多维多层次网络流量异常检测研究

随着网络攻击种类和数量的增加以及网络带宽的不断增大,网络流量异常检测系统面临着误报率高和漏报率高的问题.针对该问题,首先对采集到的网络流量数据进行多维多层次在线联机分析,通过构建检测立方体数据结构并在检测立方体上针对异常检测的应用特征提出了一系列优化策略,采用最小生成树对多维度上的多查询进行优化,采用异常驱动的方法动态设定聚集的层次,来有效降低在线联机分析的时间和空间复杂度;然后在联机分析计算结果的基础上采用熵对多维多层次流量数据分布特征进行度量,获得流量数据在各个维度上的熵值序列;最后采用一类支持向量机对多维熵值序列进行分类,达到高效准确检测异常的目的.在大量实际网络流量数据集上对所提方法进行了验证并和已有方法进行了对比实验,取得了较好的实验效果.     

基于多维熵值分类的骨干网流量异常检测研究

针对高速骨干网上异常检测要求高检测效率和低误报率问题,提出了一个基于多维流量数据熵值分类方法.在多个不同维度上采用熵度量流量数据的分布特征,提出了多维高效熵值计算算法有效减低熵值计算的时间和空间复杂度;在每个时间窗口上把不同维度熵值序列排列成检测向量,采用一类支持向量机对检测向量进行分类;对支持向量机分类判断过程中可能出现误报的情况,提出多窗口关联检测算法,通过在多个连续时间窗口上对异常向量进行多窗口关联检测,最终判断异常是否发生.通过在真实网络流量数据集上的两个对比实验,验证了本文算法在检测效率方面随着网络流量和攻击流量的增加时间和空间开销增长较为平缓,在检测精度方面也取得了令人满意的效果.     

基于信息熵的大规模网络流量异常分类

本文提出了基于信息熵的大规模网络流量异常分类方法。该方法综合运用子空间方法和k-means分类方法,并以校园网为实验环境实现了网络流量异常分类实验。实验结果表明,基于信息熵的大规模网络流量异常分类实现简单、计算量小,分类准确性高。     

基于支持向量机的Internet流量分类研究

准确的网络流量分类是众多网络研究工作的基础,也一直是网络测量领域的研究热点.近年来,利用机器学习方法处理流量分类问题成为了该领域一个新兴的研究方向.在目前研究中应用较多的是朴素贝叶斯(naive Bayes,NB)及其改进算法.这些方法具有实现简单、分类高效的特点.但该方法过分依赖于样本空间的分布,具有内在的不稳定性.因此,提出一种基于支持向量机(sulbport vector machine,SVM)的流量分类方法.该方法利用非线性变换和结构风险最小化(structural risk minimization,SRM)原则将流量分类问题转化为二次寻优问题,具有良好的分类准确率和稳定性.在理论分析的基础上,通过在实际网络流集合上与朴素贝叶斯算法的对比实验,可以看出使用支持向量机方法处理流量分类问题,具有以下3个优势:1)网络流属性不必满足条件独立假设,无须进行属性过滤;2)能够在先验知识相对不足的情况下,仍保持较高的分类准确率;3)不依赖于样本空间的分布,具有较好的分类稳定性.     

一种网络异常实时检测方法

传统的网络管理工具通常根据预先设定的阈值来报警，这种方法虽然简单，但适应性不好．因此出现了网络异常检测技术，有时异常检测技术不但能发现网络故障，而且具有预警的效果[1]；该文介绍了一种新的实时网络流量异常检测方法，转换网络流量观测值序列并假定序列的局部是平稳的，然后建立AR模型，定义一个统计量来检测异常．结果表明，该检测方法具有GLR测试方法所没有的优点．     

