利用残差分析的网络异常流量检测方法

针对网络异常流量检测中大数据小异常造成的难题,提出了一种新的基于残差分析的网络异常流量检测方法。从多个角度提取网络流量的特征属性,以准确刻画正常行为和异常行为之间的差异性。利用提取的特征属性构建属性矩阵,采用流之间的相似性构建邻接矩阵。使用属性矩阵和邻接矩阵构建网络异常检测模型,采用CUR矩阵分解方法重构属性矩阵得到主模式,对属性矩阵和重构的属性矩阵进行残差计算进而获得残差矩阵。对残差矩阵中的每一个流计算其残差,根据每个流的残差和预设阈值进行异常判定。采集了西安交通大学校园网流量数据进行实验,实验结果表明:所提方法在不需要任何先验知识的情况下能够使异常检测率达到90%以上;与其他异常检测方法相比,所提方法不仅具有较高的检测率,而且能够实现异常源定位。     

基于流时间影响域的网络流量异常检测

针对如何提高网络流量异常行为检测准确率的问题,提出基于网络流时间影响域(TID)的网络流量检测模型.通过分析正常和异常情况下流量网络模型平均度的变化,构建了基于复杂网络平均度指标的网络流量异常检测算法.实验结果表明,基于网络流时间影响域的流量网络模型能合理地描述网络流量间的依赖关系,具有良好的检测性能,同时该网络模型仅需时间戳、源IP、目的IP三维网络特征即可实现,检测方法适用于绝大多数网络类型,检测效率优于其他网络流量异常检测方法,具有较高的普适性.     

多源流量特征分析方法及其在异常检测中的应用

针对不同的网络攻击会造成不同流量特征的变化,单一的网络流量特征难以全面检测网络异常的缺陷,提出了一种多源流量特征分析方法.通过选取一组网络流测度,分析其分布特征并采用雷尼信息熵方法进行多源流量特征融合以实现对网络异常行为的全面检测.基于真实网络流量的实验结果表明,提出的网络异常行为检测方法实现简单、计算量小、检测精度高,可适用于大规模网络,能有效检测已知及未知异常.     

网络流的层次化分析及其在蠕虫早期检测中的应用

在NetFlow的基础上定义了2种新的网络流：主机层网络流和区域层网络流，并提出了相应的流量特征刻画方法．该定义从主机层和网络层对网络流量进行抽象，实现了底层网络流信息的合并，在不损失关键流量特征的前提下，可大大缩减网络流记录的数量．采用指数加权移动平均控制图模型对所提取的网络流特征进行预测和估计，并结合网络蠕虫的传播特征给出了一种网络蠕虫的早期检测方法．实验结果表明，所提检测方法可以准确地检测到蠕虫在局域网内的早期传播，进而为控制蠕虫传播赢得了宝贵的时间。     

四阶段端到端的用户异常用电模式检测网络

为减少输配电过程中用户异常用电行为所造成的经济损失,提出了一种新颖的端到端的用户异常用电检测网络模型,该模型基于主成分分析网络（Principal Component Analysis network,PCANet）.与传统PCANet不同的是,其中采用四阶段特征映射模型.通过前三阶段特征映射提取网络获取用户用电数据中的正常、异常用电序列特征.该过程中,为了提高PCANet的检测精度,将第一阶段PCA所获取的特征通过下采样嵌入到第二阶段PCA中.将第三阶段PCA输出作为第四阶段小波神经网络（Wavelet neural networks,WNN）的输入,从而进一步了提高模型的检测精度.通过实验对比分析文中所提方法与传统异常用电检测方法表明：所提出的方法具有更高的检测准确性与鲁棒性,可以有效检测出用户异常用电行为.     

基于数据挖掘的网络状态异常检测

针对目前网络状态异常行为检测正确率低的问题,提出一种基于数据挖掘的网络状态异常检测模型.首先提取网络状态信号,通过小波变换对信号进行预处理,并提取网络状态异常检测的特征;然后通过回声状态网络对网络状态异常检测进行建模,并通过遗传算法对回声状态网络的参数进行优化;最后采用网络状态异常数据集对模型的有效性进行测试.测试结果表明,数据挖掘技术可以准确检测各种网络状态异常行为.     

