基于时空注意力特征的异常流量检测方法

针对当前基于循环神经网络的异常流量检测方法无法并行利用全局流量数据包挖掘时序特征的问题，提出一种基于时空注意力特征的异常流量检测方法。将原始流量以会话为单元切分为网络流，网络流中的数据包均转换为灰度图并归一化；利用卷积网络层提取数据包的空间特征，进而通过多头自注意力机制对流中的全部数据包空间特征并行建模，计算数据包之间显著的时序关联特征表示；将该特征表示输入到全连接神经网络层和Softmax层，输出识别概率完成检测。在UNSW-NB15数据集上的实验结果表明该方法切实可行，相较于对比方法，在取得较高的准确率和精度的同时，保持了最低的误警率。     

基于深度学习的网络流量异常识别与检测

针对传统的工控网络流量数据在复杂网络环境下特征维度高,特征处理复杂度高,模型检测效率低等问题,本文使用了一种基于随机森林(random forest, RF)和长短期记忆网络(long short-term memory, LSTM)结合的流量异常识别与检测方法.首先使用随机森林算法计算流量特征的重要度评分,筛选出重要特征,剔除冗余特征,然后使用LSTM进行异常流量的识别与检测.为了评估模型的有效性与优越性,本文使用准确率、精确率、召回率和F1-score进行模型评价,并与传统的机器学习方法 Naive Bayes、QDA、KNN算法进行对比.实验结果表明,在公开数据集CIC-IDS-2017中,异常流量识别的总体准确率达99%.与传统的机器学习算法相比,该方法有效地提高了复杂网络环境下异常检测的准确性和效率,在工业控制网络安全和异常检测方面具有实际应用价值.     

基于卷积神经网络的工控网络异常流量检测

针对工控系统中传统的异常流量检测模型在识别异常上准确率不高的问题，提出一种基于卷积神经网络（CNN）的异常流量检测模型。该模型以卷积神经网络算法为核心，主要由1个卷积层、1个全连接层、1个dropout层以及1个输出层构成。首先，将实际采集的网络流量特征数值规约到与灰度图像素值相对应的范围内，生成网络流量灰度图；然后，将生成好的网络流量灰度图输入到设计好的卷积神经网络结构中进行训练和模型调优；最后，将训练好的模型用于工控网络异常流量检测。实验结果表明，所提模型识别精度达到97.88%，且与已有的精度最高反向传播（BP）神经网络测精度提高了5个百分点。     

基于 HMM的分布式拒绝服务攻击检测方法

在分布式拒绝服务（DDoS）攻击时，网络中数据包的统计特征会显示出异常．检测这种异常是一项重要的任务．一些检测方法基于数据包速率的假设，然而这种假设在一些情况下是不合理的．另一些方法基于IP地址和数据报长度的统计特征，但这些方法在IP地址欺骗攻击时检测率急剧下降．提出了一种基于隐马尔可夫模型（HMM）的DDoS异常检测方法．该方法集成了4种不同的检测模型以对付不同类型的攻击．通过从数据包中提取TCP标志位，UDP端口和ICMP类型及代码等属性信息建立相应的TCP，UDP和ICMP的隐马尔可夫模型，用于描述正常情况下网络数据包序列的统计特征．然后用它来检测网络数据包序列，判断是否有DDoS攻击．实验结果显示该方法与其他同类方法相比通用性更好、检测率更高．     

基于长短期记忆网络的工控网络异常流量检测

针对目前工控网络异常流量检测方法存在识别准确率不高和识别效率低的问题,结合工控网络具有周期性的特点,提出一种基于长短期记忆网络（LSTM）的时序预测的异常流量检测模型.该模型以LSTM网络模型为核心,用前15分钟的正常历史流量序列预测下一时刻的流量数据,在测试集上准确率为98.12%的前提下,可以认为模型的预测值即为正常值,通过对比实际值和预测值来判断是否出现异常.在不降低识别准确率的前提下,由于提前计算出了预测值,该方法大幅度提高了检测效率.     

基于隐Markov模型的协议异常检测

入侵检测是网络安全领域的研究热点,协议异常检测更是入侵检测领域的研究难点.提出一种新的基于隐Markov模型(HMM)的协议异常检测模型.这种方法对数据包的标志位进行量化,得到的数字序列作为HMM的输入,从而对网络的正常行为建模.该模型能够区分攻击和正常网络数据.模型的训练和检测使用DARPA1999年的数据集,实验结果验证了所建立模型的准确性,同现有的基于Markov链(Markov chain)的检测方法相比,提出的方法具有较高的检测率.     

一种网络流量异常检测模型

网络流量异常影响网络性能,严重时造成网络中断,在基于统计的网络流量异常检测模型基础上,本文提出一种改进的方法。首先对采样数据进行预处理,去除坏值;然后采用统计学方法对网络流量稳态模型进行建模和更新,选择表现流量特征明显、属性相关性小的指标反映网络流量;最后利用同比和环比相结合的方法对网络流量进行异常判断。实验结果表明,该方法能对网络流量异常有较好的监控,并减小异常检测的误判率。     

WAGAN:基于小波变换和注意力机制的工控传感器数据异常检测方法

针对隐藏攻击意图的入侵行为,通过现场设备传感器实时数据反映工业控制系统运行情况,充分利用工控数据高周期性特点,提出WAGAN(Wavelet Attention Generative Adversarial Networks)的工控传感器数值异常检测方法.此方法使用多级离散小波变换分解重组的方式去除噪声并增强数据特征.为了有效提取数据的有效特征,在WAGAN模型中引入了注意力机制,并使用多层LSTM(Long Short-Term Memory)网络学习数据的潜在关联性.为了提高模型准确性,使用生成器的重构误差与判别器误差的权重和来判断异常.实验结果表明,此方法相比于现有的异常检测方法具有更高的异常检出率.     

通过流量和数据包综合估计内网感染蠕虫概率的研究*

提出了一种分析内网感染蠕虫可能性大小的方法。对通过内网交换机上的数据包使用蠕虫行为进行分析,得到行为异常的数据包数量,然后使用AR模型分析异常数据包的数量得到异常数据包的增长率;对内网异常流量和异常数据包增长率加权,并对它们综合估计得到内网中感染蠕虫概率的大小。实验表明该方法有效可行。     

基于多特征融合的Webshell恶意流量检测方法

Webshell是针对Web应用系统进行持久化控制的最常用恶意后门程序,对Web服务器安全运行造成巨大威胁。对于 Webshell 检测的方法大多通过对整个请求包数据进行训练,该方法对网页型 Webshell 识别效果较差,且模型训练效率较低。针对上述问题,提出了一种基于多特征融合的Webshell恶意流量检测方法,该方法以Webshell的数据包元信息、数据包载荷内容以及流量访问行为3个维度信息为特征,结合领域知识,从3个不同维度对数据流中的请求和响应包进行特征提取;并对提取特征进行信息融合,形成可以在不同攻击类型进行检测的判别模型。实验结果表明,与以往研究方法相比,所提方法在正常、恶意流量的二分类上精确率得到较大提升,可达99.25%;训练效率和检测效率也得到了显著提升,训练时间和检测时间分别下降95.73%和86.14%。