一种分布式拒绝服务攻击的检测方法

该文提出和实现了一种基于网络异常流量特征的检测模型。通过将多条链路或多个流的流量信号作为一个整体进行研究,构建了网络异常流量监控的系统模型。该模型包括了数据采集、分析、异常判断和警告等功能,并综合了异常信息融合及警告信息关联性分析技术。通过实验证明,该套系统模型对短时间段内的突发流量能提供有效的检测和报警服务。     

一种分布式拒绝服务攻击的检测方法

该文提出和实现了一种基于网络异常流量特征的检测模型。通过将多条链路或多个流的流量信号作为一个整体进行研究．构建了网络异常流量监控的系统模型。该模型包括了数据采集、分析、异常判断和警告等功能,并综合了异常信息融合及警告信息关联性分析技术。通过实验证明,该套系统模型对短时间段内的突爱流量能提供有效的检测和报警服务。     

基于流分解的异常检测算法*

通过研究网络异常检测,提出了一种基于流分解消除网络噪声的异常检测算法。该算法从高维、非平稳流量中分离出包含异常的随机部分,通过计算随机部分参数的边缘分布和残差,揭示了流量异常对随机部分参数的影响,并提出判断网络流量异常的参数标准。实验表明,由于不必将整个时间序列进行分片和单独拟合,算法可以直接处理非稳态流量数据,实现了真正意义上的网络异常检测功能。     

基于网络全局流量异常特征的DDoS攻击检测

由于分布式拒绝服务（DDoS）攻击的隐蔽性和分布式特征，提出了一种基于全局网络的DDoS检测方法。与传统检测方法只对单条链路或者受害者网络进行检测的方式不同，该方法对营运商网络中的OD流进行检测。该方法首先求得网络的流量矩阵，利用多条链路中攻击流的相关特性，使用K L变换将流量矩阵分解为正常和异常流量空间，分析异常空间流量的相关特征，从而检测出攻击。仿真结果表明该方法对DDoS攻击的检测更准确、更快速，有利于DDoS攻击的早期检测与防御。     

基于DTMC的工业串行协议状态检测算法

针对现有工业信息安全研究主要集中在工业以太网方面,缺少对串行链路协议防护的研究等问题,提出一种基于离散时间马尔可夫链(Discrete Time Markov Chain,DTMC)的工业串行协议状态检测算法。该算法利用工业控制系统(Industrial Control System,ICS)行为有限和状态有限的特征,根据串行链路协议历史流量数据,自动构建ICS正常行为模型——DTMC。模型包含状态事件、状态转移、状态转移概率和状态转移时间间隔等行为信息,使用该模型所包含的状态信息作为状态检测规则集。当检测阶段生成的状态信息与状态检测规则集中的信息不同或偏差超过阈值时,产生告警或拒绝等动作。同时,结合综合包检测(Comprehensive Packet Inspection,CPI)技术来扩大协议载荷数据的可检测范围。实验结果表明,所提算法能有效检测语义攻击,保护串行链路安全,且算法误报率为5.3%,漏报率为0.6%。     

一种基于MMTD网络异常流量的研究

当今的网络在设计初期并没有充分考虑其安全性,因此使得网络被频频攻击成功。当网络管理人员在检测网络是否遭到黑客的攻击时,可以从网络流量的角度出发,检测网络流量是否异常。网络流量是否异常可以作为网络是否被攻击的一个依据。网络中的流量存在正常还是异常的两种状态,在参考已有的检测技术之后,使用MMTD这一算法来检测网络的流量。在文中根据流与流量的特性给出检测函数y=f(x),最后使用MMTD这一算法进行流量是否异常做出判断。利用MMTD算法来研究网络的流量尚属第一次,该算法能够使得已有流量检测算法具有一定的智能性,可以作为已有流量检测算法的补充。     

快速自适应流量突变检测算法研究

网络流量突变检测在网络管理中意义重大,针对多下一跳网络的特点,将异常定义为故障后流量的突变,提出了快速自适应流量感知突变检测算法。算法通过改进的直方图技术压缩数据后,利用聚集函数进行上升和下降两种突变的检测,进而根据感知流量变化来分析网络中节点及链路状态,快速准确地掌握网络整体状况。通过仿真平台对算法有效性进行验证,并与现有突变检测算法进行比较,结果表明该算法能使检测灵敏度和精度得到明显提高。     

基于BF算法的网络异常流量行为检测

互联网异常流量行为会造成网页内容难以管理、吞噬网络带宽和传播病毒等危害.针对该问题,提出基于Bloom Filter(BF)算法的异常流量检测方法.以点对点(P2P)流量为检测对象,分析BF算法和传统的抽样方法,研究P2P流量常见的特征行为,统计其属性组合,并基于BF算法和抽样方法对异常流量行为进行检测.实验结果证明,该方法能加快异常流量行为的检测速度,提高检测准确率.     

基于信息熵理论的教育网异常流量发现*

为提高异常流量发现的效率,解决传统流量分析方法效率较低、异常检测能力弱的问题,对骨干路由器的netflow流数据采用基于多个信息熵的联合指标并结合基于滑动窗口的熵流突发检测算法来实现网络异常的发现;并利用各指标熵值的相关度分析将指标分类,根据已知的异常类型对每一类指标的异常检测范围作出总结。通过实验成功剔除了冗余度高的指标,将网络异常流量分为了能准确地被联合指标识别出的四种类型。实验证明,该异常检测方案实用性强,较传统的流量分析方法在异常类型的判断上更加准确和有效。     

利用链路相关性进行网络流量异常检测

传统的网络异常检测方法应用于具有较大链路数量的网络上时,往往存在着误报率高、检测范围不够全面、检测效率不能满足高速网络实时监测需求等问题。由于多链路之间往往存在有较强的相关性,这种相关性反映了链路流量的整体趋势,可以被用来进行网络流量异常分析。采用基于PCA的相关性分析方法对网络流量异常检测进行研究,利用链路之间相关性评估网络流量的异常。实验证明,这种方法应用于大规模流量异常检测是简单有效的。