基于Filter-ary-Sketch数据结构的骨干网异常检测研究

针对骨干网上异常检测的特殊要求,提出了一种基于Filter-ary-Sketch数据结构的异常检测方法。该方法通过Filter-ary-Sketch实时记录网络流量信息,然后每隔一定周期进行基于多维熵值的异常检测。如果出现异常则根据Filter-ary-Sketch记录的流量信息进行异常点定位,最后利用Bloom Filter中记录的源IP信息进行恶意流量阻断。该方法能够检测多种类型的网络攻击,且能有效地进行恶意流量阻断。利用实际骨干网流量数据,分别从效率和精度2个方法进行对比实验,取得了较好的效果。     

校园网络地址与流量监控管理探讨

校园网络地址的监控是校园网络稳定工作的重要内容，也是关键的部分，校园网络的优化也是依靠网络地址的高效管理。随着计算机技术的日益成熟，校园网络的入网数量也在不断的增加，这对校园网络的管理提出了更高的要求，为了保证校园网络的顺畅运行，流量的监控管理是必要的。为了提高带宽，有效的流量监控技术能保证校园网络的高速运行。本文介绍了校园网络的IP地址的管理，并介绍了流量监控的方法，以保证校园网络的稳定运行。     

基于活跃熵的网络异常流量检测方法

提出了一种基于活跃熵的网络异常流量检测新方法,将受监控的目标网络视为一个整体系统,对进出系统的网络数据流所形成的NetFlow记录进行分析,分别统计二者的活跃度并计算它们的活跃熵。在进行活跃熵的计算时,根据流量大小选择不同的尺度来降低误报率,从而能更有效地检测网络流量中存在的异常。在实际网络环境下的模拟实验结果表明,与传统检测方案相比,基于活跃熵的网络异常流量检测方法能够更有效地检测出具有随机特征的网络异常流量。     

利用互信息进行网络异常检测的熵特征优选

首先讨论了传统流量统计分析的缺点,指出熵分析能够反映更多潜在的信息,发现传统流量统计分析不能发现的网络异常.其次,讨论了流量熵和计数熵的不同,指出两者应该配合使用,不能如现有研究中一样片面地使用其中一种.最后,用互信息法分析了两种熵的常用特征,实验发现两者分别呈现冗余状态,在剔除冗余之后检测的效率有明显提高,且不失检测...     

基于流量感知的网络安全态势评估模型

安全评估是贯穿信息系统生命周期的重要管理手段,是制定和调整安全策略的基础和前提。结合服务、主机的重要性和网络信息系统的体系结构,基于入侵检测系统（IDS,Intrusion Detection System）报警信息和流量感知信息,采用自下而上、先局部后整体的方式评估网络系统的整体安全态势。采用网络熵的方法评估节点服务性能的变化情况,根据链路性能下降程度,有效地界定不同强度和不同种类的网络威胁行为对网络信息系统造成的损失程度,进而对网络信息系统安全态势进行准确评估。     

基于协议流量精细化多维度检测

随着网络的发展,攻击网络的新型方式较为特殊,多以慢速攻击的形式,对网络造成一定程度的威胁。文章基于DPI和DFI技术的网络流量,分析发现此类攻击在网络流量上呈现时间较长,并在持续增长,为了提高检测精度和躲避检测,对该类攻击采取降低攻击速率的方式进行,采用流量检测、文件检测、关联检测、特征检测、算法检测,综合判断网络状态,从多个维度提高网络预警的精准性,对数据、流量、文件等进行检测,同时检测流量传输的数据,并监测其传输敏感度、恶意程序等。     

基于Wolf的数字化变电站通信网异常流量检测系统

数字化变电站通信网异常流量检测过程中易陷入局部最优,导致检测结果不精准。为了解决这个问题,提出了基于Wolf的数字化变电站通信网异常流量检测系统。构建系统总体结构,分析通信网流量异常频域特征。通过采集异常流量模块解析目的物理地址,检查组件为系统提供信息交互引擎。使用Wolf算法将混沌序列映射到数字化变电站通信网异常流量多维相空间,设置控制收敛因子,避免检测结果陷入局部最优。计算异常流量特征值的熵,判断流量异常类型。实验结果表明,该系统一次设备异常流量检测结果与实际数据一致,二次设备异常流量检测结果与实际数据存在最大为2 Mb/s的误差,说明使用所设计系统检测结果精准。     

