。首先,编码器具有时间和空间两个并行的特征通道,联合门限循环网络和自注意力机制提取流量的时序特征,采用图卷积神经网络提取流量的空间特征;然后,将编码器提取的时空特征使用双边门限机制进行特征融合;最后,将融合的结果输入到基于门限循环网络的解码器中依次生成预测结果。本文在3个公开的网络流量数据集(GEANT、ABILENE、CERNET)上进行实验,其评价指标选用MAE、RMSE、ACCURACY、VAR。实验结果表明ST-Fusion方法能够取得更好的预测效果。     

最大Lyapunov指数实现局域网流量的预测

由于网络中存在复杂的非线性动力学特性,基于混沌理论,采用最大Lyapunov指数对局域网络流量序列进行预测分析,能够实现较早地预测出网络流量的突变特性.首先,采用相空间重构理论,并结合C-C算法将实际测试的流量时间序列投影到重构的相空间中.然后,计算其最大Lyapunov指数并对最大可预测时间进行了分析,同时对预测算法进行了研究.最后,对实际测试的局域网流量序列分别采用点预测和区间预测方法进行了分析.仿真结果显示,采用点预测方法对流量突变可以进行有效预测,突变越剧烈预测越准确;而采用区间预测可以有效预测流量的变化趋势,但不适用于广域网环境.进一步表明此方法能有效地利用所有数据信息进行预测,预测效果准确、可靠,可广泛的用于网络拥塞和网络攻击中.     

基于多维支持向量机的P2P网络流量识别模型

提出一种多维支持向量机(MSVM)训练方法,并建立了一种基于多维支持向量机的P2P网络流量识别模型。该模型利用多维支持向量机作为分类器来识别P2P流量,各种网络流量经过数据捕获模块、特征提取模块、数据预处理模块以及MSVM训练模块将网络流量分类成P2P流量和Non-P2P流量,再经过组建的MSVM支持向量库识别出具体的P2P流量和未知P2P。未知的P2P流量经过数据采集模块、特征提取模块、数据预处理模块以及MSVM训练模块将其特征数据加入MSVM支持向量库,以便将来识别P2P流量。理论分析与数值实验表明,该模型具有较好的实验结果和所期望的识别精确度。     

基于在线特征选择的网络流异常检测

针对传统批处理特征选择方法处理大规模骨干网数据流存在时间和空间的限制,提出基于在线特征选择(online feature selection, OFS)的网络流异常检测方法,该方法将在线思想融入线性分类模型,在特征选择过程中,首先使用在线梯度下降法更新分类器,并将其限制在L₁球内,然后用截断函数控制特征选择的数量。研究结果表明,提出的方法能充分利用网络流的时序性特点,同时减少检测时间且准确率和批处理方法相近,能满足网络流异常检测的实时性要求,为网络流分类和异常检测提供一种全新的思路。     

基于内外卷积网络的网络入侵检测

网络入侵检测通过分析流量特征来区分正常和异常的网络行为以实现入侵流量的检测,是网络安全领域的重要研究课题.针对已有入侵检测模型特征提取过程复杂、信息提取不足等问题,提出了一种基于内外卷积网络的入侵检测模型.首先使用一维卷积神经网络提取流量数据的内部特征,然后通过对内部特征计算相似度建模得到无向同质图,此外将流量在外部网络侧的通信行为建模为有向异质图,并对两图使用图卷积网络学习包含网络流量多种交互行为的嵌入向量,最后将学习到的流量嵌入向量输入到分类器中用于最终的分类.实验结果表明,所提模型的检测准确率和误报率均优于对比模型.     

基于特征选择和时间卷积网络的工业控制系统入侵检测

针对工业控制系统流量数据存在特征冗余及深度学习模型对较小规模数据集检测能力较差的问题,提出了一种基于特征选择和时间卷积网络的工业控制系统入侵检测模型。首先,对源域数据集的异常特征和样本不平衡数据进行处理,提高源域数据集质量。其次,针对流量数据的特征冗余,利用信息增益率和主成分分析法构建IGR-PCA特征选择算法,筛选出最优特征子集实现数据降维。然后,根据工业控制系统流量数据的时间序列特性,在较大规模的源域数据集上,利用时间卷积网络（temporal convolution network,TCN）对时间序列数据优异的处理能力,构建源域时间卷积网络预训练模型。最后,在较小规模的目标域数据集上,结合迁移学习（transfer learning,TL）微调策略,获取源域样本数据的流量特征,构建目标域TCN-TL模型。利用公开的工业控制系统数据集进行实验测试,实验结果表明：流量数据经本文特征算法处理后,相较于其他方法,在降低数据维度减少计算量的同时仍具有良好的检测效果;在较大规模的源域数据集和较小规模的目标域数据集上,本文模型均取得了良好的检测效果,在目标域中利用迁移学习微调策略能够学习到源域中的知识,模型检测准确率为99.06%,在训练时间对比中,本文模型训练时间消耗更少,具有更好的泛化能力,能够更好地保护工业控制系统安全。     

