基于报警数据融合的智能电网攻击检测方法

智能电网中信息技术的广泛使用为攻击者提供了更多的途径入侵和攻击电力系统,这已成为智能电网安全的最大隐患之一。提出了一种基于异常数据融合的智能电网攻击检测方法,通过入侵检测系统发现信息网络中的异常流量,利用标准化残差方法检测电力系统中的异常量测数据,通过关联信息网络和物理系统的异常报警数据来检测智能电网攻击事件。仿真实验表明该方法可以消除入侵检测与标准化残差检测产生的大量错误报警,显著提高智能电网攻击的检测精度。     

带可信度评估的连续小波分布式拒绝服务攻击检测算法

针对传统方法难以实时、有效检测分布式拒绝服务(DDoS)攻击的问题,提出了一种带可信度评估的连续小波DDoS攻击检测算法.首先用不间断的连续小波变换对流量信号进行同步分析,通过发现平台突发信号来实时检测DDoS攻击,然后用报警可信度评估算法对经连续小波变换的检测结果进行二次处理,以消除单点突发信号和网络流量噪声带来的影响.经离散小波变换法、N点平均法以及梯度法的实验对比表明,所提算法对流量数据中的平台突发信号的检测效果比较好.     

带可信度评估的连续小波DDoS攻击检测算法

针对传统方法难以实时有效检测DDoS攻击,提出了一种带可信度评估的连续小波DDoS攻击检测算法,可以简单、高效、实时地检测DDoS攻击．首先,对流量信号进行不间断地连续小波变换同步分析,通过发现平台突发信号来实现DDoS攻击的实时检测．然后,用报警可信度评估算法对连续小波变换的检测结果进行二次处理,以消除单点突发信号和网络流量噪声带来的影响．实验结果与离散小波变换、N点平均以及梯度法相比表明,所提算法对流量数据中的平台突发信号有着更好的检测效果．     

高级持续性威胁中攻击特征的分析与检测

针对高级持续性威胁的检测问题, 提出一种基于网络连接特征属性的检测方法. 通过数据采集、 特征提取、 异常检测和实时报警4个步骤, 选取网络连接的12种特征属性, 应用机器学习方法分析属性特征数据集, 建立高级持续性威胁攻击检测模型. 实验结果表明, 该方法对于高级持续性威胁攻击检测性能良好, 检测率较高, 误报率较低.     

基于攻击图的APT脆弱节点评估方法

高级可持续性威胁(advanced persistent threat,APT)具有行为隐蔽性强、攻击周期持久的特点,增加了攻击检测的难度.据此,引入攻击图理论评估网络系统在APT攻击下的脆弱节点,提出了一种基于攻击图的APT脆弱节点评估方法,有效地提高了发现攻击的概率.对APT攻击行为的异常特征进行提取和定义,对目标网络系统建立风险属性攻击图(risk attribute attack graph,RAAG)模型;基于APT攻击行为特征的脆弱性对系统节点的行为脆弱性进行评估,并以通用漏洞评分系统(common vulnerability scoring system,CVSS)标准做为参照评估系统节点的通联脆弱性;基于上述2个方面的评估,计算系统中各节点的整体脆弱性,并发现目标网络系统在面向APT攻击时的脆弱节点.实验结果表明,所提方法能够对APT攻击行为特征进行合理量化,对系统节点的脆弱性进行有效评估,在APT攻击检测率上有较好表现.     

一种面向网络行为因果关联的攻击检测方法

为了能在攻击目标受损之前检测到攻击事件,提出了面向网络行为因果关联的攻击检测方法.该方法基于SNMP管理信息库数据,根据攻击目标的异常行为,首先利用Granger因果关联检验(GCT)从检测变量中挖掘出与异常变量存在整体行为关联的基本攻击变量,然后针对异常行为特征再次利用GCT从基本攻击变量中挖掘出与异常变量存在局部行为关联的攻击变量,最后根据攻击变量和异常变量之间的因果关系,构建面向攻击方检测的攻击关联规则.在Trin00 UDPFlood检测实验中,所提方法成功挖掘出攻击变量udpOutDatagram,取得了满意的检测效果.实验结果表明,该方法能够在攻击方检测到攻击事件,为及时阻止攻击过程向攻击目标进一步扩散提供预警.     

自适应参数的网络异常流量检测方法

分布式拒绝服务(DDoS)攻击对互联网的稳定性和安全性构成了严重的威胁.对网络流量进行异常检测,发现异常后再对数据包进行分析,实施相应措施,有利于降低系统开销.该文给出了网络流量均值和阈值能够根据网络环境变化的自适应调整算法.分析了参数的设置对误报警、动态调整报警阈值等的影响.实验结果表明设计的系统是有效和正确的,可以在提高异常流量检测准确性的同时降低运行开销,可以直接应用于检测SYN洪水攻击等.     