校园网络安全中异常入侵快速定位方法研究

研究了校园网络中快速确定异常入侵位置的方法,提出区域入侵关联概率检测方法.以网络节点间的相互关系为基础,根据被入侵区域与其附近区域互相依存的关联程度,估计被异常入侵区域的关联概率.运用概率决策思维迭代锁定被入侵区域.实验证明,该方法能够提高获取校园网络中异常入侵位置的效率,从而保证了校园网络的安全.     

网络安全异常检测技术研究

本文提出构建流量异常检测模块和分析模块,并结合BP神经网络等算法,对网络流量特征值进行提取,从而对误差阈值、权值、隐含层个数等进行改进;采用联合熵算法对流量分析模块进行构建,从而通过熵值的变化来查看网络的异常,以此更好的实现对网络异常的检测。     

ODC：在线检测和分类全网络流量异常的方法

提出一种从全网络的视角实时在线检测和分类流量异常的方法(简称ODC),该方法以增量方式构建以流量特征的熵为测度的流量矩阵,利用增量主成分分析算法在线地检测流量异常,然后再利用增量k-means算法实时在线地对流量异常进行分类,以便网络管理员采取相应的防御措施。理论分析和实验分析表明,ODC具有较低的时间复杂度和存储开销,能够满足在线实时处理的要求。实测数据分析和模拟实验分析的结果均证实了ODC具有很好的检测和分类性能。     

时间测序下基于SVM的用户异常检测研究

随着我国信息科技的飞跃式发展,计算机网络的规模不断扩大,企业扩展业务持续增加,油田内部信息的机密性与设备的安全性面临着巨大挑战。针对目前油田网络系统繁杂性不断增大而引发的安全的问题,运用基于简单网络管理协议设计实现的网内流量监控,获取工业网流量信息,在时间测序下,借助机器学习与文本分析整合异常数据的共性与特性,关联整合异常数据的多维关系,解除了以往繁杂且低效的监控手段,保证网络环境内异常信息的可见性,极大便利了后期的维护工作和网络环境的平滑升级。     

基于Command and Control通信信道流量属性聚类的僵尸网络检测方法

僵尸网络(Botnet)是一种从传统恶意代码形态进化而来的新型攻击方式,为攻击者提供了隐匿、灵活且高效的一对多命令与控制信道(Command and Control channel, CC)机制,可以控制大量僵尸主机实现信息窃取、分布式拒绝服务攻击和垃圾邮件发送等攻击目的。该文提出一种与僵尸网络结构和CC协议无关,不需要分析数据包的特征负载的僵尸网络检测方法。该方法首先使用预过滤规则对捕获的流量进行过滤,去掉与僵尸网络无关的流量;其次对过滤后的流量属性进行统计;接着使用基于X-means聚类的两步聚类算法对CC信道的流量属性进行分析与聚类,从而达到对僵尸网络检测的目的。实验证明,该方法高效准确地把僵尸网络流量与其他正常网络流量区分,达到从实际网络中检测僵尸网络的要求,并且具有较低的误判率。     

基于MRTG的网络流量监测研究与应用

为了能最快地发现网络故障,需要对所有接入设备进行管理,了解网络的运行情况,包括端口数据流量、设备运行性能、网络健康性等各项指标。设计了一种利用遵循SNMP协议的高效软件MRTG来获取局域网网络节点状态信息的有效方法,并将流量负载以包括PNG格式图像的HTML文档方式提供给用户,以非常直观的形式显示流量负载,以便查明设备和网络的性能问题。     