基于累积量的DoS攻击检测算法

针对现有DoS攻击检测算法中检测率较低,检测时间较长的问题,提出一种基于高阶统计量的DoS攻击检测算法.算法分割并量化网络流量数据包,提取累积量特征,将累积量应用到DoS攻击检测中.通过分析1998DARPA入侵检测数据集,该算法能够有效检测DoS攻击.相对于传统基于网络流量熵值的异常检测法,该算法在检测精度上有较大提高,在1 s的时间窗口内,检测率提高了8%.     

基于小波的Web流量组合预测方法研究

为了提高Web流量的预测精度，提出一种基于小波、神经网络和自回归的组合预测方法．首先将Web流量构造为2个相关序列：历史序列和相似值序列；对具有平稳特征的相似值序列用AR模型进行预测；对体现了Web流量非线性、非平稳特性的历史序列则经过小波分解与单支重构后，针对各分支特点分别采用神经网络和自回归模型预测；最后组合2条序列的预测结果获得最终预测值．理论分析与实验表明：组合预测方法可以充分利用与流量相关的多种数据关系；小波分析可以将历史序列分解为多层频率成分更加单纯、更加易于预测的时间序列．因而所建方法比传统的预测方法具有更高的预测精度．     

具有高区分度的视频火焰检测方法

为了在视频监控系统中准确地判断火焰区域并预测火灾的发生,提出一种新的基于人工神经网络的视频火焰检测方法.该方法在分析火焰的运动和三维颜色特征的基础上,分别通过傅里叶变换和圆形度分析、角点检测的方法研究火焰的闪烁频率、几何形状对应的时空域特征,采用获得的各类特征构成概率向量作为人工神经网络分类模型的输入,输出表示火灾发生的概率.在保持检测准确率的同时,该方法通过实验选择最优的参数组合解决神经网络容易陷入局部极值及收敛慢的问题.该方法可以区分大空间（隧道、仓库、博物馆等建筑物）中闪烁的车灯和真实火焰,能够避免在实际的视频监控系统应用中将闪烁车灯误判为火焰,有效减少环境光对检测结果的影响,降低火灾火焰的误报率.实验结果表明,采用该方法在保持检测实时性的同时,能够达到96%的检测正确率.     

交通事件小波神经网络算法的探讨

回顾了传统的交通事件检测的算法,结合当前世界流行的检测方法,提出利用小波分析和神经网络进行交通事件的检测的方法,并详细介绍了事件检测的流程图和算法的思想。与传统算法相比较,小波分析和神经网络结合用于交通事件检测的算法具有检测率高、误报率低和检测时间短等优点,但同时也指出了其不足之处,为以后进一步的研究提供了方向。     

企业IT网络异常流量综合检测模型

结合企业内部信息技术网络特点,提出了用时间窗比较进行网络异常流量检测的新算
法. 将新算法同已有的静态、动态检测算法相结合,提出了网络异常流量综合检测模型. 该
模型可通过不同方法和角度进行比较,以发现网络中是否存在异常流量. 通过实际实现和
测试验证了模型的有效性.     

高斯过程回归补偿ARIMA的网络流量预测

为提高网络流量时间序列的中期预测精度,提出一种高斯过程回归模型补偿自回归积分滑动平均(ARIMA)模型的网络流量预测模型.首先通过Brock-Dechert-Scheinkman统计量检验方法确定网络流量时间序列包含线性特征与非线性特征;然后利用ARIMA模型对网络流量时间序列进行非平稳建模,得到符合网络流量序列线性变化规律的模型,并通过人工蜂群算法优化的高斯过程回归模型对具有非线性特性的预测误差序列进行建模与预测;最后将ARIMA模型的预测值与高斯过程回归模型的预测误差值进行相加得到最终的网络流量预测值.仿真对比实验结果表明,提出的预测方法具有更高的预测精度和更小的预测误差.