基于时序流的移动流量实时分类方法

移动互联网的快速发展,产生了网络测量、网络安全和服务质量等方面的新问题.为了深入研究移动互联网的特性,研究人员需要从传统网络流量中快速准确分类出移动流量.本文提出了一种采用轻量级流表与深度数据包检测技术（DPI）相结合的移动流量实时分类方法,将网络流按照时间间隔关系扩展为时序流,并通过DPI时序流前N个特征数据包准确地分类出移动流量,缩减了流表规模,减少了实际DPI开销.通过实时的网络流量实验表明,DPI时序流前8个特征数据包时,提出的方法识别准确率达到91.55%,单次深度数据包检测的平均开销为20个数据包,并且流表的规模缩减到原来的0.21%.与P0F比较,方法识别准确率等性能有明显提升.      

基于IP加密的网络审计系统模型

网络审计系统广泛应用于园区网络,实现园区网络内的身份认证、访问控制、日志记录以及流量计费等功能. 随着网络应用的广泛和深入,网络行为监控已经成为一种必要的管理手段. 为此提供了一种基于IP加密技术的网络审计系统模型,可用于完成上述管理功能,并提供一种分析统计网络性能的有效手段. 所谓的IP加密是将用于判断用户数据包合法性的必要信息封装在一个自定义的IP包头中. 这样,当网络流量日志采集服务器接收到这种数据包时,既可以判断出该数据包的所属用户,又可以判断该数据包是否为合法数据包;此外,将其他信息添加到自定义包头的相应字段后,还可以实现对特定区域网络流量的监控.     

基于Socket流量产生器的研究与实现

在Visual Studio C＋＋6.0环境下,通过Window Sockets编程,运用多线程技术,基于网络协议构造各种发包器。通过调用这些发包器向实验网络环境中发出数据包,从而在实验网络环境中产生真实的网络流量;并可根据用户的要求配置相应的背景流量模拟要求,实现对背景流量的模拟;用户可以根据需要通过设置数据包发送速率和持续时间来调整网络流量。     

基于优化蚁群算法的网络流量数据精准挖掘仿真

为了更好的提高网络流量数据挖掘准确性,提出基于优化蚁群算法的网络流量数据精准挖掘仿真方法。结合蚁群算法对网络数据异常特征数值进行采集,并根据采集结果进行归类计算,根据数据特征归类标准对网络流量挖掘步骤进行优化,最终实现对网络流量数据的精准挖掘。最后通过实验证实,传统方法数值波动范围在±15之间,而所提方法数值波动范围在±5之间,检测精准度更高,具有较高的实际应用性。     

高性能IP网络流量采集系统设计与实现

提出一种高性能IP网络流量采集系统体系结构,采用分层的方法解决全线速、高可靠、无丢包采集网络流量数据包,利用采集卡API接口程序和计算机程序过滤流量和提取特征,并将流量样本或特征字段高效地存储到磁盘阵列。经过测试,原型机网络采集速率最高达18 Gbps,传输和存储速率达到8 Gbps,存储空间达到40 TB,在实际网络中存储时长可以达到18~24 h。     

基于流时间影响域的网络流量异常检测

针对如何提高网络流量异常行为检测准确率的问题,提出基于网络流时间影响域(TID)的网络流量检测模型.通过分析正常和异常情况下流量网络模型平均度的变化,构建了基于复杂网络平均度指标的网络流量异常检测算法.实验结果表明,基于网络流时间影响域的流量网络模型能合理地描述网络流量间的依赖关系,具有良好的检测性能,同时该网络模型仅需时间戳、源IP、目的IP三维网络特征即可实现,检测方法适用于绝大多数网络类型,检测效率优于其他网络流量异常检测方法,具有较高的普适性.     

一种基于微分的网络流量控制方法

网络流量过大和网络数据包队列不合理是引起网络阻塞的重要原因．文章首先探讨了网络流量的控制模型,模型用微分形式表述了客户端的窗口行为,并定义了网络数据包丢失的概率．然后分析了如何通过微分形式,并结合控制系统以及网络数据流量的模型,对网络数据包的队列进行控制的问题．结果表明,用这种控制系统的模式,用输入量输出量作为参数,结合中值定理对网络数据包的发出进行有效地控制,可以适当改善网络利用效率．     

基于多维信息散度的僵尸网络快速检测方法

提出了一种基于多维度信息散度的僵尸网络快速检测方法.首先将网络流量中多个流量属性的概率分布按时间序列表征为多维信息散度向量,然后建立自回归滑动平均(ARMA)模型以检测该向量是否异常,藉此判断网络流量中是否含有僵尸网络CC(命令与控制)流量.实验表明:该方法不依赖先验知识,能高效准确地检测出网络流量中是否含有僵尸网络CC流量,具有很好的通用性、实时性以及较低的误检率.     