高速网络中入侵检测的抽样方法

提出了一个面向主干网入侵检测,以内存瓶颈消耗量为测度的动态自适应抽样方法IDSampling.通过分析攻击流量的流长和熵聚类信息特征指导抽样,过滤掉攻击可疑性低的报文,采取"节流"方法解决万兆网络入侵检测存在的性能和精度不平衡问题.在大规模异常发生时采用基于单报文属性熵的单一抽样策略,其他情况下采用带反馈指导的混合抽样策略,试图用尽可能小的检测代价来取得同样的检测效果.实验结果表明①IDSampling可以大幅减低IDS处理输入,同时保证对主干网人规模攻击趋势性信息的检测精度;②相较于随机报文抽样和随机流抽样方法,IDSampling凭借流长、熵聚类信息和后期检测结果等启发式信息的指导,其抽取攻击报文的准确性高于前2种方法,尤其是在大规模、高强度攻击情况下IDSampling抽中攻击报文的数目甚至高于其他2种方法一个数量级.     

基于数据挖掘与关联分析的工控设备异常运行状态自动化检测方法分析

以准确、高效地检测工控设备异常为目的,研究基于数据挖掘与关联分析的工控设备异常运行状态自动化检测方法.以采集的某电厂DCS网络全流量数据形成的工控设备运行状态日志序列为输入,通过预处理、特征提取等方式获取待监测的工控设备运行状态数据的特征向量,通过凝聚型层次聚类算法聚类特征向量初步区分工控设备正常、异常运行状态数据,再...     

基于相对熵理论的网络DoS攻击检测算法

针对日益严重的DoS(拒绝服务)网络攻击行为,提出了一种RED(相对熵检测)算法.该算法基于相对熵理论,利用网络流量的自相似特性,通过判断相邻时刻流量之间的相对熵值是否发生突变来进行DoS攻击检测.实验结果表明,与传统的信息熵DoS攻击检测算法相比,该算法具有较高的检测率.     

基于熵估计的安全协议密文域识别方法

现有基于网络报文流量信息的协议分析方法仅考虑报文载荷中的明文信息,不适用于包含大量密文信息的安全协议。为充分发掘利用未知规范安全协议的密文数据特征,针对安全协议报文明密文混合、密文位置可变的特点,该文提出一种基于熵估计的安全协议密文域识别方法CFIA(Ciphertext Field Identification Approach)。在挖掘关键词序列的基础上,利用字节样本熵描述网络流中字节的分布特性,并依据密文的随机性特征,基于熵估计预定位密文域分布区间,进而查找密文长度域,定位密文域边界,识别密文域。实验结果表明,该方法仅依靠网络数据流量信息即可有效识别协议密文域,并具有较高的准确率。     

基于入侵特征选择的网络异常数据检测模型

为了提高网络运动可靠性和安全性,针对传统的防火墙检测方法对网络异常数据检测准确性不高的问题,提出一种基于入侵特征选择的网络异常数据检测模型。对网络传输信道中的数据采用关联维求解方法进行特征挖掘提取,并对提取的关联维信息特征进行优选实现入侵信息识别和分类,结合模糊C均值聚类算法实现对网络异常数据的有效挖掘和检测。仿真结果表明,该检测模型能提高对网络异常数据和入侵信息的有效识别和检测能力。     

基于Transformer网络的机载雷达多目标跟踪方法

传统的多目标跟踪数据关联算法需要提前知晓目标运动模型和杂波密度等先验信息,然而这些先验信息在跟踪之前无法及时准确地获取。针对这个问题,提出一种基于Transformer网络的多目标跟踪数据关联算法。首先,考虑到传感器会存在漏检的情况,引入虚拟量测来重新建立数据关联模型。在此基础上,提出基于Transformer网络的数据关联方法来解决多目标与多量测的匹配问题。同时,设计了一种掩蔽交叉熵损失与重叠度损失相结合的损失函数(MCD)用于优化网络参数。仿真和实测数据结果表明:在不同检测概率条件下,所提算法性能均优于经典的数据关联算法和基于双向长短时记忆网络的算法。      

华北工控NAS服务器在校园网中的应用

系统概述目前，所有校园网均面临数据流量太高而影响教学资源共享、大量数据难以存储管理、数据存储负载和实时性差等问题，这些都对校园网络的数据存储功能提出了更高的要求。要建成稳定高效的多媒体校园网络．不仅需要大容量的网络存储器来存储教学科研过程中产生的大量数据，而且还要求能实现多用户、多平台数据共享，集中管理数据，