使用交叉熵检测和分类网络异常流量

针对准确识别网络攻击行为的问题,提出了一种基于交叉熵的流量异常检测和分类方法.首先使用流头部特征属性和行为特征属性对DoS攻击、端口扫描和网络扫描等3种常见攻击进行描述,并使用交叉熵来度量各属性上流量的分布变化,建立各攻击的行为特征向量,然后使用指数加权滑动平均控制图方法对多种交叉熵指标进行异常检测得到检测异常向量,最后以检测异常向量和各行为特征向量的相似度来判别攻击类型.针对路由器中Netflow流量的实验结果表明,对于强度较小的攻击,相比香农熵度量法,交叉熵度量法的攻击分类正判率和精确率平均提高了13%和15%,正确率提高了13%.     

网络行为实时监控系统的设计与研究

针对当前网络行为监控系统存在效率和准确性的矛盾,设计一种新的网络行为实时监控系统.该系统由监测器、信息数据库、分析器、历史数据库和决策器五部分组成,能够克服现有的网络监控系统存在的缺点,实现网络行为实时监控.该系统采用网络实时数据和网络历史数据相结合共同分析网络行为的方法,分析出较为可靠、稳定的用户行为,实时高效地得出准确、合理的响应措施,并与防火墙、入侵检测系统联动.     

基于混合入侵检测技术的网络入侵检测方法

总结了异常检测和误用检测的优缺点,结合其优点,并克服其缺点,提出了基于混合入侵检测技术的网络入侵检测系统模型.对于同一行为,异常检测结果和误用检测结果不总是一样的,跟踪算法有效地解决了异常检测结果与误用检测结果不完全相同的问题;采用了数据挖掘方法建立正常行为轮廓库,并采用了全序列比较法和相关函数法实现异常检测引擎;提出的模型较基于单一入侵检测技术的模型相比,具有更好的检测效果.     

对称性的起因:非业务性网络流量新特性的挖掘与探索

针对当前非业务性网络前后向流量呈现对称性的问题,提出一种基于双向网络流模型的分析方法.与传统的单向网络流模型相比,双向网络流模型以主机为粒度实现流量双向聚合,利用网络流在协议、端口分布和流对称性方面的特征指标刻画主机间的交互行为,从而发现流量对称性产生的根源.基于西安交通大学校园网流量的实验结果表明,1％的主机承载了90％以上的前向UDP流量,是造成流量对称性的根本原因.相比于传统的网络流模型,文中提出的模型和分析方法能快速定位造成流量对称性的主机,更适用于非业务性网络流量的控制与管理.     

基于动态分析的控制流劫持攻击检测

控制流完整性策略能够有效地防御控制流劫持类攻击,但复杂的控制流图构建使该策略的实际部署非常困难.为了有效地针对控制流劫持攻击的检测手段,提出一种基于程序异常行为来检测控制流劫持攻击的方法,并基于该方法实现了控制流劫持攻击检测系统.实验表明,该方法能够有效地检测出由控制流劫持攻击造成的各种程序异常行为,基于该方法的攻击检测系统运行效果良好,能够方便的部署到实际应用环境中.     

基于异常流量可视化的通信网络入侵攻击路径智能跟踪技术

为了解决通信网络的安全问题,防止通信网络被入侵,通过异常流量可视化方法研究了一种有效的通信网络入侵攻击路径跟踪技术。把流量采集点网卡设置成多样模式,对通信网络中的镜像流量进行采集。针对交换机上内外网间的端口流量,通过流量处理中心将不同网段采集点流量数据集合在一起统一处理,产生流量态势。针对采集及经处理后的流量,通过Set Timer()定时器函数发送消息,对消息进行处理,重绘窗口,实现流量可视化显示。将流量不对称性、SYN/ACK不对称性和方差过大作为异常流量特征参数,对异常流量进行检测。对流量异常入口进行限速处理,逐级向上进行限速,使得路径中已进行限速路由器下的全部路由器均限速,被标记的流量不会由于拥塞被删除。在减缓入侵的状态下通过异常流量,按照标记对攻击路径进行跟踪。结果表明,通过选择异常流量特征可有效检测异常流量;所提技术路径跟踪收敛速度与误报率比其他技术更低。可见,所提技术跟踪准确性好,整体性能优。     