一种社交网络用户领导者挖掘算法

社交网络中的用户领导者挖掘是用户影响力分析的重要问题.提出一种基于用户影响力评估的社交网络用户领导者挖掘算法.首先,描述问题模型以及模型相关定义;其次,提出了基于用户影响力和用户活跃度计算的用户领导力评估方法;最后,依据用户领导力和用户中心度计算实现用户领导者的挖掘.实验印证了该方法对于社交网络挖掘用户领导者的可行性和有效性.     

结合二次特征提取和LSTM-Autoencoder的网络流量异常检测方法

为解决大多数网络流量异常检测方法准确度低、误报率高等问题,提出一种基于长短期记忆网络自编码(LSTM-Autoencoder)的网络流量异常检测方法.首先,将真实网络流量从数据包和会话流级别两方面提取数据特征.为了丰富原始特征,采用离散小波变换(DWT)分解原始特征向量得到更高维特征.考虑真实网络环境可能存在异常数据,采用Grubbs准则对数据进行平滑操作,以防止非人为异常数据干扰训练LSTM-Autoencoder模型.使用已训练的LSTM-Autoencoder模型对训练数据进行重构,通过分析重构误差分布确定检测阈值.最后,对真实网络流量进行测试,分析了模型结构以及外部噪声对检测性能的影响,实验结果验证了所提方法的正确性.与其他基于数据重构的检测方法相比,所提方法具有更高的检测准确度和更优的检测性能.     

面向车联网泛洪攻击的流量异常检测方法

为了有效检测车联网环境下的泛洪攻击,缓解泛洪攻击对车联网的不良影响,该文提出了面向车联网环境下针对泛洪攻击的轻量化流量异常检测方法。通过在路侧单元使用Hurst自相似参数估计方法计算车联网数据包流量的自相似变化曲线,检测流量异常变化,并上传异常时段的数据包信息到云端,云端统计各节点发送数据包情况,通过检测数据包大小异常变化来检测发起泛洪攻击的恶意节点。通过对车联网实际网络流量仿真计算结果表明,该流量异常检测方法能在低中高3种泛洪攻击强度下,有效检测出恶意节点。     

基于多特征融合的聊天室社会网络挖掘方法

聊天室社会网络挖掘是网络舆情分析与预警研究的一个主要任务,其目的是挖掘出聊天室用户之间的本质关联.为此将多特征融合引入聊天室社会网络的挖掘,提出了一种基于AdaBoost的聊天室社会网络挖掘方法.论文的主要工作包括两部分:对目前相对有效的基于时序挖掘的方法进行了改进,新增加了启发式规则;利用AdaBoost进行时序特征和内容相关性特征的多特征融合,综合决策出聊天室用户之间的本质关联.对比实验表明,基于多特征融合的方法可以获得比基于时序挖掘方法及其改进方法更好的误报率和漏报率.     

基于流中前 5 个包的在线流量分类特征

针对在线流量分类所面临的特征计算复杂和分类性能不稳定问题,利用流开始的前 5 个数据包（排除三次握手数据包）,计算数据包大小、负载大小和到达间隔时间等网络流量的统计特征,通过分析 3 种机器学习算法（C4. 5、BayesNet 和NBTree）分类的结果,研究可用于在线流量分类的特征以及这些特征应该满足的条件。实验结果表明,所提特征计算简单,能快速有效地区分不同的流量,对于不同的机器学习算法,均取得了较高的分类准确率（92%以上）,适用于在线流量分类。     

基于CBF流抽样的网络安全

现有网络中常存在DDOS、恶意端口及IP扫描、蠕虫等异常产生大量的只包含1个数据包的流量.针对高速网络流量特点及网络异常导致的流量突然上升,提出了一种改进的基于CBF的流抽样算法.该算法对定长时间内到达的数据包进行固定数量的抽样,使抽样率能适应于流量变化,并可控制资源的消耗,尤其当泛洪攻击、DDOS攻击等导致大规模异常网络流量出现时,能有效保护路由器的处理器和内存资源以及传输流记录所需的带宽资源,同时又不失简单性和准确性.     