基于入侵检测的网络安全态势评估技术

网络安全态势感知可以对当前网络状态进行分析并对发展趋势进行预测. 入侵检测系统作为态势感知中安全要素的来源,其准确性影响着网络安全的评估. 攻击图可以筛选出关键节点并枚举可能的攻击路径,已成为风险评估的主要方法. 因此将两者结合,提出了一种基于入侵检测的网络安全态势评估技术. 首先对入侵检测系统的检测率进行了提升,然后利用攻击图结合隐马尔可夫模型(HMM)来进行网络安全评估. 实验结果表明,该方法可以有效地推测攻击意图,更直观、全面地反映结果.     

基于综合评分的DDoS检测分析报告系统

针对分布式拒绝服务攻击所采用的攻击方式多变这一问题,设计了综合评分算法,可以综合使用多个异常检测算法,综合评估以识别攻击.因现有的分布式拒绝服务攻击检测方法难以给出异常流量的具体特征,设计了Apriori-Geo-AS算法和端口分布分类的Kolmogorov-Smirnov检验算法,通过改进Apriori算法,能够更有效地提取攻击源的主要来源地址、端口和地理位置信息;通过和理想端口分布进行Kolmogorov-Smirnov检验,能够进一步判断出攻击者的端口使用模式.实验结果表明,异常检测算法正常时段的误报率低于0.2%,通过对清华大学校园网的网络攻击进行分析验证了本系统攻击分析部分的有效性.     

基于负载预测的分布式拒绝服务攻击检测方法研究

通过分析分布式拒绝服务攻击(Distributed Denial Of Service,DDOS)的特点,提出一种基于主机负载-并发连接时间序列预测的DDOS攻击检测方法。该方法改进了传统的异常检测方法,对并发连接序列进行预测,以预测值作为对未来时段内主机负载正常状态的估计,增强了正常行为描述的时效性,提高了攻击检测率,并具有低延时特性。该方法涉及两项关键技术:一是预测技术,二是异常判断方法。为提高预测精度,首次将小波分析引入主机负载预测,建立了小波-神经网络预测模型;为提高异常判断准确性,采用了“滑动窗口”方式。实验表明,基于负载预测的DDOS攻击检测优于传统的异常检测方法。     

变分自编码器和注意力机制的异常入侵检测方法

针对传统的机器学习算法在检测未知攻击方面表现不佳的问题,提出了一种基于变分自动编码器和注意力机制的异常入侵检测方法,通过将变分自编码器和注意力机制相结合,实现使用深度学习方法从基于流量的数据中检测异常网络流量的目标。所提方法利用独热编码和归一化技术对输入数据进行预处理;将数据输入到基于注意力机制的变分编码器中,采集训练样本中隐含特征信息,并将其融入最终潜变量中;计算原始数据与重建数据之间的重建误差,进而基于适当的阈值判断流量的异常情况。实验结果表明,与其他入侵检测方法相比,所提方法明显改善了入侵检测的精度,不仅可以检测已知和未知攻击,而且还可以提高低频次攻击的检测率。     

基于流时间影响域的网络流量异常检测

针对如何提高网络流量异常行为检测准确率的问题,提出基于网络流时间影响域(TID)的网络流量检测模型.通过分析正常和异常情况下流量网络模型平均度的变化,构建了基于复杂网络平均度指标的网络流量异常检测算法.实验结果表明,基于网络流时间影响域的流量网络模型能合理地描述网络流量间的依赖关系,具有良好的检测性能,同时该网络模型仅需时间戳、源IP、目的IP三维网络特征即可实现,检测方法适用于绝大多数网络类型,检测效率优于其他网络流量异常检测方法,具有较高的普适性.     

基于时间序列分析的网络流量异常检测

针对传统模型无法对网络流量异常进行准确识别和检测的问题,提出一种基于时间序列分析的网络流量异常检测模型.首先提取网络流量的原始数据,并对原始数据进行小波阈值去噪处理,消除干扰因素的影响;然后采用时间序列分析法挖掘网络流量数据之间的变化关系,建立网络流量异常检测模型;最后通过仿真实验验证检测模型的有效性和优越性.实验结果表明,时间序列分析法可以准确、及时地检测网络流量的异常行为,且结果优于目前其他网络流量异常检测模型.     