基于支持向量机的流量分类方法*

针对现有流量分类方法存在的准确率低、应用范围受限、计算复杂度高等问题,提出使用支持向量机方法来解决流量分类问题。使用公开的人工标注数据集作为训练集和测试集,通过有监督学习构建支持向量机流量分类器。此外,通过实验进一步分析了训练集大小、核函数、惩罚因子等因素对支持向量机分类性能的影响。实验结果表明支持向量机分类器可以达到98%以上的流分类准确率。     

基于决策树的网络流量异常分析与检测

针对现有网络流量异常检测方法准确率较低的问题,提出基于决策树的网络流量异常分析与检测方法。研究网络流量结构特征及流量异常的交叉熵表示方法。采用C4.5算法建立决策树模型,将具有连续性的属性值离散化,根据最大信息增益比逐层选取分类属性,依此规则对流量数据进行分类。实验结果表明,当该方法的检测准确率达90%以上时,误报率可控制在5%以内,与同类方法相比能更准确地发现网络流量异常并进行分类。     

基于特征选择和支持向量机的异常检测方法

针对异常检测系统虚警率高、检测率低以及冗余特征对检测系统造成负担的问题,提出一种基于特征选择和支持向量机相结合的异常检测方法.该方法通过构造一种基于分类模型分类准确率计算的特征选择算法,筛选出能够获得分类准确率最高的特征组合,并与支持向量机分类算法相结合,实现数据的异常检测.仿真测试结果表明,该方法具有较高的检测准确率和较低的检测时间,并通过去除噪声特征,降低了系统的数据处理难度.     

试论网络流量异常分析现状及问题

目前,Internet已经进入高速率骨干网和高速率接入网的阶段,因此需要实时地监控网络流量并检测出有攻击意向的异常,及时采取适当的行动来遏制它进一步的繁殖和传播。本文主要分析了现有网络异常分析的四种方法,并进行对比;提出了基于Netflow的异常流量分离设计思想,对于今后网络流量异常检测分析具有一定作用。     

SDN架构下基于ICMP流量的网络异常检测方法

互联网控制报文协议(Internet Control Message Protocol,ICMP)实时地反映着网络的状态,当网络故障或受到攻击时,ICMP报文在整个流量中出现的概率,以及ICMP流量中不同类型的报文比例等特征都会发生变化.本文利用ICMP流量小的特点,并结合SDN架构中控制面可对ICMP流量进行集中观察的优势,采用SVM分类的方法,提出一种轻量级的异常检测机制以改善异常检测的实时性和准确性——AD-ICMP-SDN(Anomaly Detection Method based on ICMP Traffic for SDN).实验结果证明,AD-ICMP-SDN在检测准确率和误报率等指标上展现了较好的性能.     

基于层次聚类的网络流量异常分类算法

现有的异常流量根源分析技术大多需要人工干预,对异常事件的分类效果不佳。为此,提出基于层次聚类的流量异常分类算法TAC-HC,通过特征属性的训练过程逐步建立分类树,把相似的异常嵌入到子树中,在未知数据集聚类数目的情况下对新的异常进行分类。仿真结果表明,TAC-HC算法的分类平均准确率达到89%,对网络扫描这类小异常事件的分类精确率也能达到95.3%。     

基于样本缩减的支持向量机在流分类中的应用

网络流量分类对提高网络服务质量有着非常重要的作用.基于机器学习的网络流量分类中,海量的样本为训练带来了效率瓶颈.论文介绍了SVM算法原理,建立基于改进类别质心的样本缩减策略,并进行实验验证.结果表明,利用缩减样本的SVM训练时间仅为在原样本下训练时间的2％,且分类精度基本不变,证明了样本缩减策略的可行性和有效性.     

基于熵的网络异常流量检测研究综述

网络流量异常检测及分析作为一种重要的网络监管控制手段,是网络及安全管理领域的重要研究内容.本文探讨了网络异常流量的种类,简述了基于传统的异常检测方法在网络异常流量检测中的应用以及存在的问题.针对基于信息熵、相对熵、活跃熵等熵值理论在网络异常流量检测中的研究,阐述了基于熵值理论的异常检测在国内外的研究进展情况.总结了当前基于熵值理论的异常检测研究工作中存在的问题及改进方向.     