一个通用的网络流量模型的设计与实现

网络流量是描述网络行为的重要指标之一,对网络规划设计、业务部署、协议与网络设备设计、实施流量工程等都至关重要。依照软件工程方法学,设计并实现了一个通用的流量统计器模型,分析了网络数据包截获机制,研究了相应协议,阐述了网络数据包统计模块实现方法。     

一种采用云模型的同驻虚拟机侧通道攻击威胁度量方法

针对云平台中同驻虚拟机间共享物理资源,一些恶意用户通过探测、分析共享资源的信息来隐蔽获取其他用户的私密信息,进而可能引发侧通道攻击潜在威胁的问题,提出了一种基于云模型的同驻虚拟机侧通道攻击威胁度量方法。该方法在分析同驻虚拟机侧通道攻击特征的基础上,利用云模型在多属性决策不确定性转换及模糊性与随机性评估上的强大优势,对云用户的潜在侧通道攻击威胁进行了多指标综合度量评价。实验结果表明,利用该方法对云用户进行威胁度量得出的最大相似度为58.42%、36.47%、46.96%的评价结果符合假定的威胁等级,验证了该方法的可行性。该方法综合考虑了侧通道攻击威胁指标,充分发挥了云模型的度量优势,为云环境中同驻虚拟机间的侧通道攻击检测和防御研究与应用提供了重要依据。     

基于数据流多维特征的移动流量识别方法研究

随着移动互联网的快速发展,移动设备的数量激增至历史新高.从大量混杂流量中识别出移动流量并对流量进行分析,是深入研究移动互联网特性的第一步,同时可以为移动网络测量与管理、移动安全和隐私保护提供有价值的信息.本文综合整理了网络流量识别的常见方法,提出了基于数据流多维统计特征的移动流量识别方法.该方法从硬件特征、操作系统指纹和用户使用习惯三个方面提取了数据流中具有代表性的特征并对特征进行分析,使用集成学习的方法生成识别模型.移动流量的识别准确率和主流的5种操作系统流量分类的准确率都达到了99%以上.本文方法比UAFs方法准确率提高了8%左右.本方法提取的特征具有多维性并且具有实际意义,整合了网络层和传输层的数据流特征,相较于使用深度数据包检测的方法,基于数据流多维特征的方法同样适用于加密流量的分类.     

全流量回溯结合APT建模分析技术

本文研究了海量网络数据包存储及快速检索技术,并结合APT组织攻击链特征,提出了一种全流量回溯与APT建模分析技术方案,实现APT精准识别。系统通过网络流量聚合成大块文件,实现磁盘的顺序写入及文件系统的零碎片,提升数据包写入速度;通过两级索引,提升数据包检索速度。并结合APT组织的TTP模型,对原始流量快速提取反分析,实现APT攻击的精准识别、回溯分析和攻击连还原。     

基于聚类分析的网络流量高斯混合模型

基于聚类算法对数据对象多个属性综合聚类的特点,研究网络流量的GMM模型及其在数据流尺度上的Log-normal分布。用EM算法研究了具有交互特征的网络流量的分类;通过与K-means算法比较,讨论了EM算法在流量聚类中的适用性;通过平衡和不平衡流量的聚类分析,研究了不同类型流量GMM建模的有效性。研究流量的幂律关系及其在不同尺度间的传递性,用户行为和应用程序特征通过传输层控制协议分解传递到IP层后,在数据包尺度上表现出分形和自相似性,在数据流尺度上表现出Log-normal分布。     

网络数据包到达速率的混沌特性分析及其短期预测

本文利用关联维法分析了以太网数据包到达速率数据的混沌特性，在此基础上，结合相空间重构技术，利用混沌时间序列的局域一阶预测法对其进行了预测，预测结果表明该混沌预测方法能够对网络数据包到达速率取得很好的预测效果．这为进一步研究网络流量提供了基础，也为网络数据包到达速率具有混沌特性提供了新的依据．