一种检测网络异常的小波方法

提出一种基于小波分析与自回归模型的检测方法，并应用它来分析模拟实验环境中收集的时间序列．实验结果表明该方法是可行与有效的，而且优于泛化似然比检验法(GLR)．     

同时考虑结伴行为和逆行行为的自行车流元胞自动机模型

结伴行为和逆行行为是两种常见的骑行方式,容易引起自行车流的局部自组织现象和通行效率下降。为研究结伴行为(包括左右结伴和前后结伴)和逆行行为共存对自行车流运动机理和交通特性的影响,建立同时考虑结伴和逆行行为的自行车流元胞自动机模型。通过仿真实验,分别分析左右结伴和前后结伴与逆行共存对自行车流的影响。研究表明:左右结伴和逆行共存会显著降低自行车流的通行能力、增加旅行时间和降低平均速度;前后结伴和逆行共存仅在高车流密度条件下减少平均速度,且引起自行车流轻微振荡;上述负面影响同结伴尺寸、结伴比例、逆行比例和自行车平均到达率等因素有关。这些研究结果有助于更好地管理自行车流,特别是逆行行为管理。     

无线网络接入点TCP流时间公平性

对无线网络接入点上下行TCP流存在的时间不公平性现象进行了研究,报告了无线网络接入有线网络存在的拥塞控制问题现状,提出了一种的无线网络TCP流公平调度算法。采用快速的TCP流优先发送方法,既保证了各流吞吐率公平性,又解决了慢速的TCP占用信道时间过多的问题,实现了各流占用信道的时间公平性。通过网络仿真实验证明,新的公平调度算法比传统的算法在性能上有较大的改进,达到了提高网络整体效率的目的。     

基于m码码型变换提高多普勒血流测速分辨力的新方法

为了提高多普勒血流测速的分辨力,提出了一种基于m码的新的编解码调制方法.通过回波波形、稳恒流、脉动流的仿真实验证实,本算法能较精确地测得指定区域的血流速度,性能明显优于Shiozaki算法和标准m码算法,可以提高多普勒血流测速的精度.     

高速列车转向架舱对转向架区域流场与气动噪声影响

根据涡声理论和声比拟方法,数值模拟了高速列车转向架简化模型的流场与气动噪声特性,分析了转向架舱对转向架流动与气动噪声性能的影响.结果表明:在单独转向架与转向架位于转向架舱内2种工况下,几何体近壁流场内形成的体偶极子声源为近场四极子噪声的主要声源,转向架表面压力脉动产生的面偶极子声源为声辐射主要声源;与单独转向架相比,转向架舱改变了转向架流动特性与声辐射指向性,削弱了转向架所产生气动噪声的强度,但转向架舱后壁会产生较大气动噪声.     

基于最小二乘法的流长度分布估计方法

为了得到未抽样流的分布特征,提出一种新的由抽样报文流数据来估计原始未抽样流长度分布的方法.首先分析了产生一个定长抽样流的原始流的概率分布模型,并根据这个概率分布特征给出了长流一个非常简单的估计.然后构造了关于短流的方程组,利用流的重尾分布特性和最小二乘法对该方程组进行求解,得到了短流的估计.理论分析表明该估计方法有效地控制了时间复杂程度,实验测试结果也表明该算法对于分布的估计是精确的,估计精度与EM算法相当.     

基于运动特征的人体异常行为识别

为了提高监控视频中人体异常行为识别的实时性和准确率,提出了基于运动特征的人体异常行为识别方法。利用分块更新的背景差法从图像中提取出完整的人体轮廓,通过区域关联结合颜色直方图实现人体目标跟踪,解决了非线性运动时漏跟和误跟的问题。通过人体运动轨迹、运动姿态及运动时间3个参数,对人的5种异常行为进行分析判断。实验结果表明,所提算法不仅能实时地对人体进行检测和跟踪,还能快速、准确地识别出异常行为,具有简单实用的特点。