基于子空间方法的大规模网络流量异常检测

本文采用子空间方法和PCA（主成分分析或Principal Components Analysis）对大规模网络流量异常检测进行研究,并以校园网为实验环境,应用子空间方法和PCA实现了网络流量异常检测。通过实验结果与小波分析结果的对比,证明了基于子空间方法的大规模网络流量异常检测是一种既简单又高效的方法。     

一种组合式特征选择算法及其在网络流量识别中的应用

当前网络流量日趋复杂,给网络管理带来许多困难.为了准确地识别出网络中的各种流量,本文以支持向量机为分类器,以流的统计学特征为分类依据,提出一种组合式特征选择算法,该算法首先快速去除和分类不相关的特征,针对余下的特征,再利用遗传算法引导特征的选择和支持向量机模型参数的寻优,最终获得了最优的特征集和最佳的支持向量机分类模型.经过实验验证,基于该算法的网络流量识别方法在识别P2P流量时能以更少的特征获得更高的分类准确率.     

基于信息熵的大规模网络流量异常检测

提出了基于信息熵的大规模网络流量异常检测方法。该方法吸收了子空间方法的思想,并结合了K-means分类方法。以校园网为实验环境,应用基于信息熵的方法实现了网络流量异常检测的全过程。通过实验结果与应用标准子空间方法对测量数据分析结果的对比,证明了基于信息熵的大规模网络流量异常检测有着更高的检测精度。     

两种智能交通标志分类器的比较研究

本文介绍了一种可用于交通标志识别的新方法--支持向量机（SVM）算法,并将SVM算法与BP算法在交通标志的粗、细分类中的识别效果进行了对比分析。用中国的116个和日本的23个交通标志标准图分别训练基于SVM算法和基于BP算法的智能分类器,并用中国标志的噪声图、扭曲图和531个日本交通标志实景图作为测试集。在粗分类中,虽然BP算法 法的识别率也能达到90%以上,但SVM算法的识别率几乎可达100%,二者差距明显。在细分类中,SVM算法的识别效果与BP算法相比具有更加明显的优势。实验研究结果表明,SVM算法可以以接近最优的方式解决模式分类问题,同时具有更好的泛化能力,在交通标志识别领域具有良好的研究价值和应用前景。     

基于聚类和支持向量机的话务量预测模型

针对利用单因素时问序列模型进行话务量预测的不足,建立基于模糊C均值(FCM)聚类和支持向量机(SVM)的多元回归话务量预测模型.模型使用FCM算法对话务量的原始样本集聚类,选择与待预测样本特征最相似的样本子集作为训练集.使用SVM训练样本,通过决策回归函数预测话务量.实际话务量数据验证表明,该方法较周期时间序列和神经网络预测方法具有更高的预测精度和泛化能力.     

基于信息熵的网络流量信息结构特征研究

随着人们对网络流量特征研究的深入,网络异常检测技术得以不断发展,因此流量特征分析是网络异常检测的基础性重要工作。文章研究基于熵的流量信息结构特征,不同于已有的网络流量初级统计特征研究,它以提取的流量属性在单位时间内分布特征为研究对象。基于 DARPA 99数据集的实验表明,该方法相对于基于流量初级统计特征方流量异常表示方法具有更强的敏感性。     

改进支持向量机的网络流量预测

支持向量机具有良好的非线性建模能力,其参数对网络流量预测结果有直接影响,为了解决支持向量机的参数确定的难问题,根据杂草算法的优势,提出了改进支持向量机的网络流量预测模型.首先收集大量网络数量原始数据,将支持向量机参数作为杂草种子,然后模拟杂草的生存、繁殖过程搜索最优参数寻优,建立网络流量预测模型,最后采用具体网络流量数据测试模型的可行性.结果表明,该模型不仅得到了高精度的网络流量预测结果,而且可以应用网络流量管理中.