基于核模糊C均值的异常检测方法

探索聚类方法在异常检测中的应用,提出了一种基于核的模糊C均值的异常检测方法.该方法使用核的模糊C均值对网络数据进行聚类,并使用基于簇内距离的判断规则对聚类结果进行标定,从而识别出攻击.使用KDD CUP1999数据集进行实验,结果表明本文表现出了高检测率和低误报率的良好性能.     

NIDS警报分析系统模型设计与分析

网络入侵检测系统(N IDS)是一种检测网络入侵行为的工具,但在实际应用中,警报量多、误警率高,已经严重制约了N IDS的发展。文章分析了其产生的原因,提出了一种基于异常检测技术的N IDS警报分析系统模型;重点讨论了数据挖掘技术在该模型中的应用。     

基于支持向量机的网络流量异常检测

提出了一种基于支持向量机的网络流量异常检测方法.分析了支持向量机的基本原理,结合网络流量异常检测的特点,讨论了异常检测的特征选择问题;提出了网络流量对称性、TCP报文SYN和SYN/ACK对称性以及协议分布等具有鲁棒性的特征参数,描述了数据的预处理方法.测试结果表明,所选特征参数可有效地检测网络攻击导致的流量异常变化,说明基于支持向量机的检测方法具有较好的泛化能力.     

一种检测网络异常的小波方法

提出一种基于小波分析与自回归模型的检测方法，并应用它来分析模拟实验环境中收集的时间序列．实验结果表明该方法是可行与有效的，而且优于泛化似然比检验法(GLR)．     

Efficient Feature Extraction Using Apache Spark for Network Behavior Anomaly Detection

Extracting and analyzing network traffic feature is fundamental in the design and implementation of network behavior anomaly detection methods. The traditional network traffic feature method focuses on the statistical features of traffic volume. However, this approach is not sufficient to reflect the communication pattern features. A different approach is required to detect anomalous behaviors that do not exhibit traffic volume changes,such as low-intensity anomalous behaviors caused by Denial of Service/Distributed Denial of Service(Do S/DDo S)attacks, Internet worms and scanning, and Bot Nets. We propose an efficient traffic feature extraction architecture based on our proposed approach, which combines the benefit of traffic volume features and network communication pattern features. This method can detect low-intensity anomalous network behaviors and conventional traffic volume anomalies. We implemented our approach on Spark Streaming and validated our feature set using labelled real-world dataset collected from the Sichuan University campus network. Our results demonstrate that the traffic feature extraction approach is efficient in detecting both traffic variations and communication structure changes.Based on our evaluation of the MIT-DRAPA dataset, the same detection approach utilizes traffic volume features with detection precision of 82.3% and communication pattern features with detection precision of 89.9%. Our proposed feature set improves precision by 94%.     

基于AMCNN-LSTM的电力无线接入专网异常流量检测

为了减轻电力无线专网系统因网络业务增多而带来的网络攻击以及异常流量入侵的安全事故隐患,提出了一种基于注意力机制的卷积-长短期记忆网络(convolution-long short-term memory network based on attention mecha-nism,AMCNN-LSTM)模型.该模型为避免序列特征稀疏分布的问题,采用卷积神经网络(convolutional neural net-work,CNN)提取时间序列数据特征并转化为维度固定的稠密向量;为防止记忆丢失和梯度分散问题,使用融合注意力机制的CNN单元来捕捉重要的时间序列细粒度特征;将CNN提取局部特征与长短期记忆网络(long short-term memory network,LSTM)提取序列特征的优势相结合,对电力接入专网流量数据进行异常检测.通过在电力网真实数据集上实验表明,基于注意力机制的算法能够在150轮次迭代下达到89.14％的召回率及89.67％的综合F-meas-ure得分.所提出的模型能够及时、准确地检测电力网络异常流量,有效提高检测效率及准确度.     

基于分形理论的网络流量异常检测技术

传统网络流量异常检测技术不能适应网络流量的复杂性,异常检测精度低,不能保证实时性,为此,提出一种新的基于分形理论的网络流量异常检测技术。通过FIR滤波方法对流量的时间序列进行预处理。采用Schwarz信息准则对网络流量异常检测问题进行处理,估测网络流量异常点数量与位置。采用R/S分析法求出自相似指数Hurst值,依据Hurst值对网络流量时间序列的分形特征进行分析。引入滑动窗口完成多网络流量异常点的检测,在检测异常点处对流量进行分形处理,依据自相似指数计算过程获取异常点间的流量自相似指数值,保存异常点之后的流量,为下一个流量异常点的检测提供依据。实验结果表明,所提技术实现过程简单,网络流量异常检测精度高,保证了实时性。